¿Cuáles son los principales requisitos de las directrices de gestión de riesgos del sistema de información para instituciones financieras bancarias?

Responsabilidades institucionales

Artículo 6 Las instituciones financieras bancarias deben establecer una estructura eficaz de gestión de riesgos del sistema de información, mejorar la estructura organizativa interna y el mecanismo de trabajo, y prevenir y controlar los riesgos del sistema de información.

Artículo 7 Las instituciones financieras bancarias desempeñarán concienzudamente las siguientes responsabilidades de gestión del sistema de información:

(1) Implementar leyes, reglamentos y normas técnicas nacionales relacionadas con la gestión del sistema de información e implementar las normas de la CBRC. Requisitos reglamentarios pertinentes;

(2) Establecer un sistema eficaz de seguridad de la información y procedimientos de control interno, aclarar el sistema de responsabilidad del puesto de gestión de riesgos del sistema de información y supervisar su implementación;

(3) Responsable Organizar la inspección, evaluación y análisis de los riesgos del sistema de información de la institución, y presentar oportunamente la información gerencial relevante al comité especial de la institución y a la Comisión Reguladora Bancaria y sus oficinas despachadas;

(4) Oportunamente informar a la Comisión Reguladora Bancaria y sus oficinas enviadas. La institución deberá responder rápidamente a accidentes o emergencias importantes del sistema de información de acuerdo con los planes pertinentes;

(5) Informar los riesgos del sistema de información a la Comisión Reguladora Bancaria de China y sus oficinas enviadas después de la revisión por parte de la junta directiva u otros órganos de toma de decisiones cada año informe anual de gestión;

(6) Hacer un buen trabajo en la auditoría del sistema de información de la institución;

(7) Cooperar con la Comisión Reguladora Bancaria de China y sus oficinas enviadas para hacer un buen trabajo en la supervisión e inspección de riesgos del sistema de información, y realizar rectificaciones de acuerdo con las opiniones regulatorias;

(8) Organizar la información de la organización profesionales del sistema para llevar a cabo capacitación comercial, técnica y de seguridad relacionada con los sistemas de información;

(9) Llevar a cabo la gestión de riesgos del sistema de información Otras tareas relacionadas con la gestión.

Artículo 8 La junta directiva u otros órganos de toma de decisiones de las instituciones financieras bancarias son responsables de la planificación estratégica, los grandes proyectos y la supervisión y gestión de riesgos de los sistemas de información, el comité de gestión de tecnologías de la información, el comité de gestión de riesgos; u otros comités profesionales responsables de la supervisión de riesgos. Se debe formular la estrategia general del sistema de información, se debe coordinar la construcción de proyectos del sistema de información, se debe evaluar e informar periódicamente el estado de riesgo del sistema de información de la organización, proporcionar sugerencias a los tomadores de decisiones y adoptar las correspondientes medidas de control de riesgos.

Artículo 9 El representante legal o responsable principal de una institución financiera bancaria es el responsable de la gestión de riesgos del sistema de información de la institución.

Artículo 10 Las instituciones financieras bancarias establecerán un departamento de tecnología de la información que será uniformemente responsable de la planificación, investigación y desarrollo, construcción, operación, mantenimiento y monitoreo del sistema de información de la institución, y brindará servicios científicos y tecnológicos diarios. y soporte técnico operativo; establecer o definir un departamento de gestión de riesgos de sistemas de información especializado, establecer y mejorar las reglas y sistemas de gestión de riesgos de sistemas de información, y ayudar a los departamentos comerciales y de tecnología de la información a implementarlos estrictamente y proporcionar información regulatoria relevante; puestos de auditoría especializados, y establecer y mejorar el sistema de auditorías de riesgos del sistema de información y asignar una cantidad adecuada de personal calificado para realizar auditorías de riesgo del sistema de información.

Artículo 11 El personal dedicado a trabajos relacionados con sistemas de información en instituciones financieras bancarias deberá cumplir los siguientes requisitos:

(1) Tener buena ética profesional y dominar el desempeño de las tareas relacionadas con sistemas de información. puestos Conocimientos y habilidades profesionales requeridos para las responsabilidades;

(2) Aquellos que no hayan recibido capacitación previa al empleo o que no hayan aprobado la capacitación no podrán asumir el puesto de personal que no sea apto después de la evaluación; debe ajustarse oportunamente.

Artículo 12 Las instituciones financieras bancarias deberán fortalecer la construcción de equipos profesionales para la gestión de riesgos de los sistemas de información, establecer mecanismos de incentivo al talento y adaptarse al desarrollo de las tecnologías de la información.

Artículo 13 Las instituciones financieras bancarias divulgarán el estado de riesgo del sistema de información de manera oportuna y estandarizada de acuerdo con las leyes y regulaciones pertinentes.

Control general de riesgos

Artículo 14 El riesgo general se refiere al impacto de los sistemas de información en la situación general o ** en términos de estrategias, sistemas, salas de computación, software, hardware, redes. , datos, documentos, etc. *Algunos riesgos.

Artículo 15 Las instituciones financieras bancarias deberán formular estrategias claras y continuas de gestión de riesgos basadas en el plan general del sistema de información, analizar y evaluar cada elemento integrado de acuerdo con la sensibilidad del sistema de información e implementar controles efectivos.

Artículo 16 Las instituciones financieras bancarias tomarán medidas para protegerse contra amenazas a la seguridad derivadas de desastres naturales, cambios en el entorno operativo, etc., y para prevenir diversas emergencias y ataques maliciosos.

Artículo 17 Las instituciones financieras bancarias deben establecer y mejorar reglas y regulaciones, especificaciones técnicas, procedimientos operativos, etc. relacionados con el sistema de información, aclarar las responsabilidades y autoridad del personal relacionado con el sistema de información, establecer un mecanismo de restricción; e implementar una autorización mínima.

Artículo 18: Las instituciones bancarias financieras de mi país establecidas en el extranjero o las instituciones bancarias financieras extranjeras establecidas dentro del país deben protegerse contra los riesgos transfronterizos causados ​​por las diferencias en los sistemas regulatorios de los sistemas de información nacionales y extranjeros.

Artículo 19: Las instituciones financieras bancarias deben implementar estrictamente los estándares nacionales de seguridad de la información relevantes, hacer referencia a los estándares internacionales relevantes, promover activamente la estandarización de la seguridad de la información e implementar protección del nivel de seguridad de la información.

Artículo 20 Las instituciones financieras bancarias deben fortalecer la evaluación y prueba de los sistemas de información, y realizar reparaciones y actualizaciones oportunas para garantizar la seguridad e integridad de los sistemas de información.

Artículo 21 La sala de computación del centro de datos del sistema de información de las instituciones financieras bancarias deberá cumplir con las normas técnicas nacionales pertinentes para sitios de computación, medio ambiente, suministro y distribución de energía, etc. Los centros de datos nacionales deben cumplir al menos con los estándares nacionales de salas de computadoras de Clase A, los centros de datos provinciales deben cumplir con los estándares nacionales de salas de computadoras de Clase B y los centros de datos subprovinciales deben cumplir al menos con los estándares de salas de computadoras de Clase C. Las salas de ordenadores de los centros de datos deben implementar medidas estrictas de control de acceso y no se permite la entrada no autorizada.

Artículo 22 Las instituciones financieras bancarias deben prestar atención a la protección de los derechos de propiedad intelectual, utilizar software genuino, fortalecer la gestión de versiones de software y dar prioridad al uso de productos de software y hardware con derechos de propiedad intelectual independientes de China; desarrollar y desarrollar sistemas de información independientes sobre derechos de propiedad intelectual y productos financieros relacionados, y tomar medidas efectivas para proteger los logros de informatización de la organización.

Artículo 23 La selección, compra, registro, mantenimiento, reparación y desguace de equipos electrónicos relacionados con sistemas de información de instituciones financieras bancarias seguirá estrictamente los procedimientos pertinentes y el equipo seleccionado deberá someterse a demostración técnica. La realización de la prueba debe cumplir con las normas nacionales pertinentes. Los equipos clave, como los servidores utilizados en los sistemas de información, deben tener una alta confiabilidad, capacidad suficiente y cierta tolerancia a fallas, y deben estar equipados con repuestos adecuados.

Artículo 24 La red de sistemas de información debe diseñarse y construirse con referencia a las normas y especificaciones pertinentes; el equipo de red debe tener avances tecnológicos y madurez del producto. El equipo de red y las líneas deben tener respaldos de línea estrictos; la gestión de contratos garantiza el ancho de banda de transmisión de acuerdo con los requisitos del flujo comercial y de transacciones establece un centro de gestión de red completo para monitorear y gestionar las líneas de comunicación y los equipos de red para garantizar un funcionamiento seguro y estable de la red;

Artículo 25: Las instituciones financieras bancarias deberán fortalecer la gestión de seguridad de la red. La red de producción y la red de desarrollo y prueba, la red empresarial y la red de oficina, la red interna y la red externa deben estar aisladas; fortalecer la red inalámbrica y el control de límites de acceso a Internet utilizando filtrado de contenido, autenticación de identidad, firewall, prevención de virus, detección de intrusiones, escaneo de vulnerabilidades; Los medios técnicos, como el cifrado de datos, pueden reducir eficazmente riesgos como los ataques externos y la fuga de información.

Artículo 26 Las instituciones financieras bancarias deben fortalecer la gestión de los factores de seguridad, como máquinas de cifrado de sistemas de información, claves, contraseñas, procedimientos de cifrado y descifrado, utilizar equipos criptográficos que cumplan con los estándares de seguridad nacionales y mejorar la generación de seguridad. factores, sistema de gestión de recogida, utilización, modificación, almacenamiento y destrucción. Las claves y contraseñas deben cambiarse periódicamente.

Artículo 27 Las instituciones financieras bancarias fortalecerán la gestión efectiva de la recopilación, el almacenamiento, la transmisión, el uso, la copia de seguridad, la recuperación, la inspección aleatoria, la limpieza, la destrucción y otros aspectos de datos, y no recopilarán, procesarán ni transmitirán datos. fuera del sistema, acceder a los datos; optimizar la configuración de seguridad del sistema y de la base de datos, utilizar el sistema y la base de datos estrictamente de acuerdo con la autorización, utilizar la tecnología de cifrado de datos adecuada para proteger la transmisión y el acceso a datos confidenciales y garantizar la integridad y confidencialidad de los datos.

Artículo 28 Las instituciones financieras bancarias implementarán una estricta gestión de seguridad y confidencialidad de los parámetros de configuración del sistema de información para evitar la generación, alteración, fuga, pérdida y destrucción ilegal. Determinar los derechos de acceso, los métodos y el alcance del uso autorizado según la sensibilidad y el propósito, y hacer cumplir estrictamente los procedimientos de aprobación y registro.

Artículo 29: Las instituciones financieras bancarias deberán formular planes de emergencia de los sistemas de información, y realizar simulacros, revisiones y revisiones periódicas.

Los centros de datos por debajo del nivel provincial pueden al menos implementar respaldo y almacenamiento de datos fuera del sitio, los centros de datos provinciales pueden al menos implementar respaldo de datos en tiempo real fuera del sitio y los centros de datos nacionales pueden implementar recuperación ante desastres fuera del sitio.

Artículo 30 Las instituciones financieras bancarias deben fortalecer la gestión de respaldo de los documentos técnicos y los datos importantes; las copias de los documentos técnicos y los datos importantes deben conservarse y almacenarse fuera del sitio, conservarse durante un período de tiempo específico y deben mantenerse. ser recordado estrictamente Autorización. La documentación técnica del sistema de información incluye: archivos de descripción del entorno del sistema, programas fuente y diversos materiales técnicos formados durante los procesos de desarrollo, operación y mantenimiento del sistema. Los datos importantes incluyen: datos de transacciones, datos contables, datos de clientes y datos de informes generados, etc.

Artículo 31: Las instituciones financieras bancarias deberán informar de manera adecuada a los clientes cuando sus sistemas de información puedan afectar los servicios al cliente.

Control de Riesgos de I+D

Artículo 32 Los riesgos de I+D se refieren al sistema de información que surge de la organización, planificación, requisitos, análisis, diseño, programación, pruebas y producción durante el proceso de I+D. .

Artículo 33 Se debe establecer un grupo de trabajo del proyecto antes de la investigación y el desarrollo de sistemas de información de las instituciones financieras bancarias. Para proyectos importantes, también se debe establecer un grupo líder del proyecto y se debe designar a la persona a cargo. El equipo de liderazgo del proyecto es responsable de la organización, coordinación, inspección y supervisión del proyecto. El grupo de trabajo del proyecto está compuesto por personal empresarial, personal técnico y personal de gestión, y es específicamente responsable del desarrollo de todo el proyecto.

Artículo 34 Los miembros del grupo de trabajo del proyecto deben tener experiencia empresarial y conocimientos técnicos profesionales adecuados a los requisitos del proyecto. El líder del equipo debe tener habilidades de liderazgo organizacional para garantizar la calidad y el progreso de la investigación y el desarrollo de sistemas de información. .

Artículo 35: Los departamentos comerciales de las instituciones financieras bancarias deberán formular informes de viabilidad sobre proyectos de investigación y desarrollo de sistemas de información con base en la estrategia de desarrollo comercial de la institución y sobre la base de una investigación de mercado completa y un análisis de los beneficios del producto.

Artículo 36: El departamento comercial de una institución financiera bancaria preparará una declaración de requisitos del proyecto y presentará requisitos de control de riesgos, y el departamento de tecnología de la información preparará una declaración de función del proyecto basada en los requisitos del proyecto.

Artículo 37 El departamento de tecnología de la información de una institución bancaria financiera preparará el marco técnico general y las especificaciones de diseño del proyecto con base en las especificaciones funcionales del proyecto. El diseño y la codificación deberán cumplir con los requisitos del proyecto. especificación funcional.

Artículo 38 Las instituciones financieras bancarias deben establecer un entorno de prueba independiente para garantizar la integridad y precisión de las pruebas. Las pruebas deben incluir al menos pruebas funcionales, pruebas de seguridad, pruebas de estrés, pruebas de aceptación y pruebas de adaptabilidad. Las pruebas no deben utilizar datos de producción directamente.

Artículo 39 Los departamentos de tecnología de la información de las instituciones financieras bancarias deben reparar las funciones y defectos del sistema basándose en los resultados de las pruebas para mejorar la calidad general del sistema.

Artículo 40 El personal comercial y el personal técnico de las instituciones financieras bancarias prepararán instrucciones operativas, planes técnicos de emergencia, planes de continuidad del negocio, planes de producción y planes de reversión de emergencia de acuerdo con su alcance de funciones y realizarán simulacros.

Artículo 41: Varios documentos y materiales involucrados en el proceso de desarrollo deben ser firmados y confirmados por los departamentos y el personal pertinentes y archivados.

Artículo 42 Para la aceptación del proyecto, se emitirá un informe de aceptación del proyecto firmado por el responsable correspondiente. Si el proyecto no supera la aceptación, no se pondrá en producción.

Capítulo 5 Control de Riesgos de Operación y Mantenimiento

Artículo 43 El riesgo de operación y mantenimiento se refiere a la gestión de operación, gestión de cambios, gestión de sala de cómputo y gestión de eventos del sistema de información durante la operación y riesgos del proceso de mantenimiento derivados de otros aspectos.

Artículo 44: La operación y mantenimiento del sistema de información de las instituciones financieras bancarias deberá estar separada de sus deberes, debiendo los operadores ser de tiempo completo, no permitiéndose que otro personal ocupe puestos concurrentes. Los operadores deben inspeccionar y operar de acuerdo con los procedimientos operativos. El personal de mantenimiento debe mantener el software, el hardware y los datos en estado de producción de acuerdo con los procedimientos de autorización y mantenimiento. Excepto en casos de emergencia, otros tipos de mantenimiento deben realizarse fuera del horario laboral.

Artículo 45 La operación de los sistemas de información de las instituciones financieras bancarias deberá cumplir con los siguientes requisitos:

(1) Desarrollar un cronograma detallado de funciones de operación, incluyendo la estipulación de tiempos de inspección, alcance de las operaciones, contenido, métodos, comandos, personal responsable y otra información;

(2) Proporcionar menús o comandos de operación comunes y simples, como iniciar o detener el sistema de información, consultar el registro de operaciones, etc.;

(3) Proporcionar información de monitoreo como el entorno de la sala de computadoras, el uso del equipo, el funcionamiento de la red, el funcionamiento del sistema, etc.;

(4) Registrar todos los fenómenos, procesos operativos y otra información durante el operación y proceso de servicio.

Artículo 46 El mantenimiento de los sistemas de información de las instituciones financieras bancarias deberá cumplir con los siguientes requisitos:

(1) Además del mantenimiento de los equipos del sistema de información y del entorno del sistema, el mantenimiento del software o el mantenimiento de datos debe realizarse a través de aplicaciones específicas. La adición, eliminación y modificación de datos debe realizarse a través de terminales de cajero y no se permiten operaciones directas en la base de datos;

(2) Tener varios registros detallados. información, incluidos registros de transacciones y registros de auditoría, etc., para mantenimiento y auditoría;

(3) Proporcionar estadísticas de mantenimiento y funciones de impresión de informes.

Artículo 47 Los cambios al sistema de información de las instituciones financieras bancarias deberán cumplir los siguientes requisitos:

(1) Desarrollar un estricto proceso de procesamiento de cambios y aclarar las responsabilidades de cada puesto en el control de cambios. y seguir el proceso para implementar el control y la gestión; los planes de emergencia y reversión deben ser claros antes de los cambios, y no se permiten operaciones de cambio sin autorización;

(2) De acuerdo con los requisitos de cambio, cambiar el plan, cambiar. lista de verificación de contenido y otros documentos relacionados Revisar la exactitud, seguridad y legalidad de los cambios;

(3) Se deben utilizar herramientas de software para determinar con precisión la verdadera ubicación y el contenido de los cambios, formar una verificación de contenido de cambio listar y lograr una inspección verdadera, efectiva y completa

(4) Después de cambiar la versión del software, se debe conservar la versión inicial y todas las versiones históricas, y se debe conservar una lista de verificación de todos los cambios históricos; .

Artículo 48: Las instituciones financieras bancarias deberán organizar una posevaluación del sistema dentro de un cierto período de tiempo después de la puesta en producción del sistema de información, y realizar ajustes y optimizaciones oportunas a las funciones del sistema con base en la evaluación.

Artículo 49 Las instituciones financieras bancarias deben realizar inspecciones diarias de las instalaciones del entorno de las salas de computadoras y aclarar los procedimientos y planes de manejo de emergencia cuando los sistemas de información y las instalaciones del entorno de las salas de computadoras fallan. Los centros de datos con servicios de transacciones en tiempo real deben implementarse 24. -horas de servicio.

Artículo 50: Las instituciones financieras bancarias deberán implementar un sistema de notificación de incidentes si un sistema de información causa pérdidas económicas o reputacionales importantes o un impacto importante, deberá informarlo y gestionarlo inmediatamente, y activar un plan de respuesta de emergencia cuando sea necesario. .

Control de riesgos de subcontratación

Artículo 51: El riesgo de subcontratación se refiere a instituciones financieras bancarias que encomiendan la planificación, investigación y desarrollo, construcción, operación, mantenimiento y seguimiento de sistemas de información a la cooperación empresarial. cuando se utilizan socios o proveedores de tecnología externos.

Artículo 52: Al subcontratar sistemas de información, las instituciones financieras bancarias determinarán razonablemente los principios y el alcance de la subcontratación con base en el control de riesgos y las necesidades reales, analizarán y evaluarán cuidadosamente los riesgos potenciales de la subcontratación y establecerán mejorar las reglas pertinentes. y normativa y formular las correspondientes medidas de prevención de riesgos.

Artículo 53 Las instituciones financieras bancarias deben establecer y mejorar mecanismos de evaluación de contratistas de subcontratación para revisar y evaluar completamente las condiciones operativas, la solidez financiera, el historial de integridad, las calificaciones de seguridad, las capacidades de servicio técnico y el nivel de control y responsabilidad de los riesgos reales del contratista. y llevar a cabo la debida diligencia necesaria. El trabajo de evaluación puede confiarse a una agencia independiente con experiencia profesional relevante y calificaciones certificadas por las autoridades reguladoras nacionales correspondientes.

Artículo 54: Las instituciones financieras bancarias firmarán un contrato escrito con el contratista para aclarar los derechos y obligaciones de ambas partes, y estipular las obligaciones y responsabilidades del contratista en términos de seguridad, confidencialidad y propiedad intelectual. derechos.

Artículo 55: Las instituciones financieras bancarias deberán comprender plenamente el impacto directo e indirecto de los servicios de subcontratación en el control de riesgos de los sistemas de información, e incorporarlo a la estrategia general de seguridad y control de riesgos.

Artículo 56: Las instituciones financieras bancarias deben establecer procedimientos completos de evaluación y seguimiento de riesgos de subcontratación de sistemas de información, gestionar prudentemente los riesgos derivados de la subcontratación y mejorar la capacidad de la institución para gestionar la subcontratación.

Artículo 57: La gestión de riesgos de la subcontratación de sistemas de información de las instituciones financieras bancarias deberá cumplir con las normas y estrategias de gestión de riesgos, y se establecerán planes de contingencia para los riesgos de la subcontratación.

Artículo 58: Las instituciones financieras bancarias establecerán mecanismos efectivos de enlace, comunicación e intercambio de información con los contratistas de subcontratación, y desarrollarán planes que permitan cambios fluidos de contratistas en circunstancias inesperadas para garantizar que los servicios de subcontratación no sean planes de contingencia intermitentes.

Artículo 59: Las instituciones financieras bancarias deberán cumplir con las leyes y regulaciones nacionales pertinentes al subcontratar sistemas de información sensible y otros contenidos que involucren la gestión y transmisión de secretos de estado, secretos comerciales y datos de privacidad de los clientes. regulaciones de la Comisión Reguladora Bancaria de China, ser aprobado por la junta directiva u otros órganos de toma de decisiones, y ser informado a la Comisión Reguladora Bancaria de China y sus oficinas enviadas e instituciones obligadas a informar de acuerdo con las leyes y regulaciones antes de que se implemente la subcontratación.