《银行卡系统风险管理办法》由会员分享,可在线阅读,更多相关《银行卡系统风险管理办法(27页珍藏版)》请在金锄头文库上搜索。
1、 商业银行银行卡系统风险管理办法商业银行银行卡系统风险管理办法第一章第一章 总总 则则第一条 为加强商业银行银行卡系统风险工作,保证本行银行卡系统安全、稳定运行,根据有关法律、法规及相关规章制度,制定本办法。第二条 本规定适用于商业银行及其分支机构。第三条 本行银行卡系统风险管理工作的指导方针“预防为主,安全第一,各司其职,综合治理”。第四条 本行银行卡系统风险管理部门应对电子化项目建设的规划、立项、开发、验收、运行及废止各环节进行安全监管。第五条 本行银行卡系统风险工作实行统一领导和分级管理。本行总行负责组织、协调、监督和检查全行的银行卡系统风险管理工作,本行各级分支机构负责所辖银行卡系统风
2、险管理工作。第二章第二章 银银行卡系行卡系统风险统风险管理人管理人员员第一节 人员基本要求第六条 本办法所称的银行卡系统风险管理人员,是指与银行卡系统业务相关部门的专职风险管理人员。第七条 银行卡系统风险管理人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。第八条 银行卡系统风险管理部门人员及专职银行卡系统风险管理人员应具有银行业务工作三年以上经历,具备相应的计算机知识。兼职银行卡系统风险管理人员应有银行业务工作五年以上, 且备相应的计算机知识。第九条 违反国家法律、法规和我行规章受到处罚的人员,不得从事银行卡系统风险管理工作。第十条 银行卡系统风险管理人员应具有本行银行卡系统风险管理部门颁发
3、的银行卡系统风险管理培训合格证书。第二节 人员配备与管理第十一条 本行银行卡系统风险管理部门应配备必要的人员;支行应配备专职银行卡系统风险管理人员。第十二条 银行卡系统风险管理人员的配备和变更情况,应向银行卡系统风险管理部门报告、备案。第十三条 银行卡系统风险管理人员实行持证上岗制度。第十四条 银行卡系统风险管理人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及本行业务核心技术的银行卡系统风险管理人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。第三节 职责范围第十五条 本行银行卡系统风险管理部门设在银行卡业务部,其职责是:(一)贯彻执行银行卡系统风险管理工作领导小组
4、的决议,指导、监督、协调和规范银行卡系统风险管理工作;(二)拟订银行卡系统风险管理总体规划和管理制度,并监督执行;(三)跟踪先进的银行卡系统风险管理技术,提出银行卡系统风险防范策略;(四)参与银行卡系统工程建设中的安全规划,监督安全措施的执行;(五)负责银行卡系统风险管理专用产品的选型,组织银行卡系统风险管理的评估和审批;(六)组织辖内银行卡系统风险管理检查,分析辖内银行卡系统风险管理总体状况,提出安全分析报告和安全防范建议;(七)组织辖内银行卡系统风险管理知识的培训和宣传工作;(八)配合有关部门进行银行卡系统风险管理内部审计和金融犯罪案件调查,打击金融犯罪;(九)加强与公安机计算机安全职能部
5、门、政府安全保密职能部门联系,并接受指导;(十)及时向银行卡系统风险管理工作领导小组和有关部门、单位报告银行卡系统风险事件。第十六条 银行卡系统风险管理部门人员应履行以下职责:(一)负责银行卡系统风险管理的日常工作;(二)开展银行卡系统风险管理检查工作,对要害岗位人员安全工作进行指导;(三)开展银行卡系统风险管理知识的培训和宣传工作;(四)监控银行卡系统风险管理总体状况,提出安全分析报告;(五)了解行业动态,为改进和完善银行卡系统风险管理工作,提出安全防范建议;(六)及时向银行卡系统风险工作领导小组和有关部门、单位报告银行卡系统风险事件。第十七条 银行卡系统风险管理人员在行使职责时,确因工作需
6、要,经批准,可了解涉及银行卡系统的机密信息。第十八条 银行卡系统风险管理人员发现本单位重大安全隐患,有权向银行卡系统风险管理部门的上级主管部门报告。第十九条 银行卡系统风险管理人员发现银行卡系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。第二十条 银行卡系统风险管理人员必须严格遵守国家有关法律、法规和行业规章,严守国家、行业和岗位秘密。第四节 培训与教育第二十一条 银行卡系统风险管理人员应定期参加下列银行卡系统风险管理知识和技能的培训:(一)相关法律法规及行业规章制度的培训;(二)银行卡系统基本知识的培训;(三)银行卡系统风险管理专门技能的培训。第二十二条 银行卡系统风险管理人员应
7、定期接受政治思想教育、职业道德教育和安全保密教育。第三章第三章 银银行卡系行卡系统统要害要害岗岗位人位人员员管理管理第一节 人员管理第二十三条 本规定所称银行卡系统要害岗位人员,是指与银行卡系统直接相关的系统管理人员、网络管理人员、系统开发人员、系统维护人员、数据库管理人员、业务操作人员等岗位人员。第二十四条 本规定所称的银行卡系统,是指涉及银行资金和金融秘密信息的银行卡业务相关的系统。第二十五条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,合格者方可上岗。第二十六条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统
8、开发人员、系统维护人员、数据库管理人员不得相互兼任且不得兼职业务操作人员。第二十七条 对要害岗位人员应实行年度强制休假制度和定期考查制度,并进行必要的安全教育和培训。第二十八条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及本行保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。第二十九条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。第二节 安全责任第三十条 系统管理人员安全责任(一)负责银行卡系统的运行管理,实施系统安全运行细则;(二)严格用户权限管理,维护银行卡系统正常运行;(三)认真记录系统安全事项,及时向银行卡系统风险管理部门
9、报告安全事件;(四)对进行银行卡系统操作的其他人员予以安全监督。第三十一条 网络管理人员安全责任(一)负责银行卡系统网络的运行管理,实施网络安全策略和安全运行细则;(二)安全配置网络参数,严格控制网络用户访问权限,维护银行卡系统网络安全正常运行;(三)监控银行卡系统网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向银行卡系统风险管理部门报告安全事件;(四)对操作银行卡系统网络管理功能的其他人员进行安全监督。第三十二条 系统开发人员安全责任(一)系统开发建设中,应严格执行银行卡系统风险策略,保证银行卡系统安全功能的准确实现;(二)银行卡系统投产运行前,应完整移交系统源代码和相关涉密资料;
10、(三)不得对银行卡系统设置“后门”;(四)对银行卡系统核心技术保密;(五)不得接触实际运行中的生产系统。第三十三条 系统维护人员安全责任(一)负责银行卡系统维护,及时解除系统故障,确保银行卡系统正常运行;(二)不得擅自改变银行卡系统功能;(三)不得安装与银行卡系统无关的其他程序;(四)维护过程中,发现安全漏洞应及时报告银行卡系统风险管理部门。第三十四条 数据库管理人员安全职责(一)编写数据库设计、开发规范文档,制定数据库优化、备份、安全等文档; (二)评估设计人员的数据库设计合理性,对已开发出的模块进行数据库层面的性能优化。如:SQL 的书写、索引建立的合理性、对开发人员书写的存储过程进行性能
11、方面的检查;(三)修改数据要先申请,审批通过后方可修改;(四)对要修改的数据,必须将修改前和修改后的数据同时留档保存,并记录修改时间、修改人、监督人等信息,以备待查; (五)制作数据库设计详细说明书。第三十五条 业务操作人员安全责任(一)严格执行银行卡系统相关操作规程和运行安全管理制度;(二)不得以任何形式和理由向他人提供自己的操作密码;(三)不得在任何介质上记录自己的操作密码;(四)及时向银行卡系统管理部门报告系统各种异常事件。第三十六条 各要害岗位人员必须严格遵守保密法规和有关银行卡系统风险管理规定。第四章第四章 银银行卡系行卡系统统机房安全管理机房安全管理第一节 机房建设安全管理第三十七
12、条 机房安全建设和改造方案应通过上级保卫部门的安全审批。第三十八条 机房安全建设应通过上级保卫部门组织的安全验收。第三十九条 机房应按重要性进行分级管理,分级标准按有关规定执行。第四十条 机房应按相应级别合理分区,保障生产环境与运行环境有效的安全空间隔离。第四十一条 机房建设应当符合下列基本安全要求:(一)机房周围 100 米内不得存在危险建筑物,如加油站、煤气站等;(二)机房应配备防电磁干扰、防电磁泄漏、防静电、防水、防盗、防鼠害等设施;(三)机房应安装门禁系统、防雷系统、监视系统、消防系统、报警系统,并与当地公安机关 110 联网;(四)机房应设专用的供电系统,配备必要的 UPS 和发电机
13、。第二节 机房运行安全管理第四十二条 机房是重点保护的要害部位,机房主管部门应依照安全第一的原则,建立、健全严格的机房安全管理制度,如值班制度、紧急安全事件联系制度、安全应急制度、安全事件处理制度、机房安全防护系统维护制度等,并定期检查制度执行情况。第四十三条 机房实行分区管理原则。核心区实行 24 小时连续监控,生产区实行工作时间连续监控,辅助区实施联动监控。第四十四条 监控设备的安装应符合安全保密原则,确保监控的安全规范运作,防止监控信息的泄密。第四十五条 加强进出机房人员管理。禁止未经批准的外部人员进入机房。非机房工作人员进出机房须经机房主管部门领导批准,外来人员进出机房还须办理登记手续
14、,并由专人陪同。第四十六条 发生机房重大事故或案件,机房主管部门应立即向银行卡系统风险管理部门报告,并保护现场。第五章第五章 银银行卡系行卡系统统网网络络安全管理安全管理第一节 网络建设安全管理第四十七条 网络建设方案应通过总行的审批。第四十八条 网络投入使用前应通过总行组织的安全测试和验收。第四十九条 网络建设应配备必要的安全专用产品。第五十条 网络建设中涉及网络安全的资料,应备案建档,统一管理。第五十一条 网络建设应符合下列基本安全要求:(一) 网络规划应有完整的安全策略;(二) 能够保证网络传输信道的安全,信息在传输过程中不会被非法获取;(三) 应具有防止非法用户进入网络系统盗用信息和进
15、行恶意破坏的技术手段;(四) 应具备必要的网络监测、跟踪和审计的功能;(五) 应根据需要对网络采取必要的技术隔离措施;(六) 能有效防止病毒对网络系统的侵扰和破坏;(七) 应具有应付突发情况的应急措施;(八)应具有网络节点、线路等详细的纸质及电子文档。第二节 网络运行安全管理第五十二条 重要网络设备应放置在主机房内,由网络管理人员负责管理。其他人员不得对网络设备进行任何操作。第五十三条 网管设备属专管设备,必须严格控制其管理人员密码。第五十四条 重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。第五十五条 改变网络路由配置和通信地址等参数的操作,必须具有包括时间、目的、内容及维护人
16、员等要素的书面记录。第五十六条 与其他业务相关机构的网络连接,应采用必要的技术隔离保护措施,对联网使用的用户必须采用一人一帐户的访问控制。第五十七条 网络管理人员应随时监测和定期检查网络运行状况,对获得的信息应进行分析,发现安全隐患应报告银行卡系统风险管理部门第五十八条 有关单位使用专用设备对网络进行检测时,网络管理人员应给予必要的协助和监督。第五十九条 网络扫描、监测结果和网络运行日志等重要信息应备份存储。第六十条 银行卡系统网络应定期进行查、杀病毒操作,发现银行卡系统病毒,应按照规定及时处理。第六十一条 严禁超越网络管理权限,非法操作业务数据信息,擅自设置路由与非相关网络进行连接。第三节 接入国际互联网管理第六十二条 所有银行卡系统设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。第六十三条 凡要求接入国际互联网的计算机系统,须由使用部门提出申请,报本行银行卡系统风险管理部门审批、备案。第六十四条 经许可连接国际互联网的计算机系统,使用部门应报本行银行卡系统风险管理管部门备案。第六十五条 经许可连接国际互联网
