Capítulo 3 Control Integral de Riesgos de los Sistemas de Información Lineamientos de Gestión de Riesgos para Instituciones Financieras Bancarias
Artículo 15 Las instituciones financieras bancarias formularán estrategias claras y continuas de gestión de riesgos basadas en la planificación general del sistema de información, analizarán y evaluarán diversos factores integrales en función de la sensibilidad del sistema de información e implementarán un control efectivo.
Artículo 16 Las instituciones financieras bancarias tomarán medidas para protegerse contra amenazas a la seguridad causadas por desastres naturales y cambios en el entorno comercial, y protegerse contra diversas emergencias y ataques maliciosos.
Artículo 17 Las instituciones financieras bancarias establecerán y mejorarán normas, reglamentos, especificaciones técnicas y procedimientos operativos relacionados con los sistemas de información; aclararán las responsabilidades y autoridades del personal relacionado con los sistemas de información, establecerán mecanismos de restricción e implementarán autorizaciones mínimas; .
Artículo 18 Las instituciones financieras bancarias financiadas por China establecidas en el extranjero o las instituciones financieras bancarias extranjeras establecidas en el país deben protegerse contra los riesgos transfronterizos causados por las diferencias en los sistemas regulatorios de los sistemas de información nacionales y extranjeros.
Artículo 19 Las instituciones financieras bancarias implementarán estrictamente los estándares nacionales de seguridad de la información relevantes, promoverán activamente la estandarización de la seguridad de la información e implementarán el nivel de protección de seguridad de la información con referencia a los estándares internacionales relevantes.
Artículo 20 Las instituciones financieras bancarias fortalecerán la evaluación y prueba de los sistemas de información, los repararán y actualizarán oportunamente y garantizarán la seguridad e integridad de los sistemas de información.
Artículo 21 La sala de computación del centro de datos del sistema de información de una institución financiera bancaria deberá cumplir con las normas técnicas nacionales para sitios de computación, ambiente, suministro y distribución de energía. Los centros de datos nacionales deben cumplir al menos con los estándares nacionales de salas de computadoras de Clase A, los centros de datos provinciales deben cumplir con los estándares nacionales de salas de computadoras de Clase B y los centros de datos por debajo del nivel provincial deben cumplir al menos con los estándares de salas de computadoras de Clase C. Las salas de ordenadores de los centros de datos deben implementar medidas estrictas de control de acceso y no permitir el acceso no autorizado.
Artículo 22 Las instituciones financieras bancarias deben conceder gran importancia a la protección de los derechos de propiedad intelectual, utilizar software genuino, fortalecer la gestión de versiones de software y dar prioridad al uso de productos de software y hardware con derechos de propiedad intelectual independientes de mi país. Desarrollar activamente productos con sistemas de información de derechos de propiedad intelectual independientes y productos financieros relacionados, y tomar medidas efectivas para proteger los logros de información de la organización.
Artículo 23 La selección, adquisición, registro, mantenimiento, reparación y desguace de equipos electrónicos relacionados con el sistema de información de las instituciones financieras bancarias deberá cumplir estrictamente con las regulaciones pertinentes. El equipo seleccionado deberá someterse a demostraciones técnicas y pruebas de rendimiento. Deberá cumplir con las normas nacionales pertinentes. Los equipos clave, como los servidores utilizados en los sistemas de información, deben tener alta confiabilidad, capacidad suficiente, ciertas características de tolerancia a fallas y estar equipados con repuestos adecuados.
Artículo 24 Las redes de sistemas de información deben diseñarse y construirse de acuerdo con las normas y especificaciones pertinentes; los equipos de red deben tener avances tecnológicos y madurez del producto; los equipos de red y las líneas deben gestionar estrictamente los contratos de alquiler de líneas; y garantizar el ancho de banda de transmisión de acuerdo con los requisitos del proceso comercial y de transacciones; establecer y mejorar un centro de gestión de red para monitorear y gestionar líneas de comunicación y equipos de red para garantizar un funcionamiento seguro y estable de la red.
Artículo 25: Las instituciones financieras bancarias fortalecerán la gestión de seguridad de la red. La red de producción debe estar aislada de la red de desarrollo y prueba, la red comercial y la red de oficina, la red interna y la red externa; fortalecer el control de límites de la red inalámbrica y el acceso a Internet; utilizar filtrado de contenido, autenticación de identidad, firewall, prevención de virus y detección de intrusiones; , escaneo de vulnerabilidades y cifrado de datos y otros medios técnicos para reducir efectivamente el riesgo de ataques externos y fuga de información.
Artículo 26 Las instituciones financieras bancarias fortalecerán la gestión de factores de seguridad, como máquinas de cifrado de sistemas de información, claves, contraseñas, procedimientos de cifrado y descifrado, utilizarán equipos criptográficos que cumplan con los estándares de seguridad nacionales y mejorarán el sistema de gestión de factores de seguridad. para su generación, recolección, uso, modificación, almacenamiento y destrucción. Las claves y contraseñas deben cambiarse periódicamente.
Artículo 27 Las instituciones financieras bancarias fortalecerán la gestión efectiva de la recopilación, el almacenamiento, la transmisión, el uso, la copia de seguridad, la recuperación, las verificaciones aleatorias, la limpieza y la destrucción de datos, y no recopilarán, procesarán, transmitirán ni accederán a datos que no sean datos. Datos del sistema; optimizar la configuración de seguridad del sistema y la base de datos, utilizar el sistema y la base de datos estrictamente de acuerdo con la autorización, utilizar tecnología de cifrado de datos adecuada para proteger la transmisión y el acceso a datos confidenciales y garantizar la integridad y confidencialidad de los datos.
Artículo 28 Las instituciones financieras bancarias implementarán una estricta gestión de seguridad y confidencialidad de los parámetros de configuración del sistema de información para evitar la generación, alteración, fuga, pérdida y destrucción ilegal.
Determinar los derechos de acceso, los métodos y el alcance del uso autorizado según la sensibilidad y el propósito, y hacer cumplir estrictamente los procedimientos de aprobación y registro.
Artículo 29: Las instituciones financieras bancarias deberán formular planes de emergencia de los sistemas de información y realizar simulacros, revisiones y revisiones periódicas. Los centros de datos por debajo del nivel provincial pueden al menos implementar copias de seguridad de datos y almacenamiento remoto, los centros de datos provinciales pueden al menos implementar copias de seguridad de datos remotas en tiempo real y los centros de datos nacionales pueden implementar recuperación remota ante desastres.
Artículo 30: Las instituciones financieras bancarias fortalecerán la gestión de respaldo de los documentos técnicos y los datos importantes; los documentos técnicos y los datos importantes se conservarán por duplicado, fuera del sitio, por un período de tiempo determinado, y se conservarán en copias. estrictamente autorizado cuando se le llame. Los documentos técnicos de los sistemas de información incluyen: documentos de descripción del entorno del sistema, programas fuente y diversos documentos técnicos formados durante la investigación, el desarrollo, la operación y el mantenimiento del sistema. Los datos importantes incluyen: datos de transacciones, datos contables, datos de clientes y datos de informes generados.
Artículo 31: Las instituciones financieras bancarias deberán notificar de manera adecuada a los clientes cuando los sistemas de información puedan afectar los servicios al cliente.