第二十條 商業(yè)銀行信息科技部門負(fù)責(zé)建立和實施信息分類和保護體系,商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性����,并組織提供必要的培訓(xùn),讓員工充分了解其職責(zé)范圍內(nèi)的信息保護流程��。第二十一條 商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能��。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機制���,提高全體員工信息安全意識,就安全問題向其他部門提供建議���,并定期向信息科技管理委員會提交本銀行信息安全評估報告����。信息安全管理機制應(yīng)包括信息安全標(biāo)準(zhǔn)��、策略、實施計劃和持續(xù)維護計劃��。信息安全策略應(yīng)涉及以下領(lǐng)域:(一) 安全制度管理�。(二) 信息安全組織管理。(三) 資產(chǎn)管理����。(四) 人員安全管理。(五) 物理與環(huán)境安全管理�����。(六) 通信與運營管理����。(七) 訪問控制管理。(八) 系統(tǒng)開發(fā)與維護管理�����。(九) 信息安全事故管理���。(十) 業(yè)務(wù)連續(xù)性管理�。(十一) 合規(guī)性管理�。第二十二條 商業(yè)銀行應(yīng)建立有效管理用戶認(rèn)證和訪問控制的流程�����。用戶對數(shù)據(jù)和系統(tǒng)的訪問必須選擇與信息訪問級別相匹配的認(rèn)證機制���,并且確保其在信息系統(tǒng)內(nèi)的活動只限于相關(guān)業(yè)務(wù)能合法開展所要求的最低限度。用戶調(diào)動到新的工作崗位或離開商業(yè)銀行時�,應(yīng)在系統(tǒng)中及時檢查、更新或注銷用戶身份��。第二十三條 商業(yè)銀行應(yīng)確保設(shè)立物理安全保護區(qū)域�����,包括計算機中心或數(shù)據(jù)中心���、存儲機密信息或放置網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域�����,明確相應(yīng)的職責(zé),采取必要的預(yù)防���、檢測和恢復(fù)控制措施���。第二十四條 商業(yè)銀行應(yīng)根據(jù)信息安全級別����,將網(wǎng)絡(luò)劃分為不同的邏輯安全域(以下簡稱為域)����。應(yīng)該對下列安全因素進行評估,并根據(jù)安全級別定義和評估結(jié)果實施有效的安全控制����,如對每個域和整個網(wǎng)絡(luò)進行物理或邏輯分區(qū)、實現(xiàn)網(wǎng)絡(luò)內(nèi)容過濾����、邏輯訪問控制、傳輸加密��、網(wǎng)絡(luò)監(jiān)控�����、記錄活動日志等�。(一) 域內(nèi)應(yīng)用程序和用戶組的重要程度。(二) 各種通訊渠道進入域的訪問點�。(三) 域內(nèi)配置的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口��。(四) 性能要求或標(biāo)準(zhǔn)�。(五) 域的性質(zhì)�����,如生產(chǎn)域或測試域�����、內(nèi)部域或外部域���。(六) 不同域之間的連通性���。(七) 域的可信程度。第二十五條 商業(yè)銀行應(yīng)通過以下措施����,確保所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全:(一) 制定每種類型操作系統(tǒng)的基本安全要求,確保所有系統(tǒng)滿足基本安全要求�。(二) 明確定義包括終端用戶、系統(tǒng)開發(fā)人員�、系統(tǒng)測試人員����、計算機操作人員����、系統(tǒng)管理員和用戶管理員等不同用戶組的訪問權(quán)限��。(三) 制定最高權(quán)限系統(tǒng)賬戶的審批�、驗證和監(jiān)控流程,并確保最高權(quán)限用戶的操作日志被記錄和監(jiān)察�����。(四) 要求技術(shù)人員定期檢查可用的安全補丁�,并報告補丁管理狀態(tài)。(五) 在系統(tǒng)日志中記錄不成功的登錄�����、重要系統(tǒng)文件的訪問�、對用戶賬戶的修改等有關(guān)重要事項,手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件�,定期匯報監(jiān)控情況。第二十六條 商業(yè)銀行應(yīng)通過以下措施��,確保所有信息系統(tǒng)的安全:(一) 明確定義終端用戶和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)����。(二) 針對信息系統(tǒng)的重要性和敏感程度�,采取有效的身份驗證方法�����。(三) 加強職責(zé)劃分�,對關(guān)鍵或敏感崗位進行雙重控制。(四) 在關(guān)鍵的接合點進行輸入驗證或輸出核對�����。(五) 采取安全的方式處理保密信息的輸入和輸出���,防止信息泄露或被盜取��、篡改��。(六) 確保系統(tǒng)按預(yù)先定義的方式處理例外情況�,當(dāng)系統(tǒng)被迫終止時向用戶提供必要信息����。(七) 以書面或電子格式保存審計痕跡。(八) 要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。第二十七條 商業(yè)銀行應(yīng)制定相關(guān)策略和流程�,管理所有生產(chǎn)系統(tǒng)的活動日志,以支持有效的審核���、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次�、不同的計算機和網(wǎng)絡(luò)設(shè)備上完成,日志劃分為兩大類:(一) 交易日志����。交易日志由應(yīng)用軟件和數(shù)據(jù)庫管理系統(tǒng)產(chǎn)生,內(nèi)容包括用戶登錄嘗試��、數(shù)據(jù)修改�����、錯誤信息等�。交易日志應(yīng)按照國家會計準(zhǔn)則要求予以保存。(二) 系統(tǒng)日志���。系統(tǒng)日志由操作系統(tǒng)�����、數(shù)據(jù)庫管理系統(tǒng)��、防火墻����、入侵檢測系統(tǒng)和路由器等生成,內(nèi)容包括管理登錄嘗試�����、系統(tǒng)事件�、網(wǎng)絡(luò)事件、錯誤信息等�����。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險等級確定����,但不能少于一年。?商業(yè)銀行應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容�����,以便完成有效的內(nèi)部控制�、解決系統(tǒng)故障和滿足審計需要;應(yīng)采取適當(dāng)措施保證所有日志同步計時,并確保其完整性��。在例外情況發(fā)生后應(yīng)及時復(fù)查系統(tǒng)日志�。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門和有關(guān)業(yè)務(wù)部門共同決定,并報信息科技管理委員會批準(zhǔn)�����。?第二十八條 商業(yè)銀行應(yīng)采取加密技術(shù)�,防范涉密信息在傳輸�����、處理�����、存儲過程中出現(xiàn)泄露或被篡改的風(fēng)險�����,并建立密碼設(shè)備管理制度��,以確保:(一) 使用符合國家要求的加密技術(shù)和加密設(shè)備���。(二) 管理�����、使用密碼設(shè)備的員工經(jīng)過專業(yè)培訓(xùn)和嚴(yán)格審查�����。(三) 加密強度滿足信息機密性的要求�。(四) 制定并落實有效的管理流程,尤其是密鑰和證書生命周期管理�����。第二十九條 商業(yè)銀行應(yīng)配備切實有效的系統(tǒng)��,確保所有終端用戶設(shè)備的安全����,并定期對所有設(shè)備進行安全檢查,包括臺式個人計算機(PC)����、便攜式計算機、柜員終端�����、自動柜員機(ATM)、存折打印機�、讀卡器、銷售終端(POS)和個人數(shù)字助理(PDA)等�����。第三十條 商業(yè)銀行應(yīng)制定相關(guān)制度和流程����,嚴(yán)格管理客戶信息的采集����、處理、存貯��、傳輸����、分發(fā)、備份���、恢復(fù)����、清理和銷毀。第三十一條 商業(yè)銀行應(yīng)對所有員工進行必要的培訓(xùn)�,使其充分掌握信息科技風(fēng)險管理制度和流程,了解違反規(guī)定的后果��,并對違反安全規(guī)定的行為采取零容忍政策��。
