㈠ 违反个人金融信息保护制度要求的行为包括
银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,回采取有答效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。
同时,银行业金融机构应当建立健全内部控制制度,对易发生个人金融信息泄露的环节进行充分排查。央行要求,银行业金融机构不得篡改、违法使用个人金融信息。使用个人金融信息时,应当符合收集该信息的目的,而且不得出售个人金融信息;不得向本金融机构以外的其他机构和个人提供个人金融信息等。
㈡ 银行业金融机构在什么个人金融信息时应当严格遵守法律规定确保信息安全
银行业金融在收集、保存、使用、对外提供个人金融信息时,应当严内格遵守法律规定,采取有效容措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。
同时,银行业金融应当建立健全内部控制制度,对易发生个人金融信息泄露的环节进行充分排查。央行要求,银行业金融不得篡改、违法使用个人金融信息。使用个人金融信息时,应当符合收集该信息的目的,而且不得出售个人金融信息;不得向本金融以外的其他和个人提供个人金融信息等。
㈢ 关于金融信息化,央行2013年报都说了些啥
金融信息安全基础不断夯实
加大金融信息化研究工作力度,深化对金融信息安全的认识。完成国务院下达的“金融信息与网络安全”重点研究课题。
加强金融业信息安全保障体系建设。会同中国银监会制定银行业灾备布局指导意见,改善银行业灾备体系建设。
持续提升中国人民银行信息安全保障水平。修订发布《人民银行信息安全综合规范(2013版)》。组织分支行推广涉密计算机及移动存储介质保密管理系统和主机监控与审计系统,完成中国人民银行办公网保密技术防护整改。
金融科技服务社会作用不断体现
面向小微金融机构提供更广泛的服务。修订《人民银行金融城域网入网管理办法》。完成省级分支机构接入平台建设,新接入1366家小型微型金融机构,提高金融普惠服务水平。
银行卡芯片化迁移取得显著成效。截至年末,新增金融IC卡4.67亿张,占新增银行卡比例为64%,全国累计发卡达到5.93亿张。芯片卡受理环境改造已经完成,面向全国的电子现金跨行圈存系统投入运行。
开展移动金融基础设施建设。移动金融公共服务平台上线试运行,已接入中国建设银行、中信银行等7家机构。
逐步形成金融标准化检测认证体系
扎实推进金融标准化建设。发布《中国金融集成电路(IC)卡规范V3.0》等一系列重要标准。发布《中国人民银行技术标准管理办法》,制定并实施金融企业标准化管理办法,加强金融业标准化工作协调管理。
积极参与金融标准化国际活动。首次承办国际标准化组织金融服务技术委员会(ISO/TC68)年会。参与全球法人识别编码(LEI)体系建设,组织中国银联、外汇交易中心参与ISO20022报文开发。
推进金融标准检测认证体系建设。组织完成国家金融IC卡安全检测中心项目建设并通过验收,填补国内金融领域芯片安全检测空白。有序推进非金融机构支付业务设施技术认证工作。
网络与信息系统规划和建设有序开展
逐步完善数据架构管理。中央银行会计核算数据集中系统(ACS)已在5个省市顺利上线,架构管控迈出重要一步。完成《数据架构分析与深度应用》课题研究,发布中国人民银行数据标准体系报告,制定《数据生命周期管理技术规范》。
加快重要系统的建设和推广。完成国库会计数据集中系统(TCBS)全国推广;完善人民币结算账户管理系统、推进第二代货币发行管理信息系统建设;完成中国人民银行同城和异地灾备布局论证。
推进金融业机构信息管理体系建设。发布《金融机构代码证管理办法(试行)》,启动代码证试点发放。
开展行业科技成果经验总结,推动科技创新。完成中国银行业近20年来的信息化成果初步总结。举办了“2013年金融信息化十件大事”年度评选活动。组织申报发展改革委信息化领域创新能力建设项目,中国银联电子商务与电子支付国家工程实验室项目已获批准。
科技工作一盘棋格局在实践中不断形成
按照管办分离的要求,科技司、信息中心、金融电子化公司开展了明确职责、再造流程的工作,科技司围绕“科技管理”重点做好体系规划、标准建设、架构管理和质量检查工作,信息中心围绕“安全生产”重点做好资源管理、运维监控、应急处置、灾备建设工作,金融电子化公司围绕“系统建设”重点做好开发、测试、集成、认证、研究和宣传工作。各单位站在中国人民银行信息化建设全局高度,相互配合,正在形成信息化建设的协同工作机制。
此外,总分行联动机制发挥作用,各分支行开展区域信息安全管理、金融IC卡应用推广、金融机构代码证发放、网络管理监控系统建设等多项工作,发挥了中国人民银行大科技的整体优势。
金融机构编码体系建设
建立金融机构编码体系框架,形成专业化体制机制
建成金融机构基础信息数据库,打造“金融机构全景图”
扩大应用广度和深度,提高数据综合服务能力
㈣ 银监办发[2016]25号《中国银监会办公厅关于加强银行业消费者权益保护解决当前群众关切问题的指导
中国银监会办公厅关于加强银行业消费者权益保护解决当前群众关切问题的指导意见
银监办发〔2016〕25号
各银监局,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构,中国银行业协会、中国信托业协会:
为认真解决好人民群众关心的热点难点问题,提升金融消费者信心,维护公平正义,促进社会和谐,实现银行业金融机构可持续健康发展,有效治理当前存款纠纷、私售“飞单”、误导销售、违规收费等问题,按照《国务院办公厅关于加强金融消费者权益保护工作的指导意见》(国办发〔2015〕81号)要求,现就加强银行业消费者权益保护工作提出以下意见。
一、健全体制机制,及时跟进银行业消费者对银行服务的各项诉求和关切
(一)加强制度建设。银行业金融机构应按照监管要求,对现有的制度体系开展有针对性的、系统的梳理和完善。要根据银行业消费者权益保护的各项政策和基本原则,尽快建立起目标清晰、架构合理、分工科学、便于操作的管理制度体系,使消费者权益保护工作要求在相关经营管理环节中都能体现为切实可行的业务管理标准。
(二)健全组织体系。开办个人业务的银行业金融机构应在董(理)事会下设立专门的消费者权益保护委员会,并定期向董(理)事会提交有关报告,确保将保护消费者合法权益纳入公司治理、企业文化建设和经营发展战略中。同时,应在法人机构层面设立专职部门,负责组织推动本机构消费者权益保护各项工作,落实人员配备和经费预算,并保证其开展相关工作的独立性、权威性和专业能力。在确保消费者权益保护工作有效开展的前提下,个人业务规模较小的外资银行和农村中小金融机构可以结合实际采取相应的组织形式。
(三)完善工作机制。银行业金融机构应当在提供金融产品或服务的各个业务环节全面贯彻落实消费者权益保护的各项监管要求。要将消费者权益保护工作纳入到综合经营绩效考核评价体系,配以合理考核权重,有效引导各级机构和从业人员严格落实消费者权益保护工作的各项要求,确保政策落地。要完善内部监督制约和考核评价机制,对消费者权益保护各项工作要求落实不力的分支机构和相关业务条线进行严肃问责。
(四)改进投诉管理。银行业金融机构应当认识到消费者投诉对于改进经营管理、提升服务质量的重要意义。要改变单纯压降投诉数量的简单管理模式,注重源头治理,畅通投诉渠道,规范投诉处理流程,切实承担起投诉处置的主体责任。高管层应定期分析消费者投诉处理反映出的各类问题,确保建立一级抓一级、层层抓落实的有效投诉管理体系,依法维护消费者的求偿权。
二、规范经营行为,不断提高服务标准和水平
(一)加强产品信息披露。银行业金融机构的产品名称不得使用带有诱惑性、误导性或易引发争议的语言。产品宣传材料应真实、全面地反映产品的主要特性,严禁夸大收益率或隐瞒重要风险信息。银行业金融机构应建立产品信息查询平台,收录全部在售及存续期内金融产品的基本信息,对存续期内金融产品的风险信息变动情况进行及时提示,并严格区分自有产品和代销产品,供消费者查询。凡未在信息查询平台上收录的产品,一律不得销售,切实保障消费者知情权和自主选择权。通过电子渠道销售的,也应遵守监管部门关于产品销售的规定和流程管理要求。
(二)落实产品销售透明原则。银行业金融机构应引导消费者充分认识金融产品及其差异,进一步完善和落实金融产品风险评估及分级管理制度。售前开展消费者风险偏好、风险认知和风险承受能力测试,确保将合适的产品和服务提供给合适的消费者。妥善留存消费者已明确知晓产品重要属性和风险信息的相关证据,保障消费者知情权和公平交易权。
(三)实施产品销售专区管理。银行业金融机构应当在网点专门区域销售自有理财产品与代销产品。销售专区应有明显标识,并在显著位置以醒目字体提醒消费者通过网站、查询平台或其他媒介了解产品相关信息,并进行风险提示。专区销售人员应当具有理财和代销业务相应资格,除本机构本行销售人员外,禁止其他任何人员在营业场所开展任何形式的营销活动。销售专区内应公示咨询举报电话,便于消费者确认产品属性及相关信息,举报违规销售、私售产品等行为。
(四)实施专区产品销售“双录”。银行业金融机构应在2016年底前完成销售专区内电子监控系统的安装配备工作,实现自有理财产品与代销产品销售过程全程同步录音录像。要完整客观地记录营销推介、相关风险和关键信息提示、消费者确认和反馈等重点销售环节。录像中应可明确辨别银行员工和消费者面部特征,录音应可明确辨识员工和消费者语言表述。录音录像资料至少应保留到产品到期兑付后6个月,发生纠纷的要保留到纠纷最终解决后。银行业金融机构应加强对录音录像录制和保存的管控,确保录音录像的录制和保存不受人为干预或操纵。录制过程中应保护消费者隐私,注重消费者体验,严格防控录音录像信息泄露风险,并确保录音录像资料可随时精准检索和调阅,以有效维护消费者财产安全权和依法求偿权。部分确有实施困难的农村中小金融机构可根据当地实际情况分步实施。
(五)强化消费者个人信息保护。银行业金融机构应在各个环节加强消费者信息保护,未经消费者授权,不得向第三方机构或个人提供消费者的姓名、证件类型及证件号码、电话号码、通信地址及其他敏感信息;未经消费者同意,不得以各种形式向其推送各类服务和产品信息,保障消费者信息安全权。
(六)规范服务收费行为。银行业金融机构应严格执行商业银行服务收费相关办法和监管规定,通过完善业务流程、改进业务系统功能以及加强前台工作人员培训等措施,保证在向消费者提供服务前,事先告知收费与否及各个服务环节的计费标准(包括减免优惠政策)和收费金额,充分保障消费者知情权和自主选择权。
(七)严格执行授信业务管理规定。银行业金融机构及其员工在办理个人贷款、信用卡等业务时,应保证各项条件公正透明,严格履行告知义务并尊重消费者自愿选择。受理申请后,在做好申请人身份识别和审核工作的同时,应坚持客户至上的服务理念,不断提高业务办理效率,减少不必要的审批环节,最大限度地公开工作流程,诚实履行各项合同义务,公平对待消费者。严禁虚假承诺、捆绑销售等违法违规行为,保护消费者的知情权、自主选择权和公平交易权。
(八)提升代销业务规范化管理水平。银行业金融机构应按照银监会相关规定,严格代销业务范围,完善代销业务内部管理制度,加强合作机构和产品准入管理,认真落实各项销售环节监管要求,做好风险隔离,保障消费者的财产安全权、知情权和自主选择权。
(九)加强员工行为管理。银行业金融机构应深入开展教育培训,倡导诚信服务,树立保护消费者权益的经营理念。全面贯彻落实关于加强内部控制和防范操作风险的各类规章制度,结合新的要求,完善和细化业务流程及员工行为标准,严格员工行为管控,杜绝银行员工利用从业身份及借助银行营业场所私售“飞单”、从事非法集资以及其他非法金融活动。要加大员工异常行为排查力度,高度关注员工参与“掮客”交易、频繁划转大额资金等现象,及时发现潜在的风险隐患,防止各类外部风险向银行业传染。同时还应大力倡导诚信举报,鼓励员工坚决抵制各类违法违规行为,全面保障消费者财产安全权。
(十)主动提升服务消费者的意识和水平。银行业金融机构应积极发挥主观能动性,在业务开展过程中,要认真检视服务中存在的问题和不足,并在此基础上完善和细化金融产品和服务的制度及流程。在关系到消费者重大权益的问题上,要在认真履行合同义务的同时,积极通过事先与消费者约定的各类信息提示渠道和方式,主动告知相关信息,提倡人性化地对待消费者。
(十一)加强对特殊消费者群体的关爱和保护。特殊消费者群体权益保护是银行业消费者权益保护的基本内容之一,银行业金融机构应提高认识,在不断完善金融服务过程中充分考虑农民工、残障人士、下岗失业者、老年人等特殊群体的相关权益。应通过实行相关费用优惠减免、根据其消费特点和风险偏好开发金融产品、针对其行为特点设计人性化的服务流程、加大相关服务配套设施投入、提高服务特殊消费者群体的应急处理能力等措施,提供必要便利,满足其合理金融需求,创造适宜的金融服务环境,有效维护特殊消费者群体的公平交易权和受尊重权。
三、强化监管引领,有效推动银行业金融机构践行为民服务宗旨
(一)推进矛盾纠纷化解。各级监管机构要督促银行业金融机构切实承担起消费者权益保护工作的主体责任,贯彻落实消费者投诉“首问负责制”,及时化解各类纠纷、矛盾。特别是要推动银行业金融机构加强对基层单位投诉处理工作的系统管理和指导,按照“先机构、后监管”的工作流程,妥善处理消费者与银行业金融机构之间的各类业务纠纷。同时,各级监管职能部门要认真做好消费者投诉过程中银行业金融机构涉及违法违规行为的性质认定及违规处理工作。要不断总结前期金融消费纠纷调解、仲裁机制试点工作相关经验,积极探索设立具有独立性和公信力的第三方机构,引导消费者通过第三方调解机构化解矛盾纠纷,实现纠纷解决途径的多元化。
(二)联动市场准入监管。要把消费者权益保护工作与市场准入有机结合起来,发挥市场准入的导向作用,推动银行业金融机构不断提升消费者权益保护工作水平。对于有开办理财产品销售业务和代销产品业务资质的拟设网点,应在准入审批环节严格考察其销售专区及专区产品销售“双录”等监管要求落实情况。
(三)强化日常行为监管。要把消费者权益保护纳入日常监管内容,通过舆情监测、消费者投诉分析等渠道,抓住银行业消费者反映强烈的热点难点问题,及时采取有效措施,纠正银行业金融机构各类违法违规行为。将有关加强消费者权益保护体制机制方面的监管要求作为一项重要内容纳入非现场监管体系。要针对银行业金融机构贯彻落实消费者权益保护相关监管要求的情况,组织开展专项现场检查或结合其他现场检查项目开展检查,2016年重点检查产品销售录音录像及个人信息保护制度落实情况、以及误导销售、私售“飞单”、信用卡违规等违规经营行为,对银行业金融机构工作落实情况进行评价,推动相关监管要求落实到位。对工作组织部署不力、推进效果不明显的银行业金融机构,要采取相应的监管措施。银行业协会应充分发挥行业自律组织的作用,组织各会员单位提升服务水平,切实保护消费者权益。
(四)完善工作考核评价。持续完善消费者权益保护工作考核评价机制,不断充实健全考核评价要素和指标,进一步细化考核评价标准,提高考评指标的实效性和可操作性。要将银行业金融机构保障消费者基本权益、回应消费者权益保护领域热点难点问题的工作开展情况及效果纳入年度考核评价内容。逐步推动将银行业金融机构消费者权益保护考核评价结果与监管评级体系及非现场监管、现场检查及其他日常监管手段有机融合,充分发挥考核评价结果的约束作用,推动银行业金融机构不断加强消费者权益保护工作,切实提升工作成效。
(五)加大违规处罚力度。要强化对银行业金融机构消费者权益保护工作的监管问责,对各类严重侵害消费者合法权益的行为,加大依法打击力度。充分利用行政处罚和各种强制措施手段,依法追究相关机构和人员的责任,督促银行业金融机构不断规范经营行为。
四、加大宣教力度,逐步增强银行业消费者维护自身合法权益的能力
(一)明确主体责任。各银行业金融机构要承担起主体责任,向社会公众普及金融知识。要强化组织保障和后勤保障,安排专门的宣传教育工作经费。在积极参加监管部门统一组织的各项宣传教育活动的同时,还要充分动员全体员工,利用营业网点和各种网络资源优势,扩大日常宣传效果。
(二)加强组织推进。各级监管机构要有效整合行业协会等方面的金融知识普及活动,统筹安排各类宣传教育活动的开展时间、频次,避免工作交叉和资源浪费。组织和动员银行业金融机构通过请进来、走出去等多种途径,充分利用现代传媒方式,积极提升银行业消费者金融知识素养。同时,要积极协调相关政府部门,形成合力,扩大金融知识教育活动的覆盖面,推动金融知识普及工作纳入到国民教育体系。
(三)突出宣教重点。各级监管机构和银行业金融机构,要不断增强敏感性,提升宣传教育的时效性。针对当前多发的存款纠纷、私售“飞单”、信用卡还款纠纷、储户个人信息泄露、非法揽储等突出问题,灵活调整和安排宣传内容,增强广大消费者识别非法金融业务、非法金融活动和防范不法侵害的能力,有效促进金融市场和谐健康发展。
非银行金融机构参照本意见执行。
㈤ 银行业金融机构有( )等情形,由中国银监会责令改正。
E是对的,是银监会的职责。E是属于违法经营。
银监会职责:依照法律、行政法规制定并发布对银行业金融机构及其业务活动监督管理的规章、规则;
依照法律、行政法规规定的条件和程序,审查批准银行业金融机构的设立、变更、终止以及业务范围;
对银行业金融机构的董事和高级管理人员实行任职资格管理;
依照法律、行政法规制定银行业金融机构的审慎经营规则;
对银行业金融机构的业务活动及其风险状况进行非现场监管,建立银行业金融机构监督管理信息系统,分析、评价银行业
金融机构的风险状况;
对银行业金融机构的业务活动及其风险状况进行现场检查,制定现场检查程序,规范现场检查行为;
对银行业金融机构实行并表监督管理;
会同有关部门建立银行业突发事件处置制度,制定银行业突发事件处置预案,明确处置机构和人员及其职责、处置措施和
处置程序,及时、有效地处置银行业突发事件;
负责统一编制全国银行业金融机构的统计数据、报表,并按照国家有关规定予以公布;对银行业自律组织的活动进行指
导和监督;
开展与银行业监督管理有关的国际交流、合作活动;
对已经或者可能发生信用危机,严重影响存款人和其他客户合法权益的银行业金融机构实行接管或者促成机构重组;
对有违法经营、经营管理不善等情形银行业金融机构予以撤销;
对涉嫌金融违法的银行业金融机构及其工作人员以及关联行为人的账户予以查询;对涉嫌转移或者隐匿违法资金的申请司
法机关予以冻结;
对擅自设立银行业金融机构或非法从事银行业金融机构业务活动予以取缔;
负责国有重点银行业金融机构监事会的日常管理工作;
承办国务院交办的其他事项。
人行职责:
中国人民银行职能
中国人民银行的主要职责为:
(一)拟订金融业改革和发展战略规划,承担综合研究并协调解决金融运行中的重大问题、促进金融业协调健康发展的责任,参与评估重大金融并购活动对国家金融安全的影响并提出政策建议,促进金融业有序开放。
(二)起草有关法律和行政法规草案,完善有关金融机构运行规则,发布与履行职责有关的命令和规章。
(三)依法制定和执行货币政策;制定和实施宏观信贷指导政策。
(四)完善金融宏观调控体系,负责防范、化解系统性金融风险,维护国家金融稳定与安全。
(五)负责制定和实施人民币汇率政策,不断完善汇率形成机制,维护国际收支平衡,实施外汇管理,负责对国际金融市场的跟踪监测和风险预警,监测和管理跨境资本流动,持有、管理和经营国家外汇储备和黄金储备。
(六)监督管理银行间同业拆借市场、银行间债券市场、银行间票据市场、银行间外汇市场和黄金市场及上述市场的有关衍生产品交易。
(七)负责会同金融监管部门制定金融控股公司的监管规则和交叉性金融业务的标准、规范,负责金融控股公司和交叉性金融工具的监测。
(八)承担最后贷款人的责任,负责对因化解金融风险而使用中央银行资金机构的行为进行检查监督。
(九)制定和组织实施金融业综合统计制度,负责数据汇总和宏观经济分析与预测,统一编制全国金融统计数据、报表,并按国家有关规定予以公布。
(十)组织制定金融业信息化发展规划,负责金融标准化的组织管理协调工作,指导金融业信息安全工作。
(十一)发行人民币,管理人民币流通。
(十二)制定全国支付体系发展规划,统筹协调全国支付体系建设,会同有关部门制定支付结算规则,负责全国支付、清算系统的正常运行。
(十三)经理国库。
(十四)承担全国反洗钱工作的组织协调和监督管理的责任,负责涉嫌洗钱及恐怖活动的资金监测。
(十五)管理征信业,推动建立社会信用体系。
(十六)从事与中国人民银行业务有关的国际金融活动。
(十七)按照有关规定从事金融业务活动。
(十八)承办国务院交办的其他事项。
㈥ 金融机构风险为本管理原则包括以下哪些内容
第六条 银行业金融机构应建立效信息系统风险管理架构完善内部组织结构工作机制防范控制信息系统风险
第七条 银行业金融机构应认真履行列信息系统管理职责:
()贯彻执行家关信息系统管理律、规技术标准落实银监相关监管要求;
(二)建立效信息安全保障体系内部控制规程明确信息系统风险管理岗位责任制度并监督落实;
(三)负责组织本机构信息系统风险进行检查、评估、析及向本机构专门委员银监及其派机构报送相关管理信息;
(四)及向银监及其派机构报告本机构发重信息系统事故或突发事件并按关预案快速响应;
(五)每经董事或其决策机构审查向银监及其派机构报送信息系统风险管理度报告;
(六)做本机构信息系统审计工作;
(七)配合银监及其派机构做信息系统风险监督检查工作并按照监管意见进行整改;
(八)组织本机构信息系统业员进行信息系统关业务、技术安全培训;
(九)展与信息系统风险管理相关其工作
第八条 银行业金融机构董事或其决策机构负责信息系统战略规划、重项目风险监督管理;信息科技管理委员、风险管理委员或其负责风险监督专业委员应制定信息系统总体策略统筹信息系统项目建设定期评估、报告本机构信息系统风险状况决策层提供建议采取相应风险控制措施
第九条 银行业金融机构定代表或主要负责本机构信息系统风险管理责任
第十条 银行业金融机构应设立信息科技部门统负责本机构信息系统规划、研发、建设、运行、维护监控提供科技服务运行技术支持;建立或明确专门信息系统风险管理部门建立、健全信息系统风险管理规章、制度并协助业务部门及信息科技部门严格执行提供相关监管信息;设立审计部门或专门审计岗位建立健全信息系统风险审计制度配备适量合格员进行信息系统风险审计
第十条 银行业金融机构事与信息系统相关工作员应符合要求:
()具备良职业道德掌握履行信息系统相关岗位职责所需专业知识技能;
(二)未经岗前培训或培训合格者岗;经考核适宜工作员应及进行调整
第十二条 银行业金融机构应加强信息系统风险管理专业队伍建设建立才激励机制适应信息技术发展
第十三条 银行业金融机构应依据关律规及规范披露信息系统风险状况
总体风险控制
第十四条 总体风险指信息系统策略、制度、机房、软件、硬件、网络、数据、文档等面影响全局或共风险
第十五条 银行业金融机构应根据信息系统总体规划制定明确、持续风险管理策略按照信息系统敏程度各集要素进行析评估并实施效控制
第十六条 银行业金融机构应采取措施防范自灾害、运行环境变化等产安全威胁防止各类突发事故恶意攻击
第十七条 银行业金融机构应建立健全信息系统相关规章制度、技术规范、操作规程等;明确与信息系统相关员职责权限建立制约机制实行授权
第十八条 境外设立我银行业金融机构或境内设立境外银行业金融机构应防范由于境内外信息系统监管制度差异等造跨境风险
第十九条 银行业金融机构应严格执行家信息安全相关标准参照关际准则积极推进信息安全标准化实行信息安全等级保护
第二十条 银行业金融机构应加强信息系统评估测试及进行修补更新保证信息系统安全性、完整性
第二十条 银行业金融机构信息系统数据机房应符合家关计算机场、环境、供配电等技术标准全性数据至少应达家A类机房标准省域数据至少应达家B类机房标准省域数据至少应达C类机房标准数据机房应实行严格门禁管理措施未经授权进入
第二十二条 银行业金融机构应重视知识产权保护使用版软件加强软件版本管理优先使用具自主知识产权软、硬件产品;积极研发具自主知识产权信息系统相关金融产品并采取效措施保护本机构信息化
第二十三条 银行业金融机构与信息系统相关电设备选型、购置、登记、保养、维修、报废等应严格执行相关规程选用设备应经技术论证测试性能应符合家关标准信息系统所用服务器等关键设备应具较高靠性、充足容量定容错特性并配置适备品备件
第二十四条 信息系统网络应参照相关标准规范设计、建设;网络设备应兼备技术先进性产品熟性;网络设备线路应冗余备份;严格线路租用合同管理按照业务交易流量要求保证传输带宽;建立完善网管监测管理通信线路及网络设备保障网络安全稳定运行
第二十五条 银行业金融机构应加强网络安全管理产网络与发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强线网、互联网接入边界控制;使用内容滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段效降低外部攻击、信息泄漏等风险
第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素管理使用符合家安全标准密码设备完善安全要素、领取、使用、修改、保管销毁等环节管理制度密钥、密码应定期更改
第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节效管理脱离系统采集加工、传输、存取数据;优化系统数据库安全设置严格按授权使用系统数据库采用适数据加密技术保护敏数据传输存取保证数据完整性、保密性
第二十八条 银行业金融机构应信息系统配置参数实施严格安全与保密管理防止非、变更、泄漏、丢失与破坏根据敏程度用途确定存取权限、式授权使用范围严格审批登记手续
第二十九条 银行业金融机构应制定信息系统应急预案并定期演练、评审修订省域数据至少实现数据备份异保存省域数据至少实现异数据实备份全性数据实现异灾备
第三十条 银行业金融机构应加强技术文档资料重要数据备份管理;技术文档资料重要数据应保留副本并异存放按规定限保存调用应严格授权信息系统技术文档资料包括:系统环境说明文件、源程序及系统研发、运行、维护程形各类技术资料重要数据包括:交易数据、账务数据、客户数据及产报表数据等
第三十条 银行业金融机构信息系统能影响客户服务应适式告知客户
研发风险控制
第三十二条 研发风险指信息系统研发程组织、规划、需求、析、设计、编程、测试投产等环节产风险
第三十三条 银行业金融机构信息系统研发前应立项目工作组重项目应立项目领导组并指定负责项目领导组负责项目组织、协调、检查、监督工作项目工作组由业务员、技术员管理员组具体负责整项目发工作
第三十四条 项目工作组员应具备与项目要求相适应业务经验与专业技术知识组负责需具备组织领导能力,保证信息系统研发质量进度
第三十五条 银行业金融机构业务部门根据本机构业务发展战略充进行市场调查、产品效益析基础制定信息系统研发项目行性报告
第三十六条 银行业金融机构业务部门编写项目需求说明书提风险控制要求信息科技部门根据项目需求编制项目功能说明书
第三十七条 银行业金融机构信息科技部门依据项目功能说明书别编写项目总体技术框架、项目设计说明书设计编码应符合项目功能说明书要求
第三十八条 银行业金融机构应建立独立测试环境保证测试完整性准确性测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试测试直接使用产数据
第三十九条 银行业金融机构信息科技部门应根据测试结修补系统功能缺陷提高系统整体质量
第四十条 银行业金融机构业务员、技术员应根据职责范围别编写操作说明书、技术应急案、业务连续性计划、投产计划、应急退计划并进行演练
第四十条 发程所涉及各种文档资料应经相关部门、员签字确认并归档保存
第四十二条 项目验收应具由相关负责签字项目验收报告验收合格投产使用
第五章运行维护风险控制
第四十三条 运行维护风险指信息系统运行与维护程操作管理、变更管理、机房管理事件管理等环节产风险
第四十四条 银行业金融机构信息系统运行与维护应实行职责离运行员应实行专职由其员兼任运行员应按操作规程巡检操作维护员应按授权维护规程要求产状态软硬件、数据进行维护除应急外其维护应非工作间进行
第四十五条 银行业金融机构信息系统运行应符合要求:
()制定详细运行值班操作表包括规定巡检间操作范围、内容、办、命令及负责员等信息;
(二)提供见简便操作菜单或命令信息系统启或停止、运行志查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班程所现象、操作程等信息
第四十六条 银行业金融机构信息系统维护应符合要求:
()除信息系统设备系统环境维护外软件或数据维护必须通特定应用程序进行添加、删除修改数据应通柜员终端数据库进行直接操作;
(二)具备各种详细志信息包括交易志审计志等便维护审计;
(三)提供维护统计报表打印功能
第四十七条 银行业金融机构信息系统变更应符合要求:
()制订严密变更处理流程明确变更控制各岗位职责并遵循流程实施控制管理;变更前应明确应急退案授权进行变更操作;
(二)根据变更需求、变更案、变更内容核实清单等相关文档审核变更确性、安全性合性;
(三)应采用软件工具精确判断变更真实位置内容形变更内容核实清单实现真实、效、全面检验;
(四)软件版本变更应保留初始版本所历史版本保留所历史变更内容核实清单
第四十八条 银行业金融机构信息系统投产定期内应组织系统评价并根据评价及系统功能进行调整优化
第四十九条 银行业金融机构应机房环境设施实行巡检明确信息系统及机房环境设施现故障应急处理流程预案实交易服务数据应实行24值班
第五十条 银行业金融机构应实行事件报告制度发信息系统造重经济、声誉损失重影响事件应即报并处理必要启应急处理预案
外包风险控制
第五十条 外包风险指银行业金融机构信息系统规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商形风险
第五十二条 银行业金融机构进行信息系统外包应根据风险控制实际需要合理确定外包原则范围认真析评估外包存潜风险建立健全关规章制度制定相应风险防范措施
第五十三条 银行业金融机构应建立健全外包承包评估机制充审查、评估承包经营状况、财务实力、诚信历史、安全资质、技术服务能力实际风险控制与责任承担水平并进行必要尽职调查评估工作委托经家相应监管部门认定资质具相关专业经验独立机构完
第五十四条 银行业金融机构应与承包签订书面合同明确双权利、义务并规定承包安全、保密、知识产权面义务责任
第五十五条 银行业金融机构应充认识外包服务信息系统风险控制直接间接影响并其纳入总体安全策略风险控制
第五十六条 银行业金融机构应建立完整信息系统外包风险评估与监测程序审慎管理外包产风险提高本机构外包管理能力
第五十七条 银行业金融机构信息系统外包风险管理应符合风险管理标准策略并应建立针外包风险应急计划
第五十八条 银行业金融机构应与外包承包建立效联络、沟通信息交流机制并制定意外情况能够实现承包顺利变更保证外包服务间断应急预案
第五十九条 银行业金融机构敏信息系统及其涉及家秘密、商业秘密客户隐私数据管理与传递等内容进行外包应遵守家关律规符合银监关规定经董事或其决策机构批准并实施外包前报银监及其派机构律规规定需要报告机构备案
㈦ 金融机构应从()管理的角度
第七条 银行业金融机构应认真履行列信息系统管理职责:
()贯彻执行家关信息系统管理律、规技术标准落实银监相关监管要求;
(二)建立效信息安全保障体系内部控制规程明确信息系统风险管理岗位责任制度并监督落实;
(三)负责组织本机构信息系统风险进行检查、评估、析及向本机构专门委员银监及其派机构报送相关管理信息;
(四)及向银监及其派机构报告本机构发重信息系统事故或突发事件并按关预案快速响应;
(五)每经董事或其决策机构审查向银监及其派机构报送信息系统风险管理度报告;
(六)做本机构信息系统审计工作;
(七)配合银监及其派机构做信息系统风险监督检查工作并按照监管意见进行整改;
(八)组织本机构信息系统业员进行信息系统关业务、技术安全培训;
(九)展与信息系统风险管理相关其工作
第八条 银行业金融机构董事或其决策机构负责信息系统战略规划、重项目风险监督管理;信息科技管理委员、风险管理委员或其负责风险监督专业委员应制定信息系统总体策略统筹信息系统项目建设定期评估、报告本机构信息系统风险状况决策层提供建议采取相应风险控制措施
第九条 银行业金融机构定代表或主要负责本机构信息系统风险管理责任
第十条 银行业金融机构应设立信息科技部门统负责本机构信息系统规划、研发、建设、运行、维护监控提供科技服务运行技术支持;建立或明确专门信息系统风险管理部门建立、健全信息系统风险管理规章、制度并协助业务部门及信息科技部门严格执行提供相关监管信息;设立审计部门或专门审计岗位建立健全信息系统风险审计制度配备适量合格员进行信息系统风险审计
第十条 银行业金融机构事与信息系统相关工作员应符合要求:
()具备良职业道德掌握履行信息系统相关岗位职责所需专业知识技能;
(二)未经岗前培训或培训合格者岗;经考核适宜工作员应及进行调整
第十二条 银行业金融机构应加强信息系统风险管理专业队伍建设建立才激励机制适应信息技术发展
第十三条 银行业金融机构应依据关律规及规范披露信息系统风险状况
总体风险控制
第十四条 总体风险指信息系统策略、制度、机房、软件、硬件、网络、数据、文档等面影响全局或共风险
第十五条 银行业金融机构应根据信息系统总体规划制定明确、持续风险管理策略按照信息系统敏程度各集要素进行析评估并实施效控制
第十六条 银行业金融机构应采取措施防范自灾害、运行环境变化等产安全威胁防止各类突发事故恶意攻击
第十七条 银行业金融机构应建立健全信息系统相关规章制度、技术规范、操作规程等;明确与信息系统相关员职责权限建立制约机制实行授权
第十八条 境外设立我银行业金融机构或境内设立境外银行业金融机构应防范由于境内外信息系统监管制度差异等造跨境风险
第十九条 银行业金融机构应严格执行家信息安全相关标准参照关际准则积极推进信息安全标准化实行信息安全等级保护
第二十条 银行业金融机构应加强信息系统评估测试及进行修补更新保证信息系统安全性、完整性
第二十条 银行业金融机构信息系统数据机房应符合家关计算机场、环境、供配电等技术标准全性数据至少应达家A类机房标准省域数据至少应达家B类机房标准省域数据至少应达C类机房标准数据机房应实行严格门禁管理措施未经授权进入
第二十二条 银行业金融机构应重视知识产权保护使用版软件加强软件版本管理优先使用具自主知识产权软、硬件产品;积极研发具自主知识产权信息系统相关金融产品并采取效措施保护本机构信息化
第二十三条 银行业金融机构与信息系统相关电设备选型、购置、登记、保养、维修、报废等应严格执行相关规程选用设备应经技术论证测试性能应符合家关标准信息系统所用服务器等关键设备应具较高靠性、充足容量定容错特性并配置适备品备件
第二十四条 信息系统网络应参照相关标准规范设计、建设;网络设备应兼备技术先进性产品熟性;网络设备线路应冗余备份;严格线路租用合同管理按照业务交易流量要求保证传输带宽;建立完善网管监测管理通信线路及网络设备保障网络安全稳定运行
第二十五条 银行业金融机构应加强网络安全管理产网络与发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强线网、互联网接入边界控制;使用内容滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段效降低外部攻击、信息泄漏等风险
第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素管理使用符合家安全标准密码设备完善安全要素、领取、使用、修改、保管销毁等环节管理制度密钥、密码应定期更改
第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节效管理脱离系统采集加工、传输、存取数据;优化系统数据库安全设置严格按授权使用系统数据库采用适数据加密技术保护敏数据传输存取保证数据完整性、保密性
第二十八条 银行业金融机构应信息系统配置参数实施严格安全与保密管理防止非、变更、泄漏、丢失与破坏根据敏程度用途确定存取权限、式授权使用范围严格审批登记手续
第二十九条 银行业金融机构应制定信息系统应急预案并定期演练、评审修订省域数据至少实现数据备份异保存省域数据至少实现异数据实备份全性数据实现异灾备
第三十条 银行业金融机构应加强技术文档资料重要数据备份管理;技术文档资料重要数据应保留副本并异存放按规定限保存调用应严格授权信息系统技术文档资料包括:系统环境说明文件、源程序及系统研发、运行、维护程形各类技术资料重要数据包括:交易数据、账务数据、客户数据及产报表数据等
第三十条 银行业金融机构信息系统能影响客户服务应适式告知客户
研发风险控制
第三十二条 研发风险指信息系统研发程组织、规划、需求、析、设计、编程、测试投产等环节产风险
第三十三条 银行业金融机构信息系统研发前应立项目工作组重项目应立项目领导组并指定负责项目领导组负责项目组织、协调、检查、监督工作项目工作组由业务员、技术员管理员组具体负责整项目发工作
第三十四条 项目工作组员应具备与项目要求相适应业务经验与专业技术知识组负责需具备组织领导能力,保证信息系统研发质量进度
第三十五条 银行业金融机构业务部门根据本机构业务发展战略充进行市场调查、产品效益析基础制定信息系统研发项目行性报告
第三十六条 银行业金融机构业务部门编写项目需求说明书提风险控制要求信息科技部门根据项目需求编制项目功能说明书
第三十七条 银行业金融机构信息科技部门依据项目功能说明书别编写项目总体技术框架、项目设计说明书设计编码应符合项目功能说明书要求
第三十八条 银行业金融机构应建立独立测试环境保证测试完整性准确性测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试测试直接使用产数据
第三十九条 银行业金融机构信息科技部门应根据测试结修补系统功能缺陷提高系统整体质量
第四十条 银行业金融机构业务员、技术员应根据职责范围别编写操作说明书、技术应急案、业务连续性计划、投产计划、应急退计划并进行演练
第四十条 发程所涉及各种文档资料应经相关部门、员签字确认并归档保存
第四十二条 项目验收应具由相关负责签字项目验收报告验收合格投产使用
第五章运行维护风险控制
第四十三条 运行维护风险指信息系统运行与维护程操作管理、变更管理、机房管理事件管理等环节产风险
第四十四条 银行业金融机构信息系统运行与维护应实行职责离运行员应实行专职由其员兼任运行员应按操作规程巡检操作维护员应按授权维护规程要求产状态软硬件、数据进行维护除应急外其维护应非工作间进行
第四十五条 银行业金融机构信息系统运行应符合要求:
()制定详细运行值班操作表包括规定巡检间操作范围、内容、办、命令及负责员等信息;
(二)提供见简便操作菜单或命令信息系统启或停止、运行志查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班程所现象、操作程等信息
第四十六条 银行业金融机构信息系统维护应符合要求:
()除信息系统设备系统环境维护外软件或数据维护必须通特定应用程序进行添加、删除修改数据应通柜员终端数据库进行直接操作;
(二)具备各种详细志信息包括交易志审计志等便维护审计;
(三)提供维护统计报表打印功能
第四十七条 银行业金融机构信息系统变更应符合要求:
()制订严密变更处理流程明确变更控制各岗位职责并遵循流程实施控制管理;变更前应明确应急退案授权进行变更操作;
(二)根据变更需求、变更案、变更内容核实清单等相关文档审核变更确性、安全性合性;
(三)应采用软件工具精确判断变更真实位置内容形变更内容核实清单实现真实、效、全面检验;
(四)软件版本变更应保留初始版本所历史版本保留所历史变更内容核实清单
第四十八条 银行业金融机构信息系统投产定期内应组织系统评价并根据评价及系统功能进行调整优化
第四十九条 银行业金融机构应机房环境设施实行巡检明确信息系统及机房环境设施现故障应急处理流程预案实交易服务数据应实行24值班
第五十条 银行业金融机构应实行事件报告制度发信息系统造重经济、声誉损失重影响事件应即报并处理必要启应急处理预案
外包风险控制
第五十条 外包风险指银行业金融机构信息系统规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商形风险
第五十二条 银行业金融机构进行信息系统外包应根据风险控制实际需要合理确定外包原则范围认真析评估外包存潜风险建立健全关规章制度制定相应风险防范措施
第五十三条 银行业金融机构应建立健全外包承包评估机制充审查、评估承包经营状况、财务实力、诚信历史、安全资质、技术服务能力实际风险控制与责任承担水平并进行必要尽职调查评估工作委托经家相应监管部门认定资质具相关专业经验独立机构完
第五十四条 银行业金融机构应与承包签订书面合同明确双权利、义务并规定承包安全、保密、知识产权面义务责任
第五十五条 银行业金融机构应充认识外包服务信息系统风险控制直接间接影响并其纳入总体安全策略风险控制
第五十六条 银行业金融机构应建立完整信息系统外包风险评估与监测程序审慎管理外包产风险提高本机构外包管理能力
第五十七条 银行业金融机构信息系统外包风险管理应符合风险管理标准策略并应建立针外包风险应急计划
第五十八条 银行业金融机构应与外包承包建立效联络、沟通信息交流机制并制定意外情况能够实现承包顺利变更保证外包服务间断应急预案
第五十九条 银行业金融机构敏信息系统及其涉及家秘密、商业秘密客户隐私数据管理与传递等内容进行外包应遵守家关律规符合银监关规定经董事或其决策机构批准并实施外包前报银监及其派机构律规规定需要报告机构备案
㈧ 急求我国法律在对银行网络安全的相关规定
《中华人民共和国人民银行法》
中华人民共和国商业银行法
中华人民共和国版银行业监督权管理法
中华人民共和国证券法
《中华人民共和国计算机信息系统安全保护条例》
网络安全:
金融机构计算机信息系统安全保护工作暂行规定;
互联网著作权行政保护办法
电子认证服务管理办法(2005年4月1日)
计算机信息网络国际联网保密管理规定(2000年1月1日)
计算机信息网络国际联网安全保护管理办法(1997年12月30日)
计算机信息网络国际联网保密管理规定(2000年1月1日)
信息网络传播权保护条例
[法律]《维护互联网安全的决定》(2000年12月28日)
㈨ 我国信息安全保密法律体系具有哪些特征
目前我国信息安全法律体系的主要特点
通过对目前我国现行信息安全相关法律法规的整理分析,我们可以初步概括出目前我国信息安全法律体系的主要特点:
1、信息安全法律法规体系初步形成
目前我国现行法律法规及规章中,与信息安全直接相关的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,在文件形式上,有法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。
其中,全面规范信息安全的法律法规有18部,包括94年的《中华人民共和国计算机信息系统安全保护条例》等法规,也包括2003年的《广东省计算机信息系统安全保护管理规定》,98年的《重庆市计算机信息系统安全保护条例》等地方法规;侧重于互联网安全的有7部,包括2000年《全国人民代表大会常务委员会关于维护互联网安全的决定》等法律层面的文件,也包括97年的《计算机信息网络国际联网安全保护管理办法》等部门规章;侧重于信息安全系统与产品的有3部,包括97年的《计算机信息系统安全专用产品检测和销售许可证管理办法》等部门规章;侧重于保密的有10部,既包括89年的《中华人民共和国保守国家秘密法》等法律,也包括98年的《计算机信息系统保密管理暂行规定》、2000年的《计算机信息系统国际联网保密管理规定》、97年的《农业部计算机信息网络系统安全保密管理暂行规定》等部门规章;侧重于密码管理及应用的有5部,包括99年的《商用密码管理条例》等法规,也包括2005年的《电子认证服务管理办法》、《电子认证服务密码管理办法》等部门规章,还包括2002年的《上海市数字认证管理办法》、2001年的《海南省数字证书认证管理试行办法》等地方法规或规章;侧重于计算机病毒与危害性程序防治的有9部,包括2000年的《计算机病毒防治管理办法》等部门规章,也包括94年的《北京市计算机信息系统病毒预防和控制管理办法》、2002年的《天津市预防和控制计算机病毒办法》等地方法规或规章;侧重于特定领域信息安全的有9部,包括98年的《金融机构计算机信息安全保护工作暂行规定》、2003年的《铁路计算机信息系统安全保护办法》、2005年的《证券期货业信息安全保障管理暂行办法》等部门规章,也包括2003年的《广东省电子政务信息安全管理暂行办法》等地方法规或规章;侧重于信息安全监管的有3部,包括2004年的《上海市信息系统安全测评管理办法》等地方法规或规章;侧重于信息安全犯罪处罚的主要是我国刑法第285条、286条、287条等相关规定。
总体来看,这些信息安全法律法规或多或少所体现的我国信息安全的基本原则可以简单归纳为国家安全、单位安全和个人安全相结合的原则,等级保护的原则,保障信息权利的原则,救济原则,依法监管的原则,技术中立原则,权利与义务统一的原则;而基本制度可以简单归纳为统一领导与分工负责制度,等级保护制度,技术检测与风险评估制度,安全产品认证制度,生产销售许可制度,信息安全通报制度,备份制度等。
2、与信息安全相关的司法和行政管理体系迅速完善
有了《中华人民共和国刑法》第217、218、285、286、287、288条、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《电信条例》、《互联网信息服务管理办法》等法律依据,有了《最高人民法院最高人民检察院关于办理利用互联网、移动通讯端、声讯台制作、复制、出版、贩卖、传播、淫秽电子信息刑事案件具体应用法律若干问题的解释》等司法解释,一些危害信息安全的案例迅速得到裁判,如广州市中级人民法院裁判的吕薛文破坏计算机信息系统案、乌鲁木齐市中级人民法院裁判的何朴利用其担任银行计算机操作员的职务便利贪污巨额公款案等,震慑了违法犯罪分子,维护了计算机信息网络的正常秩序。
经过多年的工作,在我国信息安全行政管理方面,信息安全保障体系建设也已初见成效,与信息安全法律法规体系相配套的标准体系建设、应急处理体系建设、等级保护体系建设、电子认证体系建设、安全测评体系建设、计算机病毒疫情调查和控制体系建设以及违法和不良信息举报制度建设等都得到较快的发展,为电子政务、电子商务及信息化做出了贡献。
3、目前法律规定中法律少而规章等偏多,缺乏信息安全的基本法。
虽然可以说目前我国信息安全的法律体系已初步形成,但还很不成熟,在这一体系中,部门规章、地方法规及规章等占了绝大多数,而法律、法规只占到65部中的8部,为12%。部门规章、地方法规及规章等效力层级较低,适用范围有限,相互之间可能产生冲突,也不能作为法院裁判的依据,直接影响了这些措施的效果。并且十分关键的是,目前我们还没有一部信息安全的基本法,对于信息安全的基本法,我们理解为一部确立信息安全的基本原则、基本制度及一些核心内容的法律,而我们前面提到的很多规定都应是从这部法律的基本框架中延伸出来的,只有有了这部法律,我们的信息安全法律体系才能说是有了主干。国外类似的法律如美国2002年的《联邦信息安全管理法》、87年的《计算机安全法案》、俄罗斯95年的《联邦信息、信息化和信息保护法》等。
4、相关法律规定篇幅偏小,行为规范较简单。
我国现有信息安全相关法律规定普遍存在的问题是篇幅较小,规定得比较笼统,比如《全国人民代表大会常务委员会关于维护互联网安全的决定》共7条,《中华人民共和国计算机信息系统安全保护条例》共31条,《中华人民共和国计算机信息网络国际联网管理暂行规定》共17条,《计算机信息网络国际联网安全保护管理办法》(公安部)共25条,《互联网信息服务管理办法》共27条,《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部)共26条,《商用密码管理条例》共27条,《计算机信息系统国际联网保密管理规定》(国家保密局)共20条,《计算机病毒防治管理办法》(公安部)为22条。
此外,总体看来,目前这些法律法规主要存在三个方面有待完善的地方:第一,这些法律法规主要内容集中在对物理环境的要求、行政管理的要求等方面,对于涉及信息安全的行为规范一般都规定的比较简单,在具体执行上指引性还不是很强;第二,目前这些法律法规普遍在处罚措施方面规定得不够具体,导致在信息安全领域实施处罚时法律依据的不足;第三,在一些特定的信息化应用领域,如电子商务、电子政务、网上支付等,相应的信息安全规范相对欠缺,有待于进一步发展。
5、与信息安全相关的其他法律有待完善
在建立健全信息安全法律体系的同时,与信息安全相关的其他法律法规的出台和完善也非常必要,如电信法、个人数据保护法等,这些法律法规与信息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。
在这里,我们还可以简单理一下这个大信息安全法律环境的脉络:
首先,从权利的角度看,信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权,而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法,与隐私权相关的法律是民法通则,与著作权及相关知识产权相关的法律是著作权法、合同法,此外,还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法;信息安全中涉及的单位的权利主要包括商业秘密、技术秘密、著作权及相关知识产权等,而与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法,与著作权及相关知识产权相关的法律有著作权法、合同法,此外,还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法;再从国家的角度看,信息安全涉及国家安全、保密和金融安全等,与国家安全相关的法律是国家安全法,与保密相关的法律是保守国家秘密法,与金融安全相关的法律是银行法。
其次,从应用的角度看,与信息安全相邻或相交的领域包括:电信、无线电、集成电路、计算机软件与系统集成、网络及网络信息服务、电子商务与现代物流、电子政务、信息资源公开、利用等。在这些领域我们又可以看到电信条例、无线电管理条例、集成电路布图设计保护条例、计算机软件保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、互联网信息服务管理办法、互联网上网服务营业场所管理条例、电子签名法等一系列法律、法规、部门规章及地方法规、规章。