銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案

1、銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障問(wèn)責(zé)方案為建立有效的銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)安全保障體系，落實(shí)信息系統(tǒng)安全保障責(zé)任，特制定本方案。一、總體原則（一）明確責(zé)任。銀行業(yè)金融機(jī)構(gòu)要建立信息安全治理架構(gòu)，明確董事會(huì)、高管層對(duì)信息系統(tǒng)安全管理的職責(zé)權(quán)限，建立并落實(shí)信息安全管理責(zé)任制。（二）主動(dòng)預(yù)防。銀行業(yè)金融機(jī)構(gòu)要建立信息安全突發(fā)事件風(fēng)險(xiǎn)防范體系，建立有效的信息安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)預(yù)警機(jī)制，對(duì)可能導(dǎo)致突發(fā)事件的風(fēng)險(xiǎn)進(jìn)行有效識(shí)別、分析和控制，并實(shí)施對(duì)風(fēng)險(xiǎn)指標(biāo)的動(dòng)態(tài)、持續(xù)監(jiān)測(cè)。（三）快速響應(yīng)。銀行業(yè)金融機(jī)構(gòu)要建立統(tǒng)一指揮、反應(yīng)靈敏、功能齊全、協(xié)調(diào)有序、運(yùn)轉(zhuǎn)高效的信息安全應(yīng)急管理機(jī)制，確保突發(fā)事件發(fā)生時(shí)響應(yīng)及時(shí)、聯(lián)

2、系通暢、操作準(zhǔn)確、處理高效。（四）持續(xù)改進(jìn)。銀行業(yè)金融機(jī)構(gòu)要定期評(píng)價(jià)信息安全管理工作，定期對(duì)各級(jí)信息安全責(zé)任人進(jìn)行考核，持續(xù)改進(jìn)信息安全保障制度及方案。二、問(wèn)責(zé)機(jī)制（一）各銀行業(yè)金融機(jī)構(gòu)法定代表人為本機(jī)構(gòu)信息系統(tǒng)安全保障的第一責(zé)任人，按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，層層落實(shí)信息安全責(zé)任制。（二）各銀行業(yè)金融機(jī)構(gòu)要將信息系統(tǒng)安全保障責(zé)任分解細(xì)化，逐項(xiàng)落實(shí)到具體部門(mén)、具體責(zé)任人，逐級(jí)簽訂信息系統(tǒng)安全保障責(zé)任書(shū)，強(qiáng)化信息安全管理執(zhí)行力。（三）銀監(jiān)會(huì)將把銀行信息安全事件管理納入到銀監(jiān)會(huì)統(tǒng)一的重大失職和大案要案責(zé)任追究認(rèn)定管理范疇內(nèi)，建立起信息安全非現(xiàn)場(chǎng)和現(xiàn)場(chǎng)檢查激勵(lì)約束機(jī)制，并把信息系統(tǒng)安全

3、事件報(bào)告制度執(zhí)行情況列為對(duì)銀行業(yè)金融機(jī)構(gòu)考核內(nèi)容。（四）銀監(jiān)會(huì)和各銀監(jiān)局按照監(jiān)管權(quán)責(zé)，敦促法人機(jī)構(gòu)簽署信息系統(tǒng)安全保障承諾書(shū)，明確高管人員對(duì)信息系統(tǒng)安全保障的管理責(zé)任。（五）對(duì)于以下情形，銀監(jiān)會(huì)及其派出機(jī)構(gòu)根據(jù)信息系統(tǒng)安全保障承諾書(shū)追究銀行業(yè)金融機(jī)構(gòu)信息安全管理責(zé)任人責(zé)任。對(duì)于信息安全管理失職并造成嚴(yán)重不良后果的，將對(duì)其通報(bào)批評(píng)，情節(jié)特別嚴(yán)重、造成嚴(yán)重危害后果的，依據(jù)有關(guān)規(guī)定追究法律責(zé)任。1因信息安全管理工作不到位或失職，導(dǎo)致本機(jī)構(gòu)發(fā)生重大信息安全事件；遲報(bào)、漏報(bào)、瞞報(bào)信息安全事件，或?qū)π畔踩录幚泶胧┎坏轿唬徊蛔袷赜嘘P(guān)信息安全規(guī)章制度，不執(zhí)行上級(jí)部門(mén)及監(jiān)管部門(mén)的信息安全管理要求。三、組織

4、機(jī)制各銀行業(yè)金融機(jī)構(gòu)要建立有效的信息安全治理架構(gòu)，制定信息安全戰(zhàn)略，完善信息安全內(nèi)部管理組織架構(gòu)和工作機(jī)制，將信息安全管理納入本機(jī)構(gòu)整體信息科技風(fēng)險(xiǎn)管理框架。（一）各銀行業(yè)金融機(jī)構(gòu)要高度重視和支持信息安全管理工作，法定代表人要對(duì)本機(jī)構(gòu)信息安全管理負(fù)總責(zé)。要成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，由高管層、風(fēng)險(xiǎn)管理部門(mén)、信息科技部門(mén)、審計(jì)部門(mén)、合規(guī)部門(mén)及相關(guān)業(yè)務(wù)部門(mén)負(fù)責(zé)人共同組成，負(fù)責(zé)重大信息安全事項(xiàng)的決策和審批，明確各部門(mén)的信息安全管理職能分工，授權(quán)有關(guān)部門(mén)和人員組織開(kāi)展信息安全工作，為實(shí)施信息安全管理提供堅(jiān)強(qiáng)的組織保障。（二）各銀行業(yè)金融機(jī)構(gòu)應(yīng)在信息安全領(lǐng)導(dǎo)機(jī)構(gòu)的指導(dǎo)下，設(shè)立專(zhuān)門(mén)的信息安全管理機(jī)構(gòu)，制定具體的

5、信息安全管理策略和規(guī)章制度，組織實(shí)施信息安全管理措施。各分支機(jī)構(gòu)及相關(guān)部門(mén)要設(shè)立信息安全管理崗位，由專(zhuān)人負(fù)責(zé)各項(xiàng)信息安全規(guī)章制度和保障措施的落實(shí)。四、監(jiān)管機(jī)制銀監(jiān)會(huì)及其派出機(jī)構(gòu)通過(guò)非現(xiàn)場(chǎng)監(jiān)管、現(xiàn)場(chǎng)檢查、應(yīng)急管理、風(fēng)險(xiǎn)提示、協(xié)同保障等工作機(jī)制，指導(dǎo)并督促各銀行業(yè)金融機(jī)構(gòu)加強(qiáng)信息安全管理，落實(shí)信息系統(tǒng)安全保障責(zé)任。（一）非現(xiàn)場(chǎng)監(jiān)管。建立非現(xiàn)場(chǎng)監(jiān)管分析、預(yù)警模型，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)點(diǎn)，有針對(duì)性的指導(dǎo)現(xiàn)場(chǎng)檢查工作。開(kāi)展對(duì)銀行業(yè)金融機(jī)構(gòu)信息科技綜合評(píng)級(jí)，系統(tǒng)評(píng)價(jià)其信息科技的治理水平和風(fēng)險(xiǎn)狀況，建立評(píng)級(jí)評(píng)價(jià)體系。（二）現(xiàn)場(chǎng)檢查。組織信息安全現(xiàn)場(chǎng)檢查，開(kāi)展差距分析、后評(píng)價(jià)等監(jiān)管措施，實(shí)現(xiàn)持續(xù)監(jiān)管，督促各銀行業(yè)金融機(jī)構(gòu)落實(shí)責(zé)任。（三）應(yīng)急管理。督促銀行業(yè)金融機(jī)構(gòu)建立應(yīng)急管理機(jī)制，開(kāi)展信息安全應(yīng)急演練，不斷提高應(yīng)急處置能力。（四）風(fēng)險(xiǎn)提示。建立風(fēng)險(xiǎn)提示機(jī)制，適時(shí)就銀行業(yè)信息科技風(fēng)險(xiǎn)發(fā)出提示，警示銀行業(yè)金融機(jī)構(gòu)及時(shí)了解信息安全風(fēng)險(xiǎn)態(tài)勢(shì)，落實(shí)風(fēng)險(xiǎn)防范措施，防