第十五條銀行業金融機構應當根據信息系統的總體規劃,制定清晰、持續的風險管理策略,並根據信息系統的敏感度對各綜合要素進行分析和評估,實施有效控制。
第十六條銀行業金融機構應當采取措施防範自然災害和經營環境變化帶來的安全威脅,防範各類突發事故和惡意攻擊。
第十七條銀行業金融機構應當建立健全與信息系統相關的規章制度、技術規範和操作流程;明確信息系統相關人員的職責和權限,建立約束機制,實行最低授權。
第十八條在境外設立的中資銀行業金融機構或在境內設立的境外銀行業金融機構應防範境內外信息系統監管體系差異導致的跨境風險。
第十九條銀行業金融機構應當嚴格執行國家相關信息安全標準,積極推進信息安全標準化,參照相關國際標準實施信息安全等級保護。
第二十條銀行業金融機構應當加強信息系統的評估和測試,及時修復和更新,確保信息系統的安全和完整。
第二十壹條銀行業金融機構信息系統數據中心的機房應符合國家有關計算機場地、環境、供電和配電的技術標準。國家級數據中心至少應達到國家A類機房標準,省級數據中心至少應達到國家B類機房標準,省級以下數據中心至少應達到C類機房標準。數據中心機房應實施嚴格的門禁措施,不允許非授權訪問。
第二十二條銀行業金融機構應當重視知識產權保護,使用正版軟件,加強軟件版本管理,優先使用具有我國自主知識產權的軟硬件產品;積極研發具有自主知識產權的信息系統和相關金融產品,並采取有效措施保護本機構的信息化成果。
第二十三條銀行業金融機構信息系統相關電子設備的選擇、采購、登記、維護、維修和報廢應嚴格遵循相關規定,所選設備應經過技術論證,測試性能應符合國家相關標準。信息系統中使用的服務器等關鍵設備應具有高可靠性、足夠的容量和壹定的容錯特性,並配備適當的備件。
第二十四條信息系統網絡應當參照相關標準和規範進行設計和建設;網絡設備既要有技術先進性,也要有產品成熟度;網絡設備和線路應有冗余備份;嚴格管理線路租賃合同,根據業務和交易流程要求,保證傳輸帶寬;建立健全網絡管理中心,對通信線路和網絡設備進行監控和管理,確保網絡安全穩定運行。
第二十五條銀行業金融機構應當加強網絡安全管理。生產網絡應與開發和測試網絡、業務網絡和辦公網絡、內部網絡和外部網絡隔離;加強無線網絡和互聯網接入的邊界控制;使用內容過濾、身份認證、防火墻、病毒防範、入侵檢測、漏洞掃描和數據加密等技術手段,有效降低外部攻擊和信息泄露的風險。
第二十六條銀行業金融機構應當加強對信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理,使用符合國家安全標準的密碼設備,完善安全要素的生成、收集、使用、修改、存儲和銷毀等管理制度。應該定期更換密鑰和密碼。
第二十七條銀行業金融機構應當加強對數據采集、存儲、傳輸、使用、備份、恢復、抽查、清理和銷毀的有效管理,不得采集、處理、傳輸或訪問非系統數據;優化系統和數據庫的安全設置,嚴格按照授權使用系統和數據庫,采用適當的數據加密技術保護敏感數據的傳輸和訪問,確保數據的完整性和保密性。
第二十八條銀行業金融機構應當對信息系統配置參數實施嚴格的安全保密管理,防止非法生成、更改、泄露、丟失和破壞。根據敏感程度和用途,確定訪問權限、方式和授權使用範圍,嚴格審批和登記程序。
第二十九條銀行業金融機構應當制定信息系統應急預案,並定期進行演練、評審和修訂。省級以下數據中心至少實現數據備份和遠程存儲,省級數據中心至少實現遠程數據實時備份,國家級數據中心實現遠程容災。
第三十條銀行業金融機構應當加強技術文檔和重要數據的備份管理;技術文件和重要資料應壹式兩份,異地保存,並保存規定年限,調用時應嚴格授權。信息系統的技術文檔包括:系統環境描述文檔、源程序以及系統研究、開發、運行和維護過程中形成的各種技術文檔。重要數據包括:交易數據、會計數據、客戶數據、生成的報表數據。
第三十壹條銀行業金融機構應當在信息系統可能影響客戶服務時,以適當方式告知客戶。