第二十八條
商業銀行應采取加密技術,防范涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險,并建立密碼設備管理制度,以確保:
(一) 使用符合國家要求的加密技術和加密設備。
(二) 管理、使用密碼設備的員工經過專業培訓和嚴格審查。
(三) 加密強度滿足信息機密性的要求。
(四) 制定并落實有效的管理流程,尤其是密鑰和證書生命周期管理。
第二十九條 商業銀行應配備切實有效的系統,確保所有終端用戶設備的安全,并定期對所有設備進行安全檢查,包括臺式個人計算機(PC)、便攜式計算機、柜員終端、自動柜員機(ATM)、存折打印機、讀卡器、銷售終端(POS)和個人數字助理(PDA)等。
第三十條 商業銀行應制定相關制度和流程,嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。
第三十一條 商業銀行應對所有員工進行必要的培訓,使其充分掌握信息科技風險管理制度和流程,了解違反規定的后果,并對違反安全規定的行為采取零容忍政策。
第五章 信息系統開發、測試和維護
第三十二條 商業銀行應有能力對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢,制定制度和流程,管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告,由其進行審核,進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投產后一定時期內,組織對系統的后評價,并根據評價結果及時對系統功能進行調整和優化。
第三十三條 商業銀行應認識到信息科技項目相關的風險,包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的機會成本,并采取適當的項目管理方法,控制信息科技項目相關的風險。
第三十四條 商業銀行應采取適當的系統開發方法,控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜度。
第三十五條 商業銀行應制定相關控制信息系統變更的制度和流程,確保系統的可靠性、完整性和可維護性,其中應包括以下要求:
(一) 生產系統與開發系統、測試系統有效隔離。
(二) 生產系統與開發系統、測試系統的管理職能相分離。
(三) 除得到管理層批準執行緊急修復任務外,禁止應用程序開發和維護人員進入生產系統,且所有的緊急修復活動都應立即進行記錄和審核。
(四) 將完成開發和測試環境的程序或系統配置變更應用到生產系統時,應得到信息科技部門和業務部門的聯合批準,并對變更進行及時記錄和定期復查。
第三十六條 商業銀行應制定并落實相關制度、標準和流程,確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性。
第三十七條 商業銀行應建立并完善有效的問題管理流程,以確保全面地追蹤、分析和解決信息系統問題,并對問題進行記錄、分類和索引;如需供應商提供支持服務或技術援助,應向相關人員提供所需的合同和相關信息,并將過程記錄在案;對完成緊急恢復起至關重要作用的任務和指令集,應有清晰的描述和說明,并通知相關人員。
第三十八條 商業銀行應制定相關制度和流程,控制系統升級過程。當設備達到預期使用壽命或性能不能滿足業務需求,基礎軟件(操作系統、數據庫管理系統、中間件)或應用軟件必須升級時,應及時進行系統升級,并將該類升級活動納入信息科技項目,接受相關的管理和控制,包括用戶驗收測試。
|
