中國人民銀行關(guān)于印發(fā)《中國人民銀行計(jì)算機(jī)系統(tǒng)信息安全報(bào)告制度》的通知
（2010年12月28日 銀發(fā)[2010]366號）
人民銀行上海總部，各分行、營業(yè)管理部，各省會(huì)(首府)城市中心支行，各副省級城市中心支行，各直屬企事業(yè)單位：
為進(jìn)一步做好人民銀行計(jì)算機(jī)系統(tǒng)信息安全風(fēng)險(xiǎn)防范和事件處置工作，總行制定了《中國人民銀行計(jì)算機(jī)系統(tǒng)信息安全報(bào)告制度》，現(xiàn)印發(fā)給你們，請遵照執(zhí)行。
附件：中國人民銀行計(jì)算機(jī)系統(tǒng)信息安全報(bào)告制度
附件
中國人民銀行計(jì)算機(jī)系統(tǒng)信息安全報(bào)告制度
一、總則
第一條 根據(jù)《中國人民銀行計(jì)算機(jī)系統(tǒng)信息安全管理規(guī)定》(銀發(fā)[2010]276號印發(fā))，為加強(qiáng)人民銀行計(jì)算機(jī)系統(tǒng)信息安全(以下簡稱信息安全)管理，規(guī)范計(jì)算機(jī)系統(tǒng)信息安全報(bào)告流程，提高信息安全事件和風(fēng)險(xiǎn)處置效率，制定本制度。
第二條 本制度適用于人民銀行總行、上海總部、各分支機(jī)構(gòu)行、各直屬企事業(yè)單位及其他相關(guān)單位。
第三條 本制度報(bào)告范疇界定為網(wǎng)絡(luò)與信息系統(tǒng)計(jì)算機(jī)系統(tǒng)的信息安全，報(bào)告事項(xiàng)包括信息安全事件和信息安全風(fēng)險(xiǎn)兩類。
第四條 本制度所稱信息安全事件，是指由于人為、自然因素或計(jì)算機(jī)軟硬件缺陷等原因，導(dǎo)致網(wǎng)絡(luò)、信息系統(tǒng)出現(xiàn)異常或數(shù)據(jù)受到侵害，影響網(wǎng)絡(luò)與信息系統(tǒng)正常運(yùn)行或數(shù)據(jù)安全。
第五條 本制度所稱信息安全風(fēng)險(xiǎn)，是指人為、自然的威脅利用網(wǎng)絡(luò)與信息系統(tǒng)及其管理機(jī)制中存在的脆弱性，導(dǎo)致信息安全事件發(fā)生的可能性。
第六條 任何單位和個(gè)人均有信息安全報(bào)告的義務(wù)。按照“誰發(fā)現(xiàn)、誰報(bào)告”的原則，信息安全事件發(fā)生或風(fēng)險(xiǎn)發(fā)現(xiàn)單位的計(jì)算機(jī)系統(tǒng)相關(guān)業(yè)務(wù)部門在向本單位應(yīng)急辦報(bào)告的同時(shí)，通報(bào)本單位科技部門。各單位科技部門按照本制度具體規(guī)定向上級單位科技部門報(bào)告。總行業(yè)務(wù)部門向計(jì)算機(jī)系統(tǒng)相關(guān)運(yùn)行部門通報(bào)，運(yùn)行部門向總行科技司報(bào)告。
第七條 信息安全報(bào)告應(yīng)及時(shí)，不得遲報(bào)、謊報(bào)、瞞報(bào)、漏報(bào)，報(bào)告內(nèi)容應(yīng)客觀準(zhǔn)確，報(bào)告格式應(yīng)符合本制度要求。二、信息安全事件報(bào)告
第八條 根據(jù)計(jì)算機(jī)信息系統(tǒng)的重要性及其遭受損害的程度、范圍和造成數(shù)據(jù)泄露、丟失、破壞等產(chǎn)生的影響不同，信息安全事件分為特別重大(I級)信息安全事件、重大(II級)信息安全事件、較大(Ⅲ級)信息安全事件和一般(IV級)信息安全事件。當(dāng)信息安全事件滿足多個(gè)級別定級條件時(shí)，按最高級別確定事件等級，具體分級見附1。
第九條 事發(fā)單位應(yīng)依據(jù)信息安全事件影響時(shí)間、范圍和持續(xù)時(shí)間等因素的變化情況，按照附1的定義進(jìn)行事件級別的調(diào)整。事件等級的最終認(rèn)定，由相關(guān)業(yè)務(wù)部門會(huì)同科技部門在事后綜合評估后認(rèn)定。
第十條 總行負(fù)責(zé)全行較大(Ⅲ級)及以上信息安全事件的接報(bào)工作，上海總部、各分行、營業(yè)管理部和省會(huì)(首府)城市中心支行負(fù)責(zé)所在省(區(qū)、市)內(nèi)各級別信息安全事件的接報(bào)工作，各副省級城市中心支行負(fù)責(zé)其所在城市發(fā)生的各級別信息安全事件的接報(bào)工作。
第十一條 一般情況下，信息安全事件報(bào)告實(shí)行逐級上報(bào)，副省級城市中心支行直接向總行報(bào)告。發(fā)生或可能引發(fā)重大(II級事件)及以上事件等緊急情況下，事發(fā)單位在向上一級報(bào)告的同時(shí)，應(yīng)按照人民銀行應(yīng)急信息報(bào)送有關(guān)規(guī)定向總行應(yīng)急處置指揮部報(bào)告，并向總行科技司報(bào)告。
第十二條 各單位應(yīng)按照規(guī)定的信息安全事件報(bào)告流程(見附2)，在事發(fā)、事中與事后三個(gè)階段分別報(bào)告。如遇地震、臺(tái)風(fēng)和雪災(zāi)等重大自然災(zāi)害，事發(fā)單位可采取各種可行的聯(lián)系方式，及時(shí)報(bào)告。對電話方式報(bào)告的事件，接報(bào)單位應(yīng)做好電話記錄，留存電話記錄單，記錄單格式見附3。
第十三條 事件發(fā)生時(shí)，事發(fā)單位應(yīng)立即報(bào)告，報(bào)告方式包括電話、OA郵件、傳真等(如遇緊急情況，可通過短信等方式預(yù)報(bào)告)。事發(fā)報(bào)告要素見附4。
第十四條 在事件處置過程中，事發(fā)單位應(yīng)及時(shí)報(bào)告事件處置進(jìn)展情況，報(bào)告方式包括電話、OA郵件或傳真，事中報(bào)告要素見附5。
(一)本單位或所轄機(jī)構(gòu)發(fā)生較大(Ⅲ級)信息安全事件后，副省級城市中心支行以上分支機(jī)構(gòu)、直屬企事業(yè)單位及其他相關(guān)單位應(yīng)在4小時(shí)內(nèi)向總行提交事中報(bào)告，并及時(shí)更新報(bào)告。
(二)本單位或所轄機(jī)構(gòu)發(fā)生重大(II級)或特別重大(I 級)信息安全事件后，副省級城市中心支行以上分支機(jī)構(gòu)、直屬企事業(yè)單位及其他相關(guān)單位應(yīng)在2小時(shí)內(nèi)向總行提交事中報(bào)告，每3小時(shí)上報(bào)一次事件處置進(jìn)展情況，直至事件處置結(jié)束，或按照總行科技司要求的頻度持續(xù)報(bào)告。
第十五條 總行計(jì)算機(jī)系統(tǒng)運(yùn)行部門應(yīng)設(shè)立固定值守電話(或手機(jī))，并確保通訊聯(lián)絡(luò)的有效、暢通。報(bào)告內(nèi)容應(yīng)客觀、不外泄。
第十六條 事件處置結(jié)束后，事發(fā)單位應(yīng)認(rèn)真總結(jié)事件處置的經(jīng)驗(yàn)教訓(xùn)，以正式文件形式提交詳細(xì)的事件總結(jié)報(bào)告，總結(jié)報(bào)告模板見附6。
(一)本單位或所轄機(jī)構(gòu)發(fā)生較大(Ⅲ級)信息安全事件后，副省級城市中心支行以上分支機(jī)構(gòu)、直屬企事業(yè)單位及其他相關(guān)單位應(yīng)在事件處置完畢后8個(gè)工作日內(nèi)向總行提交事件總結(jié)報(bào)告。
(二)本單位或所轄機(jī)構(gòu)發(fā)生重大(Ⅲ級)或特別重大(I 級)信息安全事件后，副省級及城市中心支行以上分支機(jī)構(gòu)、直屬企事業(yè)單位及其他相關(guān)單位應(yīng)在事件處置完畢后5個(gè)工作日內(nèi)向總行提交事件總結(jié)報(bào)告。
第十七條 各單位應(yīng)確保事件報(bào)告聯(lián)絡(luò)的有效、暢通，保證報(bào)告信息的客觀性，保證報(bào)告信息不外泄。各單位應(yīng)依據(jù)事件級別，啟動(dòng)相應(yīng)的應(yīng)急預(yù)案，迅速進(jìn)行應(yīng)急處置，快速復(fù)業(yè)務(wù)。
第十八條 對于涉密事件，應(yīng)按照人民銀行保密管理有關(guān)規(guī)定報(bào)告，并嚴(yán)格控制知情范圍。三、信息安全風(fēng)險(xiǎn)報(bào)告
第十九條 本制度將信息安全風(fēng)險(xiǎn)分為重大與一般兩級，重大信息安全風(fēng)險(xiǎn)是指可能對國家經(jīng)濟(jì)、金融安全、公眾利益和人民銀行履行職能造成嚴(yán)重影響和損害的風(fēng)險(xiǎn)。
第二十條 各單位應(yīng)采取管理與技術(shù)措施，加強(qiáng)信息系統(tǒng)脆弱性及其面臨威脅的監(jiān)測、評估，及時(shí)發(fā)現(xiàn)、報(bào)告、預(yù)警和處置信息安全風(fēng)險(xiǎn)。
第二十一條 上海總部、各分行、營業(yè)管理部及省會(huì)(首府)城市中心支行負(fù)責(zé)所在省(區(qū)、市)內(nèi)重大信息安全風(fēng)險(xiǎn)的接報(bào)工作，各副省級城市中心支行負(fù)責(zé)其所在城市發(fā)生的重大信息安全風(fēng)險(xiǎn)的接報(bào)工作。
第二十二條 副省級及城市中心支行以上分支機(jī)構(gòu)、直屬企事業(yè)單位及其他相關(guān)單位應(yīng)及時(shí)向總行科技司報(bào)告所轄機(jī)構(gòu)或本單位的重大信息安全風(fēng)險(xiǎn)，報(bào)告格式見附7；完成風(fēng)險(xiǎn)整改后，應(yīng)以正式文件形式提交風(fēng)險(xiǎn)整改報(bào)告，整改報(bào)告內(nèi)容應(yīng)包括風(fēng)險(xiǎn)情況、產(chǎn)生原因、采取的整改措施、整改后驗(yàn)證情況等。四、考核與責(zé)任
第二十三條 各單位應(yīng)將信息安全報(bào)告制度執(zhí)行情況納入本單位及所轄機(jī)構(gòu)的年度專業(yè)考核；對表現(xiàn)突出的單位、部門或個(gè)人，應(yīng)予表揚(yáng)或獎(jiǎng)勵(lì)。
第二十四條 本制度實(shí)行責(zé)任追究制，對于執(zhí)行不力的單位、部門或個(gè)人，將給予通報(bào)批評；造成重大影響或嚴(yán)重后果的，將依據(jù)有關(guān)規(guī)定追究相關(guān)責(zé)任人及其領(lǐng)導(dǎo)的責(zé)任。五、附則
第二十五條 總行科技司與計(jì)算機(jī)系統(tǒng)運(yùn)行單位的信息安全接報(bào)通信方式見附8。
第二十六條 本制度由人民銀行總行負(fù)責(zé)解釋和修訂。
第二十七條 各單位之前發(fā)布的其他信息安全報(bào)告制度有關(guān)條款如與本制度不一致，按本制度執(zhí)行。
第二十八條 本制度自發(fā)布之日起執(zhí)行。
附1
信息安全事件分級
一、信息系統(tǒng)分類
根據(jù)人民銀行信息系統(tǒng)的業(yè)務(wù)特點(diǎn)、服務(wù)對象等，可分為如下幾類：
A.基礎(chǔ)支撐類系統(tǒng)：主要指為各類信息系統(tǒng)提供基礎(chǔ)支撐服務(wù)的系統(tǒng)，如機(jī)房設(shè)施、網(wǎng)絡(luò)系統(tǒng)、存儲(chǔ)系統(tǒng)、共享平臺(tái)等。
B.聯(lián)機(jī)事務(wù)處理系統(tǒng)：主要指具有聯(lián)機(jī)處理特點(diǎn)的業(yè)務(wù)系統(tǒng)，用于履行央行職能，提供金融服務(wù)或信息服務(wù)，此類業(yè)務(wù)系統(tǒng)對數(shù)據(jù)的實(shí)時(shí)性處理要求很高，服務(wù)范圍廣。
C.管理信息類系統(tǒng)：主要指用于履行央行職能，進(jìn)行非聯(lián)機(jī)類業(yè)務(wù)處理及提供重要內(nèi)部辦公支撐的信息系統(tǒng)，此類業(yè)務(wù)系統(tǒng)對數(shù)據(jù)的實(shí)時(shí)處理要求不高。
D.決策分析類系統(tǒng)：主要是指通過采集數(shù)據(jù)，進(jìn)行數(shù)據(jù)加工，對加工結(jié)果進(jìn)行統(tǒng)計(jì)、分析、展現(xiàn)，以供決策分析的信息系統(tǒng)，此類信息系統(tǒng)對數(shù)據(jù)實(shí)時(shí)性處理要求不高，但在報(bào)數(shù)期內(nèi)要求高。
E.其他類系統(tǒng)：是指為實(shí)現(xiàn)央行內(nèi)部管理信息化，便于用戶方便快捷的共享信息及協(xié)同工作的信息系統(tǒng)。
注：
1.應(yīng)用系統(tǒng)的重要程度按照業(yè)務(wù)優(yōu)先于辦公、對外服務(wù)優(yōu)先于內(nèi)部管理、實(shí)時(shí)處理系統(tǒng)高于非實(shí)時(shí)處理系統(tǒng)、大范圍影響高于小范圍影響等原則劃分；
2.IT基礎(chǔ)設(shè)施的重要性取決于所支撐信息系統(tǒng)的重要性。
總行統(tǒng)一推廣的信息系統(tǒng)分類表
┌────┬────────────────────┬────┬──────────────────────┐
│分類 │系統(tǒng)名稱 │分類 │系統(tǒng)名稱 │
├────┼────────────────────┼────┼──────────────────────┤
│A │機(jī)房系統(tǒng) │B │國庫信息處理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)系統(tǒng) │ │大額實(shí)時(shí)支付系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │互聯(lián)網(wǎng)網(wǎng)絡(luò)系統(tǒng) │ │小額批量支付系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │存儲(chǔ)系統(tǒng) │ │中國境內(nèi)外幣支付系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │網(wǎng)間互聯(lián)平臺(tái)系統(tǒng) │ │中國電子商業(yè)匯票系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │LDAP系統(tǒng) │ │全國支票影像交換系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │共享平臺(tái) │ │個(gè)人征信系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │國庫總庫會(huì)計(jì)核算系統(tǒng)專網(wǎng) │ │企業(yè)征信系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │818外匯交易系統(tǒng)專網(wǎng) │ │應(yīng)收賬款質(zhì)押登記公示系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │路透系統(tǒng)網(wǎng)絡(luò) │ │國庫會(huì)計(jì)數(shù)據(jù)集中系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │彭博系統(tǒng)專網(wǎng) │ │國庫會(huì)計(jì)核算系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │CA系統(tǒng) │ │中央銀行會(huì)計(jì)核算數(shù)據(jù)集中系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │域名解析系統(tǒng) │ │人民幣銀行結(jié)算賬戶管理系統(tǒng) │
└────┴────────────────────┴────┴──────────────────────┘
┌─────┬────────────────────┬────┬─────────────────────┐
│分類 │系統(tǒng)名稱 │分類 │系統(tǒng)名稱 │
├─────┼────────────────────┼────┼─────────────────────┤
│B │聯(lián)網(wǎng)核查公民身份信息系統(tǒng) │C │電子公文傳輸系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │人民銀行互聯(lián)網(wǎng)網(wǎng)站 │ │人民銀行反洗錢業(yè)務(wù)綜合管理信息系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │國家金庫總庫支付信息聯(lián)網(wǎng)系統(tǒng) │ │綜合信息查詢分析平臺(tái) │
│ ├────────────────────┤ ├─────────────────────┤
│ │中央總金庫與財(cái)政部聯(lián)網(wǎng)系統(tǒng) │ │中國人民銀行財(cái)務(wù)綜合管理信息系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │貨幣金銀管理信息系統(tǒng) │ │再貸款信息管理系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │國家金庫總庫會(huì)計(jì)核算系統(tǒng) │ │反假貨幣信息系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │人民幣跨境收付管理信息系統(tǒng) │ │支付信用信息系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │中央銀行會(huì)計(jì)核算電子對賬系統(tǒng) │ │金融行業(yè)機(jī)構(gòu)信息管理系統(tǒng) │
├─────┼────────────────────┤ ├─────────────────────┤
│C │反洗錢監(jiān)測分析系統(tǒng)(互聯(lián)網(wǎng)數(shù)據(jù)接收平臺(tái)) │ │行長信息系統(tǒng) │
│ ├────────────────────┼────┼─────────────────────┤
│ │反洗錢監(jiān)測分析系統(tǒng)(銀行業(yè)數(shù)據(jù)接收平臺(tái)) │D │金融統(tǒng)計(jì)監(jiān)測管理信息系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │國庫綜合業(yè)務(wù)報(bào)表系統(tǒng) │ │金融市場統(tǒng)計(jì)分析系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │國債兌付業(yè)務(wù)管理系統(tǒng) │ │資金流量核算系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │國庫統(tǒng)計(jì)分析系統(tǒng) │ │金融快報(bào)系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │國債管理信息系統(tǒng) │ │物價(jià)調(diào)查統(tǒng)計(jì)系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │國庫現(xiàn)金管理系統(tǒng) │ │企業(yè)財(cái)務(wù)調(diào)查系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │內(nèi)網(wǎng)電子郵件系統(tǒng) │ │企業(yè)家問卷調(diào)查系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │金融穩(wěn)定管理分析系統(tǒng) │ │城鎮(zhèn)儲(chǔ)戶問卷調(diào)查系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │人力資源管理系統(tǒng) │ │銀行家問卷調(diào)查系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │支付管理信息系統(tǒng)(PMIS)及業(yè)務(wù)監(jiān)控系統(tǒng) │ │宏觀經(jīng)濟(jì)運(yùn)行先行指標(biāo)與計(jì)量經(jīng)濟(jì)預(yù)測模型 │
│ ├────────────────────┤ ├─────────────────────┤
│ │中國人民銀行固定資產(chǎn)管理系統(tǒng) │ │宏觀經(jīng)濟(jì)金融時(shí)間序列數(shù)據(jù)庫 │
│ ├────────────────────┤ ├─────────────────────┤
│ │文書處理系統(tǒng) │ │金融穩(wěn)定統(tǒng)計(jì)監(jiān)測與分析系統(tǒng) │
│ ├────────────────────┤ ├─────────────────────┤
│ │辦公廳OA系統(tǒng) │ │中國反洗錢監(jiān)測分析系統(tǒng)(數(shù)據(jù)收集管理平臺(tái)) │
└─────┴────────────────────┴────┴─────────────────────┘
┌────┬────────────────────┬────┬──────────────────────┐
│分類 │系統(tǒng)名稱 │分類 │系統(tǒng)名稱 │
├────┼────────────────────┼────┼──────────────────────┤
│D │中國反洗錢監(jiān)測分析系統(tǒng)(分支機(jī)構(gòu)交互平臺(tái))│E │電子檔案系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │中國反洗錢監(jiān)測分析系統(tǒng)(分析移送平臺(tái)) │ │桌面辦公系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │反洗錢監(jiān)管交互平臺(tái) │ │銀行間市場信息系統(tǒng) │
├────┼────────────────────┤ ├──────────────────────┤
│E │中國人民銀行媒體互動(dòng)平臺(tái)系統(tǒng) │ │中國人民銀行督察管理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │信息化建設(shè)項(xiàng)目庫系統(tǒng) │ │房地產(chǎn)市場監(jiān)測分析系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │電子化設(shè)備管理系統(tǒng) │ │綜合信息服務(wù)系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │人事信息管理Web系統(tǒng) │ │金融系統(tǒng)信訪管理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │人事信息管理系統(tǒng) │ │中國人民銀行“央行青年”綜合管理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │人事信息報(bào)表系統(tǒng) │ │工會(huì)綜合管理信息系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │協(xié)同辦公平臺(tái) │ │內(nèi)審業(yè)務(wù)綜合管理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │組織人事信息網(wǎng)站 │ │“金宏”系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │金融法規(guī)系統(tǒng) │ │出國培訓(xùn)管理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │中國人民銀行外事管理系統(tǒng) │ │集中采購中心業(yè)務(wù)管理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │人民銀行出國管理信息系統(tǒng) │ │電子圖書管理系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │人民銀行紀(jì)檢監(jiān)察綜合業(yè)務(wù)系統(tǒng) │ │在線競賽系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │車隊(duì)管理系統(tǒng) │ │圖書館網(wǎng)站 │
│ ├────────────────────┤ ├──────────────────────┤
│ │遠(yuǎn)程培訓(xùn)系統(tǒng) │ │金標(biāo)委網(wǎng)站 │
│ ├────────────────────┤ ├──────────────────────┤
│ │技術(shù)支持系統(tǒng) │ │防病毒系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │補(bǔ)丁分發(fā)系統(tǒng) │ │入侵檢測系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │互聯(lián)網(wǎng)電子郵件系統(tǒng) │ │調(diào)查統(tǒng)計(jì)信息服務(wù)系統(tǒng) │
│ ├────────────────────┤ ├──────────────────────┤
│ │紀(jì)檢監(jiān)察、機(jī)關(guān)案件管理系統(tǒng)(人行版) │ │內(nèi)聯(lián)網(wǎng)非法外聯(lián)監(jiān)控管理系統(tǒng) │
└────┴────────────────────┴────┴──────────────────────┘
注：1.上表為總行統(tǒng)一推廣運(yùn)行的信息系統(tǒng)分類示例，由科技司負(fù)責(zé)變更維護(hù)；
2.各單位及分支機(jī)構(gòu)自建信息系統(tǒng)，由相關(guān)單位科技部門會(huì)同業(yè)務(wù)部門參照劃分。
二、信息安全事件分級
┌───┬─────┬────────────────────────────────────────────┐
│類型 │事件系 │信息安全事件級別 │
│ │統(tǒng)類型 │ │
│ │ ├──────────┬──────────┬──────────┬───────────┤
│ │ │一般(IV級)事件 │較大(III級)事件 │重大(II級)事件 │特別(I級)重大事件 │
├───┼─────┼──────────┼──────────┼──────────┼───────────┤
│系統(tǒng) │A類 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄市)│
│運(yùn)行 │ │市)無法提供服務(wù)達(dá)30 │市)無法提供服務(wù)開展 │市)無法提供服務(wù)達(dá)2個(gè)│無法提供服務(wù)達(dá)4個(gè)小時(shí)(│
│安全 │ │分鐘以內(nèi)的信息安全事│達(dá)30分鐘(含)以上、2 │小時(shí)(含)以上、4個(gè)小 │含)以上或全國無法提供 │
│類 │ │件。 │個(gè)小時(shí)以內(nèi)的信息安全│時(shí)以內(nèi)或全國無法提供│服務(wù)達(dá)2個(gè)小時(shí)(含)以上 │
│ │ │ │事件或全國無法提供服│服務(wù)達(dá)30分鐘(含)以上│的信息安全事件。 │
│ │ │ │務(wù)達(dá)30分鐘以內(nèi)的信息│、2個(gè)小時(shí)以內(nèi)的信息 │ │
│ │ │ │安全事件。 │安全事件。 │ │
│ ├─────┼──────────┼──────────┼──────────┼───────────┤
│ │B類 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄市)│
│ │ │市)業(yè)務(wù)無法正常開展 │市)業(yè)務(wù)無法正常開展 │市)業(yè)務(wù)無法正常開展 │業(yè)務(wù)無法正常開展達(dá)4個(gè) │
│ │ │達(dá)30分鐘以內(nèi)的信息安│達(dá)30分鐘(含)以上、2 │達(dá)2個(gè)小時(shí)(含)以上、4│小時(shí)(含)以上或全國業(yè)務(wù)│
│ │ │全事件。 │個(gè)小時(shí)以內(nèi)或全國業(yè)務(wù)│個(gè)小時(shí)以內(nèi)或全國業(yè)務(wù)│無法正常開展達(dá)2個(gè)小時(shí)(│
│ │ │ │無法正常開展達(dá)30分鐘│無法正常開展達(dá)30分鐘│含)以上的信息安全事件 │
│ │ │ │以內(nèi)的信息安全事件。│(含)以上、2個(gè)小時(shí)以 │。 │
│ │ │ │ │內(nèi)的信息安全事件。 │ │
│ ├─────┼──────────┼──────────┼──────────┼───────────┤
│ │C類 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄市)│
│ │ │市)中斷服務(wù)達(dá)60分鐘 │市)中斷服務(wù)達(dá)60分鐘(│市)中斷服務(wù)達(dá)3個(gè)小時(shí)│中斷服務(wù)達(dá)5個(gè)小時(shí)(含) │
│ │ │以內(nèi)的信息安全事件。│含)以上、3個(gè)小時(shí)以內(nèi)│(含)以上、5個(gè)小時(shí)以 │以上或全國中斷服務(wù)達(dá)3 │
│ │ │ │的信息安全事件或全國│內(nèi)或全國中斷服務(wù)達(dá)40│個(gè)小時(shí)(含)以上的信息安│
│ │ │ │中斷服務(wù)達(dá)40分鐘以內(nèi)│分鐘(含)以上、3個(gè)小 │全事件。 │
│ │ │ │的信息安全事件。 │時(shí)以內(nèi)的信息安全事件│ │
│ │ │ │ │。 │ │
└───┴─────┴──────────┴──────────┴──────────┴───────────┘
┌────┬─────┬────────────────────────────────────────────┐
│類型 │事件系 │信息安全事件級別 │
│ │統(tǒng)類型 │ │
│ │ ├──────────┬──────────┬──────────┬───────────┤
│ │ │―般(IV級)事件 │較大(III級)事件 │重大(II級)事件 │特別(I級)重大事件 │
├────┼─────┼──────────┼──────────┼──────────┼───────────┤
│系統(tǒng) │D類 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄市)│
│運(yùn)行 │ │市)中斷服務(wù)達(dá)60分鐘 │市)中斷服務(wù)達(dá)60分鐘(│市)中斷服務(wù)達(dá)4個(gè)小時(shí)│中斷服務(wù)達(dá)6個(gè)小時(shí)(含) │
│安全 │ │以內(nèi)的信息安全事件。│含)以上、4個(gè)小時(shí)以內(nèi)│(含)以上、6個(gè)小時(shí)以 │以上或全國中斷服務(wù)達(dá)4 │
│類 │ │ │的信息安全事件或全國│內(nèi)或全國中斷服務(wù)達(dá)60│個(gè)小時(shí)(含)以上的信息安│
│ │ │ │中斷服務(wù)達(dá)60分鐘以內(nèi)│分鐘(含)以上、4個(gè)小 │全事件。 │
│ │ │ │的信息安全事件。 │時(shí)以內(nèi)的信息安全事件│ │
│ │ │ │ │。 │ │
│ ├─────┼──────────┼──────────┼──────────┼───────────┤
│ │E類 │一個(gè)省(自治區(qū)、直轄 │一個(gè)省(自治區(qū)、直轄 │ │ │
│ │ │市)中斷服務(wù)達(dá)6小時(shí)以│市)中斷服務(wù)達(dá)6小時(shí)( │ │ │
│ │ │內(nèi)的信息安全事件。 │含)以上的信息安全事 │ │ │
│ │ │ │件或全國中斷服務(wù)達(dá)4 │ │ │
│ │ │ │小時(shí)以上的信息安全事│ │ │
│ │ │ │件。 │ │ │
├────┴─────┼──────────┼──────────┼──────────┼───────────┤
│數(shù)據(jù)安全類 │信息系統(tǒng)中的數(shù)據(jù)丟失│信息系統(tǒng)中的數(shù)據(jù)丟失│信息系統(tǒng)中的數(shù)據(jù)丟失│信息系統(tǒng)中的數(shù)據(jù)丟失或│
│ │或被竊取、篡改、假冒│或被竊取、篡改、假冒│或被竊取、篡改、假冒│被竊取、篡改、假冒，對│
│ │，對國家安全、金融穩(wěn)│，對國家安全、金融穩(wěn)│，對國家安全、金融穩(wěn)│國家安全、金融穩(wěn)定、公│
│ │定、公眾利益和機(jī)構(gòu)自│定、公眾利益和機(jī)構(gòu)自│定、公眾利益和機(jī)構(gòu)自│眾利益和機(jī)構(gòu)自身造成特│
│ │身造成一般影響的信息│身造成較大影響的信息│身造成重大影響的信息│別重大影響的信息安全事│
│ │安全事件。 │安全事件。 │安全事件。 │件。 │
├──────────┼──────────┼──────────┼──────────┼───────────┤
│其他 │其他對國家安全、金融│其他對國家安全、金融│其他對國家安全、金融│其他對國家安全、金融穩(wěn)│
│ │穩(wěn)定、公眾利益和機(jī)構(gòu)│穩(wěn)定、公眾利益和機(jī)構(gòu)│穩(wěn)定、公眾利益和機(jī)構(gòu)│定、公眾利益和機(jī)構(gòu)自身│
│ │自身造成一般影響的信│自身造成較大影響的信│自身造成重大影響的信│造成特別重大影響的信息│
│ │息安全事件。 │息安全事件。 │息安全事件。 │安全事件。 │
└──────────┴──────────┴──────────┴──────────┴───────────┘
注：表中時(shí)間是指連續(xù)時(shí)間，為影響提供業(yè)務(wù)或信息服務(wù)的時(shí)間。對于E類系統(tǒng)，除數(shù)據(jù)安全類及其他情況外，系統(tǒng)運(yùn)行安全事件僅限一般和較大兩級。
附2
信息安全事件報(bào)告流程圖
注：1.本圖所示為總行信息安全事件的報(bào)告和接報(bào)流程，各分支機(jī)構(gòu)轄區(qū)內(nèi)信息安全事件報(bào)告可參考此流程，上報(bào)原則見正文第二部分要求。
2.本圖所指“事件”為計(jì)算機(jī)系統(tǒng)信息安全事件。
附3
信息安全事件報(bào)告電話記錄單
┌───────────┬───────────────────────────────────────────┐
│時(shí)間 │ 年 月 日 時(shí) 分 │
├───────────┼────────┬────────┬────────┬────────┬───────┤
│來電單位 │ │電話號碼 │ │發(fā)話人 │ │
├───────────┼────────┴────────┴────────┼────────┼───────┤
│來電主題 │ │受話人 │ │
├───────────┴──────────────────────────┴────────┴───────┤
│電話內(nèi)容(按照“信息安全事件事發(fā)或事中報(bào)告要素”記錄)： │
│ │
│ │
│ │
│ 電話記錄人簽名： │
├───────────┬───────────────────────────────────────────┤
│備注 │ │
└───────────┴───────────────────────────────────────────┘
附4
信息安全事件事發(fā)報(bào)告要素
┌────────────────┬──────────────────────────────────┐
│事件名稱 │ │
├────────────────┼──────────────────────────────────┤
│事件級別 │□一般 □較大 □重大 □特別重大 │
├────────────────┼──────────────────────────────────┤
│事發(fā)單位 │ │
├────────────────┼──────────────────────────────────┤
│事發(fā)部門 │ │
├────────────────┼──────────────────────────────────┤
│事發(fā)時(shí)間 │年/月/日/時(shí)/分 │
├────────────────┼──────────────────────────────────┤
│事發(fā)地點(diǎn) │機(jī)房名 │
├────────────────┼──────────────────────────────────┤
│事件概述 │事件發(fā)現(xiàn)方式及現(xiàn)象描述 │
├────────────────┼──────────────────────────────────┤
│事件系統(tǒng)名稱 │ │
├────────────────┼──────────────────────────────────┤
│事件系統(tǒng)類別 │□A □B □C □D □E │
├────────────────┼──────────────────────────────────┤
│影響業(yè)務(wù)及數(shù)據(jù)情況 │事件影響業(yè)務(wù)、數(shù)據(jù)等情況概述 │
├────────────────┼──────────────────────────────────┤
│影響地域情況 │事件影響地域及機(jī)構(gòu)情況概述(內(nèi)部、外部機(jī)構(gòu)) │
├────────────────┼──────────────────────────────────┤
│初步采取的措施 │ │
├────────────────┼──────────────────────────────────┤
│報(bào)告時(shí)事件狀態(tài) │ │
├────────────────┼──────────────────────────────────┤
│報(bào)告人姓名 │ │
├────────────────┼──────────────────────────────────┤
│報(bào)告人所在單位及部門 │ │
├────────────────┼──────────────────────────────────┤
│報(bào)告時(shí)間 │年/月/日/時(shí)/分 │
├────────────────┼──────────────────────────────────┤
│聯(lián)系方式 │ │
└────────────────┴──────────────────────────────────┘
附5
信息安全事件事中報(bào)告單
┌────────────────┬──────────────────────────────────┐
│事件名稱 │事件名稱應(yīng)與事發(fā)要素中事件名稱一致 │
├────────────────┼──────────────────────────────────┤
│報(bào)告次數(shù) │事中第____次報(bào)告 │
├────────────────┼──────────────────────────────────┤
│事件級別 │□一般 □較大 □重大 □特別重大 │
├────────────────┼──────────────────────────────────┤
│事件狀態(tài) │ │
├────────────────┼──────────────────────────────────┤
│影響業(yè)務(wù)及數(shù)據(jù)情況的變化 │事件影響業(yè)務(wù)、數(shù)據(jù)等情況的變化 │
├────────────────┼──────────────────────────────────┤
│影響地域情況的變化 │事件影響地域及機(jī)構(gòu)情況(內(nèi)部、外部機(jī)構(gòu))的變化 │
├────────────────┼──────────────────────────────────┤
│事件處置措施及處置進(jìn)展情況 │ │
├────────────────┼──────────────────────────────────┤
│下一步擬采取的措施 │ │
├────────────────┼──────────────────────────────────┤
│需總行協(xié)調(diào)處置事項(xiàng) │ │
├────────────────┼──────────────────────────────────┤
│報(bào)告部門聯(lián)系方式 │ │
└────────────────┴──────────────────────────────────┘
附6
信息安全事件總結(jié)報(bào)告模板
一、事件基本情況
詳述事件的起始時(shí)間、發(fā)生地點(diǎn)、發(fā)現(xiàn)方式、現(xiàn)象、持續(xù)時(shí)間、處置措施及恢復(fù)過程等。
二、事件影響
(一)影響概述。
概述事件對國家、社會(huì)、機(jī)構(gòu)自身造成的影響。
(二)影響詳述。
1.影響范圍。
詳述影響地域及內(nèi)外部機(jī)構(gòu)的個(gè)數(shù)、名稱。
2.影響的系統(tǒng)。
詳述系統(tǒng)的名稱、功能、硬件(事件涉及的設(shè)備類別(網(wǎng)絡(luò)/服務(wù)器/存儲(chǔ)/外設(shè))、設(shè)備品牌、設(shè)備型號)、軟件(事件涉及的操作系統(tǒng)，數(shù)據(jù)庫，存儲(chǔ)，中間件，應(yīng)用程序的名稱、版本號、補(bǔ)丁號)、部署結(jié)構(gòu)圖、冗余情況(HA/N ＋1/數(shù)據(jù)備份/應(yīng)用備份/其他)等。
3.影響的業(yè)務(wù)。
4.影響的數(shù)據(jù)。
5.其他影響。
三、事件損失評估
(一)資金損失。
(二)數(shù)據(jù)損失。
(三)其他損失。
四、事件根源詳細(xì)分析
(一)技術(shù)方面。
(二)管理方面。
五、事件責(zé)任認(rèn)定
六、事件處置經(jīng)驗(yàn)與教訓(xùn)
(一)事件處置經(jīng)驗(yàn)。
(二)事件處置教訓(xùn)。
七、改進(jìn)措施
附表：事后報(bào)告單
┌───────────┬───────────────────────────────────────┐
│事件名稱 │與事發(fā)、事中報(bào)告要素中事件名稱一致 │
├───────────┼───────────────────────────────────────┤
│事件等級 │□較大 □重大 □特別重大 │
├───────────┼───────────────────────────────────────┤
│事件分類 │□有害程序事件 │
│ │子類：??計(jì)算機(jī)病毒事件 ??蠕蟲事件 ??特洛伊木馬事件 ??僵尸網(wǎng)絡(luò)事件 │
│ │??混合攻擊程序事件 ??網(wǎng)頁內(nèi)嵌惡意代碼事件 ??其他有害程序事件_______(填寫具體│
│ │內(nèi)容) │
│ │□網(wǎng)絡(luò)攻擊事件 │
│ │子類：??拒絕服務(wù)攻擊事件 ??后門攻擊事件 ??漏洞攻擊事件 ??網(wǎng)絡(luò)掃描竊聽事件 │
│ │??網(wǎng)絡(luò)釣魚事件 ??干擾事件 ??其他網(wǎng)絡(luò)攻擊事件________(填寫具體內(nèi)容) │
│ │□信息破壞事件 │
│ │子類：??信息篡改事件 ??信息假冒事件 ??信息泄露事件 ??信息竊取事件 ??信息丟│
│ │失事件 ??其他信息破壞事件________(填寫具體內(nèi)容) │
│ │□信息內(nèi)容安全事件 │
│ │子類：??違反法律法規(guī)的信息安全事件 ??針對社會(huì)事項(xiàng)進(jìn)行討論、評論形成網(wǎng)上敏感的│
│ │輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件 ??組織串聯(lián)、煽動(dòng)集會(huì)游行的信息安全事│
│ │件 ??其他信息內(nèi)容安全事件_______(填寫具體內(nèi)容) │
│ │□設(shè)備設(shè)施故障 │
│ │子類：??軟硬件自身故障 ??外圍保障設(shè)施故障 ??人為破壞事故 ??其他設(shè)備設(shè)施故障│
│ │_______(填寫具體內(nèi)容) │
│ │□災(zāi)害性事件 │
│ │□其他事件________(不能歸為以上6個(gè)基本分類的信息安全事件)(填寫具體內(nèi)容) │
│ │ │
│ │ │
│ │ │
├───────────┼───────────────────────────────────────┤
│事件發(fā)現(xiàn)途徑 │□用戶反映 □巡檢 □監(jiān)控 □報(bào)警 □日志分析 □檢查 │
│ │□其他________(填寫具體內(nèi)容) │
├───────────┼───────────────────────────────────────┤
│事件系統(tǒng)名稱 │ │
└───────────┴───────────────────────────────────────┘
┌───────────┬───────────────────────────────────────┐
│事件系統(tǒng)功能 │填寫主要業(yè)務(wù)功能 │
├───────────┼───────────────────────────────────────┤
│事件區(qū)域 │□外聯(lián)區(qū) □接入?yún)^(qū) □交換區(qū) □工作區(qū) □生產(chǎn)區(qū) □安全管理區(qū) □測試區(qū) □互│
│ │聯(lián)網(wǎng)應(yīng)用區(qū) □其他區(qū)_______(填寫具體內(nèi)容) │
├───────────┼───────────────────────────────────────┤
│事件部位 │□網(wǎng)絡(luò)通信服務(wù) □APP服務(wù) □DB服務(wù) □存儲(chǔ)服務(wù) □備份服務(wù) □供配電 □空調(diào) │
│ │□機(jī)房 □管理控制服務(wù) □其他_______(請?zhí)顚懢唧w內(nèi)容) │
├───────────┼───────────────────────────────────────┤
│事件層次 │□數(shù)據(jù)層(業(yè)務(wù)數(shù)據(jù)/用戶數(shù)據(jù)/系統(tǒng)配置數(shù)據(jù)) □應(yīng)用層(接口/Web) □服務(wù)層(中間件/│
│ │數(shù)據(jù)庫/共享服務(wù)平臺(tái)) □操作系統(tǒng)層(內(nèi)存/磁盤/I/O設(shè)備/外設(shè)/進(jìn)程調(diào)度) □硬件層 │
│ │(網(wǎng)絡(luò)/服務(wù)器硬件及其固化程序) │
├───────────┼───────────────────────────────────────┤
│事件組件 │□外部接入控制(網(wǎng)絡(luò)接入/接口程序/接口設(shè)備) □用戶訪問控制(登錄界面/用戶管理/權(quán)│
│ │限管理/用戶視圖/報(bào)表展現(xiàn)) □應(yīng)用邏輯執(zhí)行(例程/管理) □應(yīng)用邏輯驅(qū)動(dòng)(存取/顯示)│
│ │□數(shù)據(jù)庫控制(查詢/操作) □日志審計(jì) □其他_______(填寫具體內(nèi)容) │
├───────────┼───────────────────────────────────────┤
│事件源定位 │□設(shè)計(jì)(架構(gòu)/系統(tǒng)/組件) □實(shí)現(xiàn)(開發(fā)/集成/測試) □運(yùn)維(業(yè)務(wù)變更/技術(shù)變更) │
│ │□災(zāi)備(傳輸/復(fù)制) □其他_______(填寫具體內(nèi)容) │
├───────────┼───────────────────────────────────────┤
│事件根本原因 │□機(jī)房基礎(chǔ)設(shè)施故障 □通信基礎(chǔ)設(shè)施故障 □硬件故障 □軟件故障 □應(yīng)用程序缺陷│
│ │□業(yè)務(wù)邏輯缺陷 □資源不足 □網(wǎng)絡(luò)攻擊 □有害程序 □不可抗力 □誤操作 │
│ │□其他_______(填寫具體內(nèi)容) │
├───────────┼───────────────────────────────────────┤
│報(bào)告部門聯(lián)系人 │ │
├───────────┼───────────────────────────────────────┤
│報(bào)告部門聯(lián)系方式 │ │
└───────────┴───────────────────────────────────────┘
附7
重大信息安全風(fēng)險(xiǎn)報(bào)告單
┌──────────────┬────────────────────────────────────┐
│風(fēng)險(xiǎn)描述 │ │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)發(fā)生單位及部門 │ │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)發(fā)現(xiàn)途徑 │□用戶反映 □巡檢 □監(jiān)控報(bào)警 □日志分析 □檢查 □評估 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)發(fā)現(xiàn)時(shí)間 │年/月/日/時(shí)/分 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)發(fā)現(xiàn)地點(diǎn) │機(jī)房名 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)系統(tǒng)名稱 │ │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)系統(tǒng)類別 │□A □B □C □D □E │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)系統(tǒng)功能 │填寫系統(tǒng)主要業(yè)務(wù)功能 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)系統(tǒng)硬件 │填寫風(fēng)險(xiǎn)涉及的設(shè)備類別(網(wǎng)絡(luò)/服務(wù)器/存儲(chǔ)/外設(shè))、設(shè)備品牌、設(shè)備型號 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)系統(tǒng)軟件 │填寫風(fēng)險(xiǎn)涉及的操作系統(tǒng)、數(shù)據(jù)庫、存儲(chǔ)、中間件、應(yīng)用程序的名稱、開發(fā)商、版│
│ │本號、補(bǔ)丁號 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)層次 │□數(shù)據(jù)層(業(yè)務(wù)數(shù)據(jù)/用戶數(shù)據(jù)/系統(tǒng)配置數(shù)據(jù)) □應(yīng)用層(接口/Web) □服務(wù)層 │
│ │(中間件/數(shù)據(jù)庫/共享服務(wù)平臺(tái)) □操作系統(tǒng)層(內(nèi)存/磁盤/I/O設(shè)備/外設(shè)/進(jìn)程調(diào)│
│ │度) □硬件層(網(wǎng)絡(luò)/服務(wù)器硬件及其固化程序) │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)分析 │從資產(chǎn)、脆弱性、威脅、威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性，安全事件│
│ │發(fā)生后可能造成的影響方面詳盡描述 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)產(chǎn)生原因 │□設(shè)計(jì)缺陷(結(jié)構(gòu)/程序) □實(shí)現(xiàn)缺陷(集成配置) □維護(hù)缺陷(業(yè)務(wù)與技術(shù)變更) │
│ │□設(shè)備缺陷(設(shè)計(jì)/部件/補(bǔ)丁) □用戶誤操作 □其他_______(填寫具體內(nèi)容) │
└──────────────┴────────────────────────────────────┘
┌──────────────┬────────────────────────────────────┐
│風(fēng)險(xiǎn)危害 │風(fēng)險(xiǎn)可能害的業(yè)務(wù)(包括關(guān)聯(lián)業(yè)務(wù))及范圍(影響地域及內(nèi)外部機(jī)構(gòu))情況 │
├──────────────┼────────────────────────────────────┤
│風(fēng)險(xiǎn)控制措施 │已采取措施及擬采取措施 │
├──────────────┼────────────────────────────────────┤
│需總行協(xié)調(diào)處置事項(xiàng) │ │
├──────────────┼────────────────────────────────────┤
│報(bào)告部門聯(lián)系人 │ │
├──────────────┼────────────────────────────────────┤
│報(bào)告部門聯(lián)系方式 │ │
└──────────────┴────────────────────────────────────┘
附8
總行科技司與各計(jì)算機(jī)系統(tǒng)運(yùn)行單位通信方式
┌───────────┬───────────────────────────────────────┐
│單位名稱 │通信方式 │
├───────────┼───────────────────────────────────────┤
│科技司 │固定電話：010－66194055 │
│ │傳真：010－66016434 │
│ │OA郵箱：&科技司安全處 │
├───────────┼───────────────────────────────────────┤
│金融信息中心 │集中授理電話：010－66195588 │
├───────────┼───────────────────────────────────────┤
│反洗錢監(jiān)測分析中心 │固定電話：010－88092861 手機(jī)：13810122155 │
│ │固定電話：010－88092865 手機(jī)：13801285815 │
│ │固定電話：010－66199128 手機(jī)：13693624200 │
├───────────┼───────────────────────────────────────┤
│征信中心 │固定電話：010－88086400轉(zhuǎn)821 手機(jī)：13466754536 │
│ │固定電話：010－88086400轉(zhuǎn)823 手機(jī)：13810171221 │
├───────────┼───────────────────────────────────────┤
│清算總中心 │固定電話：010－69663878 手機(jī)：13641069539 │
├───────────┼───────────────────────────────────────┤
│金融電子化公司 │固定電話：010－60242299轉(zhuǎn)2230 手機(jī)：13366698377 │
│ │固定電話：010－63568866轉(zhuǎn)6220 手機(jī)：15210123949 │
│ │固定電話：010－63568866轉(zhuǎn)6523 手機(jī)：13811277783 │
└───────────┴───────────────────────────────────────┘