非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引

《非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引》由會員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。

1、非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引第一章總則第一條為加強(qiáng)非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理，根據(jù)國家法律法規(guī)和信息安全相關(guān)要求、人民銀行的行業(yè)監(jiān)管要求以及中國支付清算協(xié)會的行業(yè)自律相關(guān)規(guī)定，制定本指引。第二條本指引所稱信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在支付機(jī)構(gòu)業(yè)務(wù)交易處理、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。第三條本指引所稱信息科技風(fēng)險(xiǎn)，是指支付機(jī)構(gòu)運(yùn)用信息科技的過程中，由于自然因素、人為因素、技術(shù)漏洞和管理

2、缺陷導(dǎo)致的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。第四條本指引適用于中國支付清算協(xié)會會員單位中根據(jù)中國人民銀行《非金融機(jī)構(gòu)支付服務(wù)管理辦法》規(guī)定,取得《支付業(yè)務(wù)許可證》的非銀行支付機(jī)構(gòu)，以下簡稱“支付機(jī)構(gòu)”。第二章信息科技風(fēng)險(xiǎn)管理第五條支付機(jī)構(gòu)的負(fù)責(zé)人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一1責(zé)任人，負(fù)責(zé)組織本指引的貫徹落實(shí)。第六條支付機(jī)構(gòu)管理層履行以下信息科技管理職責(zé)：(一)遵守并貫徹執(zhí)行國家和行業(yè)有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國人民銀行相關(guān)監(jiān)管要求，以及中國支付清算協(xié)會的相關(guān)自律規(guī)范，確保持續(xù)符合國家、行

3、業(yè)相關(guān)標(biāo)準(zhǔn)要求。(二)配合監(jiān)管部門及行業(yè)自律組織做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)督檢查意見進(jìn)行整改。(三)審查批準(zhǔn)信息科技戰(zhàn)略，確保其與支付機(jī)構(gòu)的總體業(yè)務(wù)戰(zhàn)略和重大決策相一致；評估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果。(四)履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。第七條支付機(jī)構(gòu)應(yīng)制定符合本機(jī)構(gòu)總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評估計(jì)劃，確保配置足夠資源，維持穩(wěn)定、安全的信息科技環(huán)境。第八條支付機(jī)構(gòu)應(yīng)設(shè)立專門的高級管理職位，統(tǒng)籌負(fù)責(zé)信息化規(guī)劃、建設(shè)、運(yùn)行維護(hù)、信息安全、業(yè)務(wù)連續(xù)性

4、等工作,并負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面。第九條支付機(jī)構(gòu)應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域：(一)信息分級與保護(hù)。(二)信息系統(tǒng)開發(fā)、測試、運(yùn)行和維護(hù)。(三)訪問控制。2(四)物理安全。(五)人員安全。(六)數(shù)據(jù)安全。(七)業(yè)務(wù)連續(xù)性計(jì)劃。第十條支付機(jī)構(gòu)應(yīng)制定持續(xù)的信息科技風(fēng)險(xiǎn)識別和評估流程，確定信息科技中存在隱患的區(qū)域，評價(jià)風(fēng)險(xiǎn)對其業(yè)務(wù)的潛在影響。第十一條支付機(jī)構(gòu)應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評估結(jié)果，實(shí)施全面的風(fēng)

5、險(xiǎn)防范措施。防范措施應(yīng)包括但不限于：(一)制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行更新。(二)確定潛在信息科技風(fēng)險(xiǎn)區(qū)域，并對這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。(三)建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)。第十二條支付機(jī)構(gòu)設(shè)立相應(yīng)崗位和部門，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)。第十三條支付機(jī)構(gòu)應(yīng)對信息科技部門內(nèi)部管理職責(zé)進(jìn)行明確的界定；各崗位的人員應(yīng)具有相應(yīng)的專業(yè)知識和技能；應(yīng)對各崗位的人員定期開

6、展信息安全相關(guān)培訓(xùn)教育，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對違反相關(guān)規(guī)定的行為采取措施。3第三章信息安全第十四條支付機(jī)構(gòu)信息科技部門負(fù)責(zé)制訂信息安全整體方針、政策、制度、規(guī)范、流程、實(shí)施方案、實(shí)施計(jì)劃和監(jiān)督機(jī)制，支付機(jī)構(gòu)應(yīng)使所有員工都了解信息安全的重要性，并組織必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及要求。第十五條支付機(jī)構(gòu)信息科技部門負(fù)責(zé)從安全技術(shù)和安全管理角度推動信息安全保護(hù)措施落地執(zhí)行，安全技術(shù)要求覆蓋物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、終端安全、應(yīng)用安全和數(shù)

7、據(jù)安全等方面；安全管理要求覆蓋安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理和業(yè)務(wù)連續(xù)性等方面。第十六條支付機(jī)構(gòu)應(yīng)確保其辦公區(qū)域的安全。明確工作人員的職責(zé)，對區(qū)域的訪問進(jìn)行授權(quán)管理，對敏感數(shù)據(jù)的訪問以及存儲設(shè)備進(jìn)行想要的管理，對可能影響安全的時(shí)間采取必要的預(yù)防、檢測和恢復(fù)控制措施。第十七條支付機(jī)構(gòu)應(yīng)根據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)重要性和數(shù)據(jù)敏感度，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡稱為域），對每個(gè)域的邊界進(jìn)行識別控制，采取網(wǎng)絡(luò)內(nèi)容過濾、邏輯訪問控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動日志等措施

8、，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止信息泄露或者被竊取、篡改。并制定安全產(chǎn)品與網(wǎng)絡(luò)設(shè)備配置基線。支付機(jī)構(gòu)應(yīng)考慮對每個(gè)域內(nèi)部進(jìn)行子域劃分，將安全風(fēng)險(xiǎn)隔離在子域單元。第十八條支付機(jī)構(gòu)應(yīng)通過以下措施，確保所有計(jì)算機(jī)操作系4統(tǒng)和系統(tǒng)軟件的安全：(一)制定每種類型操作系統(tǒng)的安全要求基線，確保所有系統(tǒng)滿足基本安全要求。(二)對不同的接觸人群進(jìn)行權(quán)限劃分，明確定義包括終端用戶、系統(tǒng)開發(fā)人員、系統(tǒng)測試人員、計(jì)算機(jī)操作人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員和用戶管理員等