论金融信息系统安全管理体系研究.doc

论金融信息系统安全管理体系研究 一、金融业信息系统安全现状 (一)现状：中国金融业信息化建设本身已完成金融电子化阶段、金融数据集中化阶段、金融信息系统业务综合化阶段三个阶段的发展规划工作。 与此同时，金融业对信息技术的依赖程度越来越大，金融业信息安全保障难度持续加大，给我国金融业信息安全带来新的更大的挑战。如何应对，要求我们必须高度重视。 1.安全 2.威胁金融业信息安全工作正面临比以往更严峻的形势，围绕信息网络空间的斗争日趋尖锐， 境内外网络违法犯罪活动呈快速递增趋势，恶意代码和网络攻击呈多样化局面，金融业信息系统安全运行的难度加大，挑战增多。 一是人民银行的业务指导、监督管理滞后于金融业信息化发展。 与金融业信息化的高速发展相比，金融业信息安全的指导、监管工作还需要进一步加强。国内曾有专家明确提出，在金融信息化、网络化时代，“信息资产风险监管是现代金融监管体系的核心理念。”信息资产风险指在信息化中，信息资产的规划、设计、开发、生成、存在、运用、服务、管理、维护、监管以及其他相关过程中产生的信用、市场、操作与业务风险。人民银行在金融信息规划、信息标准、信息安全等诸多方面承担着重要职责，在xx奥运年中发挥了重要、积极的作用。但总体来看，人民银行及其分支行对金融机构信息安全工作的指导和监管，还处于初级阶段，由于人民银行分支机构对各金融机构信息安全缺乏指导、缺乏统一的监管目标、缺乏完整的认识，以及缺乏监督管理的依据和标准，从而导致监管措施不到位，监管手段缺失，致使基层行监管缺乏主动性。 二是核心设备和技术依赖于国外，底层技术难以掌握，存在安全隐患。 目前，我国金融业信息系统和网络中，大量使用国外厂商生产的设备，这些设备使用的操作系统、数据库、芯片也大多数是由国外厂商生产。外方不可能提供设备的核心技术和专利，我方很难判断设备是否存在“后门”、“软件陷阱”、“系统漏洞”、“软件炸弹”等安全漏洞。据调查，一些重要网络系统中使用的信息技术产品，都不可避免地存在一定的安全漏洞。这些漏洞可能是开发过程中有意预留，也可能是无意疏忽造成的。特殊情况下，特定安全漏洞可能被利用实施人侵，修改或破坏设备程序，或从设备中窃取机密数据和信息。前一阶段国外炒作的IC卡安全问题以及近年来出现的微软“黑屏事件”，已经为我们敲响了警钟。三是境内外网络违法犯罪活动呈快速递增趋势，新技术的应用使我们面临更大的挑战。 金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。金融业信息系统已经遭受到多次攻击，整体信息安全形势严峻。xx年国防科技大学的一项研究表明，我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵人，其中银行、金融和证券机构是攻击重点。 xx年6月18日，被称为有史以来最严重的信息安全案件在美国爆发，万事达、VISA和美国运通公司的主要服务商的数据处理中心网络被黑客程序侵人，导致4000万个账户信息被黑客截获，使客户资金处于十分危险的状态。 由此可见，基于开放性网络的金融服务对我国金融信息安全工作提出严峻的挑战。四是数据大集中的同时，也使技术风险相对集中。 伴随着数据大集中的实现，风险也相对集中.一旦数据中心发生灾难，将导致金融业的所有分支机构、营业网点和全部的业务处理停顿，或造成客户重要数据的丢失，其后果不堪设想。 近年来，国内外金融机构因为信息技术系统故障导致大面积、较长时问业务中断的事件时有发生。xx年，日本花旗银行出现交易系统故障，5天内约275万笔公用事业缴费遭重复扣划或交易后未作月结记录，造成该行的重大声誉损失。 信息系统潜在的风险已引起金融业的高度重视，如何保障后数据大集中时代金融业信息系统安全稳定运行，是需要整个金融业深入研究的课题。 银行业目前存在的安全隐患 ?信息传递的安全隐患： 网络硬件的安全缺陷：如可靠性差、电磁辐射、电磁泄漏等。 通信链路的安全缺陷：如电磁辐射、电磁泄露、搭线、串音等。 技术被动引起的网络安全缺陷：计算机的核心芯片多依赖于进口。不少关键网 络设备也依赖于进口。 缺乏系统的安全标准引起的安全缺陷：中国虽然已经有了一些网络安全标准， 但还是很不完善。 ?业务系统的安全隐患： 据ICSA统计，计算机系统内部的安全威胁高达60%。 非法用户进入系统及合法用户对系统资源的非法使用。 被非法用户截获敏感数据。 非法用户对业务数据进行恶意的修改或插入。 数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据。 在不可信的计算机基础上建立可信点。 3.安全体系中国人民银行发布金融行业信息系统信息安全等级保护实施指引等三项行业标准 为落实国家对金融行业信息系统信息安全等级保护相关工作要求，加强金融行业信息安全管理和技术风险防范，保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展，中国人民银行组织编制了金融行业信息系统信息安全等级保护系列标准（以下简称“金融行业等保标准”）。金融行业等保标准包含金融行业信息系统信息安全等级保护实施指引（以下简称“实施指引”）、金融行业信息系统信息安全等级保护测评指南（以下简称“测评指南”）、金融行业信息安全等级保护测评服务安全指引（以下简称“安全指引”）三项标准。 实施指引依据国家信息系统安全等级保护基本要求和信息系统等级保护安全设计技术要求标准，结合金融行业特点以及信息系统安全建设需要，对金融行业的信息安全体系架构采用分区分域设计,并从安全技术、安全管理两个方面详细阐述了对不同等级信息系统的具体要求。安全技术从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复几个方面提出要求；安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出要求。 测评指南是对实施指引中的测评要求提出了具体可操作的测评方法。包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 金融行业等保标准为首次发布，将国家等级保护要求行业化、具体化，为金融行业重要网络和信息系统健康、良好发展奠定了基础。(完） 金融行业信息系统信息安全等级保护测评指南JR/T0072-xx bbs.cisa/read-htm-tid-17486.html 金融行业信息系统信息安全等级保护实施指引JR/T0071-xx bbs.cisa/read-htm-tid-15451.html 金融行业信息安全等级保护测评服务安全指引JR/T0073-xx bbs.cisa/read-htm-tid-19169.html 信息传递的安全解决方案： 对于物理层，主要通过制定物理层面的管理规范和措施来提供安全解决方案 对于网络接口层，主要通过线路加密机对数据加密保护。它对所有用户数一起加密，加密后的数据通过通信线路送到另一节点后解密。 对于网际层，主要通过IP密码机来保证网络层数据传输的安全性。 对于传输层，主要通过SSL协议和VPN技术来保证传输层安全。 对于应用层，可以采用节点式密码机来保证应用数据的保密性。 4.算法 目前采用国际算法：DES、IDEA、RSA、MD5、SHA-1 准备迁移的国家商用密码：SM1（芯片实现）、SM2、SM3、SM4 (二)运作思路 1.终极目标 安全芯片供应商 2.途径 从金融业国密迁移咨询入手，介入银行信息系统安全建设； 以与相关部门联合，成为联合体的方式，在人行挂号，在业内树立权威； 二、民生项目方案细化 金融行业轻松建立整体信息安全体系 xx-09-0311:08出处：安全在线作者：佚名【我要评论4】导读伴随着金融服务多样化和金融业务规模不断扩大，尤其是金融行业网络结构和网络应用日趋复杂，其中所蕴含的信息安全风险也日益暴露出来。 金融行业信息安全面临极大风险 伴随着金融服务多样化和金融业务规模不断扩大，尤其是金融行业网络结构和网络应用日趋复杂，其中所蕴含的信息安全风险也日益暴露出来。包括边界安全风险、内网安全风险、应用安全风险和管理安全风险在内的四类信息安全风险严重威胁着金融行业的网络系统架构。其中，由于金融类企业网络结构复杂且多样化，导致在广域网、互联网、企业网内部、第三方接入网边界所受到的黑客攻击、信息传输、病毒入侵、垃圾邮件、越权访问等边界安全风险不可避免。 同时，由于金融类企业具有数据量庞大，业务种类繁杂，通过非法手段可轻易获得高额利益等特点，随着主机系统漏洞、服务配置不当、桌面系统漏洞、内部用户错误操作、合法用户恶意破坏而发生的内网安全风险亦时时威胁着金融类企业网络体系。此外，面对Web服务器安全、文件服务器安全、业务系统安全等应用安全风险也时时考验着金融类企业网络安全防范措施的功效。 金融行业网络系统的诸多安全风险中，病毒的威胁占据举足轻重的地位。经过对金融业业务现状和网络架构体系等页面的综合分析，瑞星公司认为：金融行业的生产网、办公网下级级联对网关病毒防护和网络监控部署不完善，现有防病毒体系过于老旧，无法满足现代病 毒防护要求，缺乏整体的桌面、主机安全策略，不能完全解决当下的病毒问题。网络安全的压力还于不完善的账号管理、认证和授权以及审计等方面，金融业不断多样化的业务需求与信息安全之间的矛盾也在日渐深化。 以整体安全为目标的瑞星解决方案 针对金融行业的三级式网络结构，服务器端与客户端受病毒、木马、蠕虫攻击的特点，以及第三方网络接入口处易产生威胁等网络安全风险，瑞星公司制定了一系列的解决方案。通过瑞星防毒墙、瑞星杀毒软件网络版以及瑞星网络安全预警系统的立体配合为金融机构建立坚实的信息安全保护机制。 首先，瑞星将会在金融行业的总部、省分行、市支行三层网关以及与第三方网络接入口处分别部署瑞星防毒墙，对外部的网络病毒和攻击进行防范。瑞星防毒墙在使用中无需在客户端和服务器上进行设置，而是作为独立于操作系统之外的硬件防毒网关，在企业网络的入口处提供“即插即用”式的保护，将绝大多数病毒悄然挡在企业局域网外面。瑞星防毒墙以瑞星公司先进的第八代虚拟机脱壳引擎和70万的庞大病毒库为基础，能够快速有效地阻断多种网络蠕虫病毒的渗透，维护带宽的正常使用，针对感染病毒的文件进行修复，并删除或隔离无法修复的部分。通过病毒响应机制达到迅速抑制病毒在企业网络中的传播，并通过日志管理功能记录进出网络的数据包，为网络安全问题的查询提供依据。 其次，在金融行业机构全网内部署瑞星杀毒软件网络版，全面监控内部网络的信息安全情况，以求消除网络内及客户端存在的病毒，确保客户端防毒系统的运行及升级正常，并且能够向网络管理员提供指导性的操作建议，帮助他们及时掌握网络中的总体安全情况并针对金融行业特点对防毒策略进行调整。同时，金融类企业的客户段具有分布面积广，端点数量多的特点，瑞星杀毒软件网络版可以帮助网络管理员对这些客户端的查杀病毒、实时监控、主动防御、自我保护、扫描漏洞、安装补丁、即时升级和发送消息等方面进行远程控制。瑞星网络版杀毒软件还具备分组管理的功能，让管理员可以在控制台上按照需要，进行有针对性的特别管理、查杀病毒、设置统一防毒策略、锁定关键选项以防止客户端的修改。由于金融类企业具有严格的层级结构，瑞星所具备的智能升级策略通过下属层从上一层进行升级、分开升级周期、时间，并且允许用户根据自身业务要求调整升级时间，在保证及时升级的同时，能够减少对正常的金融业务通讯造成的影响。 瑞星网络版杀毒软件在金融行业三层的每层核心交换机处架设瑞星网络安全预警系统，借助该系统的快速上报和响应能力、先进的信息交流、指挥功能以及强大的预案和数据库来处理突发事件。根据过往相关项目试验经验所提炼出的整套突发安全事件应急预警与指挥系统解决方案能够帮助金融机构改善安全效果。 瑞星网络版杀毒软件为金融行业信息安全制定的整体解决方案建立于对金融行业信息安全风险深入分析和理解的基础之上，其充分模块化的安全组合、多重防护的安全体系、软硬件间的相互联动以及集中统一的管理与监控，都将极大的提升金融行业企业内部网络的安全系数。 原文出自【比特网】，转载请保留原文链接：sec.chinabyte./52/11519052.shtml 丰县鑫源生物质环保热电有限公司 信息系统风险安全及保密管理制度 为了加强公司电脑信息系统风险安全管理，促进公司电脑的应用与发展，维护公司经济利益和发展需要，保障生产的顺利进行，根据国家有关法律、法规，结合本公司的实际情况，特制订本制度。 第一条：电脑信息系统，是指电脑网络主、辅节点设备、配套的网络线缆设施及网络服务器、工作站、移动存贮设备以及打印机、扫描仪等外部设备所构成的硬件、软件以及各种与工作相关的电子文档的集成系统。 第二条：管理职责 1、人力资源与行政部职责，负责对电脑信息系统风险安全及保密工作进行检查、监督、考核和奖惩。 2、公司各部门职责，负责配合贯彻和执行信息系统风险安全及保密管理办法的相关规定。 3、人力资源与行政部信息管理员的职责，负责贯彻和执行控股公司制定的信息系统风险安全及保密管理标准，并对项目公司内部的信息系统风险安全及保密管理工作进行检查、监督。 第三条：电脑信息系统的规划、建设、运行和系统设备的管理维护工作由信息管理专业部门负责，任何部门和个人，未经同意，不得擅自安装、拆卸或改变电脑信息系统硬件设备及相关软件。 第四条：所有员工必须遵守国家有关法律、法规，严格执行国家颁布的电脑风险安全条例和企业发布的信息风险安全及保密管理标准。任何个人不得利用电脑网络从事危害企业风险安全、泄露企业机密的行为；不得查阅、复制和传播有碍社会治安和伤风败俗的信息。 第五条：所有员工必须按照企业规定的使用权限使用电脑及网络资源，不得从事违反法律、法规和企业规定不得从事的行为，不得以个人身份发布企业的内部工作信息和企业需要保密的信息；不得在没有风险安全保护的措施下传播、共享企业需要保密的信息；不得未经授权侵入电脑网络中心系统和他人电脑系统，盗取他人文件；不得试图解密网络及他人电脑内的重要加密文件。 第六条：所有员工在上岗前应进行风险安全及保密培训，定期进行信息保密 教育和检查。任何公司、部门和个人一旦发现电脑信息系统内容泄密后，应立即通报本单位内信息管理人员和上级主管领导，抄报控股公司信息中心备案，并及时采取补救措施。 第七条：公司信息管理中心负责信息系统整体风险安全及保密体系建设，所有员工在使用信息系统时，要加强信息风险安全防范意识。所有员工有责任积极配合各公司信息管理员通过各种技术和非技术手段，增强系统的风险安全性。信息管理员有权依照国家法律和公司规定，对员工使用网络和国际互联网的情况进行监控检查。 第八条：未经公司批准，严禁将外来电脑接入公司内部的电脑网络。如确因工作需要，需要将外来电脑接入内网的，需经相应的信息管理部门专职主管人员书面批准，接入指定的网络端口，并予以监控。 第九条：电脑及相关设备维护、维修及使用的风险安全及保密管理 1、电脑及相关设备的风险安全责任人指定为设备使用者，特殊情况下(如部门公用设备)必须由使用部门主管领导指定风险安全责任人。如没有明确指定风险安全责任人的，默认为该部门主要负责人。 2、电脑及相关设备如需要送到公司外单位进行维修时，如设备内存有重要文件和数据，设备使用人应明确提出，请求信息系统专职管理人员采取必要的风险安全措施保护重要数据，然后允许送外部单位维修。 3、员工工作使用电脑（台式机和笔记本电脑）应遵守以下规定： 未经部门主要负责人以上人员批准，员工的工作使用电脑严禁带离企业办公场所。 公司由信息管理员统一进行内部网络配置服务，员工不得自主配置自己的办公用机。 员工工作使用电脑必须以使用者姓名的汉语拼音全拼来命名电脑名称。如遇到姓名相同者，则以该用户的公司邮件帐号来命名电脑名称或由信息管理员指定。 员工工作使用电脑（台式机和笔记本电脑）应统一安装指定的操作系统，严禁安装其它操作系统。如因工作原因需要安装其它操作系统的人员，需提交申请，得到公司的信息管理员核准后，方可安装。 员工禁止擅自修改工作使用电脑（台式机和笔记本电脑）的系统配置。如系统已不能正常进行业务操作，须通知信息管理员，由其负责进行修改维护。 员工工作使用电脑（台式机和笔记本电脑）应由公司内信息管理员统一安装与其本职工作相关的办公软件和业务软件。如因工作需要，需申请安装指定软件时，先由使用者提出申请，报公司总经理批准后，由信息管理员进行安装，所有员工严禁在工作使用电脑（台式机和笔记本电脑）上私自安装与本职工作无关的任何软件，严禁安装任何游戏软件。 所有员工严禁在工作使用电脑（台式机和笔记本电脑）上启用DHCP、WINS、DNS、WINGATE、FTP、BBS及其他网络服务。 严禁员工利用工作使用电脑（台式机和笔记本电脑），借助任何手段对公司内的电脑信息系统进行扫描或攻击。 员工工作使用电脑应按照及公司内部规定，及时安装操作系统及主要软件的各种更新风险安全补丁程序。 各管理人员在暂离工作岗位时，要将电脑设置在系统锁定状态。外出时，应将电脑关机后离开。同时，各管理人员对工作使用电脑应设置登录密码，并周期性地更换密码以防非法侵入。 任何员工未经同意，不得擅自使用他人的电脑；便携式电脑应禁止借给与工作无关的人员使用，以防病毒的传入和信息泄密。 公司内信息管理员有权对员工工作使用电脑（台式机和笔记本电脑）的配置及信息技术资源使用情况进行监控检查，对于违反本条至项规定的，一经发现将给予相应警告，并及时上报公司。 4、移动存贮设备风险安全及保密管理规定 未经部门主要负责人以上人员批准，员工工作用的优盘、活动硬盘等移动存贮设备严禁带离单位办公场所，同时严禁将外部移动存贮设备带入单位办公场所。 2、移动设备的风险安全责任人应特别注意移动存贮上信息的风险安全性，应对移动存贮上的文件和数据进行加密等必要的风险安全措施，并进行定期和清除。 第十条：电脑软件维护及使用风险安全及保密管理 1、凡需要安装电脑应用软件的员工，以满足实际工作需要为原则。软件的使用各部门和使用人需要严格按照软件的使用说明正确使用软件。 2、公司购买的软件产品及配套资料手册应由人力资源与行政部统一建档、管理和保存。如员工需要使用指定软件时，由信息管理员统一进行安装和升级维护。严禁员工未经批准，擅自安装任何软件产品。 3、员工利用电脑软件进行工作时不得违反国家的法律法规以及保利协鑫制定的各项管理规章制度。员工应确保软件中有关重要数据的风险安全和保密性。擅自修改、破坏数据信息，将企业保密数据向公司外其他人员透露的，将依据相关规定，追究其有关责任。 第十一条：工作电子文档的风险安全及保密管理 1、工作电子文档是指存贮在公司各电脑信息系统中的各种工作文件和数据。员工应严格遵守单位保密制度，对电子文档在存贮、处理、传输等过程中的风险安全性、保密性负责，防止信息泄露。 2、员工应遵守公司内部有关工作电子文件备份的管理规定，将工作使用电脑上的重要工作文件和数据在公司指定的服务器上进行定期备份。同时，员工有义务定期在文件备份服务器上查看个人阶段性的重要工作文件是否备份完整。 3、各部门经理有责任监督本部门内员工备份工作的执行效果，并对文件备份范围的完整性负责。 4、严禁员工对电脑信息系统上的电子文档进行未经授权的访问、复制、解密等行为。 5、未经许可，严禁将公司内与工作有关的电子文档复制到外部电脑设备、移动存贮设备或光盘上。 6、未经许可，严禁将电子文档通过内部网络、互联网（如mail、ftp、BBS、IM等）进行传播并泄露给公司外其他人员。 第十二条：电脑信息系统病毒防护管理 1、任何员工在未经批准的情况下，不得擅自将企业外的电子文档拷入公司内部网络的任意电脑内，以防止病毒传播。经远程通讯传送的程序或数据，或从互联网下载的文件和数据，必须经过风险安全检测确认无病毒后方可使用。 2、禁止员工利用单位网络或本地驱动器安装和执行不明的程序。 3、员工在使用软盘、USB盘、光盘和移动硬盘等各类移动存储介质拷贝文件时，必须事先使用杀毒软件检测，确保无病毒后再操作。 4、所有员工应按要求，周期性地使用由公司信息管理员统一安装的由公安部颁布批准的电脑杀毒软件进行电脑病毒检测和清理工作，发现病毒应立即处理并报告信息管理员备案。 第十三条：信息系统用户帐号和密码管理 1、电脑信息系统的个人用户帐号、权限与密码是公司员工在公司信息系统中执行业务的唯一、合法的身份标识。所有员工应对公司信息系统的个人帐号密码的风险安全性、保密性负责，对所拥有的权限下的业务数据操作结果负责。禁止盗用、转让、借用他人的信息系统帐号和密码。 2、个人帐号及密码风险安全设置规则 员工在首次登录信息系统后，应立即修改个人帐户密码。 密码长度的设定要求具有一定的复杂程度，建议设定为英文字母和阿拉伯数字的组合形式。 员工登录信息系统的个人密码需定期更换，以防密码外泄。 用户在个人电脑间进行文件共享时，必须设置访问人登录密码并指定有限的访问用户范围。对于不再需要共享的文件应及时取消共享状态。 3、员工信息系统权限、密码的重新申请、更改、注销规则 员工如怀疑其对应的信息系统的个人帐号、密码被他人窃取时，应立即向信息管理员申请重新设置登录密码。 员工如遇内部岗位调动，涉及到相应的信息系统操作权限变动时，需要立即向相应的信息管理员通报，并申请对操作权限进行重新设定。 员工因离开本公司或者离岗不再需要信息系统帐号时，应在办理人事离岗/离职手续时，同时办理信息系统对应帐户和密码的注销手续。 公司人力资源与行政部将定期对公司的信息系统用户风险安全性设置进行抽查。对出现恶意操作及非法、可疑的系统帐户，将由信息管理员进行权限和操作监测。经监测发现的违规者，事实属实，公司将视情节严重，予以通报、帐号冻结、帐号注销等处罚，对于给公司造成损失的将追究其有关责任，对于违犯刑法构成犯罪的公司将移交司法机关依法查处。 附件 四川省银行业金融机构信息安全管理指引（试行） 第一章总则 第一条为切实加强四川省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。 第二条本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条四川省内人民银行分支机构按属地管理原则对辖内银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处臵和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是： （一）加强组织领导，健全信息安全管理体制,建立跨部门、3 跨行业协调机制； （二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能； （三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设； （四）进一步加强信息安全制度和标准规范体系建设； （五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设； （六）加强安全运行监控体系建设； （七）大力开展信息安全风险评估，实施等级保护； （八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制； （九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。 第六条本指引适用于在四川省内设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及内部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。 4 第八条各银行机构应设立或指定专门负责信息安全工作的部门，配备专门负责信息安全工作的人员，实行A、B岗制度。 第九条各银行机构应建立和完善统一的信息安全协调机制。应建立内外部协调机制，加强信息安全的交流、沟通和协作，充分发挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。 第十条各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略。 第十一条各银行机构应建立完善的信息安全制度管理体系。第十二条各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后，应报当地人民银行备案。 第三章人员管理 第十三条各银行机构的工作人员应根据不同的岗位或工作范围，履行相应的信息安全管理职责。 第十四条各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和有关规定受到过处罚或处分的人员，不得从事此项工作。 第十五条各银行机构应加大人才培养力度，每年至少对信