中国银监会关于印发《商业银行信息科技风险管理指引》的通知银监发号 下载本文

(七)业务连续性计划与应急处置。

第十六条商业银行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。

第十七条商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:

(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。

(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:

1 .最高权限用户的审查。

2 .控制对数据和系统的物理和逻辑访问。

3 .访问授权以“必需知道”和“最小授权”为原则。 4 .审批和授权。 5 .验证和调节。

第十八条商业银行应建立持续的信息科技风险计量和监测机制,其中应包括: (一)建立信息科技项目实施前及实施后的评价机制。(二)建立定期检查系统性能的程序和标准。

(三)建立信息科技服务投诉和事故处理的报告机制。(四)建立内部审计、外部审计和监管发现问题的整改处理机制。

(五)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。

(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。 (七)定期进行运行环境下操作风险和管理控制的检查。

(八)定期进行信息科技外包项目的风险状况评价。第十九条中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的要求,并防范因监管差异所造成的风险。 第四章信息安全

第二十条商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。

第二十一条商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。 信息安全策略应涉及以下领域: (一)安全制度管理。 (二)信息安全组织管理。 (三)资产管理。 (四)人员安全管理。 (五)物理与环境安全管理。 (六)通信与运营管理。 (七)访问控制管理。 (八)系统开发与维护管理。

(九)信息安全事故管理。 (十)业务连续性管理。 (十一)合规性管理。

第二十二条商业银行应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开商业银行时,应在系统中及时检查、更新或注销用户身份。第二十三条商业银行应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。

第二十四条商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。 (一)域内应用程序和用户组的重要程度。 (二)各种通讯渠道进入域的访问点。

(三)域内配置的网络设备和应用程序使用的网络协议和端口o (四)性能要求或标准。

(五)域的性质,如生产域或测试域、内部域或外部域。 (六)不同域之间的连通性。 (七)域的可信程度。

第二十五条商业银行应通过以下措施,确保所有计算机操作系统和系统软件的安

全:

(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。 (二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。

(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。

(四)要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。 (五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。

第二十六条商业银行应通过以下措施,确保所有信息系统的安全:

(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。 (二)针对信息系统的重要性和敏感程度,采取有效的身份验证方法。 (三)加强职责划分,对关键或敏感岗位进行双重控制。 (四)在关键的接合点进行输入验证或输出核对。

(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。

(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。

(七)以书面或电子格式保存审计痕迹。

(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。

第二十七条商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以

支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:

(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。 (二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。

商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。

第二十八条商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保: (一)使用符合国家要求的加密技术和加密设备。

(二)管理、使用密码设备的员工经过专业培训和严格审查。 (三)加密强度满足信息机密性的要求。

(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。 第二十九条商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC )、便携式计算机、柜员终端、自动柜员机(ATM )、存折打印机、读卡器、销售终端(POS )和个人数字助理(PDA )等。