中国银行关于发送《中国银行计算机
信息安全策略纲要(试行)》的通知
（中银科[2002]38号　2002年11月29日）

各省、自治区、直辖市分行，深圳市分行，各信息中心：
　　根据人民银行要求及我行工作计划，总行制定了《中国银行计算机信息安全策略纲要(试行)》(简称《纲要》)。现将该《纲要》下发各分行及信息中心，希望各单位认真组织学习、落实《纲要》相关内容，并向总行及时反馈对《纲要》的建议和意见。
　　特此通知。

　　附：

中国银行计算机信息安全策略纲要(试行)

　　1．前言
　　随着信息技术的不断发展，金融信息安全与我国经济建设、社会安定和国家安全紧密相连。中国银行各项业务已经由传统手工处理转向高科技信息系统处理模式，信息技术已成为银行赖以发展的基础。中国银行信息系统是技术密集、资金密集、大型复杂的网络化的人机系统，其安全问题日益突出。
　　金融信息安全的风险来于管理层、技术层和操作层。银行信息系统所面临的主要威胁是：
　　（1）人为的失误：计算机技术人员及业务人员在信息系统的设计、开发、安装、使用过程中，都有机会产生人为的错误或失误。
　　（2）欺诈行为：来自于银行内部员工或银行外部人员，欺骗性地修改或产生信息系统的数据，盗窃银行资金，进行金融犯罪。
　　（3）内部人员破坏行为：由于对工作不满或其他原因，有意在程序中设置“后门”或程序炸弹，并对设备、数据、系统进行故意破坏的行为。
　　（4）物理资源服务丧失：设备故障或物理环境发生意外灾难（电源断电、通讯中断、水灾、火灾、地震等）而产生系统宕机事件。
　　（5）黑客攻击：黑客通过非法手段访问或破坏银行信息系统。
　　（6）商业信息泄密：部分员工利用权限之便而造成信息系统数据的外泄。
　　（7）病毒（恶意程序）侵袭：指编制或者在计算机程序中插入破坏计算机功能或者毁坏系统数据的计算机指令或者程序代码。
　　（8）程序系统自身的缺陷：程序设计开发时，对系统的安全性考虑不足，留下安全隐患，这是一种来自系统自身的威胁。
　　随着全行信息大中心的相继建成，数据形成了高度集中，风险也随之高度集中，因此信息安全问题所形成的现代金融风险，使传统的金融风险内涵发生了根本性变化。中国银行信息系统的安全不但涉及国家和金融业的利益，而且还涉及到广大客户的利益，任何不安全因素都可能造成信息的丢失、资金财产的损失和金融市场的混乱，甚至影响到社会的稳定。由于信息系统存在着自然或人为等诸多因素的脆弱性和潜在风险，中国银行在信息化建设过程中应建立明确的安全策略，加强信息化管理和技术防范措施，确保信息系统的安全稳定。中国银行的信息安全化建设是保障自身业务稳定发展、稳定金融市场、增强竞争力和生存力的基础，信息安全强调社会责任、强调合法、合规经营，并对中国银行稳健发展具有战略意义。
　　2．安全策略