银行业金融机构信息系统风险管理指引第三章全面风险控制
第十五条银行业金融机构应当根据信息系统的总体规划,制定清晰、持续的风险管理策略,并根据信息系统的敏感度对各综合要素进行分析和评估,实施有效控制。
第十六条银行业金融机构应当采取措施防范自然灾害和经营环境变化带来的安全威胁,防范各类突发事故和恶意攻击。
第十七条银行业金融机构应当建立健全与信息系统相关的规章制度、技术规范和操作流程;明确信息系统相关人员的职责和权限,建立约束机制,实行最低授权。
第十八条在境外设立的中资银行业金融机构或在境内设立的境外银行业金融机构应防范境内外信息系统监管体系差异导致的跨境风险。
第十九条银行业金融机构应当严格执行国家相关信息安全标准,积极推进信息安全标准化,参照相关国际标准实施信息安全等级保护。
第二十条银行业金融机构应当加强信息系统的评估和测试,及时修复和更新,确保信息系统的安全和完整。
第二十一条银行业金融机构信息系统数据中心的机房应符合国家有关计算机场地、环境、供电和配电的技术标准。国家级数据中心至少应达到国家A类机房标准,省级数据中心至少应达到国家B类机房标准,省级以下数据中心至少应达到C类机房标准。数据中心机房应实施严格的门禁措施,不允许非授权访问。
第二十二条银行业金融机构应当重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有我国自主知识产权的软硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构的信息化成果。
第二十三条银行业金融机构信息系统相关电子设备的选择、采购、登记、维护、维修和报废应严格遵循相关规定,所选设备应经过技术论证,测试性能应符合国家相关标准。信息系统中使用的服务器等关键设备应具有高可靠性、足够的容量和一定的容错特性,并配备适当的备件。
第二十四条信息系统网络应当参照相关标准和规范进行设计和建设;网络设备既要有技术先进性,也要有产品成熟度;网络设备和线路应有冗余备份;严格管理线路租赁合同,根据业务和交易流程要求,保证传输带宽;建立健全网络管理中心,对通信线路和网络设备进行监控和管理,确保网络安全稳定运行。
第二十五条银行业金融机构应当加强网络安全管理。生产网络应与开发和测试网络、业务网络和办公网络、内部网络和外部网络隔离;加强无线网络和互联网接入的边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描和数据加密等技术手段,有效降低外部攻击和信息泄露的风险。
第二十六条银行业金融机构应当加强对信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素的生成、收集、使用、修改、存储和销毁等管理制度。应该定期更换密钥和密码。
第二十七条银行业金融机构应当加强对数据采集、存储、传输、使用、备份、恢复、抽查、清理和销毁的有效管理,不得采集、处理、传输或访问非系统数据;优化系统和数据库的安全设置,严格按照授权使用系统和数据库,采用适当的数据加密技术保护敏感数据的传输和访问,确保数据的完整性和保密性。
第二十八条银行业金融机构应当对信息系统配置参数实施严格的安全保密管理,防止非法生成、更改、泄露、丢失和破坏。根据敏感程度和用途,确定访问权限、方式和授权使用范围,严格审批和登记程序。
第二十九条银行业金融机构应当制定信息系统应急预案,并定期进行演练、评审和修订。省级以下数据中心至少实现数据备份和远程存储,省级数据中心至少实现远程数据实时备份,国家级数据中心实现远程容灾。
第三十条银行业金融机构应当加强技术文档和重要数据的备份管理;技术文件和重要资料应一式两份,异地保存,并保存规定年限,调用时应严格授权。信息系统的技术文档包括:系统环境描述文档、源程序以及系统研究、开发、运行和维护过程中形成的各种技术文档。重要数据包括:交易数据、会计数据、客户数据、生成的报表数据。
第三十一条银行业金融机构应当在信息系统可能影响客户服务时,以适当方式告知客户。