第二十壹條商業銀行的信息科技部門應當履行信息安全管理職能。該職能應包括建立信息安全計劃和維護長效管理機制,提高全體員工的信息安全意識,就安全問題向其他部門提供建議,定期向信息科技管理委員會提交我行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。
信息安全政策應涵蓋以下領域:
(1)安全系統管理。
(2)信息安全的組織管理。
(3)資產管理。
(4)人員安全管理。
(5)物理和環境安全管理。
(6)溝通與運營管理。
(7)訪問控制管理。
(八)系統開發和維護管理。
(9)信息安全事故管理。
(10)業務連續性管理。
(11)合規管理。
第二十二條商業銀行應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制,並確保其在信息系統中的活動限制在合法開展相關業務所需的最低限度。當用戶跳槽或離開商業銀行時,應及時在系統中檢查、更新或註銷其身份。
第二十三條商業銀行應確保建立物理安全保護區域,包括計算機中心或數據中心、存儲機密信息或放置網絡設備等重要信息技術設備的區域,明確相應的責任,並采取必要的預防、檢測和恢復控制措施。
第二十四條商業銀行應當根據信息安全等級將網絡劃分為不同的邏輯安全域(以下簡稱安全域)。應對以下安全因素進行評估,並根據安全級別定義和評估結果實施有效的安全控制,如對每個域和整個網絡進行物理或邏輯分區、網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、活動日誌記錄等。
(a)應用程序和用戶組在領域中的重要性。
(2)各種通信信道進入域的接入點。
(3)域中配置的網絡設備和應用程序使用的網絡協議和端口。
(4)性能要求或標準。
(五)域的性質,如生產域或測試域、內部域或外部域。
(6)不同域之間的連通性。
(七)域名的可信度。
第二十五條商業銀行應采取以下措施確保所有計算機操作系統和系統軟件的安全:
(壹)制定各類操作系統的基本安全要求,確保所有系統滿足基本安全要求。
(2)明確定義不同用戶組的訪問權限,包括最終用戶、系統開發人員、系統測試人員、計算機操作員、系統管理員和用戶管理員。
(3)制定最高權限系統賬戶的審批、驗證和監控流程,確保最高權限用戶的操作日誌得到記錄和監控。
(4)要求技術人員定期檢查可用的安全補丁,並報告補丁管理狀態。
(5)在系統日誌中記錄登錄不成功、訪問重要系統文件、修改用戶賬號等重要事項,手動或自動監控系統中的任何異常事件,並定期報告監控情況。
第二十六條商業銀行應采取以下措施確保所有信息系統的安全:
(1)明確界定最終用戶和信息技術人員在信息系統安全方面的角色和職責。
(二)根據信息系統的重要性和敏感性,采取有效的認證方法。
(3)加強職責分工,對關鍵或敏感崗位實行雙重管控。
(4)關鍵節點的輸入驗證或輸出驗證。
(五)以安全的方式處理機密信息的輸入和輸出,防止信息被泄露、竊取或篡改。
(6)確保系統以預定義的方式處理異常,並在系統被迫終止時向用戶提供必要的信息。
(七)以書面或電子格式保存審計線索。
(八)要求用戶管理員對未成功登錄和用戶賬號修改進行監控和審核。
第二十七條商業銀行應制定相關策略和流程管理各生產系統的活動日誌,以支持有效的審計、安全取證分析和欺詐防範。日誌可以在不同級別的軟件和不同的計算機和網絡設備上完成。日誌可以分為兩類:
(1)交易日誌;交易日誌由應用軟件和數據庫管理系統生成,包括用戶登錄嘗試、數據修改、錯誤信息等。交易日誌應按照國家會計準則的要求保存。
(2)系統日誌。系統日誌由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等產生。內容包括管理登錄嘗試、系統事件、網絡事件、錯誤消息等。系統日誌的保存期限應根據系統的風險等級確定,但不得少於壹年。?
商業銀行應確保交易日誌和系統日誌包含足夠的內容,以完成有效的內部控制、解決系統故障和滿足審計需求;應該采取適當的措施來確保所有日誌的同步定時,並確保它們的完整性。異常發生後,應及時查看系統日誌。交易日誌或系統日誌的審核頻率和保存期限由信息科技部和相關業務部門共同決定,並報信息科技管理委員會批準。?
第二十八條商業銀行應采用加密技術防範保密信息在傳輸、處理和存儲過程中的泄露或被篡改風險,並建立密碼設備管理系統,確保:
(壹)使用符合國家規定的加密技術和加密設備。
(2)管理和使用密碼設備的從業人員經過專業培訓和嚴格考核。
(3)加密強度符合信息保密要求。
(四)制定並實施有效的管理流程,尤其是鑰匙和證書的生命周期管理。
第二十九條商業銀行應配備有效的系統以確保所有最終用戶設備的安全,並定期檢查所有設備的安全性,包括臺式個人計算機(PC)、便攜式計算機、櫃員終端、自動櫃員機(ATM)、存折打印機、讀卡器、銷售終端(POS)和個人數字助理(PDA)。
第三十條商業銀行應制定相關制度和程序,對客戶信息的收集、處理、存儲、傳輸、分發、備份、恢復、清理和銷毀進行嚴格管理。
第三十壹條商業銀行應對所有員工進行必要的培訓,使其充分掌握信息科技風險管理體系和流程,了解違反規定的後果,並對違反安全規定的行為采取零容忍政策。