第十六條
商業銀行應制定持續的風險識別和評估流程,確定信息科技中存在隱患的區域,評價風險對其業務的潛在影響,對風險進行排序,并確定風險防范措施及所需資源的優先級別(包括外包供應商、產品供應商和服務商)。
第十七條 商業銀行應依據信息科技風險管理策略和風險評估結果,實施全面的風險防范措施。防范措施應包括:
(一) 制定明確的信息科技風險管理制度、技術標準和操作規程等,定期進行更新和公示。
(二) 確定潛在風險區域,并對這些區域進行詳細和獨立的監控,實現風險最小化。建立適當的控制框架,以便于檢查和平衡風險;定義每個業務級別的控制內容,包括:
1. 最高權限用戶的審查。
2. 控制對數據和系統的物理和邏輯訪問。
3. 訪問授權以“必需知道”和“最小授權”為原則。
4. 審批和授權。
5. 驗證和調節。
第十八條 商業銀行應建立持續的信息科技風險計量和監測機制,其中應包括:
(一) 建立信息科技項目實施前及實施后的評價機制。
(二) 建立定期檢查系統性能的程序和標準。
(三) 建立信息科技服務投訴和事故處理的報告機制。
(四) 建立內部審計、外部審計和監管發現問題的整改處理機制。
(五) 安排供應商和業務部門對服務水平協議的完成情況進行定期審查。
(六) 定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅。
(七) 定期進行運行環境下操作風險和管理控制的檢查。
(八) 定期進行信息科技外包項目的風險狀況評價。
第十九條 中資商業銀行在境外設立的機構及境內的外資商業銀行,應當遵守境內外監管機構關于信息科技風險管理的要求,并防范因監管差異所造成的風險。
第四章 信息安全
第二十條 商業銀行信息科技部門負責建立和實施信息分類和保護體系,商業銀行應使所有員工都了解信息安全的重要性,并組織提供必要的培訓,讓員工充分了解其職責范圍內的信息保護流程。
第二十一條 商業銀行信息科技部門應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制,提高全體員工信息安全意識,就安全問題向其他部門提供建議,并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。
信息安全策略應涉及以下領域:
(一) 安全制度管理。
(二) 信息安全組織管理。
(三) 資產管理。
(四) 人員安全管理。
(五) 物理與環境安全管理。
(六) 通信與運營管理。
(七) 訪問控制管理。
(八) 系統開發與維護管理。
(九) 信息安全事故管理。
(十) 業務連續性管理。
(十一) 合規性管理。
|
