第四十條商業銀行應嚴格控制第三方人員(如服務提供商)進入安全區域。如果確實有必要進入,他們應獲得適當的批準,他們的活動也應受到監測。對於長期或臨時聘用的技術人員和合同工,尤其是從事敏感技術相關工作的,應制定嚴格的審核程序,包括身份核實和背景調查。
第四十壹條商業銀行應將信息科技的運行與系統的開發和維護分開,確保信息科技部門內部的崗位限制;明確定義數據中心的職位和職責。
第四十二條商業銀行應當按照相關法律法規的要求保存交易記錄,並采用必要的程序和技術確保存檔數據的完整性,滿足安全保存和可恢復性的要求。
第四十三條商業銀行應制定詳細的信息科技操作規程。例如,信息技術操作手冊解釋了計算機操作員的任務、工作安排和執行步驟,以及生產和開發環境中數據和軟件的現場和非現場備份流程和要求(即備份的頻率、範圍和保留期限)。
第四十四條商業銀行應建立事故管理和處置機制,及時應對信息系統運行中的事故,逐級上報相關信息科技管理人員,並進行記錄、分析和跟蹤,直至完成徹底處置和根本原因分析。商業銀行應設立服務臺,為用戶提供相關技術問題的在線支持,並將問題提交相關信息科技部門進行調查和解決。
第四十五條商業銀行應建立與服務水平管理相關的制度和流程,評估信息科技運行的服務水平。
第四十六條商業銀行應建立持續監控信息系統性能的相關程序,並及時、完整地報告異常情況。該程序應提供預警功能,以便在異常影響系統性能之前識別和糾正異常。
第四十七條商業銀行應當制定能力規劃,以適應外部環境變化導致的業務發展和交易量增長。容量規劃應涵蓋生產系統、備份系統和相關設備。
第四十八條商業銀行應及時維護和升級系統,確保技術相關服務持續可用,並保存完整記錄(包括疑似和實際故障、預防性和補救性維護記錄),確保設備設施得到有效維護。
第四十九條商業銀行應制定有效的變更管理流程,確保生產環境的完整性和可靠性。包括緊急變更在內的所有變更都應記錄在日誌中,由信息技術部門和業務部門簽字,並提前備份,以便在必要時恢復原來的系統版本和數據文件。緊急變更成功後,應通過正常的驗收測試和變更管理流程,並采用適當的修訂來替代緊急變更。