金融机构信息安全等级

1. 信息安全自评估服务机构应当有专业评估人员不少于多少人

不得少于2人。

相关介绍：

中国人民银行及其分支机构可以要求被评估机构提供专必要的属资料数据，也可以现场采集满足评估需要的必要信息。在开展现场评估时，中国人民银行及其分支机构的反洗钱工作人员不得少于2人，并出示《反洗钱监管通知书》及合法证件。

中国人民银行及其分支机构根据履行反洗钱职责的需要，可以约见金融机构董事、高级管理人员，针对重要问题进行警示谈话，或者要求其就金融机构履行反洗钱义务的重大事项作出说明。

(1)金融机构信息安全等级扩展阅读：

评估工作以金融机构自我评估为基础。金融机构应当每年进行自我评估，并于次年1月15日前向中国人民银行及其分支机构提交自我评估报告。

中国人民银行及其分支机构应当根据金融机构的日常监督管理、投诉处理和自我评估，进行场外评估，必要时也可以进行现场评估。

中国人民银行及其分支机构应当建立金融消费者权益保护案例库制度，按照预防为主、教育为主的原则，对金融机构和金融消费者进行风险提示。

2. 获得公安部信息安全等保三级测评的平台有哪些

目前大多数互联网金融平台获得的以第二级认证为主，第三级作为国家对非银行金融专机构的最高级认证属，即非银机构的最高级认证就是第三级别，由国家信息安全监管部门进行监督、检查，认证要求十分严格。

截至2018年3月，全国共有170家平台获得了信息安全等保三级备案。

3. 宁波市银行业信息安全等级保护的工作开展情况

宁波市银行业扎实推进信息安全等级保护工作

为贯彻落实《宁波市信息安全等级保护工作实施方案》，宁波市公安局与市银监局密切合作，扎实推进银行业金融机构信息安全等级保护工作。目前，全市已经有20家银行单位完成对信息系统自定级工作，并将定级情况报公安机关备案。部分单位已开展测评前的基础调查工作，银行业开展信息安全等级保护工作进展顺利。主要做法：

一是加强对银行业信息安全工作的领导和监督。市公安局网监支队会同市银监分局多次召开会议，明确要求各银行业金融机构成立由主要领导负责、各业务部门领导为成员的信息安全领导小组，全面负责等级保护工作的组织、实施和落实。此外，对照人民银行总行下发的定级指导意见，对各信息系统定级情况进行了初步审核，提高了信息系统定级的准确性。

二是强化行政监督，限期完成信息安全等级保护备案测评工作。明确了各银行业金融机构定级、备案、测评以及整改各阶段工作时限，要求在规定时间内完成有关工作，并定期对各单位工作情况进行检查和考核，对按期推进并完成信息安全等级保护工作的单位予以表彰，对不能在规定时间内完成各项工作的单位，市公安局、银监局将予以通报。

三是积极整合社会资源，以市计算机信息网络安全协会为抓手加强服务和指导工作。市计算机信息网络安全协会专门成立了银行业工作委员会，吸纳各银行单位信息安全部门领导为委员会成员，以此密切银行业金融单位间的工作联系。公安机关充分利用协会的媒介作用，整合社会力量，并联合银监部门加强了对各银行单位的指导力度，确保了信息安全等级保护各项工作的实施。

为加快推进信息安全登记保护工作，市公安局、银监局于3月份联合召开了全市银行业金融机构信息安全等级保护工作推进会议。市辖各银行业金融机构、省农信联社宁波办事处、中国银联宁波分公司等37家单位的分管领导及部门负责人参加了此次会议。会议总结了全市银行业金融系统信息安全等级保护工作的进展情况，在肯定前期工作的同时，着重对存在的问题及症结进行了针对性分析，并就下一步工作进行了再动员、再部署。会议明确要求在北京奥运会召开前期，全市银行业金融机构要依照信息安全等级保护技术标准和管理规范开展信息系统自查和整改工作，确保信息系统运营安全和稳定，为北京奥运会顺利召开提供稳定的金融服务环境和金融秩序。

参考：http://www.zjtbzx.gov.cn/html/xxaqdj/gzdt/20080514/215.html

4. 简述什么是信息安全等级保护，信息系统的安全等级保护具体分为哪几级

1、信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

2、信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

(4)金融机构信息安全等级扩展阅读：

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；

另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能；

使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

5. P2P网贷平台需要做什么安全认证

需要做信息安全等级认证。
1、什么是国家网络信息安全等级
国家等级保护认证是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。
信息安全保护等级共分为5级，等级越高。意味着安全保护能力越强。
其中三级是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面，主要包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类，要求十分严格，这也是目前网贷行业获得三级信息系统安全等级保护证书较少的重要原因之一。
目前，大多数互联网金融平台获得的以第二级认证为主，第三级属于“监管级别”，四大国有银行(总行)的一二级分行(省行、市行)等重要金融机构一般是第三级认证。
国家信息安全等级的重要性：
1.保障个人信息不受窃取或损坏。
2.有效防范黑客等不法分子通过网络展开的各种攻击以及病毒传播;
3、加强企业关于客户的信息库安全程度，以免客户个人信息遭到泄露;
4、通过国家人证的形式，加强广大企业及用户的安全意识，对信息安全引起足够的重视;
5、顺应国家监管要求，是推进平台合规化进程的重要举措。

6. 金融业需要做信息安全的吗具体能在金融机构中做什么工作

答案是肯定的，能够在金融机构做
系统维护
和运营，信息管理和
数据库管理
极其
保密工作
。不过有很多机构是外包的。希望你能满意。

7. 银行业金融机构在什么个人金融信息时应当严格遵守法律规定确保信息安全

银行业金融在收集、保存、使用、对外提供个人金融信息时，应当严内格遵守法律规定，采取有效容措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用。特别是在收集个人金融信息时，应当遵循合法、合理原则，不得收集与业务无关的信息或采取不正当方式收集信息。
同时，银行业金融应当建立健全内部控制制度，对易发生个人金融信息泄露的环节进行充分排查。央行要求，银行业金融不得篡改、违法使用个人金融信息。使用个人金融信息时，应当符合收集该信息的目的，而且不得出售个人金融信息；不得向本金融以外的其他和个人提供个人金融信息等。

8. 金融行业对信息安全方面相关法规有哪些

(1) 信息泄露：保护的信息被泄露或透露给某个非授权的实体。
(2) 破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。
(3) 拒绝服务：信息使用者对信息或其他资源的合法访问被无条件地阻止。
(4) 非法使用(非授权访问)：某一资源被某个非授权的人，或以非授权的方式使用。
(5) 窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。(6) 业务流分析：通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。
(7) 假冒：通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。
(8) 旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统“特性”，利用这些“特性”，攻击者可以绕过防线守卫者侵入系统的内部。
(9) 授权侵犯：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作“内部攻击”。
(10)抵赖：这是一种来自用户的攻击，涵盖范围比较广泛，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。
(11)计算机病毒：这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序，行为类似病毒，故称作计算机病毒。
(12)信息安全法律法规不完善：由于当前约束操作信息行为的法律法规还很不完善，存在很多漏洞，很多人打法律的擦边球，这就给信息窃取、信息破坏者以可趁之机。