中国银监会关于印发《商业银行信息科技风险管理指引》的通知银监发号 下载本文

内容发布更新时间 : 2024/12/23 21:27:14星期一 下面是文章的全部内容请认真阅读。

全:

(一)制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。 (二)明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。

(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。

(四)要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。 (五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。

第二十六条商业银行应通过以下措施,确保所有信息系统的安全:

(一)明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。 (二)针对信息系统的重要性和敏感程度,采取有效的身份验证方法。 (三)加强职责划分,对关键或敏感岗位进行双重控制。 (四)在关键的接合点进行输入验证或输出核对。

(五)采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。

(六)确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。

(七)以书面或电子格式保存审计痕迹。

(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。

第二十七条商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以

支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:

(一)交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。 (二)系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。

商业银行应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。

第二十八条商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保: (一)使用符合国家要求的加密技术和加密设备。

(二)管理、使用密码设备的员工经过专业培训和严格审查。 (三)加密强度满足信息机密性的要求。

(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。 第二十九条商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC )、便携式计算机、柜员终端、自动柜员机(ATM )、存折打印机、读卡器、销售终端(POS )和个人数字助理(PDA )等。

第三十条商业银行应制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。第三十一条商业银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。 第五章信息系统开发、测试和维护

第三十二条商业银行应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。 第三十三条商业银行应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。

第三十四条商业银行应采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。 第三十五条商业银行应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求: (一)生产系统与开发系统、测试系统有效隔离。

(二)生产系统与开发系统、测试系统的管理职能相分离。

(三)除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进

入生产系统,且所有的紧急修复活动都应立即进行记录和审核。

(四)将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。 第三十六条商业银行应制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。

第三十七条商业银行应建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。

第三十八条商业银行应制定相关制度和流程,控制系统升级过程。当设备达到预期使用寿命或性能不能满足业务需求,基础软件(操作系统、数据库管理系统、中间件)或应用软件必须升级时,应及时进行系统升级,并将该类升级活动纳入信息科技项目,接受相关的管理和控制,包括用户验收测试。 第六章信息科技运行

第三十九条商业银行在选择数据中心的地理位置时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。

第四十条商业银行应严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,