銀行數(shù)據(jù)安全管理制度

銀行數(shù)據(jù)安全治理制度

銀行數(shù)據(jù)安全治理制度第一章總則第一條為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)治理，保障數(shù)據(jù)中心安全、牢靠、法》及《中華人民共和國(guó)商業(yè)銀行法》制定本指引。其次條在中華人民共和國(guó)境內(nèi)設(shè)立的國(guó)有商業(yè)銀行、股份制商業(yè)銀行、機(jī)構(gòu)參照本指引執(zhí)行。第三條以下術(shù)語(yǔ)適用于本指引：(一)本指引所稱(chēng)數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心(以下簡(jiǎn)稱(chēng)災(zāi)備中心)。撐效勞的組織。持重要業(yè)務(wù)持續(xù)運(yùn)行的組織。區(qū)域，一般距離數(shù)十公里，可防范火災(zāi)、建筑物破壞、電力或通信系統(tǒng)中斷等事百公里以上，不會(huì)同時(shí)面臨同類(lèi)區(qū)域性災(zāi)難風(fēng)險(xiǎn)，如地震、臺(tái)風(fēng)和洪水等。關(guān)系公民、法人和組織的權(quán)益，或關(guān)系社會(huì)秩序、公共利益乃至國(guó)-家-安-全的信設(shè)施。(GB/T20988-2022)中的條款通過(guò)本指引的引用而成為本指引的條款。其次章設(shè)立與變更設(shè)立后兩年內(nèi)，設(shè)立災(zāi)備中心。設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)和人員，并具備支持業(yè)務(wù)不連續(xù)效勞的力量。第七條總資產(chǎn)規(guī)模一千億元人民幣以上且跨省設(shè)立分支機(jī)構(gòu)的法人商業(yè)應(yīng)到達(dá)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)》中定義的災(zāi)難恢復(fù)等級(jí)第5級(jí)(4第八條商業(yè)銀行應(yīng)就數(shù)據(jù)中心設(shè)立，數(shù)據(jù)中心效勞范圍、效勞職能和場(chǎng)或其派出機(jī)構(gòu)報(bào)告。20第十條商業(yè)銀行變更數(shù)據(jù)中心場(chǎng)所時(shí)應(yīng)至少提前2個(gè)月，其他重大變更10第三章風(fēng)險(xiǎn)治理第十一條商業(yè)銀行信息科技風(fēng)險(xiǎn)治理部門(mén)應(yīng)制定數(shù)據(jù)中心風(fēng)險(xiǎn)治理策風(fēng)險(xiǎn)治理狀況，準(zhǔn)時(shí)預(yù)警，將風(fēng)險(xiǎn)掌握在可承受水平。第十二條商業(yè)銀行信息科技部門(mén)應(yīng)指導(dǎo)、監(jiān)視和協(xié)調(diào)數(shù)據(jù)中心明確信息治理措施。治理等方面實(shí)施風(fēng)險(xiǎn)掌握措施。各項(xiàng)標(biāo)準(zhǔn)、制度、標(biāo)準(zhǔn)和流程的執(zhí)行狀況以及風(fēng)險(xiǎn)治理狀況。度，打算是否購(gòu)置商業(yè)保險(xiǎn)以應(yīng)對(duì)不同類(lèi)型的災(zāi)難，并定期檢查其保險(xiǎn)策略及范圍。投保資產(chǎn)清單應(yīng)保存于安全場(chǎng)所，以便索賠時(shí)使用。第十六條商業(yè)銀行內(nèi)部審計(jì)部門(mén)應(yīng)至少每三年進(jìn)展一次數(shù)據(jù)中心內(nèi)部審計(jì)。的外部審計(jì)機(jī)構(gòu)定期對(duì)數(shù)據(jù)中心進(jìn)展審計(jì)。并實(shí)施整改。第四章運(yùn)行環(huán)境治理第十九條商業(yè)銀行進(jìn)展數(shù)據(jù)中心選址時(shí)，應(yīng)進(jìn)展全面的風(fēng)險(xiǎn)評(píng)估，綜合不當(dāng)風(fēng)險(xiǎn)，避開(kāi)數(shù)據(jù)中心選址過(guò)度集中。其次十條數(shù)據(jù)中心選址應(yīng)滿(mǎn)足但不限于以下要求：(一)生產(chǎn)中心與災(zāi)備中心的場(chǎng)所應(yīng)保持合理距離，避開(kāi)同時(shí)患病同類(lèi)風(fēng)險(xiǎn)。(二)應(yīng)選址于電力供給牢靠，交通、通信便捷地區(qū);遠(yuǎn)離水災(zāi)和火災(zāi)隱患應(yīng)避開(kāi)選址于地震、地質(zhì)災(zāi)難高發(fā)區(qū)域。和高牢靠性要求、保障業(yè)務(wù)連續(xù)性為目標(biāo)，應(yīng)滿(mǎn)足但不限于以下要求：(二)應(yīng)依據(jù)使用要求劃分功能區(qū)域，各功能區(qū)域原則上相對(duì)獨(dú)立。(三)應(yīng)配備不連續(xù)電源、應(yīng)急發(fā)電設(shè)施等以滿(mǎn)足信息技術(shù)設(shè)備連續(xù)運(yùn)行的要求。余配置，消退單點(diǎn)隱患。材料等應(yīng)滿(mǎn)足消防要求，并通過(guò)消防驗(yàn)收。(六)應(yīng)實(shí)行防雷接地、防磁、防水、防盜、防鼠蟲(chóng)害等保護(hù)措施。(七)應(yīng)承受環(huán)保節(jié)能技術(shù)，降低能耗，提高效率。其次十二條數(shù)據(jù)中心安防與根底設(shè)施保障應(yīng)滿(mǎn)足但不限于以下要求：記錄保存時(shí)間應(yīng)滿(mǎn)足亭件分析、監(jiān)視審計(jì)的需要。7x24需要。落實(shí)整改。備份的通信線路不得經(jīng)過(guò)同一路由節(jié)點(diǎn)。第五章運(yùn)營(yíng)維護(hù)治理其次十四條商業(yè)銀行應(yīng)建立滿(mǎn)足業(yè)務(wù)進(jìn)展要求的數(shù)據(jù)中心運(yùn)營(yíng)維護(hù)治理維護(hù)治理持續(xù)改進(jìn)機(jī)制。其次十五條數(shù)據(jù)中心應(yīng)建立滿(mǎn)足信息科技效勞要求的運(yùn)營(yíng)治理組織架職責(zé)分別，通過(guò)職責(zé)分工和崗位制約降低數(shù)據(jù)中心操作風(fēng)險(xiǎn)。運(yùn)行效率和效勞水平，包括：保障生產(chǎn)效勞質(zhì)量，盡可能降低對(duì)業(yè)務(wù)影響;建立效勞臺(tái)負(fù)責(zé)受理、跟蹤、解答各類(lèi)運(yùn)營(yíng)問(wèn)題;建立問(wèn)題根源分析及跟蹤解決機(jī)制，查明運(yùn)營(yíng)大事產(chǎn)生的根本緣由，避開(kāi)大事再次發(fā)生。應(yīng)的變更，評(píng)估災(zāi)備恢復(fù)的有效性;應(yīng)盡量削減緊急變更。等效勞治理流程。析、調(diào)整和優(yōu)化容量和性能，滿(mǎn)足業(yè)務(wù)進(jìn)展要求。和保存運(yùn)維任務(wù)調(diào)度過(guò)程。版本掌握，防范因軟件版本、操作文檔等不全都產(chǎn)生的風(fēng)險(xiǎn)。絡(luò)、信息系統(tǒng)等不同方面分別制定應(yīng)急預(yù)案，并準(zhǔn)時(shí)修訂應(yīng)急預(yù)案，定期進(jìn)展演練，保證其有效性。后審計(jì)等要求。性、完整性和可用性，包括：，定期對(duì)信息安全策略、制度和流程的執(zhí)行狀況進(jìn)展檢查和報(bào)告。機(jī)制。要性實(shí)施分類(lèi)掌握和分級(jí)保護(hù)，防范信息資產(chǎn)生成、使用和處置過(guò)程中的風(fēng)險(xiǎn)。治理，削減未授權(quán)訪問(wèn)所造成的風(fēng)險(xiǎn)。日常維護(hù)和批處理操作等過(guò)程。治理，保證數(shù)據(jù)的保密、真實(shí)、完整和可用。安全。訪問(wèn)記錄，防止未授權(quán)訪問(wèn)。第六章災(zāi)難恢復(fù)治理災(zāi)難恢復(fù)治理組織架構(gòu)，明確災(zāi)難恢復(fù)治理機(jī)制和流程。務(wù)影響分析，確定災(zāi)難恢復(fù)目標(biāo)和恢復(fù)等級(jí)，明確災(zāi)難恢復(fù)策略、預(yù)案并準(zhǔn)時(shí)更。第三十條商業(yè)銀行災(zāi)難恢復(fù)預(yù)案應(yīng)包括但不限于以下內(nèi)容：災(zāi)難恢復(fù)指對(duì)外溝通機(jī)制、最終用戶(hù)操作指導(dǎo)及第三方技術(shù)支持和應(yīng)急響應(yīng)效勞等內(nèi)容。施、網(wǎng)絡(luò)通信、運(yùn)維及技術(shù)支持人力資源、技術(shù)培訓(xùn)等。政府和聞媒體等單位的外部協(xié)作機(jī)制，保證災(zāi)難恢復(fù)時(shí)能準(zhǔn)時(shí)獵取外部支持。定期或在重大變更后進(jìn)展，內(nèi)容應(yīng)包含業(yè)務(wù)功能的恢復(fù)驗(yàn)證。練，每三年至少進(jìn)展一次重要信息系統(tǒng)全面災(zāi)備切換演練，以真實(shí)業(yè)務(wù)接收為目標(biāo)，驗(yàn)證災(zāi)備系統(tǒng)有效接收生產(chǎn)系統(tǒng)及安全回切的力量。銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告，并在演練完畢后報(bào)送演練總結(jié)。第三十六條商業(yè)銀行因?yàn)?zāi)難亭件啟動(dòng)災(zāi)難恢復(fù)或?qū)?zāi)備中心回切至生產(chǎn)果、回切方案。第七章外包治理風(fēng)險(xiǎn)治理體系建設(shè)，確保商業(yè)銀行有效應(yīng)對(duì)外包風(fēng)險(xiǎn)。應(yīng)制定數(shù)據(jù)中心效勞外包治理制度、流程，建立全面的風(fēng)險(xiǎn)掌握機(jī)制。程度，審慎確定數(shù)據(jù)中心外包效勞范圍。第四十條商業(yè)銀行應(yīng)充分識(shí)別、分析、評(píng)估數(shù)據(jù)中心外包風(fēng)險(xiǎn)，包括信評(píng)估報(bào)告并報(bào)董事會(huì)和高管層審核。第四十二條數(shù)據(jù)中心效勞外包一般包括：運(yùn)行設(shè)備的效勞。施的日常運(yùn)行、維護(hù)等效勞。第四十三條商業(yè)銀行在選擇數(shù)據(jù)中心外包效勞商時(shí)，應(yīng)充分審查、評(píng)估力量是否足以擔(dān)當(dāng)相應(yīng)的貴任。評(píng)估包括：外包效勞商的企業(yè)信譽(yù)及財(cái)務(wù)德定的安全治理標(biāo)準(zhǔn)。第四十四條商業(yè)銀行應(yīng)與數(shù)據(jù)中心外包效勞商簽訂書(shū)面合同，在合同中明確重要亭項(xiàng)，包括但不限于雙方的.權(quán)利和義務(wù)、外包效勞水平、效勞的牢靠?jī)數(shù)取Ｙr償力量，并告知保險(xiǎn)掩蓋范圍。但不限于：略，保障業(yè)務(wù)、治理和客戶(hù)敏感數(shù)據(jù)信息安全。商信息訪問(wèn)的權(quán)限，要求外包效勞商不得對(duì)外泄露所接觸的商業(yè)銀行信息。容和保存期限應(yīng)滿(mǎn)足大事分析、安全取證、獨(dú)立審計(jì)和監(jiān)視檢查需要。和流程。交評(píng)估報(bào)告。交審計(jì)報(bào)告，催促其準(zhǔn)時(shí)整改覺(jué)察的問(wèn)題。效勞水平。第四十八條商業(yè)銀行應(yīng)制定數(shù)據(jù)中心外包效勞應(yīng)急打算，制訂供給商替平下降的情形，支持?jǐn)?shù)據(jù)中心連續(xù)、牢靠運(yùn)行。第四十九條商業(yè)銀行應(yīng)建立外包效勞考核、評(píng)價(jià)機(jī)制，定期對(duì)外包效勞和客戶(hù)敏感數(shù)據(jù)信息安全的外包前，應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出