Tax100 稅百
標(biāo)題: 中支協(xié)技標(biāo)發(fā)[2016]2號(hào) | 中國(guó)支付清算協(xié)會(huì)技術(shù)標(biāo)準(zhǔn)工作委員會(huì)關(guān)于印發(fā)《非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引》的通知 [打印本頁(yè)]
作者: Cassie7 時(shí)間: 2021-12-2 16:16
標(biāo)題: 中支協(xié)技標(biāo)發(fā)[2016]2號(hào) | 中國(guó)支付清算協(xié)會(huì)技術(shù)標(biāo)準(zhǔn)工作委員會(huì)關(guān)于印發(fā)《非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引》的通知
中國(guó)支付清算協(xié)會(huì)技術(shù)標(biāo)準(zhǔn)工作委員會(huì)關(guān)于印發(fā)《非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引》的通知
各會(huì)員單位:
為加強(qiáng)非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理��,中國(guó)支付清算協(xié)會(huì)技術(shù)標(biāo)準(zhǔn)工作委員會(huì)起草了《非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引》(以下簡(jiǎn)稱(chēng)《科技風(fēng)險(xiǎn)管理指引》)����,并廣泛征求了成員單位的意見(jiàn)�����。《科技風(fēng)險(xiǎn)管理指引》已經(jīng)技術(shù)標(biāo)準(zhǔn)工作委員會(huì)第一屆常務(wù)委員會(huì)第二次會(huì)議審議通過(guò)��,現(xiàn)予以發(fā)布����,自2016年7月1日起實(shí)施�����。
特此通知����。
附件:《非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引》
中國(guó)支付清算協(xié)會(huì)技術(shù)標(biāo)準(zhǔn)工作委員會(huì)
2016年6月14日
非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理指引
第一章 總 則 第一條 為加強(qiáng)非銀行支付機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理,根據(jù)國(guó)家法律法規(guī)和信息安全相關(guān)要求����、人民銀行的行業(yè)監(jiān)管要求以及中國(guó)支付清算協(xié)會(huì)的行業(yè)自律相關(guān)規(guī)定,制定本指引��。
第二條 本指引所稱(chēng)信息科技是指計(jì)算機(jī)�、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)�����,在支付機(jī)構(gòu)業(yè)務(wù)交易處理、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用����,并包括進(jìn)行信息科技治理,建立完整的管理組織架構(gòu)��,制訂完善的管理制度和流程�����。
第三條 本指引所稱(chēng)信息科技風(fēng)險(xiǎn)���,是指支付機(jī)構(gòu)運(yùn)用信息科技的過(guò)程中����,由于自然因素�����、人為因素�����、技術(shù)漏洞和管理缺陷導(dǎo)致的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)��。
第四條 本指引適用于中國(guó)支付清算協(xié)會(huì)會(huì)員單位中根據(jù)中國(guó)人民銀行《非金融機(jī)構(gòu)支付服務(wù)管理辦法》規(guī)定�����,取得《支付業(yè)務(wù)許可證》的非銀行支付機(jī)構(gòu)��,以下簡(jiǎn)稱(chēng)“支付機(jī)構(gòu)”�����。
第二章 信息科技風(fēng)險(xiǎn)管理 第五條 支付機(jī)構(gòu)的負(fù)責(zé)人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人�,負(fù)責(zé)組織本指引的貫徹落實(shí)��。
第六條 支付機(jī)構(gòu)管理層履行以下信息科技管理職責(zé):
(一)遵守并貫徹執(zhí)行國(guó)家和行業(yè)有關(guān)信息科技管理的法律����、法規(guī)和技術(shù)標(biāo)準(zhǔn),落實(shí)中國(guó)人民銀行相關(guān)監(jiān)管要求�����,以及中國(guó)支付清算協(xié)會(huì)的相關(guān)自律規(guī)范�����,確保持續(xù)符合國(guó)家、行業(yè)相關(guān)標(biāo)準(zhǔn)要求�����。
(二)配合監(jiān)管部門(mén)及行業(yè)自律組織做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作�,并按照監(jiān)督檢查意見(jiàn)進(jìn)行整改。
(三)審查批準(zhǔn)信息科技戰(zhàn)略����,確保其與支付機(jī)構(gòu)的總體業(yè)務(wù)戰(zhàn)略和重大決策相一致;評(píng)估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果�。
(四)履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。
第七條 支付機(jī)構(gòu)應(yīng)制定符合本機(jī)構(gòu)總體業(yè)務(wù)規(guī)劃的信息科技戰(zhàn)略��、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃���,確保配置足夠資源�,維持穩(wěn)定��、安全的信息科技環(huán)境�。
第八條 支付機(jī)構(gòu)應(yīng)設(shè)立專(zhuān)門(mén)的高級(jí)管理職位,統(tǒng)籌負(fù)責(zé)信息化規(guī)劃��、建設(shè)、運(yùn)行維護(hù)����、信息安全、業(yè)務(wù)連續(xù)性等工作��,并負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略���,尤其是在涉及信息安全�����、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面���。
第九條 支付機(jī)構(gòu)應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略���,包括但不限于下述領(lǐng)域:
(一)信息分級(jí)與保護(hù)��。
(二)信息系統(tǒng)開(kāi)發(fā)����、測(cè)試�、運(yùn)行和維護(hù)��。
(三)訪(fǎng)問(wèn)控制����。
(四)物理安全�����。
(五)人員安全��。
(六)數(shù)據(jù)安全����。
(七)業(yè)務(wù)連續(xù)性計(jì)劃。
第十條 支付機(jī)構(gòu)應(yīng)制定持續(xù)的信息科技風(fēng)險(xiǎn)識(shí)別和評(píng)估流程��,確定信息科技中存在隱患的區(qū)域����,評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響。
第十一條 支付機(jī)構(gòu)應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果�����,實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括但不限于:
(一)制定明確的信息科技風(fēng)險(xiǎn)管理制度���、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等���,定期進(jìn)行更新。
(二)確定潛在信息科技風(fēng)險(xiǎn)區(qū)域�����,并對(duì)這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控����,實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。
(三)建立適當(dāng)?shù)目刂瓶蚣?��,以便于檢查和平衡風(fēng)險(xiǎn)���。
第十二條 支付機(jī)構(gòu)設(shè)立相應(yīng)崗位和部門(mén)���,負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施�����,制訂和執(zhí)行信息科技審計(jì)計(jì)劃���,對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)����。
第十三條 支付機(jī)構(gòu)應(yīng)對(duì)信息科技部門(mén)內(nèi)部管理職責(zé)進(jìn)行明確的界定�;各崗位的人員應(yīng)具有相應(yīng)的專(zhuān)業(yè)知識(shí)和技能;應(yīng)對(duì)各崗位的人員定期開(kāi)展信息安全相關(guān)培訓(xùn)教育����,使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程,了解違反規(guī)定的后果�����,并對(duì)違反相關(guān)規(guī)定的行為采取措施��。
第三章 信息安全 第十四條 支付機(jī)構(gòu)信息科技部門(mén)負(fù)責(zé)制訂信息安全整體方針���、政策����、制度��、規(guī)范、流程��、實(shí)施方案���、實(shí)施計(jì)劃和監(jiān)督機(jī)制���,支付機(jī)構(gòu)應(yīng)使所有員工都了解信息安全的重要性,并組織必要的培訓(xùn)����,讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程及要求。
第十五條 支付機(jī)構(gòu)信息科技部門(mén)負(fù)責(zé)從安全技術(shù)和安全管理角度推動(dòng)信息安全保護(hù)措施落地執(zhí)行���,安全技術(shù)要求覆蓋物理安全����、網(wǎng)絡(luò)安全���、主機(jī)安全����、終端安全����、應(yīng)用安全和數(shù)據(jù)安全等方面;安全管理要求覆蓋安全管理制度�、 安全管理機(jī)構(gòu)、 人員安全管理����、 系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理和業(yè)務(wù)連續(xù)性等方面�����。
第十六條 支付機(jī)構(gòu)應(yīng)確保其辦公區(qū)域的安全�。明確工作人員的職責(zé),對(duì)區(qū)域的訪(fǎng)問(wèn)進(jìn)行授權(quán)管理�,對(duì)敏感數(shù)據(jù)的訪(fǎng)問(wèn)以及存儲(chǔ)設(shè)備進(jìn)行想要的管理,對(duì)可能影響安全的時(shí)間采取必要的預(yù)防�、檢測(cè)和恢復(fù)控制措施。
第十七條 支付機(jī)構(gòu)應(yīng)根據(jù)網(wǎng)絡(luò)承載的業(yè)務(wù)重要性和數(shù)據(jù)敏感度��,將網(wǎng)絡(luò)劃分為不同的邏輯安全域(以下簡(jiǎn)稱(chēng)為域)���,對(duì)每個(gè)域的邊界進(jìn)行識(shí)別控制����,采取網(wǎng)絡(luò)內(nèi)容過(guò)濾、邏輯訪(fǎng)問(wèn)控制��、傳輸加密��、網(wǎng)絡(luò)監(jiān)控���、記錄活動(dòng)日志等措施���,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪(fǎng)問(wèn)���,防止信息泄露或者被竊取���、篡改。并制定安全產(chǎn)品與網(wǎng)絡(luò)設(shè)備配置基線(xiàn)�。支付機(jī)構(gòu)應(yīng)考慮對(duì)每個(gè)域內(nèi)部進(jìn)行子域劃分,將安全風(fēng)險(xiǎn)隔離在子域單元����。
第十八條 支付機(jī)構(gòu)應(yīng)通過(guò)以下措施,確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全:
(一)制定每種類(lèi)型操作系統(tǒng)的安全要求基線(xiàn)���,確保所有系統(tǒng)滿(mǎn)足基本安全要求��。
(二)對(duì)不同的接觸人群進(jìn)行權(quán)限劃分����,明確定義包括終端用戶(hù)���、系統(tǒng)開(kāi)發(fā)人員�、系統(tǒng)測(cè)試人員�����、計(jì)算機(jī)操作人員���、系統(tǒng)管理員�、數(shù)據(jù)庫(kù)管理員�、網(wǎng)絡(luò)管理員和用戶(hù)管理員等不同用戶(hù)組的訪(fǎng)問(wèn)權(quán)限。
(三)制定最高權(quán)限系統(tǒng)賬戶(hù)的審批����、驗(yàn)證和監(jiān)控流程,并確保最高權(quán)限用戶(hù)的操作日志被記錄和監(jiān)察��。
(四)要求技術(shù)人員定期檢查可用的安全補(bǔ)丁�����,并對(duì)切實(shí)需要的安全補(bǔ)丁進(jìn)行評(píng)估后進(jìn)行安裝。
(五)在系統(tǒng)日志中記錄不成功的登錄�、重要系統(tǒng)文件的訪(fǎng)問(wèn)、對(duì)用戶(hù)賬戶(hù)的修改等有關(guān)重要事項(xiàng)�,手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件。
第十九條 支付機(jī)構(gòu)應(yīng)采取切實(shí)有效的措施����,確保所有終端設(shè)備的安全,并定期對(duì)所有設(shè)備進(jìn)行安全檢查��,確保符合中國(guó)人民銀行及銀聯(lián)的監(jiān)管要求����,檢查范圍應(yīng)包括臺(tái)式個(gè)人計(jì)算機(jī)(PC)、便攜式計(jì)算機(jī)��、銷(xiāo)售終端(POS)等�。
第二十條 支付機(jī)構(gòu)應(yīng)通過(guò)以下措施,確保所有信息系統(tǒng)的操作安全:
(一)明確定義不同職能部門(mén)在信息系統(tǒng)中的角色和職責(zé)���。
(二)針對(duì)信息系統(tǒng)的重要性和敏感程度����,采取有效的身份驗(yàn)證方法。
(三)采取安全的方式處理保密信息的輸入和輸出�����,防止信息泄露或被盜取�、篡改���。
(四)對(duì)信息系統(tǒng)的訪(fǎng)問(wèn)���、運(yùn)行等行為以書(shū)面或電子格式保存審計(jì)痕跡。
(五)要求用戶(hù)管理員監(jiān)控和審查未成功的登錄和用戶(hù)賬戶(hù)的修改���。
(六)應(yīng)用系統(tǒng)日志與審計(jì)要求�����。
第二十一條 支付機(jī)構(gòu)應(yīng)制定相關(guān)制度和流程�����,保護(hù)客戶(hù)身份信息和業(yè)務(wù)信息���,嚴(yán)格管理客戶(hù)信息的采集���、處理、存貯�、傳輸、分發(fā)��、備份�����、恢復(fù)�����、清理和銷(xiāo)毀����。遵循合法、正當(dāng)��、必要的原則���,明示收集�、使用信息的目的、方式和范圍���。應(yīng)采取安全技術(shù)措施和安全管理等必要措施��,確?���?蛻?hù)信息安全�,防止客戶(hù)信息泄露、毀損���、丟失和被非授權(quán)訪(fǎng)問(wèn)。
第二十二條 支付機(jī)構(gòu)應(yīng)采取加密技術(shù)����,防范涉密信息在傳輸、處理�、存儲(chǔ)過(guò)程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn),并建立密碼設(shè)備管理制度�����,以確保:
(一)使用符合國(guó)家��、行業(yè)管理部門(mén)要求的加密技術(shù)、加密設(shè)備和相關(guān)服務(wù)�。
(二)管理、使用密碼設(shè)備的員工經(jīng)過(guò)專(zhuān)業(yè)培訓(xùn)和嚴(yán)格審查�。
(三)加密強(qiáng)度滿(mǎn)足信息機(jī)密性的要求。
(四)制定并落實(shí)有效的管理流程�����,尤其是密鑰和證書(shū)生命周期管理���。
(五)重要管理用戶(hù)與關(guān)鍵業(yè)務(wù)用戶(hù)應(yīng)使用雙因素認(rèn)證��。
第二十三條 支付機(jī)構(gòu)應(yīng)根據(jù)不同職能部門(mén)職責(zé)進(jìn)行“最小化授權(quán)”�����,對(duì)用戶(hù)權(quán)限進(jìn)行跟蹤審計(jì)����,用戶(hù)調(diào)動(dòng)到新的工作崗位或離開(kāi)支付機(jī)構(gòu)時(shí)����,應(yīng)在系統(tǒng)中及時(shí)檢查、更新或注銷(xiāo)用戶(hù)身份�����,同時(shí)要求離崗離職員工簽署相關(guān)保密承諾。
第二十四條 支付機(jī)構(gòu)應(yīng)制定相關(guān)策略����、流程并建設(shè)審計(jì)系統(tǒng),管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志�����,以支持有效的審核����、安全取證分析和預(yù)防欺詐。日志保存期限應(yīng)符合相關(guān)法規(guī)要求�。
支付機(jī)構(gòu)應(yīng)保證業(yè)務(wù)日志和系統(tǒng)日志中包含足夠的內(nèi)容、并確保其完整性��,以便完成有效的內(nèi)部控制����、解決系統(tǒng)故障和滿(mǎn)足審計(jì)需要�。
第四章 信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù) 第二十五條 支付機(jī)構(gòu)應(yīng)有能力對(duì)信息科技工作進(jìn)行規(guī)劃�、采購(gòu)����、研發(fā)�、實(shí)施和維護(hù),并制定管理制度和流程��。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)�����,組織對(duì)系統(tǒng)的后評(píng)價(jià)���,并根據(jù)評(píng)價(jià)結(jié)果及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化���。
第二十六條 支付機(jī)構(gòu)應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn),包括潛在的各種操作風(fēng)險(xiǎn)���、政策風(fēng)險(xiǎn)�、財(cái)務(wù)損失風(fēng)險(xiǎn)�,并采取適當(dāng)?shù)捻?xiàng)目管理方法,控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)��。
第二十七條 支付機(jī)構(gòu)應(yīng)制定信息系統(tǒng)相關(guān)變更的制度和流程����,確保系統(tǒng)的可靠性�����、完整性和可維護(hù)性���。
第二十八條 支付機(jī)構(gòu)應(yīng)將生產(chǎn)環(huán)境與開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境進(jìn)行有效隔離���。
第二十九條 支付機(jī)構(gòu)對(duì)個(gè)人敏感信息的使用應(yīng)嚴(yán)格控制使用范圍�����,在開(kāi)發(fā)環(huán)境����、測(cè)試環(huán)境等非生產(chǎn)環(huán)境使用時(shí)應(yīng)進(jìn)行脫敏處理�����,不應(yīng)使用真實(shí)�����、完整的個(gè)人敏感信息��。
第三十條 支付機(jī)構(gòu)應(yīng)制定并落實(shí)相關(guān)制度�、標(biāo)準(zhǔn)和流程,確保數(shù)據(jù)的完整性��、保密性和可用性���。
第三十一條 支付機(jī)構(gòu)應(yīng)建立有效的問(wèn)題管理流程���,以確保全面地追蹤、分析和解決信息系統(tǒng)問(wèn)題�����。
第五章 信息系統(tǒng)運(yùn)行 第三十二條 支付機(jī)構(gòu)在選擇數(shù)據(jù)中心機(jī)房的地理位置時(shí)��,應(yīng)充分考慮環(huán)境威脅(如是否接近自然災(zāi)害多發(fā)區(qū)�、危險(xiǎn)或有害設(shè)施)。物理機(jī)房應(yīng)按國(guó)家標(biāo)準(zhǔn)設(shè)計(jì)�����,嚴(yán)格采取消防��、空調(diào)、防潮����、防靜電、防雷擊等物理控制措施�,監(jiān)控對(duì)信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況,并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運(yùn)行�����。
第三十三條 支付機(jī)構(gòu)應(yīng)建立并實(shí)行機(jī)房出入的安全管理制度����,對(duì)人員進(jìn)出機(jī)房情況進(jìn)行監(jiān)控和登記。電子設(shè)備或存儲(chǔ)介質(zhì)進(jìn)出機(jī)房���,須經(jīng)審批和登記�����。嚴(yán)格控制第三方人員進(jìn)入安全區(qū)域�����,如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)��,其活動(dòng)也應(yīng)受到監(jiān)控��。
第三十四條 支付機(jī)構(gòu)應(yīng)確保信息科技部門(mén)內(nèi)部的崗位制約�����,開(kāi)發(fā)人員不能兼任系統(tǒng)管理員或業(yè)務(wù)操作員����,并對(duì)關(guān)鍵崗位和職責(zé)做出明確規(guī)定����。
第三十五條 支付機(jī)構(gòu)應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄,采取必要的程序和技術(shù)�����,確保存檔數(shù)據(jù)的完整性�,滿(mǎn)足安全保存和可恢復(fù)要求。
第三十六條 支付機(jī)構(gòu)應(yīng)建立事件管理流程�����,及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事件,逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事件的發(fā)生�,并進(jìn)行記錄、分析和跟蹤���。
第三十七條 支付機(jī)構(gòu)應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程���,對(duì)信息科技運(yùn)行服務(wù)水平進(jìn)行考核。
第三十八條 支付機(jī)構(gòu)應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)服務(wù)水平(包括性能�、功能等)的相關(guān)機(jī)制,及時(shí)���、完整地報(bào)告異常情況�����。
第三十九條 支付機(jī)構(gòu)應(yīng)制定容量規(guī)劃�,以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長(zhǎng)�。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、生產(chǎn)備份系統(tǒng)及相關(guān)設(shè)施�����。
第四十條 支付機(jī)構(gòu)應(yīng)制定有效的變更管理流程���,以確保生產(chǎn)環(huán)境的完整性和可靠性�。包括緊急變更在內(nèi)的所有變更都應(yīng)做詳細(xì)記錄,執(zhí)行有效的審核流程����。
第六章 業(yè)務(wù)連續(xù)性管理 第四十一條 支付機(jī)構(gòu)應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)��、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃�����,以確保在出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí)����,系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù);定期對(duì)規(guī)劃進(jìn)行培訓(xùn)���、更新和演練�����,以保證其有效性�。
第四十二條 支付機(jī)構(gòu)應(yīng)評(píng)估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響��,包括評(píng)估可能由下述原因?qū)е碌钠茐模?br />
(一)內(nèi)外部資源的故障或缺失(如人員、系統(tǒng)或其他資產(chǎn))�����。
(二)信息丟失或受損����。
(三)外部事件(如自然災(zāi)難或戰(zhàn)爭(zhēng)等)。
第四十三條 支付機(jī)構(gòu)應(yīng)采取雙機(jī)熱備�、集群多活、跨機(jī)房災(zāi)備等措施降低業(yè)務(wù)中斷的可能性�����,并通過(guò)應(yīng)急預(yù)案和演練等方式降低影響���。
第四十四條 支付機(jī)構(gòu)應(yīng)建立維持其業(yè)務(wù)連續(xù)性策略的制度和規(guī)范�����,并制定對(duì)策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃�。
第七章 外 包 第四十五條 信息科技外包是指支付機(jī)構(gòu)將原本應(yīng)由自身負(fù)責(zé)處理的信息科技活動(dòng)委托給服務(wù)提供商進(jìn)行處理的行為�,包含項(xiàng)目外包、人力資源外包等��;支付機(jī)構(gòu)不得將其信息科技管理責(zé)任外包,應(yīng)合理監(jiān)督信息科技外包職能的履行�。
第四十六條 信息科技外包可能產(chǎn)生風(fēng)險(xiǎn),并導(dǎo)致支付機(jī)構(gòu)的戰(zhàn)略��、聲譽(yù)���、合規(guī)風(fēng)險(xiǎn)���,應(yīng)當(dāng)將信息科技外包管理納入全面風(fēng)險(xiǎn)管理體系����,建立與本機(jī)構(gòu)信息科技戰(zhàn)略目標(biāo)相適應(yīng)的外包管理體系,控制或降低由于外包而引發(fā)的風(fēng)險(xiǎn)����。
第四十七條 支付機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)信息安全管控措施,防范因外包活動(dòng)引起的信息泄露���、信息篡改����、信息不可用����、非法入侵���、物理環(huán)境或設(shè)施遭受破壞等風(fēng)險(xiǎn)。
第四十八條 支付機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過(guò)程進(jìn)行持續(xù)監(jiān)控��,要求服務(wù)提供商建立階段性服務(wù)目標(biāo)及任務(wù)����,并跟蹤任務(wù)的執(zhí)行情況,及時(shí)發(fā)現(xiàn)和糾正服務(wù)過(guò)程中存在的各類(lèi)異常情況���。
第四十九條 為降低外包突發(fā)事件的可能性及影響�����,支付機(jī)構(gòu)應(yīng)當(dāng)事先對(duì)業(yè)務(wù)連續(xù)性管理造成重大影響的外包服務(wù)建立風(fēng)險(xiǎn)控制�、緩釋或轉(zhuǎn)移措施�����。支付機(jī)構(gòu)應(yīng)當(dāng)針對(duì)重要外包服務(wù)中斷的場(chǎng)景���,擬定相應(yīng)的應(yīng)急計(jì)劃�,并定期進(jìn)行演練。
第八章 審 計(jì) 第五十條 支付機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)���、規(guī)模和復(fù)雜程度��,對(duì)相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行評(píng)估�。支付機(jī)構(gòu)應(yīng)配備足夠的資源和具有專(zhuān)業(yè)能力的信息科技審計(jì)人員����,獨(dú)立于本機(jī)構(gòu)的日常活動(dòng)���,具有適當(dāng)?shù)氖跈?quán)訪(fǎng)問(wèn)本機(jī)構(gòu)的記錄。
第五十一條 支付機(jī)構(gòu)內(nèi)部信息科技審計(jì)的責(zé)任包括但不限于:
(一)制定�、實(shí)施和調(diào)整審計(jì)計(jì)劃,檢查和評(píng)估本機(jī)構(gòu)信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性�����。
(二)進(jìn)行審計(jì)工作�,在此基礎(chǔ)上提出整改意見(jiàn)。
(三)檢查整改意見(jiàn)是否得到落實(shí)���。
(四)執(zhí)行信息科技專(zhuān)項(xiàng)審計(jì)�����。信息科技專(zhuān)項(xiàng)審計(jì)�����,是指對(duì)信息科技安全事故進(jìn)行的調(diào)查�、分析和評(píng)估,或?qū)徲?jì)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事項(xiàng)進(jìn)行的審計(jì)��。
第五十二條 支付機(jī)構(gòu)可以在符合法律�、法規(guī)和監(jiān)管要求的情況下,委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)�����。
第五十三條 支付機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)性質(zhì)����、規(guī)模和復(fù)雜程度,信息科技應(yīng)用情況��,以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果�,確定信息科技外部審計(jì)范圍和頻率,但至少應(yīng)每一年進(jìn)行一次全面審計(jì)��。
第五十四條 支付機(jī)構(gòu)在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí),應(yīng)與其簽訂保密協(xié)議�,并督促其嚴(yán)格遵守法律法規(guī),保守本機(jī)構(gòu)的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息��,防止其擅自對(duì)本機(jī)構(gòu)提供的任何文件進(jìn)行修改�、復(fù)制或帶離現(xiàn)場(chǎng)。
第九章 附 則 第五十五條 本指引由中國(guó)支付清算協(xié)會(huì)負(fù)責(zé)解釋����、修訂。
第五十六條 本指引自頒布之日起施行��。
| 歡迎光臨 Tax100 稅百 (http://www.hjtg28.cn/) |
Powered by Discuz! X5.1 |