銀行員工信息安全培訓

科技信息部徐杰員工信息安全培訓目錄CONTENTS1國內外信息安全形勢

2網絡安全法簡單解讀

3本行信息安全規(guī)定

4信息安全測試與防范

01信息安全整體形勢網絡未普及時，信息安全工作就是保障計算機系統(tǒng)安全，主要做到不當機、不染毒和系統(tǒng)不崩毀；網絡普及特別是互聯(lián)網普及后，信息安全更多的是做好網絡防護，保障信息數據不被黑客竊取。沒有絕對的安全，只有相對的安全。信息安全是一個攻防的平衡點。信息安全包括網絡安全和數據安全。12346手工階段：1995年前支行記賬采取手工記帳模式，算盤是主要計算工具。單機階段：1997年各支行采用電腦單機記賬模式，主要用電腦進行計算和信息保存，有了信息安全概念，主要就是保障計算機系統(tǒng)安全，不當機、不染毒和系統(tǒng)不崩毀；鄉(xiāng)鎮(zhèn)聯(lián)網階段：1998年后，以鄉(xiāng)鎮(zhèn)為單位陸續(xù)進行電腦聯(lián)網。信息安全主要就是保障計算機網絡貫通，系統(tǒng)安全，不當機、不染毒和系統(tǒng)不崩毀；余姚市級聯(lián)網階段：2000年下半年，余姚全市上線寧波版綜合業(yè)務系統(tǒng)，實現(xiàn)全市通存通兌，信息安全主要就是保障全市網絡貫通，系統(tǒng)安全，不當機、不染毒和系統(tǒng)不崩毀；移動金融和互聯(lián)網金融階段：省聯(lián)社推出手機銀行、互聯(lián)網金融核心業(yè)務，信息安全主要防護全省互聯(lián)網方向的網絡安全和防護，保障網絡不被黑客攻破。52008年全省聯(lián)網階段：2008年11月全寧波并入省版綜合業(yè)務系統(tǒng)，實現(xiàn)全省通存通兌，本行信息安全主要就是保障全市網絡貫通，做好泄密數據保護和客戶端不染毒；本行信息安全發(fā)展概況

——里程碑網絡已經和人類的

生活息息相關微信12306攜程大眾點評網絡空間已經滲透到政治經濟文化生活等各個領域第6頁政治網絡政治斗爭加劇群體性事件增加網絡軍事博弈增加軍事黑客入侵頻繁信息安全問題形式多樣國家經濟損失重大經濟數據泄露嚴重軍事經濟1-1全球網絡空間面臨的安全挑戰(zhàn)案例：斯諾登事件棱鏡計劃（PRISM）是一項由美國國家安全局自2007年起開始實施的絕密電子監(jiān)聽計劃。斯諾登的爆料，可謂一個人的力量，撬動了全球的神經。“棱鏡計劃”的特點美國監(jiān)控的事實性、高端性且違反國際法則

美國監(jiān)控的全面性

美國監(jiān)控的長期性

美國監(jiān)控的重點性“斯諾登事件”的影響美國對全球監(jiān)控的事實浮出水面

揭露了美國霸權主義本性

反映了發(fā)展中國家在網絡時代所處的困境

曝露了網絡化力量的非平衡性

改變人們對網絡世界的認識

影響未來的戰(zhàn)略布局美國其它監(jiān)控計劃棱鏡計劃、星風計劃……監(jiān)聽計劃參與成員國1、“海蓮花”黑客組織專攻中國國家級機構，攻擊方式“魚叉攻擊”和“水坑攻擊”；2、“匿名者”黑客組織在全球擁有60多萬人成員；第11頁1-2我國網絡空間安全現(xiàn)狀1-2-1我國網絡空間面臨的安全威脅政治滲透

竊密、泄密

網絡犯罪

技術隱患

恐怖的破壞1-2-2我國網絡空間安全新動向網絡威脅與政治政權相關網絡威脅與社會穩(wěn)定相關網絡威脅與恐怖組織相關1-2-3攻擊案例分析國際性重大活動受攻擊事件某政府機關門戶被黑事件某金融機構服務器被入侵事件某有線電視臺被植入后門程序事件某航空公司信息系統(tǒng)被黑客入侵事件某公司關鍵基礎設施被遠程控制事件國際性重大活動受攻擊事件案例：2008年奧運會利用U盤進行技術滲透國際性重大活動受攻擊事件據杭州安恒信息技術有限公司CEO范淵介紹：2016年9月1日-

5日整個G20會議期間，

共計受到來自41個國家的362萬次攻擊；在網絡安保中“國家隊”和“民間高手”的通力合作下，確保會議“圓滿”完成。

在信息化時代，各種信息系統(tǒng)的應用已基本覆蓋活動的籌備組織、運行管理、對外服務等各環(huán)節(jié)，而G20這種國際性重大活動，也被很多不法分子視作“一舉成名”的舞臺、被國家敵對勢力視為打擊破壞的“重要時刻”。因此，在此類活動中，保護網絡環(huán)境的安全成為一項“重頭戲”。案例：2016年G20峰會某政府機關門戶被黑事件

據知道創(chuàng)宇偵測統(tǒng)計，至少有上百個政府網站頁面被賭博信息攻占，其中包括了淄博市人民政府網、湖州市信息中心網、菏澤市人民政府網、常德政府網站、滁州市人民政府網等重要站點。被篡改網站中，有部分是采用了大漢JCMS系統(tǒng)。

國家體育總局網站因漏洞被篡改更為嚴重的是：政府或機關網站被反共人士利用，直接被貼上反共標語，性質極為嚴重。某金融機構服務器被入侵事件據CNNMoney報道，一個“拉撒路”

的黑客團體攻擊了全球銀行系統(tǒng)目前仍逍遙法外。2015年1月份，厄瓜多爾某銀行失竊。黑客盜走1200萬美元，并通過美國的一個富國銀行賬戶將這筆資金轉走。同年10月份，菲律賓一家銀行遭到黑客攻擊。黑客用一組計算機代碼掌控了銀行工作人員的臺式電腦。不過，到目前為止，尚不清楚這家銀行是否有現(xiàn)金損失。12月份，越南的TPBank遭到黑客攻擊。過程中，黑客試圖轉走100萬美元，但未能成功。2016年1月份，黑客入侵了孟加拉央行的安全系統(tǒng)，然后偽裝成孟加拉官員，向紐約聯(lián)邦儲備銀行發(fā)送一連串指令，要求轉移孟加拉央行賬上的大筆存款，共有1.01億美元被誤轉。據2016年度烏云網報料，浙江某農商銀行因弱密碼被黑客破解侵入，造成20多萬戶客戶信息泄露。某有線電視臺被植入后門程序事件2014年8月1日晚，溫州有線電視網絡系統(tǒng)用戶的機頂盒遭黑客攻擊，出現(xiàn)一些反動宣傳內容，影響群眾正常收看電視，造成不良影響。案發(fā)后，溫州市委、市政府高度重視，公安局成立專案組，組織精干力量對案件開展偵查，在全面開展外圍調查的同時，組織力量進行技術攻堅。經專案組半個月奮戰(zhàn)，8月16日，涉案犯罪嫌疑人王某（男、40歲、系北京某公司工程師）在北京被警方抓獲。經審訊，犯罪嫌疑人王某對自己為泄私憤而實施破壞計算機信息系統(tǒng)的犯罪事實供認不諱。某公司關鍵基礎設施存在漏洞被遠程控制事件范淵說，涉及峰會的相關酒店、主場館、浙江省黨政機關等重點網站等，都是網絡安保重點內容。G

20杭州峰會上驚艷全世界的錢江新城燈光秀，在開幕前夕的安全檢查偵測中被發(fā)現(xiàn)存在安全漏洞，該安全漏洞一旦被黑客發(fā)現(xiàn)并利用，就可能被“遠程控制”，后果將不堪設想。G

20杭州峰會期間，對XX機場的安全檢查偵測中被發(fā)現(xiàn)，X號候機室下面存在一個天然氣中繼站，而天然氣中繼站自動控制系統(tǒng)存在漏洞，可能被“遠程控制”，通過加壓及突然釋放壓力，后果將不堪設想。G

20杭州峰會期間，對全省自來水處理系統(tǒng)的安全檢查偵測中被發(fā)現(xiàn)，該自動控制系統(tǒng)存在漏洞，可能被“遠程控制”，通過增大氯元素含量，讓自來水變?yōu)槎舅?，后果將不堪設想。1-2-4我國網絡安全方面最近動作

2014年初，習近平總書記成立“網絡安全與信息化領導小組”，書記親任組長。第一次會議指出：沒有網絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化；且規(guī)劃了構建網絡安全短期目標和長期目標。近期目標提升能力長期目標根本上提升自主可控能力網絡空間已經成為了海、陸、空、天之外的第五大空間，于是這個空間也需要有主權、保護，也是有資源的2014年，習總書記提出11個總體國家安全觀，深刻指出：信息安全也是國家總體安全的重要組成部分國家安全法主體任務第26條指出：網絡空間的安全是關系到國家安全的重要組成部分，我們有任務有義務有責任保障網絡空間的安全及時出臺《中華人民共和國網絡安全法》02網絡安全法解讀2-1制定網絡安全法的迫切性和必要性是落實黨中央決策部署的重要舉措,是維護網絡安全、國家安全的迫切需要是維護網絡空間國家主權的迫切需要是深化網絡安全等級保護制度、保護國家關鍵信息基礎設施和大數據安全的迫切需要是打擊網絡違法犯罪、維護廣大人民群眾利益的迫切需要是參與互聯(lián)網國際競爭和國際治理的迫切需要1、總體框架。共7章79條。第一章總則第二章網絡安全支持與促進第三章網絡運行安全第一節(jié)一般規(guī)定第二節(jié)關鍵信息基礎設施的運行安全第四章網絡信息安全第五章監(jiān)測預警與應急處置第六章法律責任第七章附則（一）綜述2、定位是互聯(lián)網領域、網絡安全的基礎性法律。是黨的十八大以來的又一部重要法律。3、制定過程2013年下半年提上日程，2014年形成草案，15年初形成征求意見稿，15年6月一審，16年6月二審、10月31日三審、11月7日人大通過，2017年6月1日起施行。154票贊成、0票反對、1票棄權。4、規(guī)范和調整的范圍網絡空間主權(關于特定域外效力)國內管轄權、獨立權、自衛(wèi)權、依賴性主權對境外攻擊破壞行為的管轄權防御懲治制裁國家網絡安全等級保護制度關鍵信息基礎設施保護網絡運營者、網絡產品和服務提供者義務保障網絡信息安全，個人信息保護關鍵信息基礎設施重要數據跨境傳輸監(jiān)測預警與應急處置5、有關概念網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)。網絡安全，是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網絡數據的完整性、保密性、可用性的能力。網絡運營者，是指網絡的所有者、管理者和網絡服務提供者。網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。1、國家承擔的責任義務第三條國家堅持網絡安全與信息化發(fā)展并重，遵循積極利用、科學發(fā)展、依法管理、確保安全的方針，推進網絡基礎設施建設和互聯(lián)互通，鼓勵網絡技術創(chuàng)新和應用，支持培養(yǎng)網絡安全人才，建立健全網絡安全保障體系，提高網絡安全保護能力。（明確原則、方針）第四條國家制定并不斷完善網絡安全戰(zhàn)略，明確保障網絡安全的基本要求和主要目標，提出重點領域的網絡安全政策、工作任務和措施。（解決頂層設計問題）

（二）重點條款介紹第五條國家采取措施，監(jiān)測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網絡違法犯罪活動，維護網絡空間安全和秩序。（國家承擔主要任務，解決行業(yè)自身力量不足問題）第六條國家倡導誠實守信、健康文明的網絡行為，推動傳播社會主義核心價值觀，采取措施提高全社會的網絡安全意識和水平，形成全社會共同參與促進網絡安全的良好環(huán)境。

第七條國家積極開展網絡空間治理、網絡技術研發(fā)和標準制定、打擊網絡違法犯罪等方面的國際交流與合作，推動構建和平、安全、開放、合作的網絡空間，建立多邊、民主、透明的網絡治理體系。（表明國際合作態(tài)度）第十二條國家保護公民、法人和其他組織依法使用網絡的權利，促進網絡接入普及，提升網絡服務水平，為社會提供安全、便利的網絡服務，保障網絡信息依法有序自由流動。第十三條國家支持研究開發(fā)有利于未成年人健康成長的網絡產品和服務，依法懲治利用網絡從事危害未成年人身心健康的活動，為未成年人提供安全、健康的網絡環(huán)境。(未成年人保護）第十五條國家建立和完善網絡安全標準體系。國務院標準化行政主管部門和國務院其他有關部門根據各自的職責，組織制定并適時修訂有關網絡安全管理以及網絡產品、服務和運行安全的國家標準、行業(yè)標準。（強化標準體系建設）

國家支持企業(yè)、研究機構、高等學校、網絡相關行業(yè)組織參與網絡安全國家標準、行業(yè)標準的制定。第十六條國務院和省、自治區(qū)、直轄市人民政府應當統(tǒng)籌規(guī)劃，加大投入，扶持重點網絡安全技術產業(yè)和項目，支持網絡安全技術的研究開發(fā)和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業(yè)、研究機構和高等學校等參與國家網絡安全技術創(chuàng)新項目。（解決投入不足問題）第十七條國家推進網絡安全社會化服務體系建設，鼓勵有關企業(yè)、機構開展網絡安全認證、檢測和風險評估等安全服務。（社會廣泛參與服務）第十八條國家鼓勵開發(fā)網絡數據安全保護和利用技術，促進公共數據資源開放，推動技術創(chuàng)新和經濟社會發(fā)展。

國家支持創(chuàng)新網絡安全管理方式，運用網絡新技術，提升網絡安全保護水平。（鼓勵和支持創(chuàng)新）

第十九條各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育，并指導、督促有關單位做好網絡安全宣傳教育工作。大眾傳播媒介應當有針對性地面向社會進行網絡安全宣傳教育。（多種形式教育）第二十條國家支持企業(yè)和高等學校、職業(yè)學校等教育培訓機構開展網絡安全相關教育與培訓，采取多種方式培養(yǎng)網絡安全人才，促進網絡安全人才交流。（解決人才不足問題）2、職責任務第八條國家網信部門負責統(tǒng)籌協(xié)調網絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責網絡安全保護和監(jiān)督管理工作。（重要條款。部門分工，本法與其他法律的關系）縣級以上地方人民政府有關部門的網絡安全保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。

第十一條網絡相關行業(yè)組織按照章程，加強行業(yè)自律，制定網絡安全行為規(guī)范，指導會員加強網絡安全保護，提高網絡安全保護水平，促進行業(yè)健康發(fā)展。（行業(yè)自律）第十四條任何個人和組織有權對危害網絡安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理；不屬于本部門職責的，應當及時移送有權處理的部門有關部門應當對舉報人的相關信息予以保密，保護舉報人的合法權益。

3、國家網絡安全等級保護制度（基本制度、基本國策，上升為法律）第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

4、網絡運營者基本責任義務第九條網絡運營者開展經營和服務活動，必須遵守法律、行政法規(guī)，尊重社會公德，遵守商業(yè)道德，誠實信用，履行網絡安全保護義務，接受政府和社會的監(jiān)督，承擔社會責任。第十條建設、運營網絡或者通過網絡提供服務，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全、穩(wěn)定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。（保護重點）

第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規(guī)程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；

（三）采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月；（日志留存）（四）采取數據分類、重要數據備份和加密等措施；（數據安全）（五）法律、行政法規(guī)規(guī)定的其他義務。

第二十四條網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務，在與用戶簽訂協(xié)議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。（實名制要求）國家實施網絡可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認。（網絡身份認證）

第二十五條網絡運營者應當制定網絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發(fā)生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。（應急預案、應急處置）第二十六條開展網絡安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，應當遵守國家有關規(guī)定。（第三方服務要守法）

第二十八條網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助。（支持協(xié)助義務）第二十九條國家支持網絡運營者之間在網絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網絡運營者的安全保障能力。有關行業(yè)組織建立健全本行業(yè)的網絡安全保護規(guī)范和協(xié)作機制，加強對網絡安全風險的分析評估，定期向會員進行風險警示，支持、協(xié)助會員應對網絡安全風險。

5、關鍵信息基礎設施的運行安全關鍵信息基礎設施的范圍關鍵信息基礎設施保護的主要內容與網絡安全等級保護制度的關系國家安全審查

第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。（CII必須落實國家等級保護制度，突出保護重點）

國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。

第三十二條按照國務院規(guī)定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。（制定規(guī)劃）第三十三條建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施同步規(guī)劃、同步建設、同步使用。（三同步原則）

第三十四條除本法第二十一條的規(guī)定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：（重點措施）（一）設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查（二）定期對從業(yè)人員進行網絡安全教育、技術培訓和技能考核；（三）對重要系統(tǒng)和數據庫進行容災備份；（四）制定網絡安全事件應急預案，并定期進行演練（五）法律、行政法規(guī)規(guī)定的其他義務。

第三十五條關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。（非常態(tài)的網絡產品和服務的國家安全審查）第三十六條關鍵信息基礎設施的運營者采購網絡產品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。（外包服務安全，防范服務商）

第三十八條關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。（等級測評，風險評估，滲透測試）

6、數據境內存儲和跨境提供第三十七條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。（數據留存和提供）

7、網絡產品、服務要求網絡產品和服務提供者的安全義務網絡產品和服務提供者的個人信息保護義務網絡關鍵設備和網絡安全專用產品的安全認證和安全檢測制度網絡安全服務活動規(guī)范

第二十二條網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序；發(fā)現(xiàn)其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。網絡產品、服務的提供者應當為其產品、服務持續(xù)提供安全維護；在規(guī)定或者當事人約定的期限內，不得終止提供安全維護。

網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定。第二十三條網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。（產品銷售許可制度的實施）

第二十七條任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動；不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具；明知他人從事危害網絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。（禁止網絡犯罪和支持協(xié)助犯罪）

8、網絡信息安全個人信息的含義、權利、匿名化處理個人信息保護專門立法網絡實名制網絡運營者處置違法信息的義務電子信息發(fā)送服務提供者和應用軟件下載服務提供者處置違法信息的義務主管部門處置違法信息的權力網絡運營者的技術支持、配合、協(xié)助義務

第四十條網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。第四十一條網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。（強化個人信息保護）

第四十二條網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。（網絡運營者對個人信息保護責任）

第四十三條個人發(fā)現(xiàn)網絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發(fā)現(xiàn)網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。第四十四條任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

第四十五條依法負有網絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業(yè)秘密嚴格保密，不得泄露、出售或者非法向他人提供。（監(jiān)管人員責任）第四十六條任何個人和組織應當對其使用網絡的行為負責，不得設立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組，不得利用網絡發(fā)布涉及實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。

第四十七條網絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，應當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。（違法信息傳播的阻斷義務）第四十八條任何個人和組織發(fā)送的電子信息、提供的應用軟件，不得設置惡意程序，不得含有法律、行政法規(guī)禁止發(fā)布或者傳輸的信息。（禁止傳播違法信息）

電子信息發(fā)送服務提供者和應用軟件下載服務提供者，應當履行安全管理義務，知道其用戶有前款規(guī)定行為的，應當停止提供服務，采取消除等處置措施，保存有關記錄，并向有關主管部門報告。（違法信息傳播的阻斷義務）第四十九條網絡運營者應當建立網絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關網絡信息安全的投訴和舉報。網絡運營者對網信部門和有關部門依法實施的監(jiān)督檢查，應當予以配合。（配合義務）第五十條國家網信部門和有關部門依法履行網絡信息安全監(jiān)督管理職責。發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，應當要求網絡運營者停止傳輸，采取消除等處置措施，保存有關記錄；對來源于中華人民共和國境外的上述信息，應當通知有關機構采取技術措施和其他必要措施阻斷傳播。9、監(jiān)測預警與應急處置建立統(tǒng)一的監(jiān)測預警、信息通報和應急處置制度和體系建立健全網絡安全風險評估和應急工作機制建立各領域的網絡安全監(jiān)測預警、信息通報和應急處置制度和體系網絡安全信息的監(jiān)測、分析和預警網絡安全事件的應急處置網絡通信管制

第五十一條國家建立網絡安全監(jiān)測預警和信息通報制度。國家網信部門應當統(tǒng)籌協(xié)調有關部門加強網絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網絡安全監(jiān)測預警信息。（將信息通報制度上升為法律）第五十二條負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業(yè)、本領域的網絡安全監(jiān)測預警和信息通報制度，并按照規(guī)定報送網絡安全監(jiān)測預警信息。（要求行業(yè)建立信息通報制度)

第五十五條發(fā)生網絡安全事件，應當立即啟動網絡安全事件應急預案，對網絡安全事件進行調查和評估，要求網絡運營者采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，并及時向社會發(fā)布與公眾有關的警示信息。（事件應急處置）第五十六條省級以上人民政府有關部門在履行網絡安全監(jiān)督管理職責中，發(fā)現(xiàn)網絡存在較大安全風險或者發(fā)生安全事件的，可以按照規(guī)定的權限和程序對該網絡的運營者的法定代表人或者主要負責人進行約談。網絡運營者應當按照要求采取措施，進行整改，消除隱患。（約談）

第五十七條因網絡安全事件，發(fā)生突發(fā)事件或者生產安全事故的，應當依照《中華人民共和國突發(fā)事件應對法》、《中華人民共和國安全生產法》等有關法律、行政法規(guī)的規(guī)定處置。第五十八條因維護國家安全和社會公共秩序，處置重大突發(fā)社會安全事件的需要，經國務院決定或者批準，可以在特定區(qū)域對網絡通信采取限制等臨時措施。（通信管制）

第五十九條網絡運營者不履行本法第二十一條、第二十五條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款;對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網絡安全保護義務的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款。

（三）法律責任第六十條違反本法第二十二條第一款、第二款和第四十八條第一款規(guī)定，有下列行為之一的，由有關主管部門責令改正，給予警告;拒不改正或者導致危害網絡安全等后果的，處五萬元以上五十萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款（網絡產品、服務商）

(一)設置惡意程序的;

(二)對其產品、服務存在的安全缺陷、漏洞等風險未立即采取補救措施，或者未按照規(guī)定及時告知用戶并向有關主管部門報告的;

(三)擅自終止為其產品、服務提供安全維護的。

第六十二條違反本法第二十六條規(guī)定，開展網絡安全認證、檢測、風險評估等活動，或者向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息的，責令改正，給予警告;拒不改正或者情節(jié)嚴重的，處一萬元以上十萬元以下罰款，并可以由有關主管部門責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處五千元以上五萬元以下罰款。（網絡安全服務商）

第六十三條違反本法第二十七條規(guī)定，從事危害網絡安全的活動，或者提供專門用于從事危害網絡安全活動的程序、工具，或者為他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助，尚不構成犯罪的，由公安機關沒收違法所得，處五日以下拘留，可以并處一萬元以上十萬元以下罰款;情節(jié)較重的，處五日以上十五日以下拘留，可以并處五萬元以上五十萬元以下罰款。（處罰違法或協(xié)助違法）單位有前款規(guī)定行為的，由公安機關沒收違法所得，處十萬元以上五十萬元以下罰款，并對其直接負責的主管人員和其他責任人員依照前款規(guī)定處罰。違反本法第二十七條規(guī)定，受到治安管理處罰的人員，五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員，終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。（加重對人員處罰）

第六十四條網絡運營者、網絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害公民個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處五十萬元以下罰款;情節(jié)嚴重的，可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。（侵害公民個人信息的處罰）

違反本法第四十四條規(guī)定，竊取或者以其他方式非法獲取、非法出售或者非法向他人提供公民個人信息，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處五十萬元以下罰款。第六十五條關鍵信息基礎設施的運營者違反本法第三十五條規(guī)定，使用未經安全審查或者安全審查未通過的網絡產品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第六十六條關鍵信息基礎設施的運營者違反本法第三十七條規(guī)定，在境外存儲網絡數據，或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。（處罰數據境外存儲、向境外提供）第六十七條違反本法第四十六條規(guī)定，設立用于實施違法犯罪活動的網站、通訊群組，或者利用網絡發(fā)布與實施違法犯罪活動有關的信息，尚不構成犯罪的，由公安機關處五日以下拘留，可以并處一萬元以上十萬元以下罰款;情節(jié)較重的，處五日以上十五日以下拘留，可以并處五萬元以上五十萬元以下罰款。單位有前款規(guī)定行為的，由公安機關處十萬元以上五十萬元以下罰款，并對其直接負責的主管人員和其他直接負責人員依照前款規(guī)定處罰。（對設立非法網站、通訊群組，發(fā)布違法信息進行處罰）第六十八條網絡運營者違反本法第四十七條規(guī)定，對法律、行政法規(guī)禁止發(fā)布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的，由有關主管部門責令改正，給予警告，沒收違法所得;拒不改正或者情節(jié)嚴重的，處十萬元以上五十萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。電子信息發(fā)送服務提供者、應用軟件下載服務提供者，不履行本法第四十八條第二款規(guī)定的安全管理義務的，依照前款規(guī)定處罰。（未履行禁止義務的處罰）

第六十九條網絡運營者違反本法規(guī)定，有下列行為之一的，由有關主管部門責令改正;拒不改正或者情節(jié)嚴重的，處五萬元以上五十萬元以下罰款;對直接負責的主管人員和其他直接責任人員，處一萬元以上十萬元以下罰款：

(一)未將網絡安全風險、網絡安全事件向有關主管部門報告的;

(二)不按照有關部門的要求對法律、行政法規(guī)禁止發(fā)布或者傳輸的信息，采取停止傳輸、消除等處置措施的;

(三)拒絕、阻礙有關部門依法實施的監(jiān)督檢查的;

(四)拒不向公安機關、國家安全機關提供技術支持和協(xié)助的。（對網絡運營者未履行職責、義務進行處罰）

習近平深刻指出：網絡和信息安全關乎到國家安全和社會穩(wěn)定，是我們面臨的新的綜合的一種挑戰(zhàn)。03本行信息安全規(guī)定

本行設立由行長擔任主任，分管行長擔任副主任的信息科技管理委員會，成員包括科技、風險、主要業(yè)務部門和辦公室負責人，必要時可聘請外部專業(yè)人士擔任委員或顧問。信息科技管理委員會定期召開工作會議，有重大事項時要及時召開會議。信息科技管理委員會下設辦公室，辦公室設在信息科技部門。3-1本行信息安全管理組織架構

在信息安全管理方面，我行建立了《余姚農村商業(yè)銀行信息科技工作管理規(guī)定》《計算機網絡管理規(guī)定》《機房管理規(guī)定》《機房業(yè)務操作細則》《重要信息系統(tǒng)突發(fā)事件應急預案》《信息系統(tǒng)變更管理辦法》《數據安全管理辦法》》《信息科技風險管理辦法》《計算機案件、事故報告辦法》《信息科技外包管理辦法》《防病毒軟件應用管理辦法》《信息系統(tǒng)涉密管理辦法》《科技項目管理規(guī)定》《信息系統(tǒng)安全產品管理辦法》等相對完備的制度辦法，內容涵蓋了組織保障、人員管理、機房物理環(huán)境、訪問控制、網絡安全控制、病毒防護、數據保護、應急演練等各項內容，建立了完善的信息安全事件逐級報告和快速響應機制。3-2本行信息安全管理制度數據指本行在開展信息化建設與管理，以及依托信息系統(tǒng)開展各類經營管理活動所產生，并保存于信息系統(tǒng)的所有電子數據，包括但不限于各類客戶信息、賬表數據、交易信息、交易日志，以及各類文本、照片、錄音、視頻等數據。本辦法中的數據安全管理是指數據的收集、處理、存儲、提取、傳輸、使用、銷毀等數據生命周期環(huán)節(jié)的一系列規(guī)范性的安全管理活動。信息科技分管行長，是本行數據安全管理的第一責任人，負責數據安全管理，貫徹落實本辦法?？萍夹畔⒉渴菙祿谋９懿块T；風險管理部門負責對數據安全管理情況進行監(jiān)督和評估，并提出管理建議；內審部門負責審計數據安全管理工作的規(guī)范性和合規(guī)性。3-3

《數據安全管理辦法》簡要解讀員工在數據安全方面注意事項：1、接入互聯(lián)網計算機不能存放本行業(yè)務數據；2、存放數據的所有介質要妥善保管的，報廢或維修前，須清除或銷毀介質上的數據，介質的銷毀須確保銷毀后的介質無法被重復使用且其中數據無法被恢復。如數據仍需使用，應對介質上存儲的數據進行備份。3、存放數據的終端、PC機等含有磁介質的設備需要維修時必須在場監(jiān)督，外送修理時，若修理部分不涉及磁介質，應將磁介質卸下后外送修理，卸下的磁介質由當事人妥善保管。若修理部分涉及到磁介質，則首先應清除磁介質上數據。4、對于保存過重要數據的磁介質由于各種原因需要報廢或報修替換的必須進行消磁處理。5、系統(tǒng)使用者應保管好本人賬戶，并只使用本人賬戶進行數據查詢，嚴禁盜取他人賬戶，超權限使用系統(tǒng)。6、系統(tǒng)使用者須妥善處理數據查詢結果，查詢結束后須及時清理數據。7、未經授權，系統(tǒng)使用者不得私自記錄、拍攝、截屏、打印數據，并將其傳播至非受控的環(huán)境。8、數據使用人員應定期檢查數據使用和保存情況，及時清理刪除無用數據。3-3

《數據安全管理辦法》簡要解讀“客戶信息”，是指行社關注的客戶概貌特征信息，是行社在業(yè)務辦理過程中因客戶服務和管理需要而采集、維護、保管和使用的信息?？蛻粜畔⒅饕▽ê鹑谕瑯I(yè)）客戶信息、對私客戶信息兩大類。全系統(tǒng)各級業(yè)務管理部門是客戶信息數據的管理部門；全系統(tǒng)各級電子銀行部門是銀行卡業(yè)務和持卡人信息的管理部門；全系統(tǒng)各級科技信息部門是客戶信息數據的保管部門；全系統(tǒng)各級風險管理部門負責監(jiān)督各業(yè)務管理部門和科技信息部門客戶信息的管理過程，監(jiān)控轄內信息系統(tǒng)使用者的操作指令和操作情況，防范客戶信息的私自記錄、拍攝、截屏、打印、下載、拷貝等操作，定期組織開展信息安全專項風險評估；全系統(tǒng)各級審計部門負責審計客戶信息采集、使用、管理工作的規(guī)范性和合規(guī)性，定期開展信息安全專項審計，全面識別風險隱患，督促問題整改；全系統(tǒng)各級機構的主要負責人是客戶信息的保管、安全、審計等第一責任人。3-4

《浙江省農村合作金融機構客戶信息管理辦法》簡要解讀一、員工在客戶信息管理方面注意事項：（一）系統(tǒng)使用者應保管好本人賬戶，賬戶必須實行實名制管理，系統(tǒng)使用者只能使用本人賬戶進行信息查詢，嚴禁使用他人賬戶，超權限使用系統(tǒng)。（二）系統(tǒng)使用者須妥善處理信息查詢結果，查詢結束后須及時清理信息，對涉及客戶敏感信息的訪問和下載等行為須建立日志審計制度。（三）未經授權，系統(tǒng)使用者不得私自記錄、拍攝、截屏、打印、下載、拷貝客戶信息數據，不得將其傳播至互聯(lián)網等非受控的環(huán)境。二、各行社調用客戶信息數據時，應遵循省農信聯(lián)社數據調用和維護操作規(guī)程，確?？蛻粜畔祿{閱安全。（一）調閱的客戶信息數據必須使用脫敏技術或脫敏工具進行脫敏，防止敏感信息泄露。（二）客戶信息經脫敏、加密后，方可交付給指定人員，并使用指定的加密移動存儲介質。（三）應指定專門人員負責管理數據調閱專用移動存儲介質，專用移動存儲介質應每季度修改密碼。調閱數據時應登記以進行事后監(jiān)督和審計，確保數據使用的各環(huán)節(jié)可管理、過程可追溯、結果可審計。（四）使用客戶信息數據時，須有效識別本次信息數據使用的相關人員，確保使用客戶信息的所有人員了解數據的安全和保密要求。定期檢查客戶信息數據使用和備案登記情況，及時清理刪除無用數據。3-4

《浙江省農村合作金融機構客戶信息管理辦法》簡要解讀1、接入互聯(lián)網的計算機是否專機專用，是否存放有涉密數據。；2、本人所用計算機是否安裝殺毒軟件、ACK軟件和桌面管理軟件等計算機安全軟件；3、本人所用計算機是否定期殺毒，是否因感染病毒傳播網絡，造成單位網絡擁堵現(xiàn)象；4、對計算機信息網絡的相關硬件設施進行人為破壞或故意制造網絡故障的;5、未經審批，私自連接網線或修改網卡設置參數，造成內部網與互聯(lián)網之間相連，造成內部網絡數據泄密的；6、非法利用各種網絡設備或軟件技術，掃描、偵聽、盜用其他單位或個人網絡信息的，造成不良影響的;7、對計算機信息系統(tǒng)的案件和事故未及時進行上報或故意隱瞞的；8、未履行信息數據及相關制度的保密工作，造成泄密的；9、利用論壇、QQ、MSN或郵件系統(tǒng)傳播損害單位形象的內容的；10、未經同意私自在業(yè)務電腦安裝互聯(lián)網下載的不明軟件的；11、私自卸載或屏蔽計算機安全軟件、殺毒軟件，造成計算機信息系統(tǒng)故障的；

12、未嚴格執(zhí)行密碼管理規(guī)定，定期或不定期修改密碼的；

13、員工私自將手機充電線連接電腦USB接口進行通電。3-5員工其他日常安全注意事項1、暫時離開電腦.avi；2、終端安全管理.avi；3、外接設備.avi；4、設備報廢或重用.avi;5、口令設置的重要性.avi；6、第三方人員安全.avi;7、辦公安全.avi；8、社會工程.avi；9、外部組織人員安全.avi；10、數據泄露.avi；11、電子郵件欺騙.avi；12、盜版軟件.avi；3-6員工安全意識教育視頻13、發(fā)現(xiàn)信息安全事故及時匯報.avi；14、文件加密發(fā)送.avi；15、無線安全.avi；16、及時廢除離職人員訪問權.avi;17、賬戶混用.avi；18、不在公共場合討論機密信息.avi;19、短信詐騙.avi；20、墨菲定律.avi；21、破窗理論.avi；22、信息分類與識別.avi；23、員工背景調查.avi；24、知識產權保護.avi；3-6員工安全意識教育視頻04信息安全測試與防范

如今，網絡是許多人的生活必需品，可它隨之帶來的安全問題也越來越多。如何既享受網絡的便捷，又保障自己的網絡安全呢？4-1網絡安全知識測試1負責統(tǒng)籌協(xié)調網絡安全工作和相關監(jiān)督管理工作。 A.國家網信部門 B.國務院電信主管部門 C.公安部門2.國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責網絡安全工作。 A.監(jiān)測、防御、處置 B.保護和監(jiān)督管理 C.推廣3.國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，

（） A.保障網絡免受干擾、破壞或者未經授權的訪問 B.防止網絡數據泄露或者被竊取、篡改 C.以上都是4-1網絡安全知識測試4.應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助。 A.任何個人 B.網信部門和有關部門 C.網絡運營者5.依法負有網絡安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的嚴格保密，不得泄露、出售或者非法向他人提供。 A.其用戶發(fā)布的信息 B.個人信息、隱私和商業(yè)秘密 C.投訴和舉報6.因網絡安全事件，發(fā)生突發(fā)事件或者生產安全事故的，應當依照

等有關法律、行政法規(guī)的規(guī)定處置。 A.《中華人民共和國安全生產法》 B.《中華人民共和國治安管理法》 C.《中華人民共和國網絡安全法》4-1網絡安全知識測試7.

網信部門和有關部門違反本法第三十條規(guī)定，將在履行網絡安全保護職責中獲取的信息用于其他用途的，對依法給予處分。 A.所有相關人員 B.相關領導 C.直接負責的主管人員和其他直接責任人員8.違反本法規(guī)定，給他人造成損害的，依法。 A.給予治安管理處罰 B.承擔民事責任 C.追究刑事責任9.網絡安全事件發(fā)生的風險增大時，以上人民政府有關部門應當按照規(guī)定的權限和程序，并根據網絡安全風險的特點和可能造成的危害，采取措施 A.省