第二十條 商業銀行信息科技部門負責建立和實施信息分類和保護體系,商業銀行應使所有員工都了解信息安全的重要性,並組織提供必要的培訓,讓員工充分了解其職責範圍內的信息保護流程。
第二十壹條 商業銀行信息科技部門應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制,提高全體員工信息安全意識,就安全問題向其他部門提供建議,並定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。
信息安全策略應涉及以下領域:
(壹) 安全制度管理。
(二) 信息安全組織管理。
(三) 資產管理。
(四) 人員安全管理。
(五) 物理與環境安全管理。
(六) 通信與運營管理。
(七) 訪問控制管理。
(八) 系統開發與維護管理。
(九) 信息安全事故管理。
(十) 業務連續性管理。
(十壹) 合規性管理。
第二十二條 商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制,並且確保其在信息系統內的活動只限於相關業務能合法開展所要求的最低限度。用戶調動到新的工作崗位或離開商業銀行時,應在系統中及時檢查、更新或註銷用戶身份。
第二十三條 商業銀行應確保設立物理安全保護區域,包括計算機中心或數據中心、存儲機密信息或放置網絡設備等重要信息科技設備的區域,明確相應的職責,采取必要的預防、檢測和恢復控制措施。
第二十四條 商業銀行應根據信息安全級別,將網絡劃分為不同的邏輯安全域(以下簡稱為域)。應該對下列安全因素進行評估,並根據安全級別定義和評估結果實施有效的安全控制,如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日誌等。
(壹) 域內應用程序和用戶組的重要程度。
(二) 各種通訊渠道進入域的訪問點。
(三) 域內配置的網絡設備和應用程序使用的網絡協議和端口。
(四) 性能要求或標準。
(五) 域的性質,如生產域或測試域、內部域或外部域。
(六) 不同域之間的連通性。
(七) 域的可信程度。
第二十五條 商業銀行應通過以下措施,確保所有計算機操作系統和系統軟件的安全:
(壹) 制定每種類型操作系統的基本安全要求,確保所有系統滿足基本安全要求。
(二) 明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。
(三) 制定最高權限系統賬戶的審批、驗證和監控流程,並確保最高權限用戶的操作日誌被記錄和監察。
(四) 要求技術人員定期檢查可用的安全補丁,並報告補丁管理狀態。
(五) 在系統日誌中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項,手動或自動監控系統出現的任何異常事件,定期匯報監控情況。
第二十六條 商業銀行應通過以下措施,確保所有信息系統的安全:
(壹) 明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。
(二) 針對信息系統的重要性和敏感程度,采取有效的身份驗證方法。
(三) 加強職責劃分,對關鍵或敏感崗位進行雙重控制。
(四) 在關鍵的接合點進行輸入驗證或輸出核對。
(五) 采取安全的方式處理保密信息的輸入和輸出,防止信息泄露或被盜取、篡改。
(六) 確保系統按預先定義的方式處理例外情況,當系統被迫終止時向用戶提供必要信息。
(七) 以書面或電子格式保存審計痕跡。
(八) 要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。
第二十七條 商業銀行應制定相關策略和流程,管理所有生產系統的活動日誌,以支持有效的審核、安全取證分析和預防欺詐。日誌可以在軟件的不同層次、不同的計算機和網絡設備上完成,日誌劃分為兩大類:
(壹) 交易日誌。交易日誌由應用軟件和數據庫管理系統產生,內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日誌應按照國家會計準則要求予以保存。
(二) 系統日誌。系統日誌由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成,內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日誌保存期限按系統的風險等級確定,但不能少於壹年。?
商業銀行應保證交易日誌和系統日誌中包含足夠的內容,以便完成有效的內部控制、解決系統故障和滿足審計需要;應采取適當措施保證所有日誌同步計時,並確保其完整性。在例外情況發生後應及時復查系統日誌。交易日誌或系統日誌的復查頻率和保存周期應由信息科技部門和有關業務部門***同決定,並報信息科技管理委員會批準。?
第二十八條 商業銀行應采取加密技術,防範涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險,並建立密碼設備管理制度,以確保:
(壹) 使用符合國家要求的加密技術和加密設備。
(二) 管理、使用密碼設備的員工經過專業培訓和嚴格審查。
(三) 加密強度滿足信息機密性的要求。
(四) 制定並落實有效的管理流程,尤其是密鑰和證書生命周期管理。
第二十九條 商業銀行應配備切實有效的系統,確保所有終端用戶設備的安全,並定期對所有設備進行安全檢查,包括臺式個人計算機(PC)、便攜式計算機、櫃員終端、自動櫃員機(ATM)、存折打印機、讀卡器、銷售終端(POS)和個人數字助理(PDA)等。
第三十條 商業銀行應制定相關制度和流程,嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。
第三十壹條 商業銀行應對所有員工進行必要的培訓,使其充分掌握信息科技風險管理制度和流程,了解違反規定的後果,並對違反安全規定的行為采取零容忍政策。