第十五條商業銀行應制定全面的信息科技風險管理戰略,包括但不限於以下領域:
(1)信息分類和保護。
(2)信息系統開發、測試和維護。
(3)信息技術運維。
(4)訪問控制。
(5)人身安全。
(6)人員安全。
(7)業務連續性計劃和應急響應。
第十六條商業銀行應制定持續的風險識別和評估流程,確定信息科技存在隱患的領域,評估風險對業務的潛在影響,對風險進行評級,確定風險防範措施和所需資源(包括外包供應商、產品供應商和服務提供商)的優先級別。
第十七條商業銀行應根據信息科技風險管理策略和風險評估結果,實施全面的風險防範措施。預防措施應包括:
(壹)制定明確的信息科技風險管理制度、技術標準和操作流程等。,並定期更新和宣傳。
(2)識別潛在風險區域,並對這些區域進行詳細和獨立的監控,以將風險降至最低。建立適當的控制框架來檢查和平衡風險;定義每個業務層面的控制內容,包括:
1.最高權限用戶的審查。
2.控制對數據和系統的物理和邏輯訪問。
3.訪問授權基於“需要知道”和“最低授權”的原則。
4.批準和授權。
5.核查與和解。
第十八條商業銀行應建立持續的信息科技風險計量和監測機制,包括:
(壹)建立信息化項目實施前後的評估機制。
(2)建立定期檢查系統性能的程序和標準。
(三)建立信息技術服務投訴和事故處理舉報機制。
(四)建立內部審計、外部審計和監督發現問題的整改機制。
(5)安排供應商和業務部門定期評審服務水平協議的完成情況。
(六)定期評估新技術的發展可能帶來的影響和所用軟件面臨的新威脅。
(七)定期檢查經營環境下的操作風險和管理控制情況。
(八)定期評估信息技術外包項目的風險狀況。
第十九條中資商業銀行和境內外資商業銀行在境外設立的機構應遵守境內外監管機構對信息科技風險管理的要求,防範監管差異帶來的風險。