資源描述:
《非銀行支付機構信息科技風險管理指引》由會員上傳分享�����,免費在線閱讀����,更多相關內容在應用文檔-天天文庫。
1�����、非銀行支付機構信息科技風險管理指引第一章總則第一條為加強非銀行支付機構信息科技風險管理,根據國家法律法規(guī)和信息安全相關要求�、人民銀行的行業(yè)監(jiān)管要求以及中國支付清算協(xié)會的行業(yè)自律相關規(guī)定,制定本指引�。第二條本指引所稱信息科技是指計算機、通信�、微電子和軟件工程等現(xiàn)代信息技術,在支付機構業(yè)務交易處理����、經營管理和內部控制等方面的應用,并包括進行信息科技治理���,建立完整的管理組織架構����,制訂完善的管理制度和流程���。第三條本指引所稱信息科技風險����,是指支付機構運用信息科技的過程中�,由于自然因素、人為因素��、技術漏洞和管理
2�、缺陷導致的操作、法律和聲譽等風險�����。第四條本指引適用于中國支付清算協(xié)會會員單位中根據中國人民銀行《非金融機構支付服務管理辦法》規(guī)定,取得《支付業(yè)務許可證》的非銀行支付機構�����,以下簡稱“支付機構”���。第二章信息科技風險管理第五條支付機構的負責人是本機構信息科技風險管理的第一1責任人�,負責組織本指引的貫徹落實���。第六條支付機構管理層履行以下信息科技管理職責:(一)遵守并貫徹執(zhí)行國家和行業(yè)有關信息科技管理的法律�����、法規(guī)和技術標準����,落實中國人民銀行相關監(jiān)管要求��,以及中國支付清算協(xié)會的相關自律規(guī)范,確保持續(xù)符合國家��、行
3�����、業(yè)相關標準要求�。(二)配合監(jiān)管部門及行業(yè)自律組織做好信息科技風險監(jiān)督檢查工作,并按照監(jiān)督檢查意見進行整改�。(三)審查批準信息科技戰(zhàn)略,確保其與支付機構的總體業(yè)務戰(zhàn)略和重大決策相一致���;評估信息科技及其風險管理工作的總體效果�����。(四)履行信息科技風險管理其他相關工作��。第七條支付機構應制定符合本機構總體業(yè)務規(guī)劃的信息科技戰(zhàn)略��、信息科技運行計劃和信息科技風險評估計劃����,確保配置足夠資源����,維持穩(wěn)定���、安全的信息科技環(huán)境�。第八條支付機構應設立專門的高級管理職位,統(tǒng)籌負責信息化規(guī)劃�、建設、運行維護����、信息安全、業(yè)務連續(xù)性
4�����、等工作,并負責協(xié)調制定有關信息科技風險管理策略�,尤其是在涉及信息安全、業(yè)務連續(xù)性計劃和合規(guī)性風險等方面�。第九條支付機構應制定全面的信息科技風險管理策略,包括但不限于下述領域:(一)信息分級與保護����。(二)信息系統(tǒng)開發(fā)、測試�����、運行和維護。(三)訪問控制����。2(四)物理安全。(五)人員安全���。(六)數(shù)據安全����。(七)業(yè)務連續(xù)性計劃�����。第十條支付機構應制定持續(xù)的信息科技風險識別和評估流程��,確定信息科技中存在隱患的區(qū)域���,評價風險對其業(yè)務的潛在影響��。第十一條支付機構應依據信息科技風險管理策略和風險評估結果��,實施全面的風
5����、險防范措施。防范措施應包括但不限于:(一)制定明確的信息科技風險管理制度����、技術標準和操作規(guī)程等,定期進行更新�。(二)確定潛在信息科技風險區(qū)域����,并對這些區(qū)域進行詳細和獨立的監(jiān)控,實現(xiàn)風險最小化���。(三)建立適當?shù)目刂瓶蚣?��,以便于檢查和平衡風險。第十二條支付機構設立相應崗位和部門��,負責信息科技審計制度和流程的實施����,制訂和執(zhí)行信息科技審計計劃,對信息科技整個生命周期和重大事件等進行審計。第十三條支付機構應對信息科技部門內部管理職責進行明確的界定��;各崗位的人員應具有相應的專業(yè)知識和技能�����;應對各崗位的人員定期開
6�����、展信息安全相關培訓教育���,使其充分掌握信息科技風險管理制度和流程�,了解違反規(guī)定的后果���,并對違反相關規(guī)定的行為采取措施���。3第三章信息安全第十四條支付機構信息科技部門負責制訂信息安全整體方針、政策�����、制度���、規(guī)范���、流程����、實施方案�����、實施計劃和監(jiān)督機制�����,支付機構應使所有員工都了解信息安全的重要性�����,并組織必要的培訓����,讓員工充分了解其職責范圍內的信息保護流程及要求�。第十五條支付機構信息科技部門負責從安全技術和安全管理角度推動信息安全保護措施落地執(zhí)行,安全技術要求覆蓋物理安全�、網絡安全、主機安全、終端安全����、應用安全和數(shù)
7、據安全等方面�;安全管理要求覆蓋安全管理制度、安全管理機構��、人員安全管理�、系統(tǒng)建設管理、系統(tǒng)運維管理和業(yè)務連續(xù)性等方面����。第十六條支付機構應確保其辦公區(qū)域的安全。明確工作人員的職責�,對區(qū)域的訪問進行授權管理,對敏感數(shù)據的訪問以及存儲設備進行想要的管理�����,對可能影響安全的時間采取必要的預防����、檢測和恢復控制措施。第十七條支付機構應根據網絡承載的業(yè)務重要性和數(shù)據敏感度��,將網絡劃分為不同的邏輯安全域(以下簡稱為域),對每個域的邊界進行識別控制����,采取網絡內容過濾、邏輯訪問控制���、傳輸加密����、網絡監(jiān)控�、記錄活動日志等措施
8、��,保障網絡免受干擾�����、破壞或者未經授權的訪問���,防止信息泄露或者被竊取、篡改���。并制定安全產品與網絡設備配置基線�。支付機構應考慮對每個域內部進行子域劃分,將安全風險隔離在子域單元��。第十八條支付機構應通過以下措施���,確保所有計算機操作系4統(tǒng)和系統(tǒng)軟件的安全:(一)制定每種類型操作系統(tǒng)的安全要求基線�,確保所有系統(tǒng)滿足基本安全要求�。(二)對不同的接觸人群進行權限劃分,明確定義包括終端用戶�����、系統(tǒng)開發(fā)人員���、系統(tǒng)測試人員�����、計算機操作人員��、系統(tǒng)管理員����、數(shù)據庫管理員���、網絡管理員和用戶管理員等
