业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:(一)制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。(二)确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:1.最高权限用户的审查。2.控制对数据和系统的物理和逻辑访问。3.访问授权以“必需知道”和“最小授权”为原则。4.审批和授权。5.验证和调节。第十八条商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:(一)建立信息科技项目实施前及实施后的评价机制。(二)建立定期检查系统性能的程序和标准。(三)建立信息科技服务投诉和事故处理的报告机制。(四)建立内部审计、外部审计和监管发现问题的整改处理机制。(五)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。(六)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。(七)定期进行运行环境下操作风险和管理控制的检查。(八)定期进行信息科技外包项目的风险状况评价。第十九条中资商业银行在境外设立的机构及境内的外资商业银行,应当遵守境内外监管机构关于信息科技风险管理的第四章信息安全第二十条商业银行信息科技部门负责建立和实施信息分类和保护体系,商业银行应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。第二十一条商业银行信息科技部门应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:(一)安全制度管理。(二)信息安全组织管理。(三)资产管理。
全文预览
