银监会网络安全制度

银监会网络安全制度一、总则

第一条为规范银行业金融机构网络安全管理，保障银行业务稳定运行和客户信息安全，维护金融秩序和社会稳定，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及相关法律法规，制定本制度。

第二条本制度适用于在中华人民共和国境内设立的银行业金融机构，包括商业银行、农村信用合作社、村镇银行等金融机构及其分支机构。

第三条银行业金融机构应当建立健全网络安全管理体系，遵循“安全可控、保障合规、分级管理、持续改进”的原则，确保网络安全工作与业务发展相适应。

第四条银行业金融机构应当设立网络安全管理机构或指定专人负责网络安全工作，明确网络安全管理职责，并建立跨部门协作机制。

第五条银行业金融机构应当定期开展网络安全风险评估，识别、评估和处置网络安全风险，确保网络安全防护措施符合行业标准和监管要求。

第六条银行业金融机构应当加强网络安全技术防护，采用先进的安全技术和设备，构建多层次、立体化的网络安全防护体系。

第七条银行业金融机构应当加强网络安全监测和应急响应能力，建立网络安全事件应急预案，定期开展应急演练，确保在发生网络安全事件时能够及时有效处置。

第八条银行业金融机构应当加强网络安全宣传教育，提高员工网络安全意识和技能，定期开展网络安全培训，确保员工了解并遵守网络安全管理制度。

第九条银行业金融机构应当建立网络安全合规管理体系，确保网络安全工作符合国家法律法规和监管要求，定期开展合规检查，及时发现和纠正不合规行为。

第十条银行业金融机构应当加强网络安全数据管理，确保网络安全数据的真实性、完整性和安全性，防止网络安全数据泄露、篡改或丢失。

第十一条银行业金融机构应当与监管部门、行业组织及其他相关机构保持沟通，及时获取网络安全信息和最佳实践，不断完善网络安全管理体系。

第十二条银行业金融机构应当建立网络安全问责机制，对违反网络安全管理制度的行为进行严肃处理，确保网络安全责任落实到位。

第十三条本制度由银行业金融机构根据实际情况制定实施细则，并报监管部门备案。

二、组织架构与职责分工

第一条银行业金融机构应当设立网络安全委员会，作为机构网络安全工作的最高决策机构，负责审定网络安全战略、政策、规划和重大事项。网络安全委员会应当由机构高级管理层成员组成，并定期召开会议，研究网络安全重大问题。

第二条网络安全委员会下设办公室，作为日常管理机构，负责统筹协调机构网络安全工作，组织落实网络安全委员会的决议，并向网络安全委员会报告工作。网络安全委员会办公室应当配备专职工作人员，并设立在信息技术部门或独立设置。

第三条信息技术部门负责机构网络安全技术的具体实施和管理，包括网络安全基础设施建设、安全设备运维、安全技术防护、安全监测预警、应急响应等技术工作。信息技术部门应当建立专业的网络安全技术团队，并配备必要的技术人员。

第四条风险管理部门负责将网络安全风险纳入机构全面风险管理体系，进行风险评估、监测和控制，并定期向网络安全委员会报告网络安全风险状况。风险管理部门应当与信息技术部门保持密切沟通，协同开展网络安全风险评估工作。

第五条合规部门负责监督机构网络安全工作是否符合国家法律法规和监管要求，定期开展合规检查，及时发现和纠正不合规行为，并向网络安全委员会报告合规检查结果。合规部门应当与信息技术部门保持密切沟通，及时了解网络安全工作情况。

第六条内审部门负责对机构网络安全工作进行独立审计，评估网络安全管理体系的健全性和有效性，并向董事会或监事会报告审计结果。内审部门应当具备专业的审计能力和资质，并独立于信息技术部门。

第七条业务部门负责本部门业务相关的网络安全工作，包括业务系统安全、数据安全、人员安全等方面，并配合信息技术部门开展网络安全相关工作。业务部门应当指定专人负责本部门网络安全工作，并定期开展网络安全培训。

第八条人力资源部门负责网络安全相关人员的招聘、培训、考核和激励工作，确保网络安全人员具备必要的专业技能和素质。人力资源部门应当与信息技术部门保持密切沟通，协同开展网络安全人员的招聘和培训工作。

第九条财务部门负责网络安全相关费用的预算、核算和支付工作，保障网络安全工作的资金需求。财务部门应当与信息技术部门保持密切沟通，及时了解网络安全工作的资金需求。

第十条银行业金融机构应当建立网络安全责任清单，明确各部门、各岗位的网络安全职责，并定期进行责任考核。网络安全责任清单应当作为员工入职培训的重要内容，并定期进行更新。

第十一条银行业金融机构应当建立网络安全事件报告制度，明确网络安全事件的报告流程、报告内容和报告时限，并确保网络安全事件能够及时报告给监管部门。

第十二条银行业金融机构应当建立网络安全奖惩制度，对在网络安全工作中表现突出的部门和个人给予奖励，对在网络安全工作中存在失职行为的部门和个人进行处罚。网络安全奖惩制度应当与绩效考核体系相结合，并定期进行更新。

第十三条银行业金融机构应当建立网络安全合作机制，与监管部门、行业组织及其他相关机构建立合作关系，共同开展网络安全相关工作。网络安全合作机制应当包括信息共享、联合演练、技术交流等方面。

第十四条银行业金融机构应当建立网络安全持续改进机制，定期对网络安全管理体系进行评估和改进，确保网络安全管理体系能够适应不断变化的网络安全环境。网络安全持续改进机制应当包括定期评估、持续改进、绩效考核等方面。

三、网络安全风险评估与管理

第一条银行业金融机构应当定期开展网络安全风险评估，全面识别、分析和评估机构面临的网络安全风险。风险评估应当覆盖机构的信息系统、数据资产、业务流程、人员管理等方面，并采用定性与定量相结合的方法进行。

第二条风险评估应当基于机构实际情况，充分考虑行业特点、业务特点、技术特点等因素，并采用科学的风险评估模型和工具。风险评估结果应当形成书面文档，并作为机构网络安全管理的重要依据。

第三条银行业金融机构应当根据风险评估结果，制定风险处置方案，明确风险处置的目标、措施、责任人和时间表。风险处置方案应当针对不同的风险等级采取不同的处置措施，并确保风险处置措施的有效性和可行性。

第四条银行业金融机构应当建立风险监测机制，对机构网络安全风险进行持续监测，及时发现新的风险和风险变化。风险监测应当采用自动化监测工具和人工监测相结合的方式，并确保风险监测的及时性和准确性。

第五条银行业金融机构应当建立风险控制机制，对机构网络安全风险进行有效控制，防止风险发生或降低风险影响。风险控制措施应当包括技术控制、管理控制、物理控制等多种形式，并确保风险控制措施的有效性和可持续性。

第六条银行业金融机构应当建立风险报告机制，定期向监管部门报告机构网络安全风险评估结果和风险处置情况。风险报告应当包括风险评估结果、风险处置方案、风险处置情况等方面，并确保风险报告的真实性和完整性。

第七条银行业金融机构应当建立风险应急机制，对突发事件引起的网络安全风险进行应急处置，防止风险扩大和蔓延。风险应急机制应当包括应急预案、应急资源、应急演练等方面，并确保风险应急机制的有效性和可持续性。

第八条银行业金融机构应当建立风险持续改进机制，定期对风险评估和管理体系进行评估和改进，确保风险评估和管理体系能够适应不断变化的网络安全环境。风险持续改进机制应当包括定期评估、持续改进、绩效考核等方面。

第九条银行业金融机构应当加强对第三方合作方的网络安全风险管理，对第三方合作方的网络安全能力进行评估和监督，确保第三方合作方能够满足机构网络安全要求。

第十条银行业金融机构应当建立网络安全风险责任追究制度，对违反网络安全管理制度、导致网络安全风险发生的部门和个人进行责任追究，确保网络安全责任落实到位。

第十一条银行业金融机构应当加强网络安全风险宣传教育，提高员工风险意识和技能，定期开展风险培训，确保员工了解并遵守风险管理制度。

第十二条银行业金融机构应当建立网络安全风险数据库，记录机构网络安全风险评估结果和风险处置情况，并定期进行更新和维护，确保网络安全风险数据库的真实性和完整性。

四、网络安全技术防护措施

第一条银行业金融机构应当构建纵深防御的网络安全防护体系，采用分层、分级、分类的安全防护策略，覆盖网络边界、主机系统、应用系统、数据等多个层面，确保不同安全层级之间相互补充、协同联动。防护体系应当结合机构业务特点和技术环境，合理规划安全防护资源，实现安全防护效益最大化。

第二条银行业金融机构应当加强网络边界安全防护，在网络出口部署防火墙、入侵检测系统、入侵防御系统等安全设备，对进出网络的数据流量进行安全检查和过滤，防止恶意攻击和非法访问。同时，应当定期对安全设备进行策略优化和性能调优，确保安全设备能够有效识别和阻断网络攻击。

第三条银行业金融机构应当加强主机系统安全防护，对服务器、操作系统、数据库等主机系统进行安全加固，关闭不必要的端口和服务，安装安全补丁，部署防病毒软件，定期进行漏洞扫描和安全评估，及时发现和修复安全漏洞。同时，应当建立主机系统日志审计机制，对主机系统操作行为进行记录和监控，及时发现异常行为。

第四条银行业金融机构应当加强应用系统安全防护，对应用系统进行安全设计、安全开发和安全测试，确保应用系统自身具备足够的安全防护能力。同时，应当部署应用防火墙、Web应用防火墙等安全设备，对应用系统进行安全防护，防止应用系统遭受SQL注入、跨站脚本攻击等常见攻击。

第五条银行业金融机构应当加强数据安全防护，对重要数据进行分类分级管理，根据数据的重要性和敏感程度采取不同的安全防护措施。同时，应当对重要数据进行加密存储和传输，防止数据泄露和篡改。此外，应当建立数据备份和恢复机制，确保在发生数据丢失或损坏时能够及时恢复数据。

第六条银行业金融机构应当加强密码安全管理，采用强密码策略，要求用户设置复杂密码，并定期更换密码。同时，应当对密码进行加密存储和传输，防止密码泄露。此外，应当采用多因素认证等技术手段，提高账户安全性。

第七条银行业金融机构应当加强安全审计管理，对网络安全设备和系统进行安全审计，记录安全事件和安全操作，并对安全事件进行分析和处置。同时，应当建立安全审计报告制度，定期向监管部门报告安全审计结果。

第八条银行业金融机构应当加强安全监控管理，对网络安全设备和系统进行实时监控，及时发现安全事件和安全风险。同时，应当建立安全监控告警机制，对安全事件进行告警，并采取相应的处置措施。

第九条银行业金融机构应当加强安全应急响应能力，建立网络安全事件应急响应小组，制定网络安全事件应急预案，定期进行应急演练，提高应急响应能力。同时，应当与外部安全机构建立合作关系，及时获取安全支持和技术援助。

第十条银行业金融机构应当加强安全漏洞管理，建立漏洞管理流程，及时发现、评估、修复和验证安全漏洞。同时，应当与安全厂商保持密切沟通，及时获取安全漏洞信息和安全补丁。

第十一条银行业金融机构应当加强安全配置管理，对网络安全设备和系统进行安全配置，确保安全配置符合行业标准和最佳实践。同时，应当定期对安全配置进行审核和检查，确保安全配置的有效性。

第十二条银行业金融机构应当加强安全意识教育，定期对员工进行安全意识教育，提高员工的安全意识和安全技能。同时，应当将安全意识教育纳入员工绩效考核体系，确保安全意识教育取得实效。

第十三条银行业金融机构应当加强安全技术研究，跟踪网络安全技术发展趋势，积极开展网络安全技术研究，提高机构网络安全防护能力。同时，应当与高校、科研机构等合作，开展网络安全联合研究，共同推动网络安全技术发展。

第十四条银行业金融机构应当加强安全产品管理，对安全产品进行选型、采购、部署和管理，确保安全产品能够有效满足机构网络安全需求。同时，应当建立安全产品评估机制，定期对安全产品进行评估，确保安全产品的有效性和可靠性。

五、网络安全监测与应急响应

第一条银行业金融机构应当建立健全网络安全监测体系，对机构网络环境、信息系统、业务运行等实施7x24小时不间断监测，及时发现网络安全风险和事件。监测体系应当覆盖网络边界、主机系统、应用系统、数据传输等各个环节，并采用自动化监测与人工监测相结合的方式，确保监测的全面性和有效性。监测数据应当实时收集、存储和分析，并能够支持快速的风险识别和事件溯源。

第二条银行业金融机构应当部署网络安全监测平台，对网络流量、系统日志、安全设备日志等安全相关数据进行集中收集、分析和展示，并提供实时告警功能。监测平台应当具备强大的数据处理能力和分析能力，能够对海量安全数据进行关联分析、异常检测和威胁识别，并能够自动生成告警信息。同时，监测平台应当具备可视化功能，能够将安全态势直观地展示给管理人员，便于快速了解机构网络安全状况。

第三条银行业金融机构应当建立安全事件检测机制，对各类安全事件进行实时检测，包括但不限于恶意攻击、病毒入侵、系统漏洞、数据泄露等。检测机制应当采用多种检测技术，如入侵检测、异常检测、行为分析等，并能够对检测到的安全事件进行自动分类和优先级排序，为后续的应急处置提供依据。

第四条银行业金融机构应当建立安全事件告警机制，对检测到的安全事件进行及时告警，并通知相关人员进行处置。告警机制应当根据事件的严重程度设置不同的告警级别，并采用多种告警方式，如短信、电话、邮件等，确保告警信息能够及时送达相关人员。同时，告警机制应当能够对告警信息进行记录和查询，便于后续的追溯和分析。

第五条银行业金融机构应当制定网络安全事件应急预案，明确不同类型安全事件的处置流程、处置措施、处置人员和处置职责。应急预案应当覆盖常见的网络安全事件，如网络攻击、病毒入侵、数据泄露等，并应当根据实际情况进行定期更新和完善。同时，应急预案应当与机构的业务连续性计划相衔接，确保在发生网络安全事件时能够保障机构的业务连续性。

第六条银行业金融机构应当建立网络安全应急响应团队，负责网络安全事件的应急处置工作。应急响应团队应当由机构内部专业人员组成，并应当具备丰富的网络安全知识和经验。应急响应团队应当定期进行培训和演练，提高应急处置能力。同时，应急响应团队应当与外部安全机构建立合作关系，在发生重大网络安全事件时能够及时获得外部支持。

第七条银行业金融机构应当建立安全事件处置流程，明确安全事件的处置步骤、处置措施和处置时限。安全事件处置流程应当包括事件确认、事件分析、事件处置、事件恢复、事件总结等环节，并应当根据事件的类型和严重程度进行差异化处置。同时，安全事件处置流程应当与应急预案相衔接，确保在发生安全事件时能够按照既定流程进行处置。

第八条银行业金融机构应当建立安全事件恢复机制，对受损的系统、数据和业务进行恢复。恢复机制应当包括数据备份和恢复、系统恢复、业务恢复等环节，并应当确保恢复工作的及时性和有效性。同时，恢复机制应当定期进行测试和演练，确保在发生安全事件时能够及时恢复系统和业务。

第九条银行业金融机构应当建立安全事件总结机制，对处置过的安全事件进行总结和分析，找出事件发生的原因、处置过程中的不足和改进措施。安全事件总结应当形成书面文档，并作为机构网络安全管理的重要参考。同时，安全事件总结应当与机构的网络安全风险评估和风险管理相结合，不断改进机构的网络安全防护能力。

第十条银行业金融机构应当建立安全事件报告制度，对发生的重大网络安全事件及时向监管部门报告。报告内容应当包括事件的基本情况、处置过程、处置结果、经验教训等。同时，银行业金融机构应当积极配合监管部门的调查和处理，提供必要的技术支持和信息。

第十一条银行业金融机构应当加强安全意识培训，提高员工的安全意识和应急处置能力。培训内容应当包括网络安全基础知识、安全事件应急处置流程、安全事件报告流程等。培训方式应当采用多种形式，如课堂培训、在线培训、模拟演练等，确保培训效果。同时，安全意识培训应当定期进行，并作为员工绩效考核的参考。

第十二条银行业金融机构应当加强与外部安全机构的合作，建立安全事件合作机制。合作机制应当包括信息共享、联合演练、技术支援等环节，并能够在外部安全机构获得支持时及时获得帮助。同时，银行业金融机构应当定期与外部安全机构进行交流，了解最新的网络安全威胁和防护技术，不断提高机构的网络安全防护能力。

六、网络安全合规与持续改进

第一条银行业金融机构应当建立健全网络安全合规管理体系，确保网络安全工作符合国家法律法规、监管规定以及行业最佳实践。合规管理体系应当明确合规管理职责、合规管理流程、合规管理标准，并定期进行合规评估和改进。同时，应当建立合规风险管理制度，识别、评估和应对网络安全合规风险，确保机构网络安全工作始终处于合规状态。

第二条银行业金融机构应当定期开展网络安全合规自查，对照国家法律法规、监管规定以及行业最佳实践，对机构网络安全工作进行全面检查，发现不合规问题并及时整改。合规自查应当覆盖网络安全管理的各个方面，包括组织架构、职责分工、风险评估、技术防护、监测应急、人员管理、数据保护等，并形成合规自查报告，向机构管理层和董事会报告。

第三条银行业金融机构应当积极配合监管部门的网络安全检查和审计，提供必要的信息和资料，并按照监管部门的要求进行整改。同时，应当与监管部门保持密切沟通，及时了解监管要求和政策变化，确保机构网络安全工作始终符合监管要求。

第四条银行业金融机构应当建立网络安全绩效考核制度，将网络安全工作纳入机构绩效考核体系，对各部门、各岗位的网络安全工作进行检查和评估，并将评估结果与绩效考核挂钩。绩效考核应当覆盖网络安全工作的各个方面，包括安全目标达成情况、安全责任落实情况、安全事件处置情况等，并定期进行绩效考核，确保网络安全工作得到有效落实。

第五条银行业金融机构应当建立网络安全持续改进机制，定期对网络安全管理体系进行评估和改进，确保网络安全管理体系能够适应不断变化的网络安全环境和业务需求。持续改进机制应当包括定期评估、持续改进、绩效考核等方面，并形成持续改进计划，明确改进目标、改进措施、责任人和时间表。

第六条银行业金融机构应当建立网络安全技术创新机制，鼓励和支持网络安全技术创新，不断引进和应用新的网络安全技术，提高机构网络安全防护能力。技术创新机制应