中国XX银行信息系统安全事件报告管理办法.doc
4页
中国农业银行信息系统安全事件报告管理办法(试行)(农银办发【2007】 1062号)编辑人:高春正 发表时间:2009-12-28第一章 总则第一条 为加强中国农业银行信息系统安全事件管理,规范信息系统 安全事件报告行为,根据《银行计算机安全事件报告制度》、《银行业金 融机构信息系统风险管理指引》、《商业银行操作风险管理指引》制定本 办法第二条 本办法所称的信息系统安全事件,是指因各种原因,致使信息系统发生故障、非法侵入事件、破坏事件第三条 本办法所称的信息系统安全事件报告,是指信息系统安全事件发生时或处置结束后以正式书面形式形成的报告第四条 信息系统安全事件的报告必须遵循“统一领导、归口负责、 分级报告”的原则,做到快速及时、客观真实第五条按规定应报告外部监管部门或对社会公告的信息系统安全事件,须经本级操作风险管理委员会审核后,由宣传部门统一报告或披第六条 总行科技部负责全行信息系统安全事件报告管理工作各级 行科技部门负责本级信息系统安全事件报告、受理下级单位的信息系统安全事件报告,汇总全辖(含本级单位)信息系统安全事件,向操作风险管理委员会汇报并按规定向上级报告第七条 本办法适用于中国农业银行各级机构。
第二章 信息系统安全事件报告规定第八条信息系统故障情况报告规定:(-) 县级支行发生信息系统故障必须逐级报告至一级分行中断营业超过4小时,还须按规定向当地人民银行报告;(二) 二级分行发生信息系统故障必须报告一级分行中断营业超过4 〃、 时,必须逐级报告至总行,并按规定向当地人民银行报告;(三) 一级分行发生信息系统故障必须报告总行中断运行超过0. 5才、时, 属重大的信息系统安全事件,必须先向总行科技部口头紧急报告,并在规 定时间内向总行正式报告;全辖信息系统中断运行超过3小时的,还须按规定向当地银监局报告;全辖信息系统中断运行超过4小时的,还须按规 定向当地人民银行报告;(四) 总行数据中心发生信息系统故障必须报告总行中断运行超过0.5 小时的,属重大的信息系统安全事件,总行数据中心必须立即向总行科技 部和分管行长口头紧急报告,并在规定时间内向总行科技部正式报告;数 据中心信息系统中断运行超过3小时的,还须按规定向银监会报告;数据 中心信息系统中断运行超过4小时的,还须按规定向人民银行报告;(五) 涉及总行其它部门的信息系统中断运行超过3小时必须立即向总 行科技部和分管行长口头紧急报告,并在规定时间内向总行科技部正式报 告。
其它对计算机安全事件报告有特殊规定的应用系统,按照有关管理规 定报告第九条 各种信息系统安全事件的发生,造成直接经济损失超过50万 元的,必须逐级报告至一级分行;造成直接经济损失超过100万元的信息 系统安全事件,必须逐级报告至总行,并按规定向当地人民银行报告第十条信息系统数据发生失窃、泄漏或信息系统和网络遭受黑客入 侵或攻击造成严重危害的事件,必须逐级报告至总行第十一条 所有的信息系统安全事件都必须详细记录,填写《中 国农业银行信息系统安全事件报告表》(见附表1),按照报告规定逐级上 报第十二条 信息系统安全事件报告时限:在信息系统安全事件 发生12小时内向上级管理行报告;重大信息系统安全事件发生时,事件发 生单位应立即向总行(科技部)紧急报告第十三条 各级行科技部门每季度汇总统计上季度全辖(含本级 单位)信息系统安全事件,向操作风险委员会汇报并向上级单位报告(报 告格式见附表2)第十四条(一)式;(二)程;(三)(四)第三章信息系统安全事件的报告内容要求信息系统安全事件报告包括以下内容:信息系统安全事件发生的时间、地点、单位、单位负责人和联系方信息系统安全事件的类别、涉及软硬件系统的情况和事件发生的过 信息系统安全事件造成的后果和影响范围; 信息系统安全事件发生的原因;(五)(六)(七)第十五条(-)(二)(三)(四)(五)(六)(七)(八)(九)(十) 第十六条信息系统安全事件责任人或相关人员;信息系统安全事件发生后采取的应急措施;信息系统安全事件总结,拟采取的预防措施和整改措施。
信息系统安全事件类别包括:信息系统遭遇火灾、水灾、地震、雷击等灾害侵害; 供电系统、通讯线路故障或信息系统设施遭受物理破坏; 信息系统硬件故障、数据处理设备失窃;系统软件、数据库、中间件等故障;应用软件故障;网络通信系统故障;系统感染计算机病毒造成严重后果的;信息系统敏感数据失窃、泄露; 信息系统和网络遭遇入侵或攻击; 其他严重危害信息系统安全的事项信息系统安全事件报告内容应当要素齐全,详细客观第四章信息系统安全事件处理第十七条 信息系统安全事件发生后,必须立即采取有力措施,力争将事件的影响控制在最小范围第十八条 各单位应对信息系统进行定期的安全检查,任何单位或者个人均有权向本行和上级单位报告信息系统存在的安全隐患接到 报告的有关单位或部门应当立即对报告进行初步评估,如有必要应立即组 织对信息系统安全隐患进行处置第十九条 发生信息系统安全事件后,必须立即组织有关部门做好信息系统安全事件的调查,分析原因、总结教训,并根据事件的损失 和后果,追査相关人员责任第二十条 发生信息系统安全事件的单位应当按规定及时如实报告,不得瞒报或者授意他人瞒报第二十一条 任何单位或个人发现有瞒报、缓报.谎报重大信息系 统安全事件情况时,有权直接向上级部门举报。
第五章附则第二十二条 本办法由中国农业银行总行(科技部)制定并负责解释和修订第二十三条 本办法自发布之日起施行。
