網(wǎng)上銀行安全與隱私保護(hù)管理辦法及策略

網(wǎng)上銀行安全與隱私保護(hù)管理辦法及策略一、網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理體系及主要內(nèi)容 依據(jù)中國(guó)銀監(jiān)會(huì)內(nèi)部控制評(píng)價(jià)辦法、電子銀行業(yè)務(wù)管理辦法、電子銀行安全評(píng)估指引的要求，本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的主要內(nèi)涵包括以下方面內(nèi)容： （一）網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的主要內(nèi)容 根據(jù)網(wǎng)上銀行業(yè)務(wù)的自身特點(diǎn)，結(jié)合本行實(shí)際情況，本行的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)體系的構(gòu)成包括： 1制定明確的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理政策 本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)涉及的范圍和領(lǐng)域； 本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)控制的目標(biāo)和能夠承擔(dān)的風(fēng)險(xiǎn)水平； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的組織結(jié)構(gòu)、權(quán)限結(jié)構(gòu)和責(zé)任機(jī)制； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制程序； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的報(bào)告體系； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理信息系統(tǒng) 內(nèi)部控制和外部審計(jì)； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)資本的分配； 對(duì)重大網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)情況的應(yīng)急處理方案。 2網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制程序 傳統(tǒng)銀行所面臨的各類風(fēng)險(xiǎn)如信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)和市場(chǎng)風(fēng)險(xiǎn)等，這些在網(wǎng)上銀行業(yè)務(wù)中仍然存在，但是其表現(xiàn)形式上則有所變化，對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行全面的識(shí)別目前還存在一定的困難，還需要不斷摸索規(guī)律、積累經(jīng)驗(yàn)，因此本行將努力引入有效的方法來(lái)識(shí)別網(wǎng)上銀行業(yè)務(wù)的風(fēng)險(xiǎn)，同時(shí)逐步根據(jù)新資本協(xié)議的要求來(lái)計(jì)量和監(jiān)測(cè)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)： 加強(qiáng)對(duì)防范網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的規(guī)章制度建設(shè)； 加強(qiáng)對(duì)業(yè)務(wù)合規(guī)性的控制； 加強(qiáng)對(duì)員工管理，防范道德風(fēng)險(xiǎn)； 完善信息系統(tǒng)，提高通過(guò)技術(shù)手段防范網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的能力； 研究和引入有效的定性或定量的計(jì)量和評(píng)估網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的模式或方法； 制定應(yīng)急準(zhǔn)備； 3實(shí)行對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的獨(dú)立的內(nèi)、外部審計(jì) 內(nèi)、外部審計(jì)應(yīng)包括：本行組織結(jié)構(gòu)、所有業(yè)務(wù)和管理管理流程、人員的工作狀況、各部門(mén)的運(yùn)行情況、人事變動(dòng)、客戶投拆、系統(tǒng)運(yùn)行狀況等各個(gè)環(huán)節(jié)。 （二）網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理職能的分布 1董事會(huì) 承擔(dān)對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理實(shí)施監(jiān)控的最終責(zé)任，確保本行有效地識(shí)別、計(jì)量、監(jiān)測(cè)和控制業(yè)務(wù)所承擔(dān)的各類風(fēng)險(xiǎn)，包括： 負(fù)責(zé)審批網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的戰(zhàn)略、政策和程序，確定本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的目標(biāo)； 督促高級(jí)管理層采取必要的措施識(shí)別、計(jì)量、監(jiān)測(cè)和控制網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)； 定期獲得關(guān)于網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)性質(zhì)和水平的報(bào)告，以監(jiān)控和評(píng)價(jià)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的全面性、有效性以及高級(jí)管理層在網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理方面的履職情況。 2監(jiān)事會(huì) 負(fù)責(zé)監(jiān)督董事會(huì)、高級(jí)管理層完善網(wǎng)上銀行業(yè)務(wù)管理體系。 監(jiān)督董事會(huì)和高級(jí)管理層在網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理方面的履職情況。 3高級(jí)管理層 負(fù)責(zé)制定、定期審查和監(jiān)督執(zhí)行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的政策、程序以及管理目標(biāo)； 確定本行所面對(duì)的網(wǎng)上銀行業(yè)務(wù)的各種風(fēng)險(xiǎn)； 在本行建立有效的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理組織框架，確保組織結(jié)構(gòu)能有效的體現(xiàn)管理與經(jīng)營(yíng)相分離的原則； 確保本行能準(zhǔn)確的計(jì)量、監(jiān)測(cè)和控制網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)； 4網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理部門(mén) 擬定網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理政策和程序，提出風(fēng)險(xiǎn)管理的目標(biāo)，提交高級(jí)管理層和董事會(huì)審查批準(zhǔn)； 負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理制度體系的建設(shè)，確保有相應(yīng)的規(guī)章和程序來(lái)控制或緩沖重大的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)。 對(duì)于網(wǎng)上銀行的新產(chǎn)品、新業(yè)務(wù)中所包含的風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)估，審核相應(yīng)的風(fēng)險(xiǎn)管理程序； 識(shí)別、計(jì)量和監(jiān)測(cè)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)； 設(shè)計(jì)、實(shí)施事后檢驗(yàn)和壓力測(cè)試； 及時(shí)向董事會(huì)和高級(jí)管理層提供獨(dú)立的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告。 5本行管理與經(jīng)營(yíng)部門(mén) （1）人員管理：完善人力資源政策和程序，確保與有關(guān)從業(yè)人員具備相應(yīng)的能力和意識(shí)，防范可能的人員失誤和內(nèi)部人員欺詐導(dǎo)致的風(fēng)險(xiǎn)。包括： 提高員工工作的責(zé)任心； 防止員工超時(shí)工作； 提高員工對(duì)產(chǎn)品和流程的認(rèn)識(shí)和掌握； 防止人員欺詐。 （2）系統(tǒng)管理：完善本行網(wǎng)上銀行業(yè)務(wù)各類信息系統(tǒng)，防止因系統(tǒng)失靈或系統(tǒng)自身存在漏洞而導(dǎo)致的風(fēng)險(xiǎn)。包括： 維護(hù)系統(tǒng)硬件安全； 防止信息系統(tǒng)受到侵襲； 不同軟件間的銜接； 制定系統(tǒng)的應(yīng)急預(yù)案； 建立系統(tǒng)數(shù)據(jù)備份機(jī)制。 保證相關(guān)應(yīng)用系統(tǒng)的有效性； 防止使用者使用過(guò)程中的風(fēng)險(xiǎn)。 （3）程序管理：加強(qiáng)對(duì)流程執(zhí)行情況的檢查，包括： 保證內(nèi)部管理和操作程序在執(zhí)行過(guò)程中的正確性。 （4）外部事件管理：建立并保持預(yù)案和程序，以防止可能發(fā)生的意外事件或緊急情況的損失，包括： 防止外包服務(wù)的風(fēng)險(xiǎn)； 防范外部犯罪活動(dòng)； 防范自然災(zāi)害事件。 6資本管理部門(mén) 根據(jù)對(duì)本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的狀況提出資本安排計(jì)劃，并監(jiān)測(cè)與風(fēng)險(xiǎn)相對(duì)應(yīng)的資本水平； 7內(nèi)部審計(jì) 審查和評(píng)價(jià)各部門(mén)對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)政策和程序的遵守情況，風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)情況； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的組織結(jié)構(gòu)的有效性； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理所涵蓋的范圍和環(huán)節(jié)的完整性； 風(fēng)險(xiǎn)計(jì)量方法的恰當(dāng)性和計(jì)量結(jié)果的準(zhǔn)確性； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)資本的計(jì)算和內(nèi)部配置情況 二、網(wǎng)上銀行系統(tǒng)的風(fēng)險(xiǎn)管理策略 由于網(wǎng)上銀行業(yè)務(wù)極大地依賴于承載它的IT系統(tǒng)，為了保證網(wǎng)上銀行系統(tǒng)的正常運(yùn)行和不斷發(fā)展，需要建立一個(gè)完整的風(fēng)險(xiǎn)管理過(guò)程。建立網(wǎng)上銀行系統(tǒng)的風(fēng)險(xiǎn)管理策略，是保證風(fēng)險(xiǎn)管理過(guò)程順利執(zhí)行的重要保證，將有助于網(wǎng)上銀行系統(tǒng)安全建設(shè)的持續(xù)改善。 網(wǎng)上銀行系統(tǒng)的風(fēng)險(xiǎn)等級(jí)分為三級(jí)：即高風(fēng)險(xiǎn)(H)：有可能發(fā)生并會(huì)對(duì)網(wǎng)上銀行造成重大的損失；中風(fēng)險(xiǎn)(M)：有可能發(fā)生并會(huì)對(duì)網(wǎng)上銀行會(huì)造成一定的損失；低風(fēng)險(xiǎn)(L)：有可能發(fā)生但對(duì)網(wǎng)上銀行僅造成的輕微的損失。 （一）風(fēng)險(xiǎn)管理過(guò)程 風(fēng)險(xiǎn)管理是一個(gè)不斷進(jìn)行的過(guò)程，該過(guò)程可以主要分為三個(gè)大步驟： 風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。通過(guò)了解信息資產(chǎn)價(jià)值、威脅、脆弱性和現(xiàn)有安全控制信息來(lái)識(shí)別、分析風(fēng)險(xiǎn)，找出與安全目標(biāo)間的差距，從而明確安全需求； 風(fēng)險(xiǎn)處置：根據(jù)安全需求選擇安全控制措施，制定完善的安全計(jì)劃并加以實(shí)施，從而達(dá)到減少、規(guī)避或轉(zhuǎn)嫁風(fēng)險(xiǎn)的目標(biāo)； 風(fēng)險(xiǎn)接受：接受風(fēng)險(xiǎn)的決策。分析殘留風(fēng)險(xiǎn)、監(jiān)控識(shí)別出的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)很清晰地滿足組織策略和風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)的要求，就客觀有意地接受它們；并對(duì)安全政策執(zhí)行進(jìn)行審計(jì)。 1風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)上銀行系統(tǒng)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理過(guò)程的基礎(chǔ)。 （1）風(fēng)險(xiǎn)評(píng)估的主要目的包括： 識(shí)別網(wǎng)上銀行系統(tǒng)面臨的各種風(fēng)險(xiǎn)； 評(píng)估風(fēng)險(xiǎn)發(fā)生概率和可能給網(wǎng)上銀行系統(tǒng)帶來(lái)的負(fù)面影響； 確定本行承受風(fēng)險(xiǎn)的能力； 確定風(fēng)險(xiǎn)消減的優(yōu)先等級(jí)； 明確網(wǎng)上銀行系統(tǒng)的安全需求。 （2）風(fēng)險(xiǎn)評(píng)估方法 風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)包括兩個(gè)部分，一個(gè)部分是識(shí)別風(fēng)險(xiǎn)構(gòu)成要素，即信息資產(chǎn)以及信息相關(guān)資產(chǎn)、威脅方和威脅方可能利用的弱點(diǎn)。另一個(gè)部分是評(píng)估威脅方利用弱點(diǎn)可能造成的業(yè)務(wù)損失。在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)需要定義風(fēng)險(xiǎn)要素的屬性和風(fēng)險(xiǎn)函數(shù)來(lái)完成風(fēng)險(xiǎn)評(píng)估。 對(duì)符合條件的成熟風(fēng)險(xiǎn)評(píng)估方法，應(yīng)該建立實(shí)施過(guò)程，以保證風(fēng)險(xiǎn)評(píng)估的有效性。 （3）風(fēng)險(xiǎn)評(píng)估類別 風(fēng)險(xiǎn)評(píng)估包括以下類別： 基線風(fēng)險(xiǎn)評(píng)估：組織根據(jù)自身實(shí)際情況，對(duì)信息系統(tǒng)進(jìn)行安全基線檢查（把現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距），得出基本的安全需求，通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來(lái)消減和控制風(fēng)險(xiǎn)。 詳細(xì)風(fēng)險(xiǎn)評(píng)估：組織對(duì)資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)識(shí)別和選擇安全措施。通過(guò)這種評(píng)估途徑集中體現(xiàn)風(fēng)險(xiǎn)管理的思想，識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受的水平，以此證明所采用的安全控制措施是恰當(dāng)?shù)摹?（4）風(fēng)險(xiǎn)評(píng)估執(zhí)行 本行按照電子銀行安全評(píng)估指引的要求，按年度進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，此外根據(jù)網(wǎng)上銀行系統(tǒng)的變化（如業(yè)務(wù)變化、業(yè)務(wù)環(huán)境變化等）決定啟動(dòng)信息安全風(fēng)險(xiǎn)變化的評(píng)估。 2風(fēng)險(xiǎn)處置 （1）風(fēng)險(xiǎn)處置 風(fēng)險(xiǎn)處置的目標(biāo)是基于網(wǎng)上銀行業(yè)務(wù)的需求和處置成本。處置目標(biāo)包括風(fēng)險(xiǎn)處置的范圍、策略和業(yè)務(wù)期待的結(jié)果。處置策略包括風(fēng)險(xiǎn)的降低、規(guī)避、轉(zhuǎn)嫁和接受等。 降低風(fēng)險(xiǎn)：實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可接受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來(lái)的影響。規(guī)避風(fēng)險(xiǎn)：有時(shí)候，組織可以選擇放棄某些可能引來(lái)風(fēng)險(xiǎn)的業(yè)務(wù)或資產(chǎn)，以此規(guī)避風(fēng)險(xiǎn)。 轉(zhuǎn)嫁風(fēng)險(xiǎn)：將風(fēng)險(xiǎn)全部或者部分地轉(zhuǎn)移到其他責(zé)任方。 接受風(fēng)險(xiǎn)：在實(shí)施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以選擇接受。 （2）安全政策 對(duì)風(fēng)險(xiǎn)處置目標(biāo)確定處置的信息安全風(fēng)險(xiǎn)要制定明確的信息安全政策。信息安全政策是風(fēng)險(xiǎn)控制的基線，即只有完全落實(shí)信息安全政策，才能實(shí)現(xiàn)風(fēng)險(xiǎn)控制目標(biāo)。 （3）安全控制 安全控制是安全政策落實(shí)的手段。安全控制包括物理安全控制、技術(shù)安全控制和行政管理安全控制。 3風(fēng)險(xiǎn)接受 （1）殘留風(fēng)險(xiǎn) 對(duì)處置的風(fēng)險(xiǎn)進(jìn)行殘留風(fēng)險(xiǎn)分析，確認(rèn)殘留風(fēng)險(xiǎn)是在業(yè)務(wù)可接受的范圍內(nèi)。殘留風(fēng)險(xiǎn)將納入到信息風(fēng)險(xiǎn)綜合評(píng)估過(guò)程中。 （2）風(fēng)險(xiǎn)監(jiān)控 對(duì)識(shí)別出的風(fēng)險(xiǎn)，要進(jìn)行監(jiān)控。一旦發(fā)現(xiàn)風(fēng)險(xiǎn)出現(xiàn)，應(yīng)按預(yù)定的程序進(jìn)行處置。風(fēng)險(xiǎn)的監(jiān)控包括對(duì)安全政策和安全控制執(zhí)行的監(jiān)控。 （3）安全審計(jì) 定期對(duì)信息安全政策的實(shí)施進(jìn)行審計(jì)。審計(jì)人員應(yīng)獨(dú)立于安全政策制訂和安全控制開(kāi)發(fā)的人員。信息安全政策審計(jì)的結(jié)果應(yīng)作為綜合風(fēng)險(xiǎn)評(píng)估的輸入之一。 信息安全審計(jì)內(nèi)容包括文檔審計(jì)、日志審計(jì)和行為審計(jì)。 文檔審計(jì)：安全策略的內(nèi)容每年進(jìn)行一次審核，安全管理制度每三個(gè)月進(jìn)行一次審核，業(yè)務(wù)系統(tǒng)操作規(guī)范和流程每六個(gè)月進(jìn)行一次審核，應(yīng)急方案每六個(gè)月進(jìn)行一次審核，并根據(jù)實(shí)際情況進(jìn)行修改。 日志審計(jì)：網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等系統(tǒng)日志審計(jì)功能全部開(kāi)啟，系統(tǒng)日志每周一次安全審核，及時(shí)發(fā)現(xiàn)問(wèn)題。 行為審計(jì)：采取人員監(jiān)督、績(jī)效考核、技術(shù)監(jiān)控等手段，對(duì)安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員等的日常工作行為進(jìn)行審核，保證行為的正確性和合法性。 （二）網(wǎng)上銀行系統(tǒng)安全策略體系 1人事策略 人員安全策略的目標(biāo)為覆蓋工作相關(guān)的安全責(zé)任。 人員安全策略與過(guò)程：雇傭前，人力資源部必須實(shí)施詳細(xì)的背景調(diào)查，確保雇用人員的簡(jiǎn)歷是真實(shí)的。雇用期間，所有員工必須接收安全指導(dǎo)培訓(xùn)。員工離開(kāi)自身職位必須完成所有的手續(xù)和移交他們的信息安全責(zé)任。 2訪問(wèn)控制策略 訪問(wèn)控制策略的目標(biāo)是阻止從公眾網(wǎng)未被授權(quán)訪問(wèn)銀行的內(nèi)部網(wǎng)絡(luò)。這一策略同時(shí)也保證只有受控的訪問(wèn)和建立銀行內(nèi)部網(wǎng)絡(luò)中的驗(yàn)證機(jī)制，以驗(yàn)證訪問(wèn)公眾網(wǎng)必須經(jīng)過(guò)允許。 為用戶創(chuàng)建訪問(wèn)權(quán)限：一個(gè)具體的訪問(wèn)控制模塊，針對(duì)用戶及其對(duì)網(wǎng)絡(luò)和應(yīng)用程序的訪問(wèn)控制，應(yīng)當(dāng)被定期維護(hù)及更新；訪問(wèn)控制的授權(quán)應(yīng)基于業(yè)務(wù)需求而非某個(gè)人的要求；在使用程序及服務(wù)時(shí)，用戶應(yīng)嚴(yán)格遵守密碼管理方針。 管理特權(quán)：最少特權(quán)原則確保最低限度的訪問(wèn)權(quán)限批準(zhǔn)。 廢除訪問(wèn)權(quán)限：當(dāng)用戶不再需要訪問(wèn)，應(yīng)及時(shí)廢除訪問(wèn)權(quán)限。 訪問(wèn)記錄與監(jiān)控：所有通過(guò)防火墻的網(wǎng)絡(luò)連接都應(yīng)受到監(jiān)控并且應(yīng)為全部設(shè)備保存通信記錄。同樣的，通過(guò)記錄及監(jiān)控程序記下的全部應(yīng)用程序及操作系統(tǒng)的訪問(wèn)嘗試。 3通信和運(yùn)行管理策略 （1）建立計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)各個(gè)部分的管理和操作所有計(jì)算機(jī)和網(wǎng)絡(luò)的職責(zé)和流程來(lái)指導(dǎo)正確和安全的操作。這些流程包括： 業(yè)務(wù)或第三方的職能所需的有計(jì)劃的服務(wù)活動(dòng)； 數(shù)據(jù)文件處理，包括驗(yàn)證網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)； 對(duì)所有計(jì)劃的系統(tǒng)開(kāi)發(fā)、維護(hù)和測(cè)試工作的變更管理流程； 為意外事件準(zhǔn)備的錯(cuò)誤處理和意外事件處理過(guò)程； 問(wèn)題管理流程，包括登錄所有網(wǎng)絡(luò)問(wèn)題和解決辦法； 事件管理流程； 為所有新的或變更的硬件或軟件包括性能、可用性、可靠性、可控性、可恢復(fù)性和錯(cuò)誤處理能力的方面的測(cè)試/評(píng)估流程； 日常管理活動(dòng)，例如啟動(dòng)和關(guān)閉流程，數(shù)據(jù)備份，設(shè)備維護(hù)，計(jì)算機(jī)和網(wǎng)絡(luò)管理，安全方法或需求。 （2）軟件和信息保護(hù) 采取措施預(yù)防和檢測(cè)對(duì)軟件和信息非授權(quán)的更改。 （3）介質(zhì)的處理和安全性 控制計(jì)算機(jī)介質(zhì)并進(jìn)行必要的物理保護(hù)。包括控制可移動(dòng)的計(jì)算機(jī)介質(zhì)，制定并遵守處理包含機(jī)密或關(guān)鍵數(shù)據(jù)的介質(zhì)的流程，介質(zhì)應(yīng)在不再需要時(shí)被妥善廢棄，系統(tǒng)文檔分秘級(jí)保護(hù)并防非授權(quán)訪問(wèn)或刪除。 （4）維護(hù)完整性和可用性 采取措施維護(hù)服務(wù)的完整性和可用性，建立控制備份計(jì)算機(jī)和網(wǎng)絡(luò)資產(chǎn)的流程，定期檢查廣域網(wǎng)絡(luò)的網(wǎng)絡(luò)管理中心和節(jié)點(diǎn)的通訊軟件和數(shù)據(jù)的完整性，保護(hù)所有網(wǎng)絡(luò)設(shè)備以避免物理攻擊，采取物理保護(hù)措施以防止線纜中斷、被偵聽(tīng)和非授權(quán)訪問(wèn)等。 （5）數(shù)據(jù)交換 控制銀行內(nèi)部或與外界組織的數(shù)據(jù)和軟件交換。4物理及環(huán)境安全策略 物理安全邊界控制管理