¿Cuáles son los principales requisitos de las directrices de gestión de riesgos del sistema de información para instituciones financieras bancarias?

Artículo 6 Las instituciones financieras bancarias deberán establecer un marco eficaz de gestión de riesgos del sistema de información, mejorar la estructura organizativa interna y el mecanismo de trabajo, y prevenir y controlar los riesgos del sistema de información.

Artículo 7 Las instituciones financieras bancarias desempeñarán eficazmente las siguientes responsabilidades de gestión del sistema de información:

(1) Implementar leyes, reglamentos y normas técnicas de gestión del sistema de información nacional, e implementar los requisitos reglamentarios pertinentes de la Comisión Reguladora Bancaria de China.

(2) Establecer un sistema eficaz de seguridad de la información y procedimientos de control interno, aclarar el sistema de responsabilidad de los puestos de gestión de riesgos del sistema de información y supervisar la implementación.

(3) Responsable de la organización; el sistema de información de la organización Inspección, evaluación y análisis de riesgos, y presentación oportuna de información de gestión relevante al comité especial de la institución, la Comisión Reguladora Bancaria de China y sus oficinas enviadas.

(4) Informar los accidentes o emergencias importantes del sistema de información de la institución a la CBRC y sus oficinas enviadas de manera oportuna, y responder rápidamente de acuerdo con los planes relevantes.

(5) Presentar un informe anual de gestión de riesgos del sistema de información a la Comisión Reguladora Bancaria de China y sus agencias enviadas después de la deliberación de la junta directiva u otros órganos de toma de decisiones cada año.

(6) Hacer un buen trabajo en la auditoría del sistema de información de la institución;

(7) Cooperar con la Comisión Reguladora Bancaria de China y sus oficinas enviadas para llevar a cabo la supervisión de riesgos del sistema de información y inspección y hacer rectificaciones basadas en opiniones regulatorias;

(8) Organizar a los profesionales de sistemas de información de la organización para llevar a cabo capacitación comercial, técnica y de seguridad relacionada con los sistemas de información;

(9) Realizar otros trabajos relacionados con la gestión de riesgos del sistema de información.

Artículo 8 La junta directiva u otros órganos de toma de decisiones de las instituciones financieras bancarias son responsables de la planificación estratégica, los grandes proyectos y la supervisión y gestión de riesgos de los sistemas de información, el comité de gestión de tecnologías de la información, el comité de gestión de riesgos; u otros comités profesionales responsables de la supervisión de riesgos. Se debe formular la estrategia general del sistema de información, se debe coordinar la construcción de proyectos de sistemas de información, se debe evaluar e informar periódicamente el estado de riesgo del sistema de información de la organización y se deben proporcionar recomendaciones a los tomadores de decisiones. y se deben tomar las correspondientes medidas de control de riesgos.

Artículo 9 El representante legal o responsable principal de una institución financiera bancaria es el encargado de la gestión de riesgos del sistema de información de la institución.

Artículo 10 Una institución bancaria financiera establecerá un departamento de tecnología de la información que será responsable de la planificación, investigación y desarrollo, construcción, operación, mantenimiento y seguimiento de su sistema de información, y de proporcionar servicios científicos y tecnológicos diarios. y soporte técnico operativo establecer o aclarar un departamento de gestión de riesgos de sistemas de información especializado, establecer y mejorar las reglas y regulaciones de gestión de riesgos de sistemas de información, ayudar a los departamentos comerciales y de tecnología de la información en su implementación estricta y proporcionar información regulatoria relevante; puestos de auditoría, y establecer y mejorar un sistema de auditoría de riesgos del sistema de información, asignar el personal calificado correspondiente para realizar auditorías de riesgo del sistema de información.

Artículo 11 El personal dedicado a trabajos relacionados con sistemas de información en instituciones financieras bancarias deberá cumplir las siguientes condiciones:

(1) Tener buena ética profesional y dominar las habilidades necesarias para realizar sistemas de información. -responsabilidades relacionadas con los conocimientos y habilidades profesionales requeridos;

(2) Aquellos que no hayan recibido capacitación previa al empleo o que no hayan aprobado la capacitación no podrán asumir el cargo de personal que no sea apto después de la evaluación; debe ajustarse oportunamente.

Artículo 12 Las instituciones financieras bancarias deberán fortalecer la construcción de equipos profesionales para la gestión de riesgos de los sistemas de información y establecer mecanismos de incentivo al talento que se adapten al desarrollo de las tecnologías de la información.

Artículo 13 Las instituciones financieras bancarias divulgarán el estado de riesgo del sistema de información de manera oportuna y estandarizada de acuerdo con las leyes y regulaciones pertinentes.

Control general de riesgos

Artículo 14 El riesgo general se refiere al impacto del sistema de información en la situación general o * * en términos de estrategia, sistema, sala de computadoras, software, hardware, red, datos, documentos, etc. * riesgo.

Artículo 15 Las instituciones financieras bancarias formularán estrategias claras y continuas de gestión de riesgos basadas en la planificación general del sistema de información, analizarán y evaluarán diversos factores integrales en función de la sensibilidad del sistema de información e implementarán un control efectivo.

Artículo 16 Las instituciones financieras bancarias tomarán medidas para protegerse contra amenazas a la seguridad causadas por desastres naturales y cambios en el entorno comercial, y protegerse contra diversas emergencias y ataques maliciosos.

Artículo 17 Las instituciones financieras bancarias establecerán y mejorarán normas, reglamentos, especificaciones técnicas y procedimientos operativos relacionados con los sistemas de información; aclararán las responsabilidades y autoridades del personal relacionado con los sistemas de información, establecerán mecanismos de restricción e implementarán autorizaciones mínimas; .

Artículo 18 Las instituciones financieras bancarias financiadas por China establecidas en el extranjero o las instituciones financieras bancarias extranjeras establecidas en el país deben protegerse contra los riesgos transfronterizos causados ​​por las diferencias en los sistemas regulatorios de los sistemas de información nacionales y extranjeros.

Artículo 19 Las instituciones financieras bancarias implementarán estrictamente los estándares nacionales de seguridad de la información relevantes, promoverán activamente la estandarización de la seguridad de la información e implementarán el nivel de protección de seguridad de la información con referencia a los estándares internacionales relevantes.

Artículo 20 Las instituciones financieras bancarias fortalecerán la evaluación y prueba de los sistemas de información, los repararán y actualizarán oportunamente y garantizarán la seguridad e integridad de los sistemas de información.

Artículo 21 La sala de computación del centro de datos del sistema de información de una institución financiera bancaria deberá cumplir con las normas técnicas nacionales para sitios de computación, ambiente, suministro y distribución de energía. Los centros de datos nacionales deben cumplir al menos con los estándares nacionales de salas de computadoras de Clase A, los centros de datos provinciales deben cumplir con los estándares nacionales de salas de computadoras de Clase B y los centros de datos por debajo del nivel provincial deben cumplir al menos con los estándares de salas de computadoras de Clase C. Las salas de ordenadores de los centros de datos deben implementar medidas estrictas de control de acceso y no permitir el acceso no autorizado.

Artículo 22 Las instituciones financieras bancarias deben conceder gran importancia a la protección de los derechos de propiedad intelectual, utilizar software genuino, fortalecer la gestión de versiones de software y dar prioridad al uso de productos de software y hardware con derechos de propiedad intelectual independientes de mi país. Desarrollar activamente productos con sistemas de información de derechos de propiedad intelectual independientes y productos financieros relacionados, y tomar medidas efectivas para proteger los logros de información de la organización.

Artículo 23 La selección, adquisición, registro, mantenimiento, reparación y desguace de equipos electrónicos relacionados con el sistema de información de las instituciones financieras bancarias deberá cumplir estrictamente con las regulaciones pertinentes. El equipo seleccionado deberá someterse a demostraciones técnicas y pruebas de rendimiento. Deberá cumplir con las normas nacionales pertinentes. Los equipos clave, como los servidores utilizados en los sistemas de información, deben tener alta confiabilidad, capacidad suficiente, ciertas características de tolerancia a fallas y estar equipados con repuestos adecuados.

Artículo 24 Las redes de sistemas de información deben diseñarse y construirse de acuerdo con las normas y especificaciones pertinentes; los equipos de red deben tener avances tecnológicos y madurez del producto; los equipos de red y las líneas deben gestionar estrictamente los contratos de alquiler de líneas; y garantizar el ancho de banda de transmisión de acuerdo con los requisitos del proceso comercial y de transacciones; establecer y mejorar un centro de gestión de red para monitorear y gestionar líneas de comunicación y equipos de red para garantizar un funcionamiento seguro y estable de la red.

Artículo 25: Las instituciones financieras bancarias fortalecerán la gestión de seguridad de la red. La red de producción debe estar aislada de la red de desarrollo y prueba, la red comercial y la red de oficina, la red interna y la red externa; fortalecer el control de límites de la red inalámbrica y el acceso a Internet; utilizar filtrado de contenido, autenticación de identidad, firewall, prevención de virus y detección de intrusiones; , escaneo de vulnerabilidades y cifrado de datos y otros medios técnicos para reducir efectivamente el riesgo de ataques externos y fuga de información.

Artículo 26 Las instituciones financieras bancarias fortalecerán la gestión de factores de seguridad, como máquinas de cifrado de sistemas de información, claves, contraseñas, procedimientos de cifrado y descifrado, utilizarán equipos criptográficos que cumplan con los estándares de seguridad nacionales y mejorarán el sistema de gestión de factores de seguridad. para su generación, recolección, uso, modificación, almacenamiento y destrucción. Las claves y contraseñas deben cambiarse periódicamente.

Artículo 27 Las instituciones financieras bancarias fortalecerán la gestión efectiva de la recopilación, el almacenamiento, la transmisión, el uso, la copia de seguridad, la recuperación, las verificaciones aleatorias, la limpieza y la destrucción de datos, y no recopilarán, procesarán, transmitirán ni accederán a datos que no sean datos. Datos del sistema; optimizar la configuración de seguridad del sistema y la base de datos, utilizar el sistema y la base de datos estrictamente de acuerdo con la autorización, utilizar tecnología de cifrado de datos adecuada para proteger la transmisión y el acceso a datos confidenciales y garantizar la integridad y confidencialidad de los datos.

Artículo 28 Las instituciones financieras bancarias implementarán una estricta gestión de seguridad y confidencialidad de los parámetros de configuración del sistema de información para evitar la generación, alteración, fuga, pérdida y destrucción ilegal. Determinar los derechos de acceso, los métodos y el alcance del uso autorizado según la sensibilidad y el propósito, y hacer cumplir estrictamente los procedimientos de aprobación y registro.

Artículo 29: Las instituciones financieras bancarias deberán formular planes de emergencia de los sistemas de información y realizar simulacros, revisiones y revisiones periódicas. Los centros de datos por debajo del nivel provincial pueden al menos implementar copias de seguridad de datos y almacenamiento remoto, los centros de datos provinciales pueden al menos implementar copias de seguridad de datos remotas en tiempo real y los centros de datos nacionales pueden implementar recuperación remota ante desastres.

Artículo 30: Las instituciones financieras bancarias fortalecerán la gestión de respaldo de los documentos técnicos y los datos importantes; los documentos técnicos y los datos importantes se conservarán por duplicado, fuera del sitio, por un período de tiempo determinado, y se conservarán en copias. estrictamente autorizado cuando se le llame. Los documentos técnicos de los sistemas de información incluyen: documentos de descripción del entorno del sistema, programas fuente y diversos documentos técnicos formados durante la investigación, el desarrollo, la operación y el mantenimiento del sistema. Los datos importantes incluyen: datos de transacciones, datos contables, datos de clientes y datos de informes generados.

Artículo 31: Las instituciones financieras bancarias deberán notificar de manera adecuada a los clientes cuando los sistemas de información puedan afectar los servicios al cliente.

Control de riesgos de I+D

El artículo 32 Los riesgos de I+D se refieren a la organización, planificación, requisitos, análisis, diseño, programación, prueba y funcionamiento de prueba de los sistemas de información durante el proceso de I+D.

Artículo 33: Las instituciones financieras bancarias deben establecer un grupo de trabajo de proyecto antes de desarrollar sistemas de información. Para proyectos importantes, también deben establecer un grupo líder de proyecto y designar una persona a cargo. El equipo de liderazgo del proyecto es responsable de la organización, coordinación, inspección y supervisión del proyecto. El grupo de trabajo del proyecto está compuesto por personal comercial, personal técnico y personal de gestión y es responsable del desarrollo de todo el proyecto.

Artículo 34 Los miembros del equipo del proyecto deben tener experiencia comercial y conocimientos técnicos profesionales adecuados a los requisitos del proyecto, y el líder del equipo debe tener la capacidad de liderazgo organizacional para garantizar la calidad y el progreso de la investigación y el desarrollo de sistemas de información. desarrollo.

Artículo 35 Los departamentos comerciales de las instituciones financieras bancarias prepararán informes de viabilidad de proyectos de I + D de sistemas de información basados ​​en estrategias de desarrollo comercial y en base a suficientes investigaciones de mercado y análisis de beneficios del producto.

Artículo 36 El departamento comercial de una institución financiera bancaria preparará una declaración de requisitos del proyecto y propondrá requisitos de control de riesgos, y el departamento de tecnología de la información preparará una declaración de función del proyecto basada en los requisitos del proyecto.

Artículo 37 El departamento de tecnología de la información de las instituciones financieras bancarias preparará el marco técnico general y las especificaciones de diseño del proyecto de acuerdo con las especificaciones funcionales del proyecto. El diseño y la codificación cumplirán con los requisitos de las especificaciones funcionales del proyecto. .

Artículo 38 Las instituciones financieras bancarias establecerán un entorno de pruebas independiente para garantizar la integridad y precisión de las pruebas. Las pruebas deben incluir al menos pruebas funcionales, pruebas de seguridad, pruebas de estrés, pruebas de aceptación y pruebas de adaptabilidad. Los datos de producción no se pueden utilizar directamente en las pruebas.

Artículo 39 El departamento de tecnología de la información de las instituciones financieras bancarias reparará las funciones y defectos del sistema basándose en los resultados de las pruebas para mejorar la calidad general del sistema.

Artículo 40 El personal empresarial y el personal técnico de las instituciones financieras bancarias elaborarán procedimientos operativos, planes técnicos de emergencia, planes de continuidad del negocio, planes de producción y planes de evacuación de emergencia de acuerdo con su ámbito de funciones, y realizarán simulacros.

Artículo 41 Todos los documentos y materiales involucrados en el proceso de desarrollo deben ser firmados y confirmados por los departamentos y el personal pertinentes y archivados.

Artículo 42 El informe de aceptación del proyecto será emitido por el responsable correspondiente. Aquellos que no cumplan con la aceptación no se pondrán en uso.

Capítulo 5 Control de Riesgos de Operación y Mantenimiento

Artículo 43 El riesgo de operación y mantenimiento se refiere a la gestión de operaciones, gestión de cambios, gestión de salas de cómputo y gestión de eventos durante la operación y mantenimiento de los sistemas de información. riesgo.

Artículo 44 La operación y mantenimiento de los sistemas de información de las instituciones financieras bancarias estarán separados de sus responsabilidades. Los operadores serán de tiempo completo y no podrán desempeñarse concurrentemente por otro personal. Los operadores deben inspeccionar y operar de acuerdo con los procedimientos operativos. El personal de mantenimiento debe mantener el software, el hardware y los datos en estado de producción de acuerdo con los requisitos de autorización y procedimientos de mantenimiento. Excepto en casos de emergencia, otros trabajos de mantenimiento deben realizarse fuera del horario laboral.

Artículo 45 La operación de los sistemas de información de las instituciones financieras bancarias deberá cumplir con los siguientes requisitos:

(1) Desarrollar un cronograma detallado de operación de servicio, incluido el tiempo de inspección especificado, el alcance de la operación, la información como contenido, métodos, comandos y personal responsable;

(2) Proporcionar menús o comandos de operación simples y de uso común, como iniciar o detener el sistema de información, consultar registros de operación, etc. ;

(3) Proporcionar información de seguimiento, como el entorno de la sala de ordenadores, el uso del equipo, el funcionamiento de la red, el funcionamiento del sistema, etc.;

(4) Registrar todos los fenómenos, procesos operativos y otros información durante la operación de turno.

Artículo 46 El mantenimiento de los sistemas de información de las instituciones financieras bancarias deberá cumplir los siguientes requisitos:

(1) Además del mantenimiento de los equipos del sistema de información y del entorno del sistema, el mantenimiento de el software o los datos deben A través de aplicaciones específicas, la adición, eliminación y modificación de datos debe realizarse a través de terminales de cajero, y no se permite la operación directa de la base de datos;

(2) Tener diversa información de registro detallada, incluidos registros del día de las transacciones y registros de auditoría, para facilitar el mantenimiento y la auditoría;

(3) Proporcionar estadísticas de mantenimiento y funciones de impresión de informes.

Artículo 47 Los cambios en el sistema de información de las instituciones financieras bancarias deben cumplir los siguientes requisitos:

(1) Desarrollar procedimientos estrictos de procesamiento de cambios y aclarar las responsabilidades de cada puesto en el control de cambios. E implementar el control y la gestión de acuerdo con el proceso; los planes de emergencia y reversión deben definirse claramente antes de los cambios, y los cambios no deben realizarse sin autorización;

(2) Revisar los cambios según los requisitos de cambio, cambiar los planes , lista de verificación de contenido de cambios y otros documentos relevantes La exactitud, seguridad y legalidad del cambio;

(3) Se deben utilizar herramientas de software para determinar con precisión la verdadera ubicación y el contenido del cambio, y formar una lista de verificación de cambios para lograr una inspección verdadera, efectiva y completa;

p>

(4) Después de cambiar la versión del software, se debe conservar la versión inicial y todo el historial de versiones, y se debe conservar una lista de verificación de todos los históricos. los cambios deben mantenerse.

Artículo 48 Las instituciones financieras bancarias organizarán una evaluación posterior dentro de un cierto período de tiempo después de que el sistema de información se haya puesto en producción, y ajustarán y optimizarán oportunamente las funciones del sistema en función de los resultados de la evaluación.

Artículo 49: Las instituciones financieras bancarias deberán realizar inspecciones diarias de las instalaciones ambientales de las salas de cómputo y aclarar los procedimientos y planes de emergencia cuando los sistemas de información y las instalaciones ambientales de las salas de cómputo funcionen mal. Los centros de datos con servicios de transacciones en tiempo real deberían estar operativos las 24 horas del día.

Artículo 50 Las entidades financieras bancarias implementarán un sistema de notificación de incidentes. Los eventos que causan pérdidas económicas significativas, pérdidas de reputación e impactos importantes en el sistema de información deben informarse y manejarse de inmediato, y se deben iniciar planes de contingencia si es necesario.

Control de riesgos de subcontratación

Artículo 51 Riesgo de subcontratación significa que las instituciones financieras bancarias encomienden la planificación, la investigación y el desarrollo, la construcción, la operación, el mantenimiento y el seguimiento de sistemas de información a socios comerciales o tecnología externa. proveedores.

Artículo 52: Al subcontratar sistemas de información, las instituciones financieras bancarias determinarán razonablemente los principios y el alcance de la subcontratación con base en el control de riesgos y las necesidades reales, analizarán y evaluarán cuidadosamente los riesgos potenciales de la subcontratación y establecerán y mejorarán las reglas pertinentes. y normativa, y formular las correspondientes medidas de prevención de riesgos.

Artículo 53 Las instituciones financieras bancarias deben establecer y mejorar mecanismos de evaluación de contratistas de subcontratación para evaluar el estado operativo, la solidez financiera, el historial crediticio, las calificaciones de seguridad, las capacidades de servicio técnico, el control de riesgos reales y las responsabilidades del contratista. Realizar una revisión y evaluación completas. del nivel de compromiso, etc., y realizar la debida diligencia necesaria. La evaluación puede confiarse a una institución independiente con experiencia profesional relevante, que debe tener las calificaciones de la autoridad reguladora nacional correspondiente.

Artículo 54: Las instituciones financieras bancarias deberán suscribir un contrato escrito con el contratista, aclarando los derechos y obligaciones de ambas partes, y acordando las obligaciones y responsabilidades del contratista en materia de seguridad, confidencialidad, derechos de propiedad intelectual, etc.

Artículo 55: Las instituciones financieras bancarias deberán comprender plenamente el impacto directo e indirecto de los servicios de subcontratación en el control de riesgos de los sistemas de información, e incorporarlo a la estrategia general de seguridad y control de riesgos.

Artículo 56: Las instituciones bancarias financieras deben establecer procedimientos completos de evaluación y monitoreo de riesgos de subcontratación de sistemas de información, gestionar prudentemente los riesgos de subcontratación y mejorar las capacidades de gestión de subcontratación.

Artículo 57: Los sistemas de información de gestión de riesgos de subcontratación de las instituciones financieras bancarias deberán cumplir con normas y estrategias de gestión de riesgos, y se establecerá un plan de contingencia de riesgos de subcontratación.

Artículo 58 Las instituciones financieras bancarias establecerán mecanismos efectivos de contacto, comunicación e intercambio de información con los contratistas de subcontratación, y formularán mecanismos que puedan lograr cambios fluidos en los contratistas y garantizar que los servicios de subcontratación no se interrumpan en caso de emergencia.

Artículo 59: Cuando las instituciones financieras bancarias subcontraten sistemas de información sensible y otros contenidos que involucren la gestión y transmisión de secretos de estado, secretos comerciales y datos de privacidad de los clientes, deberán cumplir con las leyes y regulaciones nacionales pertinentes y cumplir con regulaciones pertinentes de la Comisión Reguladora Bancaria de China, aprobadas por la junta directiva u otros órganos de toma de decisiones, e informadas a la Comisión Reguladora Bancaria de China y sus oficinas e instituciones enviadas obligadas a informar de acuerdo con las leyes y regulaciones antes de la subcontratación.