⑴ 銀保監局如何為金融機構提供更好的服務
合理安排營業網點及營業時間,保障基本金融服務和關鍵基礎設施穩定運行。對於臨時調整停業網點情況,應提前做好宣傳說明及客戶分流,並向我局對口監管處室進行報備。轄內機構總、分行(司)相關管理部門及業務條線應實行假期關鍵崗位帶班值班機制,確保及時響應並有效滿足城市運行必需、疫情防控必需、群眾生活必需及其他涉及重要國計民生等領域的配套金融需求。要全面加強對醫療及科研機構、疫情防控相關企業和一線醫護人員等方面的各項金融服務,積極主動對接,開通綠色通道,全力支持抗擊疫情。要高度重視因疫情暫時受困的行業、企業和人群,調整完善相關信貸、理賠政策,支持其戰勝疫情災害影響。
三、加強場所與員工管理
各銀行保險機構要認真落實上海市「三個覆蓋」「三個一律」等工作要求,做好員工健康監測和相關信息申報。要配置必要的衛生防疫設備,為大堂、櫃台、安保等一線崗位服務人員提供相關防護用品,落實辦公場所和營業網點的消毒、通風、體溫檢測等防控措施。要推動科技賦能,加大自助設備、網上銀行、電話銀行、手機銀行等服務渠道的宣傳力度,提升銀行保險服務的便捷性和可得性,減少人員聚集。要通過減少現場會議,鼓勵電話及線上溝通等各種方式,有效降低人員交叉流動帶來的疫情防控壓力。如發現異常情況,應及時報告相關部門,並按照要求迅速採取相應防控措施。
四、推動形成行業合力
上海市銀行同業公會、保險同業公會要結合地方實際,充分發揮行業協會作用,通過官網、官微加強防疫知識教育,做好政策宣傳,積極倡議和組織會員單位更好地履行社會責任。要切實加強行業自律,維護市場秩序,嚴禁借機炒作、曲解政策、誤導銷售、同業詆毀、哄抬金融產品定價等行為,為本市廣大金融消費者提供一個安全、放心、衛生的金融消費環境
⑵ 金融機構應從()管理的角度
金融機構應從(全流程)管理的角度對各項金融業務進行系統性的洗錢風險評估。
⑶ 哪種災難恢復站點策略適合你求解
在進行投資前確保考慮到組織的目標和連續性需求如果災難事件降臨你的組織,你會做好准備嗎?對於參與災難恢復(DR)計劃的IT專家來說,這可是價值百萬美元(或數百萬美元)的問題。提供一個確定的答案需要時間和金錢的投入來構建一個穩健的災難恢復計劃。災難恢復規劃者們面臨的最大問題之一就是選擇一個合適的災難恢復站點類型。和許多IT決策一樣,規劃者們面臨著成本和性能的取捨。花得越多,站點快速恢復運行的能力就越強。在進行這些決策的時候,規劃者們應該考慮組織的目標以及一個即時的或接近即時的運行恢復能力對組織的連續可用性的關鍵性。金融機構、大學的醫療機構和其他有時間密集型計算活動的組織可能願意進行很大的投資來避免數小時的宕機時間,而在其他環境下,可能這種規模的投資就是不合理的。冷站點:犧牲可用性,換取成本節約冷站點是災難恢復的重要方式。這些設施有基本的數據中心運行基礎設施,比如散熱、通風和空調(HVAC)、電源和網路連接性,不過不會有其他許多東西。冷戰點的設計是為主站點提供長時間中斷的保護,比如因為建築物火災、颶風或其他重大災難而導致主站點無法活動的事件。如果災難確實發生了,那麼組織應該有必要的硬體條件來恢復操作,構建系統,安裝應用並從備份磁帶上載入數據。毫不奇怪的是,冷站點的恢復時間是用數天或數周來衡量而不是數小時。冷站點的替代地點如果冷戰點是合適的選擇,那麼你還可以考慮一些創造性的選項。你不一定要購買或租賃一個直到需要之前都沒用的設施。有兩種方法可以為你節約許多。第一種選擇是在第三方冷站點上保留空間以便在發生災難的時候能夠用到這個設施。如果你選擇這種方式,你要確保你的合同中包含了保證在需要的時候能夠利用設施的強制條款。千萬不要在災難發生的時候才知道到你的冷戰點被租給第三個人了。出於類似的理由,你要考慮和你的主站點離得比較遠的設施簽署合同。如果主數據中心附近發生區域性災難,那麼附近地區的恢復站點需求將大增,即使它們仍然還在運行中。第二種選擇是在一個你的組織擁有的並且用於另外的非關鍵性用途的設施中創建一個冷站點。在這個冷站點中裝入基本的基礎設施,然後將該空間重新用於辦公、存儲或其他用途,直到有必要激活冷站點為止。溫站點:中間地對許多組織來說,冷站點所需要的較長的激活時間是不可接受的風險。溫站點解決這個問題的方式是不僅提供冷站點那樣的基本的基礎設施,而且還包括了必要的硬體來恢復數據中心的操作。根據溫站點的性質,管理員可以選擇讓硬體載入操作系統和/或恢復操作所需的應用程序。溫站點還包含了某種形式的組織數據的副本。它可以是站點裡面的簡單的恢復備份磁帶並在溫站點激活的時候從磁帶中恢復所有數據,也可以是包括包含了數據副本的存儲系統。激活溫站點所需的時間取決於設置溫站點時候的決策:1、 存儲在存儲系統中的組織數據是否可以直接被站點中的伺服器所訪問,或是否需要從磁帶中恢復?2、 操作系統是否已經載入在站點的硬體中?3、 應用程序是否也安裝在這些系統中?如果所有這些問題的答案都是是的話,那麼一個組織可以在數小時內激活溫站點。其他情況下,可能需要數天的時間來激活站點。熱站點:凱迪拉克的體驗(和價格)熱站點提供最終的災難恢復體驗,可以在主站點癱瘓的時候提供接近即時的操作恢復功能。熱站點將溫站點的概念提升到下一個層次:確保站點中的系統已經預載入 了操作系統、應用程序以及恢復操作所需要的數據。構建一個能夠在主站點遭遇災難後數分鍾或數秒鍾時間內恢復組織操作的熱站點需要大量的時間和金錢的投入。一些有多個關鍵系統和流程的組織可以採取復合的方式,在少數關鍵服務上使用熱站點的功能,在一些可以忍受較長宕機時間的其他系統上使用溫站點。這種方式可以讓災難恢復規劃者們可以在最重要的流程上投入最稀缺的資源,同時又不會完全忽略其他服務。如果考慮熱站點,你需要調查一下這種方式對軟體許可證協議的影響。根據你的廠商的協議,你可能需要購買額外的許可證(全家或折扣價)來支持熱站點。一些許可證協議允許軟體免費安裝在熱站點上,只要同一時間只有一個站點在運行就可以。
選擇一個合適的災難恢復站點是災難恢復規劃流程中最重要的決策之一。你要仔細考慮你的特定需求,以及每個站點選擇的成本和功能,同時確認對你的組織最適合的方式。
⑷ 金融機構風險為本管理原則包括以下哪些內容
第六條 銀行業金融機構應建立效信息系統風險管理架構完善內部組織結構工作機制防範控制信息系統風險
第七條 銀行業金融機構應認真履行列信息系統管理職責:
()貫徹執行家關信息系統管理律、規技術標准落實銀監相關監管要求;
(二)建立效信息安全保障體系內部控制規程明確信息系統風險管理崗位責任制度並監督落實;
(三)負責組織本機構信息系統風險進行檢查、評估、析及向本機構專門委員銀監及其派機構報送相關管理信息;
(四)及向銀監及其派機構報告本機構發重信息系統事故或突發事件並按關預案快速響應;
(五)每經董事或其決策機構審查向銀監及其派機構報送信息系統風險管理度報告;
(六)做本機構信息系統審計工作;
(七)配合銀監及其派機構做信息系統風險監督檢查工作並按照監管意見進行整改;
(八)組織本機構信息系統業員進行信息系統關業務、技術安全培訓;
(九)展與信息系統風險管理相關其工作
第八條 銀行業金融機構董事或其決策機構負責信息系統戰略規劃、重項目風險監督管理;信息科技管理委員、風險管理委員或其負責風險監督專業委員應制定信息系統總體策略統籌信息系統項目建設定期評估、報告本機構信息系統風險狀況決策層提供建議採取相應風險控制措施
第九條 銀行業金融機構定代表或主要負責本機構信息系統風險管理責任
第十條 銀行業金融機構應設立信息科技部門統負責本機構信息系統規劃、研發、建設、運行、維護監控提供科技服務運行技術支持;建立或明確專門信息系統風險管理部門建立、健全信息系統風險管理規章、制度並協助業務部門及信息科技部門嚴格執行提供相關監管信息;設立審計部門或專門審計崗位建立健全信息系統風險審計制度配備適量合格員進行信息系統風險審計
第十條 銀行業金融機構事與信息系統相關工作員應符合要求:
()具備良職業道德掌握履行信息系統相關崗位職責所需專業知識技能;
(二)未經崗前培訓或培訓合格者崗;經考核適宜工作員應及進行調整
第十二條 銀行業金融機構應加強信息系統風險管理專業隊伍建設建立才激勵機制適應信息技術發展
第十三條 銀行業金融機構應依據關律規及規范披露信息系統風險狀況
總體風險控制
第十四條 總體風險指信息系統策略、制度、機房、軟體、硬體、網路、數據、文檔等面影響全局或共風險
第十五條 銀行業金融機構應根據信息系統總體規劃制定明確、持續風險管理策略按照信息系統敏程度各集要素進行析評估並實施效控制
第十六條 銀行業金融機構應採取措施防範自災害、運行環境變化等產安全威脅防止各類突發事故惡意攻擊
第十七條 銀行業金融機構應建立健全信息系統相關規章制度、技術規范、操作規程等;明確與信息系統相關員職責許可權建立制約機制實行授權
第十八條 境外設立我銀行業金融機構或境內設立境外銀行業金融機構應防範由於境內外信息系統監管制度差異等造跨境風險
第十九條 銀行業金融機構應嚴格執行家信息安全相關標准參照關際准則積極推進信息安全標准化實行信息安全等級保護
第二十條 銀行業金融機構應加強信息系統評估測試及進行修補更新保證信息系統安全性、完整性
第二十條 銀行業金融機構信息系統數據機房應符合家關計算機場、環境、供配電等技術標准全性數據至少應達家A類機房標准省域數據至少應達家B類機房標准省域數據至少應達C類機房標准數據機房應實行嚴格門禁管理措施未經授權進入
第二十二條 銀行業金融機構應重視知識產權保護使用版軟體加強軟體版本管理優先使用具自主知識產權軟、硬體產品;積極研發具自主知識產權信息系統相關金融產品並採取效措施保護本機構信息化
第二十三條 銀行業金融機構與信息系統相關電設備選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程選用設備應經技術論證測試性能應符合家關標准信息系統所用伺服器等關鍵設備應具較高靠性、充足容量定容錯特性並配置適備品備件
第二十四條 信息系統網路應參照相關標准規范設計、建設;網路設備應兼備技術先進性產品熟性;網路設備線路應冗餘備份;嚴格線路租用合同管理按照業務交易流量要求保證傳輸帶寬;建立完善網管監測管理通信線路及網路設備保障網路安全穩定運行
第二十五條 銀行業金融機構應加強網路安全管理產網路與發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離;加強線網、互聯網接入邊界控制;使用內容濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段效降低外部攻擊、信息泄漏等風險
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素管理使用符合家安全標准密碼設備完善安全要素、領取、使用、修改、保管銷毀等環節管理制度密鑰、密碼應定期更改
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節效管理脫離系統採集加工、傳輸、存取數據;優化系統資料庫安全設置嚴格按授權使用系統資料庫採用適數據加密技術保護敏數據傳輸存取保證數據完整性、保密性
第二十八條 銀行業金融機構應信息系統配置參數實施嚴格安全與保密管理防止非、變更、泄漏、丟失與破壞根據敏程度用途確定存取許可權、式授權使用范圍嚴格審批登記手續
第二十九條 銀行業金融機構應制定信息系統應急預案並定期演練、評審修訂省域數據至少實現數據備份異保存省域數據至少實現異數據實備份全性數據實現異災備
第三十條 銀行業金融機構應加強技術文檔資料重要數據備份管理;技術文檔資料重要數據應保留副本並異存放按規定限保存調用應嚴格授權信息系統技術文檔資料包括:系統環境說明文件、源程序及系統研發、運行、維護程形各類技術資料重要數據包括:交易數據、賬務數據、客戶數據及產報表數據等
第三十條 銀行業金融機構信息系統能影響客戶服務應適式告知客戶
研發風險控制
第三十二條 研發風險指信息系統研發程組織、規劃、需求、析、設計、編程、測試投產等環節產風險
第三十三條 銀行業金融機構信息系統研發前應立項目工作組重項目應立項目領導組並指定負責項目領導組負責項目組織、協調、檢查、監督工作項目工作組由業務員、技術員管理員組具體負責整項目發工作
第三十四條 項目工作組員應具備與項目要求相適應業務經驗與專業技術知識組負責需具備組織領導能力,保證信息系統研發質量進度
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略充進行市場調查、產品效益析基礎制定信息系統研發項目行性報告
第三十六條 銀行業金融機構業務部門編寫項目需求說明書提風險控制要求信息科技部門根據項目需求編制項目功能說明書
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書別編寫項目總體技術框架、項目設計說明書設計編碼應符合項目功能說明書要求
第三十八條 銀行業金融機構應建立獨立測試環境保證測試完整性准確性測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試測試直接使用產數據
第三十九條 銀行業金融機構信息科技部門應根據測試結修補系統功能缺陷提高系統整體質量
第四十條 銀行業金融機構業務員、技術員應根據職責范圍別編寫操作說明書、技術應急案、業務連續性計劃、投產計劃、應急退計劃並進行演練
第四十條 發程所涉及各種文檔資料應經相關部門、員簽字確認並歸檔保存
第四十二條 項目驗收應具由相關負責簽字項目驗收報告驗收合格投產使用
第五章運行維護風險控制
第四十三條 運行維護風險指信息系統運行與維護程操作管理、變更管理、機房管理事件管理等環節產風險
第四十四條 銀行業金融機構信息系統運行與維護應實行職責離運行員應實行專職由其員兼任運行員應按操作規程巡檢操作維護員應按授權維護規程要求產狀態軟硬體、數據進行維護除應急外其維護應非工作間進行
第四十五條 銀行業金融機構信息系統運行應符合要求:
()制定詳細運行值班操作表包括規定巡檢間操作范圍、內容、辦、命令及負責員等信息;
(二)提供見簡便操作菜單或命令信息系統啟或停止、運行志查詢等;
(三)提供機房環境、設備使用、網路運行、系統運行等監控信息;
(四)記錄運行值班程所現象、操作程等信息
第四十六條 銀行業金融機構信息系統維護應符合要求:
()除信息系統設備系統環境維護外軟體或數據維護必須通特定應用程序進行添加、刪除修改數據應通櫃員終端資料庫進行直接操作;
(二)具備各種詳細志信息包括交易志審計志等便維護審計;
(三)提供維護統計報表列印功能
第四十七條 銀行業金融機構信息系統變更應符合要求:
()制訂嚴密變更處理流程明確變更控制各崗位職責並遵循流程實施控制管理;變更前應明確應急退案授權進行變更操作;
(二)根據變更需求、變更案、變更內容核實清單等相關文檔審核變更確性、安全性合性;
(三)應採用軟體工具精確判斷變更真實位置內容形變更內容核實清單實現真實、效、全面檢驗;
(四)軟體版本變更應保留初始版本所歷史版本保留所歷史變更內容核實清單
第四十八條 銀行業金融機構信息系統投產定期內應組織系統評價並根據評價及系統功能進行調整優化
第四十九條 銀行業金融機構應機房環境設施實行巡檢明確信息系統及機房環境設施現故障應急處理流程預案實交易服務數據應實行24值班
第五十條 銀行業金融機構應實行事件報告制度發信息系統造重經濟、聲譽損失重影響事件應即報並處理必要啟應急處理預案
外包風險控制
第五十條 外包風險指銀行業金融機構信息系統規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商形風險
第五十二條 銀行業金融機構進行信息系統外包應根據風險控制實際需要合理確定外包原則范圍認真析評估外包存潛風險建立健全關規章制度制定相應風險防範措施
第五十三條 銀行業金融機構應建立健全外包承包評估機制充審查、評估承包經營狀況、財務實力、誠信歷史、安全資質、技術服務能力實際風險控制與責任承擔水平並進行必要盡職調查評估工作委託經家相應監管部門認定資質具相關專業經驗獨立機構完
第五十四條 銀行業金融機構應與承包簽訂書面合同明確雙權利、義務並規定承包安全、保密、知識產權面義務責任
第五十五條 銀行業金融機構應充認識外包服務信息系統風險控制直接間接影響並其納入總體安全策略風險控制
第五十六條 銀行業金融機構應建立完整信息系統外包風險評估與監測程序審慎管理外包產風險提高本機構外包管理能力
第五十七條 銀行業金融機構信息系統外包風險管理應符合風險管理標准策略並應建立針外包風險應急計劃
第五十八條 銀行業金融機構應與外包承包建立效聯絡、溝通信息交流機制並制定意外情況能夠實現承包順利變更保證外包服務間斷應急預案
第五十九條 銀行業金融機構敏信息系統及其涉及家秘密、商業秘密客戶隱私數據管理與傳遞等內容進行外包應遵守家關律規符合銀監關規定經董事或其決策機構批准並實施外包前報銀監及其派機構律規規定需要報告機構備案
⑸ 怎麼加快容災數據從主數據中心到災備中心的傳輸,縮短時間,並保障RTO
在災備建設中往往需要考慮兩個指標:RTO、RPO。在數據中心和災備中心網路中,我們往往已採用高性能的災備系統以及千兆甚至萬兆網路,從端點上為災備運轉高效打下了良好的基礎。但是在真正進行災備數據傳輸時,卻遭遇到了以下幾種尷尬場景:
畫面一,每日需傳輸的災備數據量大,以百G來計,但從主數據中心的到災備中心的專線只有僅僅10Mbps,數據無法在指定時間內完成傳輸。隨著業務的不斷增多,數據滯後也越來越多,數據的丟失風險也不斷攀升,RPO難保證……
畫面二,多數據中心拉了1Gbps的公網帶寬進行實時遠程復制或災備數據傳輸,但受到公網丟包延時的限制,尤其在跨運營商情況下,雖然帶寬高達1G,但數據傳輸速度一直上不去,效率受到了大大制約……
畫面三,主數據中心和災備中心之間通過1Gbps的專線互聯,延時只有25ms,網路帶寬足質量好,但是災備系統在運作時,速度極限只能跑到尷尬的180Mbps,徒有大帶寬卻白白浪費,RTO不達標……
以上場景都體現了一個問題,在高性能的災備系統和區域網絡面前,廣域網路成為了整個災備運轉的瓶頸。需要獲得高效率災備及數據恢復,就需要解決容災網路效率低下的問題。
那該如何解決?
深信服WOC容災網路優化方案給出了很好的答案。
針對場景一,主要是數據量大與窄帶寬之間的矛盾。深信服WOC容災網路優化方案采高細粒度冗餘數據消除技術解決,無損數據削減的方式,減少網路中需要傳輸容災數據總量,在有限的帶寬內實現高效的傳輸,從而提升災備速率。數據削減採用的技術為基於碼流特徵的數據優化技術,以及無損數據流壓縮技術,實現bit級重復數據刪除,災備需傳輸流量可達到60%-90%的削減。
某檢驗檢疫局,主數據中心在省會城市A,並在地市局B建立災備中心,A到B之間只有4Mbps的專線互聯,每日災備數據需要從晚上完成到A到B的傳輸。但由於數據量大,往往在規定的備份時間窗口之內無法完成傳輸,需要到第二天中午才把災備數據傳輸完。而災備數據和業務鏈路為共用專線,導致第二天上網B局人員訪問業務系統速度非常慢。通過深信服WOC容災網路優化方案對災備傳輸進行優化,原有需要傳輸整晚甚至到第二天中午才傳完的數據,部署後兩三個小時既已完成災備數據的傳輸,加快了災備效率,降低數據災難風險。
針對場景二,災備效率的瓶頸主要在網路的質量上。在丟包存在、延時較高的情況下,網路實際吞吐性能將大打折扣;同時,災備需傳輸的數據量大,也是耗時長、RTO不達標的一個原因。針對這個問題,深信服WOC容災網路優化提出鏈路質量優化+無損數據削減的方案解決。針對公網線路,尤其跨運營商線路中的丟包延時問題,通過鏈路質量優化功能,採用改進性的HTP演算法優化TCP協議,在丟包延時環境下大大提升網路的吞吐性能;並通過基於碼流特徵的數據優化技術,以及無損數據流壓縮技術,大大消除災備需傳輸的數據量,提升帶寬吞吐、削減傳輸數據量,從而實現災備網路的加速。
某媒體集團,主數據中心在北京,災備中心在廣州,出口分別電信和聯通的公網線路,主要傳輸的數據類型為音視頻數據。由於受到跨運營商的影響,原有NetApp災備系統受到網路影響比較嚴重,傳輸速度平均為6Mbps,峰值只有10Mbps。通過深信服WOC容災網路優化方案的部署,解決網路質量問題,傳輸速度從6Mbps一下提高到了50Mbps,網路性能得到顯著的提高。
針對場景三,主要是因為TCP本身的制約導致傳輸速度受限。在一對災備系統之間,往往是通過單TCP連接或是僅幾條TCP連接相連,而TCP本身因為受到傳輸窗口等協議本身的限制,速度存在上限值。傳統的TCP協議傳輸窗口為64KB,在網路延時為20ms時,單條TCP連接吞吐僅為25Mbps。雖然許多災備系統基於Unix開發,對TCP協議進行了一部分優化,但相對於1Gbps這樣的大帶寬,吞吐還是出於160Mbps-200Mbps這樣的低位,無法完全利用帶寬保障RTO。
針對TCP本身的低效性,深信服WOC災備優化方案通過TCP協議優化+無損冗餘數據削減功能,可大大提升整個網路的吞吐。在某金融機構實際測試中,對於一對災備設備之間的廣域網傳輸,性能從160Mbps大幅提升至600Mbps,並可擴展提升至2.5Gbps,滿足大帶
⑹ 什麼是後台經濟
金融後台,是指同金融機構直接經營活動(前台)相對分離,並為其提供服務和支撐功能模塊和業務部門,如數據中心、清算中心、銀行卡中心、研發中心、呼叫中心、災備中心等。
⑺ 打算在江蘇蘇州的IDC機房裡面找一個做數據災備用,有沒有比較了解蘇州...
選災備機房主要考慮安防、電力、抗震、抗洪以及應對突發事件等方面的綜合能力,帶寬什麼的倒是其次了。蘇州工業園區有個國科數據中心,很多金融機構和政府單位是在那裡存放的數據,樓主可以再了解一下。
⑻ 災備技術路線如何選型求答案
張鵬中國金融化電子公司數備中心技術總監
2012年獲得AIX高手挑戰賽全國賽總冠軍,主要負責數據災備中心的存儲架構設計,災備解決方案體系建設。從業十多年一直致力於存儲備份、UNIX領域的知識積累,對存儲備份、UNIX領域中某些方面有獨特的見解。並擔任《存儲架構師》雜志專家顧問。發表多篇深受讀者喜愛的文章。從2008年開始,一直擔任AIX專傢俱樂部多個版塊版主。
孫偉光中國金融化電子公司高級系統工程師
主要負責IBM Power小型機及Storage產品,AIX PowerHA PowerVM系統軟體架構設計安裝調試維護。目前主要負責國內中小銀行金融機構的災備需求分析,災備項目的方案設計及災備方案編寫,制定項目實施方案和災備整體項目交付實施。項目設計全國中小銀行/農信/保險/財務等金融機構。從2008年,孫偉光一直擔任【專家坐診】等多個版塊的版主,從《AIX中國》雜志創刊以來,一直是雜志的特邀作者。
⑼ 銀行業金融機構信息系統風險管理指引的主要要求是什麼
機構職責
第六條 銀行業金融機構應建立有效的信息系統風險管理架構,完善內部組織結構和工作機制,防範和控制信息系統風險。
第七條 銀行業金融機構應認真履行下列信息系統管理職責:
(一)貫徹執行國家有關信息系統管理的法律、法規和技術標准,落實銀監會相關監管要求;
(二)建立有效的信息安全保障體系和內部控制規程,明確信息系統風險管理崗位責任制度,並監督落實;
(三)負責組織對本機構信息系統風險進行檢查、評估、分析,及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息;
(四)及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件,並按有關預案快速響應;
(五)每年經董事會或其他決策機構審查後向銀監會及其派出機構報送信息系統風險管理的年度報告;
(六)做好本機構信息系統審計工作;
(七)配合銀監會及其派出機構做好信息系統風險監督檢查工作,並按照監管意見進行整改;
(八)組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓;
(九)開展與信息系統風險管理相關的其他工作。
第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理;信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略,統籌信息系統項目建設,定期評估、報告本機構信息系統風險狀況,為決策層提供建議,採取相應的風險控制措施。
第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。
第十條 銀行業金融機構應設立信息科技部門,統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控,提供日常科技服務和運行技術支持;建立或明確專門信息系統風險管理部門,建立、健全信息系統風險管理規章、制度,並協助業務部門及信息科技部門嚴格執行,提供相關的監管信息;設立審計部門或專門審計崗位,建立健全信息系統風險審計制度,配備適量的合格人員進行信息系統風險審計。
第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求:
(一)具備良好的職業道德,掌握履行信息系統相關崗位職責所需的專業知識和技能;
(二)未經崗前培訓或培訓不合格者不得上崗;經考核不適宜的工作人員,應及時進行調整。
第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設,建立人才激勵機制,適應信息技術的發展。
第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。
總體風險控制
第十四條 總體風險是指信息系統在策略、制度、機房、軟體、硬體、網路、數據、文檔等方面影響全局或共有的風險。
第十五條 銀行業金融機構應根據信息系統總體規劃,制定明確、持續的風險管理策略,按照信息系統的敏感程度對各個集成要素進行分析和評估,並實施有效控制。
第十六條 銀行業金融機構應採取措施防範自然災害、運行環境變化等產生的安全威脅,防止各類突發事故和惡意攻擊。
第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等;明確與信息系統相關人員的職責許可權,建立制約機制,實行最小授權。
第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構,應防範由於境內外信息系統監管制度差異等造成的跨境風險。
第十九條 銀行業金融機構應嚴格執行國家信息安全相關標准,參照有關國際准則,積極推進信息安全標准化,實行信息安全等級保護。
第二十條 銀行業金融機構應加強對信息系統的評估和測試,及時進行修補和更新,以保證信息系統的安全性、完整性。
第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標准。全國性數據中心至少應達到國家A類機房標准,省域數據中心至少應達到國家B類機房標准,省域以下數據中心至少應達到C類機房標准。數據中心機房應實行嚴格的門禁管理措施,未經授權不得進入。
第二十二條 銀行業金融機構應重視知識產權保護,使用正版軟體,加強軟體版本管理,優先使用具有中國自主知識產權的軟、硬體產品;積極研發具有自主知識產權的信息系統和相關金融產品,並採取有效措施保護本機構信息化成果。
第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程,選用的設備應經過技術論證,測試性能應符合國家有關標准。信息系統所用的伺服器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性,並配置適當的備品備件。
第二十四條 信息系統的網路應參照相關的標准和規范設計、建設;網路設備應兼備技術先進性和產品成熟性;網路設備和線路應有冗餘備份;嚴格線路租用合同管理,按照業務和交易流量要求保證傳輸帶寬;建立完善的網管中心,監測和管理通信線路及網路設備,保障網路安全穩定運行。
第二十五條 銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網路應實施隔離;加強無線網、互聯網接入邊界控制;使用內容過濾、身份認證、防火牆、病毒防範、入侵檢測、漏洞掃描、數據加密等技術手段,有效降低外部攻擊、信息泄漏等風險。
第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標準的密碼設備,完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。
第二十七條 銀行業金融機構應加強數據採集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理,不得脫離系統採集加工、傳輸、存取數據;優化系統和資料庫安全設置,嚴格按授權使用系統和資料庫,採用適當的數據加密技術以保護敏感數據的傳輸和存取,保證數據的完整性、保密性。
第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途,確定存取許可權、方式和授權使用范圍,嚴格審批和登記手續。
第二十九條 銀行業金融機構應制定信息系統應急預案,並定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存,省域數據中心至少實現異地數據實時備份,全國性數據中心實現異地災備。
第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理;技術文檔資料和重要數據應保留副本並異地存放,按規定年限保存,調用時應嚴格授權。信息系統的技術文檔資料包括:系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括:交易數據、賬務數據、客戶數據,以及產生的報表數據等。
第三十一條 銀行業金融機構在信息系統可能影響客戶服務時,應以適當方式告知客戶。
研發風險控制
第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。
第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組,重大項目還應成立項目領導小組,並指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成,具體負責整個項目的開發工作。
第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識,小組負責人需具備組織領導能力,保證信息系統研發質量和進度。
第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略,在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。
第三十六條 銀行業金融機構業務部門編寫項目需求說明書,提出風險控制要求,信息科技部門根據項目需求編制項目功能說明書。
第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書,設計和編碼應符合項目功能說明書的要求。
第三十八條 銀行業金融機構應建立獨立的測試環境,以保證測試的完整性和准確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。
第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷,提高系統的整體質量。
第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃,並進行演練。
第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認並歸檔保存。
第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告,驗收不合格不得投產使用。
第五章運行維護風險控制
第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。
第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離,運行人員應實行專職,不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬體、數據進行維護,除應急外,其他維護應在非工作時間進行。
第四十五條 銀行業金融機構信息系統的運行應符合以下要求:
(一)制定詳細的運行值班操作表,包括規定巡檢時間,操作范圍、內容、辦法、命令以及負責人員等信息;
(二)提供常見和簡便的操作菜單或命令,如信息系統的啟動或停止、運行日誌的查詢等;
(三)提供機房環境、設備使用、網路運行、系統運行等監控信息;
(四)記錄運行值班過程中所有現象、操作過程等信息。
第四十六條 銀行業金融機構信息系統的維護應符合以下要求:
(一)除對信息系統設備和系統環境的維護外,對軟體或數據的維護必須通過特定的應用程序進行,添加、刪除和修改數據應通過櫃員終端,不得對資料庫進行直接操作;
(二)具備各種詳細的日誌信息,包括交易日誌和審計日誌等,以便維護和審計;
(三)提供維護的統計和報表列印功能。
第四十七條 銀行業金融機構信息系統的變更應符合以下要求:
(一)制訂嚴密的變更處理流程,明確變更控制中各崗位的職責,並遵循流程實施控制和管理;變更前應明確應急和回退方案,無授權不得進行變更操作;
(二)根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性;
(三)應採用軟體工具精確判斷變更的真實位置和內容,形成變更內容核實清單,實現真實、有效、全面的檢驗;
(四)軟體版本變更後應保留初始版本和所有歷史版本,保留所有歷史的變更內容核實清單。
第四十八條 銀行業金融機構在信息系統投產後一定時期內,應組織對系統的後評價,並根據評價及時對系統功能進行調整和優化。
第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢,明確信息系統及機房環境設施出現故障時的應急處理流程和預案,有實時交易服務的數據中心應實行24小時值班。
第五十條 銀行業金融機構應實行事件報告制度,發生信息系統造成重大經濟、聲譽損失和重大影響事件,應即時上報並處理,必要時啟動應急處理預案。
外包風險控制
第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委託給業務合作夥伴或外部技術供應商時形成的風險。
第五十二條 銀行業金融機構在進行信息系統外包時,應根據風險控制和實際需要,合理確定外包的原則和范圍,認真分析和評估外包存在的潛在風險,建立健全有關規章制度,制定相應的風險防範措施。
第五十三條 銀行業金融機構應建立健全外包承包方評估機制,充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平,並進行必要的盡職調查。評估工作可委託經國家相應監管部門認定資質,具有相關專業經驗的獨立機構完成。
第五十四條 銀行業金融機構應當與承包方簽訂書面合同,明確雙方的權利、義務,並規定承包方在安全、保密、知識產權方面的義務和責任。
第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響,並將其納入總體安全策略和風險控制之中。
第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序,審慎管理外包產生的風險,提高本機構對外包管理的能力。
第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標准和策略,並應建立針對外包風險的應急計劃。
第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制,並制定在意外情況下能夠實現承包方的順利變更,保證外包服務不間斷的應急預案。
第五十九條 銀行業金融機構將敏感的信息系統,以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時,應遵守國家有關法律法規,符合銀監會的有關規定,經過董事會或其他決策機構批准,並在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。