中国人民银行关于加强银行数据集中安全工作的指导意见
(银发[2002]260号)
人民银行各分行、营业管理部、省会(首府)城市中心支行,各政策性银行、国有独资商业银行、股份制商业银行:
为加强对银行数据集中工作的指导,防范相关技术风险和管理风险,现就银行实施数据集中的安全工作提出以下意见:
一、数据集中是我国银行信息化发展的重大举措,对于我国银行实现集约化管理,提高银行的市场适应能力,降低银行经营风险具有重要意义,但对计算机信息系统的可靠性和安全性也提出了更高的要求。各银行必须高度重视对数据集中安全工作的领导,建立健全计算机安全管理组织,落实计算机安全责任制。各银行计算机安全管理委员会(领导小组)主任委员(组长)为数据集中安全工作的第一责任人。
二、加强制度建设,建立与数据集中模式相适应的各项管理制度和内控机制。没有配套管理制度的数据中心和内控机制不完善的业务系统不能投入生产运行。
三、加强数据中心管理人员和技术人员的安全培训,提高全员的安全防范意识。要建立系统管理员、网络管理员、软件开发人员和安全管理人员持证上岗制度;要定期对业务操作人员进行业务操作考核。
四、各银行应高度重视数据集中总体技术设计的合理性和安全性。数据集中体系结构的合理性直接关系到银行信息系统的整体安全,体系结构的选择要有利于降低技术风险和管理风险。总体技术方案必须经过充分的论证。各银行在实施数据集中前要将总体技术方案和论证意见报中国人民银行备案。
五、做好适应数据集中模式的网络建设与改造工作,提高通信网络可用性。网络可靠率(指年无故障运行时间与总运行时间比值)要不低于99.995%,连续故障时间小于2小时。要提高网络的抗攻击能力,严格控制银行网络与国际互联网的连接出口数量,对外联出口要实施严格的安全监控。要充分考虑银行间以及银行与清算(结算)机构间的互连、互通和安全要求,加强银行间数据交换的安全控制,保障银行与非银行组织之间的数据交换安全。
六、数据中心是集中模式下银行信息系统技术风险和管理风险最集中的部位。要加强数据中心建设,完善运行安全管理,保障数据中心和业务数据的安全。数据中心建设要遵循国家有关机房建设和管理的规定,达到国家有关防震、防磁、防洪、防火、防雷、防辐射的安全标准;要落实分区制度,运行、开发、维护、培训、生活和业务操作区域要严格分离。数据中心要建立除本银行和监管银行以外的第二方访问的安全控制制度;要认真落实双路供电要求,不间断电源要能保障4小时供电,要保障备份发电机的有效性。空调、消防系统既要满足运行要求,也要充分考虑工作人员健康和安全撤离的需要;监控和报警系统要达到公安部有关标准。要保障数据处理中心周边环境安全,远离加油站、化工厂等各类危险建筑和重要军事目标。要做好数据中心的主机系统、操作系统、数据库系统的安全设计,充分考虑系统备份或系统冗余。主机系统和数据库系统的操作日志至少保留6个月,账务更改记录应保存3年。
