“十二五”以来,西藏金融机构深入贯彻习近平总书记网络强国战略思想,牢牢围绕“强基础、保安全、谋创新、促发展”的理念,不断深化金融业改革,以信息化建设促金融发展,以网络安全建设促金融安全,以信息化建设促民生进步。辖区金融业网络安全协调机制不断完善,网络安全管理水平稳步提升,有效应对了新形势下面临的各种挑战,保障了辖区金融信息系统的安全、稳定运行,为西藏金融安全、经济安全和社会安全作出了重要的贡献。
一、金融网络安全管理体系不断健全,信息安全管理水平不断提升
我区各金融机构高度重视网络安全工作,均建立了信息安全领导小组,加强对网络安全工作的组织领导。领导小组由各银行业金融机构行级领导任组长,横跨科技、业务、后勤、保卫等相关部门。领导小组负责本单位信息化建设、信息安全管理、突发网络安全事故处置等重大事件的领导和统筹协调。
网络安全保障体系不断完善,金融信息安全管理水平进一步提升。各银行业金融机构建立了符合自身特点的网路安全保障组织架构,实行分层管理,各层级均设置了专职信息安全管理部门和网络安全管理员。各单位制定了涵盖信息安全方针、策略、标准、规范、实施细则等层面的信息安全制度,使信息安全管理有规可依、有章可循。同时,建成了覆盖数据安全、应用安全、网络安全、物理安全层面的信息安全技术保障体系。
高度重视,重要时期网络安全全面保障。我区银行业金融机构高度重视重要时期信息安全保障,严格开展网络安全自查,全面排查信息安全风险。重要时期各单位严格落实24小时值班制度,确保重要网络和信息系统平稳运行。金融机构成功保障了每年两会、党代会、西藏自治区和平解放60周年、世界反法西斯战争胜利70周年、西藏自治区成立50周年等重要时期和敏感日全辖金融业信息系统的安全稳定运行。
应急管理制度不断健全,应急管理水平不断提升。区内各银行业金融机构均建立了涵盖机房、网络、系统、病毒入侵等方面的应急管理制度和应急预案,定期修订应急预案,开展应急演练,提升应急管理和应急处置水平。同时,各单位建立了业务连续性组织架构,明确了业务连续性管理的内容、目标、职责分工、应急处置机制和流程等,明确了外部应急技术支援队伍和响应时间,建立了明确的备机备件库或备机备件供应渠道。部分机构建立了3G移动应急管理平台,有效保障紧急情况下的金融服务连续性。2015年4月25日,尼泊尔发生8.1级强烈地震,这场地震强度大、波及广,与尼泊尔直接接壤的樟木口岸受损严重,人民银行樟木口岸中心支行业务系统和通讯完全中断,中国银行区分行、农业银行区分行和中国邮储银行区分行至樟木支行的主备网络线路全部中断,造成樟木银行业机构所有对外服务停止。在自然灾害面前,辖内金融机构坚决贯彻自治区党委、政府关于做好抗震救灾的重要指示精神,以高度的政治责任感和使命感,有序组织,周密安排,高效工作,积极开展抗震救灾。各银行业机构及时启动IT系统应急预案,全面开展震区金融服务保障工作。通过应急处置,及时恢复了震区金融服务工作,确保了震区的金融稳定,为灾后恢复和重建作出了应有的贡献。
二、金融网络安全协调机制不断完善,跨单位协调水平不断提升
安全协调机制不断完善,发布了《西藏辖区金融业信息安全协调机制指引》,进一步加强信息安全工作协调。成立了以中国人民银行拉萨中心支行、西藏银监局、西藏证监局、西藏保监局和辖区银行业机构为主的金融业信息安全工作领导小组,形成了定期召开金融联席会议,组织开展金融业信息安全综合检查、专项检查,协调处置重大信息安全事件的机制。中国人民银行拉萨中心支行每年召开银行机构信息安全协调联席会议,分析辖区金融业信息安全形势和网络安全发展态势,协调应对区域性、系统性重大信息安全风险。
应急协调稳步推进,制订了《西藏辖区金融业信息安全应急工作协调预案》,进一步提升应急管理水平。按照分类协调的原则,预案规范了金融机构面对网络通信、电力供应、网络攻击、网络犯罪案件、公共突发事件以及其他对国家金融安全有重大或全局性影响的信息安全事件的处理流程。预案建立了横跨金融机构、公安、通讯、电力等单位的协调和应急处置机制,进一步加强了跨部门的协调,形成了网络安全治理合力,能够及时预警、快速处置辖区金融业信息安全事件,协同防范金融信息安全风险,共同维护金融稳定。
风险联动机制逐步健全,建立了适应辖区实际的信息安全管理规范,建立了安全事件报告及跨单位风险处置机制。人民银行拉萨中心支行2015年发布了《西藏自治区银行业金融机构信息安全管理指引》,进一步规范辖区金融机构信息安全自查和风险评估。同时,根据人民银行总行、自治区网络和信息化办公室发布的金融业信息安全风险提示,人民银行拉萨中心支行及时将风险提示转发给辖区各金融机构,并要求第一时间开展处置,降低信息安全风险。发生安全事件后,金融机构及时向人民银行拉萨中心支行报告事件情况,第一时间开展处置。根据事态发展,拉萨中支及时启动金融机构风险联动机制,协调开展应急处置。2017年,辖区金融机构同心协力,有效应对了永恒之蓝勒索病毒、震网病毒Ⅲ、佩加勒索病毒等重大网络安全威胁。
三、金融网络安全建设不断取得进步,信息安全保障水平稳步提高
信息系统等级保护制度深入落实。等级保护制度是国家加强信息系统网络安全管理的重要制度,辖区银行机构定级备案完整,目前共有等级保护三级系统7个,所有系统均已完成等级保护定级、备案、测评、整改工作,三级系统定级数量较2012年增加75%。辖内银行机构其他二级信息系统,也完成相关定级备案工作。同时,各单位严格开展信息系统等级保护测评。2016年,人民银行拉萨中心支行、农业银行西藏分行、建设银行西藏分行、中国邮政储蓄银行西藏分行等级保护三级系统均完成年度测评工作,辖区三级系统年度测评率达到57.14%,等保三级符合率达到100%。金融机构新建系统时,严格按照等级保护要求,将信息化建设与网络安全建设“同步规划、同步建设、同步验收”,进一步加强等级保护制度的落实,提升信息系统安全保障水平。
金融信息基础设施安全保障水平稳步提升。辖区银行机构不断加强金融基础设施、网络、系统信息安全建设,进一步降低信息安全风险。截至2017年6月,辖区银行机构区级分行B类机房达标率达到100%,比2012年有大幅提升,其中一家银行的机房达到A类机房标准。各金融机构积极开展同城灾备中心建设,“十二五”期间,共有2家银行业金融机构完成同城灾备中心建设,1家机构完成异地灾备中心建设。同时,各机构积极加快网络升级,加速网络架构转型,加速业务系统集中,提高网络、系统健壮性。
网络安全防护体系进一步完善。辖区银行业金融机构基本建成以加密机、防火墙、入侵检测系统、终端管理、防病毒、漏洞扫描、运维审计、数据库审计系统为主的信息安全防护体系,不断加强对网络、终端、数据的安全管理,有效保障通信安全、边界安全和计算环境安全。部分单位积极开展网络安全动态势感知系统建设,建设集网络安全态势感知、检测、预警为一体的动态化、智能化的安全管理系统,进一步提高“互联网+”时代下的信息安全管理水平。
四、银行卡支付安全管理取得进展,全面关闭复合卡磁条交易功能
一是加快金融IC卡发行。金融IC卡是以芯片作为介质的银行卡,具有安全性高、存储容量大、运算能力强、交易速度快的优势,辖区银行业机构从2014年开始不断加快金融IC卡的发行。截至2017年二季度末,西藏辖区累计发行符合中国人民银行PBOC标准的金融IC卡338.8万余张,占银行卡存量的66.24%。金融IC卡的大量发行,有效降低了银行卡信息泄露带来的伪卡欺诈风险。
二是全面关闭复合卡磁条交易功能。目前,辖区绝大多数金融IC卡为芯片与磁条复合卡,还有少部分存量磁条卡。磁条卡信息存储量小、易被读取和复制、伪造。不法分子通过在受理终端安装侧录装置等方式,非法测录磁条卡的磁条信息,进而复制伪卡实施盗刷。同理,复合卡的磁条交易具有一定的安全短板,关闭复合卡磁条交易有助于进一步防范伪卡欺诈交易风险,提升支付风险防控能力。2014年以来,辖区银行机构、支付机构已陆续关闭ATM、POS终端的复合卡的降级(磁条)交易。2017年,为进一步防范银行卡风险,根据《中国人民银行关于进一步加强银行卡风险管理的通知》要求,辖区银行机构、支付机构自2017年5月1日起,已全面关闭ATM、POS终端、自助终端等境内线下渠道复合卡的磁条交易,进一步降低了伪卡欺诈风险。
三是加强银行卡终端安全管理。2017年,根据《关于强化银行卡受理终端安全管理的通知》的要求,辖区金融机构高度重视银行卡终端安全管理工作,进一步加强银行卡终端安全管理。第一,规范银行卡交易报文管理,保障交易报文的完整性、真实性和可追溯性,防范欺诈交易风险。第二,加强银行卡受理终端在银联平台的注册管理,保证终端接入的合法性,防止非法改装的POS终端对银行卡信息的复制。第三,强化银行卡受理终端产品质量管理,部署符合国家标准及金融行业标准的受理终端。
五、金融网络安全知识宣传取得进步,网络安全宣传周活动深入开展
为深入贯彻习近平总书记重要讲话、重要批示精神和总体国家安全观,宣传习近平总书记网络强国战略思想、金融网络安全相关政策法规,培育有高度的网络安全意识、有文明的金融安全素养、有守法的行为习惯和有必备的防护技能的“四有金融消费者”,根据人民银行总行和自治区网络安全和信息化领导小组办公室统一部署,人民银行拉萨中心支行积极组织辖区金融机构开展网络安全宣传周活动。
2016年辖内银行业金融机构102个网点268名工作人员参与了西藏网络安全宣传周活动,累计发放《金融网络安全知识手册》8000余册。9月23日网络安全宣传周“金融日”,人民银行拉萨中心支行组织西藏银行开展了现场集中宣传活动、邮储银行开展了金融安全知识走进那曲第二高级中学活动。
2017年网络安全宣传周,辖区金融机构将继续深入开展金融信息安全宣传活动。9月22日“金融日”主题宣传日前后,中国人民银行拉萨中心支行将组织辖区金融机构开展以“关注金融网络安全 ,构建和谐支付环境”为主题的“进校园、进社区、进商圈、进乡镇”专题宣传活动。宣传活动将以搭设展台、发放金融安全知识手册、开展有奖问答等形式进行。同时,人民银行各市地(口岸)中心支行将组织辖内金融机构在步行街、大型广场、社区等群众集中区域开展现场宣传活动,辖区银行机构在营业网点同步开展宣传活动。
通过网络安全宣传周金融机构主题宣传活动,将使辖区更多公众了解金融网络安全知识,了解银行卡和网络支付风险,熟悉常见电信网络诈骗手段,进一步提高辖内公众金融网络安全意识,提升防范电信网络诈骗能力,增强公众金融安全感。
自治区政府部门网站
地方门户网站
各省(区市)政府门户网站
其他
