第二十二條
商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制,并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的工作崗位或離開商業銀行時,應在系統中及時檢查、更新或注銷用戶身份。
第二十三條 商業銀行應確保設立物理安全保護區域,包括計算機中心或數據中心、存儲機密信息或放置網絡設備等重要信息科技設備的區域,明確相應的職責,采取必要的預防、檢測和恢復控制措施。
第二十四條 商業銀行應根據信息安全級別,將網絡劃分為不同的邏輯安全域(以下簡稱為域)。應該對下列安全因素進行評估,并根據安全級別定義和評估結果實施有效的安全控制,如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等。
(一) 域內應用程序和用戶組的重要程度。
(二) 各種通訊渠道進入域的訪問點。
(三) 域內配置的網絡設備和應用程序使用的網絡協議和端口。
(四) 性能要求或標準。
(五) 域的性質,如生產域或測試域、內部域或外部域。
(六) 不同域之間的連通性。
(七) 域的可信程度。
第二十五條 商業銀行應通過以下措施,確保所有計算機操作系統和系統軟件的安全:
(一) 制定每種類型操作系統的基本安全要求,確保所有系統滿足基本安全要求。
(二) 明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。
(三) 制定最高權限系統賬戶的審批、驗證和監控流程,并確保最高權限用戶的操作日志被記錄和監察。
(四) 要求技術人員定期檢查可用的安全補丁,并報告補丁管理狀態。
(五) 在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項,手動或自動監控系統出現的任何異常事件,定期匯報監控情況。
第二十六條 商業銀行應通過以下措施,確保所有信息系統的安全:
(一) 明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。
(二) 針對信息系統的重要性和敏感程度,采取有效的身份驗證方法。
(三) 加強職責劃分,對關鍵或敏感崗位進行雙重控制。
(四) 在關鍵的接合點進行輸入驗證或輸出核對。
(五) 采取安全的方式處理保密信息的輸入和輸出,防止信息泄露或被盜取、篡改。
(六) 確保系統按預先定義的方式處理例外情況,當系統被迫終止時向用戶提供必要信息。
(七) 以書面或電子格式保存審計痕跡。
(八) 要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。
第二十七條 商業銀行應制定相關策略和流程,管理所有生產系統的活動日志,以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、不同的計算機和網絡設備上完成,日志劃分為兩大類:
(一) 交易日志。交易日志由應用軟件和數據庫管理系統產生,內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保存。
(二) 系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成,內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定,但不能少于一年。
商業銀行應保證交易日志和系統日志中包含足夠的內容,以便完成有效的內部控制、解決系統故障和滿足審計需要;應采取適當措施保證所有日志同步計時,并確保其完整性。在例外情況發生后應及時復查系統日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定,并報信息科技管理委員會批準。
|
