敏感信息保护相关法律法规.docx

中国人民银行信息安全管理规定第十九条 人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄漏或引用工作中触及的任何敏感信息。严格权限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。第二十条 外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺。提供技术服务期间，严格遵守人民银行相关安全规定与操作规程，关键操作应经授权，并有人民银行内部员工在场。不得拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息。第三十八条 各单位科技部门应根据计算机设备重要程度采取不同的安全保护措施，制定完善的访问控制策略，防止未经授权使用设备或信息。有特殊安全要求的计算机设备应放置在机房的特殊功能区，必要时，单独建立门禁与监控系统，或配备防电磁泄漏的屏蔽装置等。第四十七条 信息安全管理人员经本部门主管领导批准，有权对本单位或辖内网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界提供。未经总行科技司授权，任何外部单位与人员不得检测、扫描人民银行内部网络。第五十一条 人民银行内部网络与国际互联网实行安全隔离。所有接入人民银行内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。第五十二条 计算机接入国际互联网应通过本单位保密工作委员会办公室批准，并确保安装有人民银行选定的防病毒软件和最新补丁程序。科技部门凭相关批准证明实施联网，并做好备案。曾接入人民银行内部网络的计算机需改接入国际互联网前应重新办理以上审批手续，科技部门确保该计算机已删除敏感工作信息后方可实施接入。第六十八条 业务操作人员严格按照安全操作规程进行业务操作、数据备份，并配合科技部门保障信息安全。一旦发现计算机系统运行异常及时向本部门领导和科技部门报告。第九十二条 各单位应建立存储介质销毁制度，对载有敏感信息的存储介质应采用焚烧或粉碎等方式进行处置并做好记录。第一百一十二条 经本单位科技部门领导批准，外包服务提供商可提供上门维护服务并由人民银行科技人员在场准确记录所有技术配置变更信息。外包服务提供商不得查看、复制涉密信息或将涉密介质带离人民银行。关于加强信息安全管理体系认证安全管理的通知 2010-08国务院关于大力推进信息化发展和切实保障信息安全的若干意见-国发201223号六、健全安全防护和管理，保障重点领域信息安全（四）强化信息资源和个人信息保护。加强地理、人口、法人、统计等基础信息资源的保护和管理，保障信息系统互联互通和部门间信息资源共享安全。明确敏感信息保护要求，强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任，严格规范企业、机构在我国境内收集数据的行为。在软件服务外包、信息技术服务和电子商务等领域开展个人信息保护试点，加强个人信息保护工作。网上银行系统信息安全通用规范（试行）3.3敏感信息任何影响网上银行安全的密码、密钥以及交易数据等信息，密码包括但不限于转账密码、查询密码、登录密码、证书的pin码等。6安全规范6.1.1.1客户端程序a 基本要求：d)客户端程序的临时文件中不应出现敏感信息，临时文件包括但不限于cookies。客户 端程序应禁止在身份认证结束后存储敏感信息，防止敏感信息的泄露。e)客户端程序应防范键盘窃听敏感信息，例如防范采用挂钩windows键盘消息等方式 进行键盘窃听，并应具有对通过挂钩窃听键盘信息进行预警的功能。n客户端程序应防范恶意程序获取或篡改敏感信息，例如使用浏览器接口保护控件进 行防范。b增强要求：c)客户端程序应采用反屏幕录像技术，防止非法程序获取敏感信息。6.1.1.2密码保护b增强要求：b)密码输入后立即加密，敏感信息在应用层保持端到端加密，即保证数据在从源点到终点的过程中始终以密文形式存在。6.1.2.1 usb keya基本要求：i)应保证pin码和密钥的安全： 采用安全的方式存储和访问prn码、密钥等敏感信息。n)在外部环境发生变化时，usb key不应泄漏敏感信息或影响安全功能。6.1.2.3 0tp令牌a基本要求：d)应防范通过物理攻击的手段获取设备内的敏感信息，物理攻击的手段包括但不限于开盖、搭线、复制等。n在外部环境发生变化时，otp令牌不应泄漏敏感信息或影响安全功能。6.1.4.3 web应用安全a基本要求：e)防止敏感信息泄漏： 禁止在web应用服务器端保存客户敏感信息。6.2.2管理制度基本要求：a)金融机构应建立安全管理制度体系，明确工作职责、规范工作流程、降低安全风险： 应建立贯穿网上银行系统设计、编码、测试、集成、运行维护以及评估、应急处置等过程，并涵盖安全制度、安全规范、安全操作规程和操作记录手册等方面的信息安全管理制度体系。6.2.3安全策略a基本要求：b)金融机构应制订针对网上银行系统设计与开发、测试与验收、运行与维护、备份与恢复、应急事件处置以及客户信息保密等的安全策略。6.2.4人员及文档管理基本要求：a)金融机构应设置信息安全管理岗位，明确本单位各相关岗位在信息安全管理过程中所承担的责任。d)金融机构应具有员工岗位调动或离职的安全管理制度，避免账号、设备、技术资料及相关敏感信息等泄露。6.2.5.2密钥管理基本要求：b)敏感信息在传输前应先进行强效加密，然后通过vpn等加密信道在网络中传输。6.3.2.2交易流程a基本要求：d)转账类交易中，网上银行系统应刺客户端提交的敏感信息间的隶属关系进行严格校验，例如，验证提交酌账号和卡号间的隶属关系以及账号、卡号与登录用户之间的关系。6.3.2.3网上支付a基本要求： a)金融机构应根据“业务必需”原则与商户共享数据，严禁与商户共享客户的敏感信息。 b)如果商户系统参与敏感信息的处理，金融机构应提示商户禁止存储客户的敏感信息。电子支付指引（第一号）第九条银行应认真审核客户申请办理电子支付业务的基本资料，并以书面或电子方式与客户签订协议。银行应按会计档案的管理要求妥善保存客户的申请资料，保存期限至该客户撤销电子支付业务后5年。第二十七条银行使用客户资料、交易记录等，不得超出法律法规许可和客户授权的范围。银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外，银行应当拒绝除客户本人以外的任何单位或个人的查询。第三十条银行应采取必要措施为电子支付交易数据保密：（二）电子支付交易数据须以安全方式保存，并防止其在公共、私人或内部网络上传输时被擅自查看或非法截取；（三）第三方获取电子支付交易数据必须符合有关法律法规的规定以及银行关于数据使用和保护的标准与控制制度；第四十一条由于银行保管、使用不当，导致客户资料信息被泄露或篡改的，银行应采取有效措施防止因此造成客户损失，并及时通知和协助客户补救。商业银行信用卡业务监督管理办法第三条 商业银行经营信用卡业务，应当依法保护客户合法权益和相关信息安全。未经客户授权，不得将相关信息用于本行信用卡业务以外的其他用途。第二十四条 商业银行应当由内部专门机构或委托其他专业机构进行独立的安全评估。安全评估报告应当至少包括董事会或总行（总公司）高级管理层对信用卡业务风险管理体系建设和相关规章制度的审定情况、各业务环节信息资料的保护措施设置情况、持续监测记录和追踪预警异常业务行为（含入侵事故或系统漏洞）的流程设计、外挂系统或外部接入系统的安全措施设置、评估期等方面的内容。第三十九条 发卡银行应当建立信用卡营销管理制度，对营销人员进行系统培训、登记考核和规范管理，不得对营销人员采用单一以发卡数量计件提成的考核方式。信用卡营销行为应当符合以下条件：（四）营销人员应当严格遵守对客户资料保密的原则，不得泄露客户信息，不得将信用卡营销工作转包或分包。发卡银行应当严格禁止营销人员从事本行以外的信用卡营销活动，并对营销人员收到申请人资料和送交审核的时间间隔和保密措施作出明确的制度规定，不得在未征得信用卡申请人同意的情况下，将申请人资料用于其他产品和服务的交叉销售。第一百零三条 商业银行信用卡业务年度评估报告应当至少包括以下内容：（六）信用卡业务合规管理和内控管理情况；商业银行内部控制指引第一百二十七条商业银行应当严格管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。商业银行信息科技风险管理指引第十五条 商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域：(一) 信息分级与保护。第四章 信息安全第二十条 商业银行信息科技部门负责建立和实施信息分类和保护体系，商业银行应使所有员工都了解信息安全的重要性，并组织提供必要的培训，让员工充分了解其职责范围内的信息保护流程。第二十一条 商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门提供建议，并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。第二十二条 商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制，并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时，应在系统中及时检查、更新或注销用户身份。第二十六条 商业银行应通过以下措施，确保所有信息系统的安全：(二) 针对信息系统的重要性和敏感程度，采取有效的身份验证方法。(五) 采取安全的方式处理保密信息的输入和输出，防止信息泄露或被盗取、篡改。第二十八条 商业银行应采取加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险，并建立密码设备管理制度，以确保：第三十六条 商业银行应制定并落实相关制度、标准和流程，确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。第五十八条 商业银行在与外包服务商合同谈判过程中，应考虑的因素包括但不限于：(三) 通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。第六十条 商业银行应加强信息科技相关外包管理工作，确保商业银行的客户资料等敏感信息的安全，包括但不限于采取以下措施：(一) 实现本银行客户资料与外包服务商其他客户资料的有效隔离。(二) 按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。(三) 要求外包服务商保证其相关人员遵守保密规定。(四) 应将涉及本银行客户资料的外包作为重要外包，并告知相关客户。(五) 严格控制外包服务商再次对外转包，采取足够措施确保商业银行相关信息的安全。(六) 确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见五、以密码技术应用为基础，加快网络信任体系建设根据国家密码管理相关规定，合理运用密码技术和产品，规范和加强以身份认证、授权管理、跟踪审计等为主要内容的网络信任体系建设。对重要信息的传输、存储要采取一定强度的加密措施，规范和强化密钥管理。通过身份认证、访问控制、内容过滤、信息加密、网络隔离等措施，防范来源于内部和外部的网络威胁。严格网络安全配置管理，制订合理的网络服务策略和强制路径策略，强化外部连接用户认证，加强远程诊断接口的保护，优化网络结构，划分网络安全域，利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离，加强网络边界防护，保证重要信息不被泄露、篡改或非法利用，保证交易双方的身份真实性并防止抵赖行为的发生。中国银行业从业人员职业操守第八条 保护商业秘密与客户隐私银行业从业人员应当保守所在机构的商业秘密，保护客户信息和隐私。第十三条 信息保密银行业从业人员应当妥善保存客户资料及其交易信息档案。在受雇期间及离职后，均不得违反法律法规和所在机构关于客户隐私保护的规定，透露任何客户资料和交易信息。第四十二条 商业保密与