馬來西亞信息科技監(jiān)管分析報(bào)告

1、目錄一.二.三.四.五.六.概述3業(yè)監(jiān)管機(jī)構(gòu)介紹4主要 IT 監(jiān)管要求分析4監(jiān)管報(bào)批報(bào)備要求30監(jiān)管分析31監(jiān)管處罰及案例分析31附件一：附件二： 附件三：監(jiān)監(jiān)度詳細(xì)內(nèi)容分析32度匯總32監(jiān)管報(bào)批報(bào)備要求32一.概述的信息科技監(jiān)管要求出發(fā)，按照監(jiān)管機(jī)構(gòu)介紹、主要 IT 監(jiān)管要求分從析、監(jiān)管報(bào)備報(bào)批要求、監(jiān)管分析、監(jiān)管處罰及案例分析等六個(gè)方面分別進(jìn)行分析需要考慮的重要 IT和闡述，以提示在推廣海外系統(tǒng)的過，中國監(jiān)管領(lǐng)域和需遵守的重點(diǎn)監(jiān)管要求，以保證海外系統(tǒng)投產(chǎn)的合規(guī)性。報(bào)告各方面的內(nèi)容介紹如下：(1)概述：描述報(bào)告的組成形式和各章節(jié)的主要內(nèi)容。(2)監(jiān)管機(jī)構(gòu)介紹：描述該業(yè)的主要監(jiān)管機(jī)構(gòu)，以及該些

2、監(jiān)管機(jī)構(gòu)的主要職能。(3)主要 IT 監(jiān)管要求分析：逐條分析該國發(fā)布的重點(diǎn)監(jiān)管要求，并分別對應(yīng)到信息科技治理、管理、流程管理、技術(shù)管理和合規(guī)與審計(jì)管理五個(gè) IT 一級領(lǐng)域以及細(xì)分的若干領(lǐng)域和三級領(lǐng)域當(dāng)中，將重點(diǎn)的 IT監(jiān)管要求在報(bào)告正文進(jìn)行闡述，而在報(bào)告附件中展現(xiàn)所有的主要 IT 監(jiān)管要求。信息科技治理管理流程管理技術(shù)管理內(nèi)部管理業(yè)務(wù)IT一致性/IT計(jì)劃主機(jī)外來管理開發(fā)/外購/部署網(wǎng)絡(luò)客戶管理交付/服務(wù)/支持?jǐn)?shù)據(jù)/評估/核定終端物理應(yīng)用合規(guī)與審計(jì)管理審計(jì)管理圖 1：信息科技管理的一級領(lǐng)域和領(lǐng)域(4)監(jiān)管報(bào)批報(bào)備要求：詳細(xì)說明金融機(jī)構(gòu)從事信息科技活動時(shí)，需要向監(jiān)管機(jī)構(gòu)報(bào)批或者報(bào)備的場景和具體的要

3、求。(5)監(jiān)管分析：闡述監(jiān)管機(jī)構(gòu)在信息科技監(jiān)管方面采用的監(jiān)管以及監(jiān)管特點(diǎn)，如進(jìn)駐企業(yè)、現(xiàn)場檢查、非現(xiàn)場檢查、定期/不定期報(bào)告等。(6)監(jiān)管處罰案例：闡述監(jiān)管機(jī)構(gòu)對監(jiān)管采用的處罰形式和部分處罰案例。合規(guī)管理組織管理管理架構(gòu)管理制度管理外包管理風(fēng)險(xiǎn)管理管理知識產(chǎn)權(quán)二.業(yè)監(jiān)管機(jī)構(gòu)介紹的業(yè)信息科技監(jiān)管機(jī)構(gòu)主要為。（BANK NEGARA MALAYSIA）。在于 1959 年 1 月 26 日正式成立。該法案的下，有，并定期向完全由所財(cái)政部報(bào)告貨幣與金融政策的相關(guān)事項(xiàng)。的主要職能為對國內(nèi)貨幣政策進(jìn)行管理，同時(shí)還兼負(fù)維持貨幣體系及金融體系的穩(wěn)定性、建立更加健全的金融系統(tǒng)、提高金融體系的包容性等責(zé)任，另外

4、，還在擔(dān)任著財(cái)政與金融咨詢的。下設(shè)監(jiān)管架構(gòu)組、發(fā)展組、對外與貨幣政策組、投資與運(yùn)營組、合規(guī)監(jiān)督組、投資系統(tǒng)組、組等七個(gè)大職能組，七大職能組又細(xì)分為 39 個(gè)職能部門/。其中監(jiān)管架構(gòu)組負(fù)責(zé)確定金融機(jī)構(gòu)的監(jiān)管架構(gòu)并將其投入使用。合規(guī)監(jiān)督組負(fù)責(zé)制定金融機(jī)構(gòu)的安全政策和，并對金融機(jī)構(gòu)的合規(guī)情檢查，以維持并提升金融機(jī)構(gòu)的運(yùn)行穩(wěn)定性和可靠性。主要通過發(fā)布信息科技相關(guān)的監(jiān)管條例來對業(yè)信息科技治理和運(yùn)維進(jìn)行規(guī)范，目前發(fā)布的監(jiān)管條例已經(jīng)能夠覆蓋基本的信息科技領(lǐng)域。同時(shí)，馬來西亞還根據(jù)當(dāng)前不斷變化的信息科技環(huán)境對現(xiàn)有的信息科技監(jiān)管框架進(jìn)行持續(xù)的完善和補(bǔ)充。三.主要 IT 監(jiān)管要求分析在 2004 年 4 月頒布的

5、IT 環(huán)境管理指引，已覆蓋了基本的信息科技治理領(lǐng)域，能夠?qū)σ韵路矫妫航鹑跈C(jī)構(gòu)信息科技實(shí)現(xiàn)較為全面的監(jiān)管，該指引主要包括 IT 治理組織架構(gòu) 信息系統(tǒng)安全 系統(tǒng)開發(fā) 系統(tǒng)運(yùn)行維護(hù) 通訊網(wǎng)絡(luò)管理 業(yè)務(wù)恢復(fù)與連續(xù)性計(jì)劃此外，還近年來迅速發(fā)展的電子業(yè)務(wù)制定了金融機(jī)構(gòu)電子措施、金融機(jī)構(gòu)的法律及聲安全服務(wù)指引，該指引從管理層監(jiān)管責(zé)任、安全譽(yù)風(fēng)險(xiǎn)、客戶保護(hù)及安全意識教育和其他合規(guī)事項(xiàng)等方面出發(fā)，對電子業(yè)務(wù)管理與操作流程進(jìn)行了全面的規(guī)范，旨在降低 IT 技術(shù)快速為電子業(yè)務(wù)帶來的風(fēng)險(xiǎn)外包活動對于金融機(jī)構(gòu)普遍有著較高的風(fēng)險(xiǎn)，為此頒布了運(yùn)營外包，對外包活動中的高風(fēng)險(xiǎn)事項(xiàng)和報(bào)備事項(xiàng)做了較詳細(xì)的規(guī)定，以保證金融機(jī)構(gòu)的安

6、全運(yùn)營。通過分析和梳理的主要 IT 監(jiān)管要求，我們從以下五個(gè) IT 一級領(lǐng)域?qū)Φ闹攸c(diǎn) IT 監(jiān)管要求進(jìn)行詳細(xì)闡述：在信息科技治理方面提出了較為廣泛的原則性要求，包括組織管理管理、架構(gòu)管理、制度管理、風(fēng)險(xiǎn)管理、外包管理、出了比較詳細(xì)具體的監(jiān)管要求。方面。尤其外包管理，提該領(lǐng)域的重點(diǎn)監(jiān)管要求列舉如下：1.1 組織管理1.1.1董事會需要承擔(dān) IT 管理的責(zé)任，包括但不限于為下述內(nèi)容負(fù)責(zé)：1)為 IT 戰(zhàn)略的建立提供指引，確保 IT 戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性2)審閱及批準(zhǔn)機(jī)構(gòu)的關(guān)鍵 IT 政策，確保內(nèi)控系統(tǒng)和管理信息系統(tǒng)的有效性3)確保層采用了嚴(yán)謹(jǐn)而有效的政策及流程4)確保對交付或接受的 IT 服務(wù)建

7、立了關(guān)鍵業(yè)績指標(biāo)及服務(wù)水平協(xié)議5)定期審閱管理層報(bào)告，對發(fā)現(xiàn)的 IT 缺陷提出合理的戰(zhàn)略解決方案6)對機(jī)構(gòu) IT 政策、流程及發(fā)布的指引、通告的合規(guī)性評估7)監(jiān)督內(nèi)外部審計(jì)報(bào)告，以及檢查報(bào)告中的審計(jì)缺陷情況8)審閱并批準(zhǔn) IT預(yù)算1.1.2董事會有責(zé)任確保審計(jì)師以合理的頻率及范圍對金融機(jī)構(gòu)進(jìn)行必要的審計(jì)，以保證機(jī)構(gòu)的活動符合監(jiān)管要求。同時(shí)有責(zé)任保證審計(jì)師的采取必要的跟進(jìn)及補(bǔ)償措施。性，對審計(jì)發(fā)現(xiàn)1.1.3層應(yīng)對日常 IT 活動進(jìn)行，其責(zé)任包括但不限于以下：1)審閱 IT 政策、計(jì)劃及預(yù)算，并實(shí)施 IT 政策和計(jì)劃2)確保 IT 政策及流程的合理性與有效性，建立風(fēng)險(xiǎn)管理架構(gòu)3)確保對新建立的或變

8、更后的 IT 系統(tǒng)進(jìn)行了適當(dāng)?shù)?)定期向董事會提供管理層報(bào)告，并對關(guān)鍵 IT 發(fā)現(xiàn)提出意見5)建立并審閱業(yè)績指標(biāo)，對機(jī)構(gòu)的 IT 服務(wù)效果進(jìn)行評估，確保最終用戶部門與 IT 部門，或 IT 部門與外部第提供商間簽訂了服務(wù)水平協(xié)議6)確保 IT 運(yùn)維的效率及有效性，合規(guī)性1. 信息科技治理7)確保對審計(jì)報(bào)告或檢查報(bào)告中的缺陷采取合理行動1.1.4金融機(jī)構(gòu)應(yīng)建立由層、IT 部門及最終用戶代表組成的 IT 指導(dǎo)委員會，內(nèi)審代表僅在委員會內(nèi)承擔(dān)被咨詢的控。委員會應(yīng)對 IT 計(jì)劃的開發(fā)及實(shí)施進(jìn)行監(jiān)1.1.5IT 組織架構(gòu)應(yīng)實(shí)現(xiàn)合理的職責(zé)分離，以防止雇員的職責(zé)（如開發(fā)、運(yùn)維及安全管理的職責(zé)分離），應(yīng)個(gè)人擁

9、有變更、規(guī)避及禁用系統(tǒng)安全屬性的，應(yīng)通過其他的補(bǔ)償措施實(shí)施權(quán)限。對不能通過職責(zé)分離解決的潛在職責(zé)管理，并對該措施進(jìn)行。1.1.6IT 指導(dǎo)委員會應(yīng)審閱來自不同部門的管理信息，以對 IT進(jìn)行有效的協(xié)調(diào)與發(fā)生的 IT 活動及，IT 計(jì)劃的合理進(jìn)行。委員會應(yīng)舉行定期會議決策，并將重要的決策通知董事會。1.1.7IT 指導(dǎo)委員會應(yīng)為其成員制定應(yīng)履行的相關(guān)職責(zé)，包括但不限于以下方面：1)制定短期及長期 IT 計(jì)劃并分配預(yù)算；2)確保 IT 計(jì)劃能夠支持機(jī)構(gòu)的整體業(yè)務(wù)戰(zhàn)略或整體戰(zhàn)略；3)為 IT 項(xiàng)目制定優(yōu)先級并其與服務(wù)水平協(xié)議的符合程度；4)制定關(guān)鍵 IT 政策及流程，如 IT 安全政策及 IT 風(fēng)險(xiǎn)管

10、理框架；5)關(guān)鍵 IT 政策的實(shí)施有效性；6)IT 服務(wù)的整體效率、服務(wù)表現(xiàn)、有效性和使用率，識別過時(shí)的 IT 服務(wù)；7)為 IT 部門及最終用戶提供聯(lián)絡(luò)；8)在額度內(nèi)審閱及批準(zhǔn)重要 IT 預(yù)算及開支；9)審閱時(shí)間、人力、培訓(xùn)及設(shè)備等分配是否合理1.1.8金融機(jī)構(gòu)應(yīng)建立 IT 管理組織架構(gòu)及政策，明確定義各個(gè) IT 功能的職權(quán)歸屬、報(bào)告流程及責(zé)任劃分。理想情況下，IT 部門告。應(yīng)直接向機(jī)構(gòu)的最理層報(bào)1.1.9金融機(jī)構(gòu)應(yīng)成立正式的項(xiàng)目委員會保證開發(fā)在良好的結(jié)構(gòu)下進(jìn)行，委員會至少以下各方代表組成：1)金融機(jī)構(gòu)層，提供戰(zhàn)略方向并對項(xiàng)目全力支持；2)終端用戶部門，確保設(shè)計(jì)的應(yīng)用滿足終端用戶的需求；3)

11、內(nèi)審部門，作為履行職能；方確保安全的實(shí)施。但是內(nèi)審部門只應(yīng)以咨詢者的4)IT 部門，提供技術(shù)知識技能1.1.10層應(yīng)負(fù)責(zé)制定強(qiáng)的內(nèi)控系統(tǒng)，應(yīng)保證其有效性、可操控性以及與業(yè)務(wù)戰(zhàn)略的一致性。同時(shí)保證被合理的部署并有效用于維持內(nèi)控系統(tǒng)的有效性。層還應(yīng)確認(rèn)機(jī)構(gòu)已實(shí)施了適當(dāng)?shù)念A(yù)防性及檢測性，保證已包含所有的信息科技活動并能有效支持運(yùn)維及報(bào)告需求。1.1.11安全管理員及系統(tǒng)管理員不應(yīng)參與系統(tǒng)開發(fā)及運(yùn)維活動，以達(dá)到職責(zé)分離的目的。若IT 活動實(shí)施必要的職責(zé)分離，應(yīng)實(shí)施補(bǔ)償并指定專業(yè)的第機(jī)構(gòu)對審閱，確保所有活動被合理并合乎相關(guān)的安全標(biāo)準(zhǔn)。1.1.12建立業(yè)務(wù)連續(xù)性計(jì)劃委員會，并明確該委員會的行為準(zhǔn)則。該委員

12、會負(fù)責(zé)對業(yè)務(wù)恢復(fù)與連續(xù)性計(jì)劃進(jìn)行、實(shí)施和維護(hù)。委員會協(xié)調(diào)人（整個(gè)業(yè)務(wù)連續(xù)性項(xiàng)目）和下列部門代表（包括但不限于）組成：1)機(jī)構(gòu)主要業(yè)務(wù)部門2)IT 部3)內(nèi)審部（只作為被咨詢者）4)質(zhì)量保證/合規(guī)部門5)法務(wù)部6)人力部7)安全部8)物業(yè)服務(wù)部門9)行政服務(wù)部門1.2管理1.2.1金融機(jī)構(gòu)應(yīng)制定 IT 戰(zhàn)略計(jì)劃以提供業(yè)務(wù)戰(zhàn)略所需的 IT 需求。該計(jì)劃應(yīng)為支持業(yè)務(wù)發(fā)展的 IT 需求提供實(shí)施路線圖，并概括出所需的 IT價(jià)值。及計(jì)劃實(shí)現(xiàn)后的預(yù)期1.3 架構(gòu)管理1.3.1金融機(jī)構(gòu)應(yīng)為所有的應(yīng)用系統(tǒng)制定管理流程并實(shí)施此流程，該管理流程應(yīng)與金融機(jī)構(gòu)的 IT 安全政策保持一致。1.4 制度管理1.4.1政策及

13、流程進(jìn)行適當(dāng)?shù)?IT 管理，金融機(jī)構(gòu)應(yīng)通過制定或降低內(nèi)部及外部的 IT 風(fēng)險(xiǎn)。悉。層應(yīng)確保上述政策及流程能被整個(gè)金融機(jī)構(gòu)及預(yù)期的知1.4.2金融機(jī)構(gòu)應(yīng)建立正式的系統(tǒng)開發(fā)標(biāo)準(zhǔn)、流程以及用戶使用手冊，確在使用過的連續(xù)性。對上述文檔實(shí)施，確保只有經(jīng)過的才能以上信息。開發(fā)標(biāo)準(zhǔn)及流程包括但不限于以下領(lǐng)域：1)系統(tǒng)設(shè)計(jì)2)軟件分析及選擇3)代碼編寫4)測試5)實(shí)施6)變更1.4.3IT 系統(tǒng)安全及管理程，應(yīng)囊括對所有在用系統(tǒng)的管理，并與 IT 安全政策相一致。、政策及管理實(shí)踐發(fā)生變更該流程。1.4.4董事會及層應(yīng)確保金融機(jī)構(gòu)建立了電子安全政策及流程，對安全進(jìn)行預(yù)防和應(yīng)對，以排除內(nèi)部和外部的安全威脅。1.5

14、 風(fēng)險(xiǎn)管理1.5.1董事會及層應(yīng)明確金融機(jī)構(gòu)的電子風(fēng)險(xiǎn)偏好并確保電子風(fēng)險(xiǎn)管理流程與金融機(jī)構(gòu)整體風(fēng)險(xiǎn)管理實(shí)踐的一致性。定期審閱現(xiàn)有政策及流程，確保上述政策與流程能夠覆蓋電子業(yè)務(wù)的新型風(fēng)險(xiǎn)。1.5.2董事會及層應(yīng)識別電子服務(wù)的風(fēng)險(xiǎn)因素，并采取風(fēng)險(xiǎn)措施確保電或應(yīng)用外包子給第或服務(wù)的安全性、完整性和可用性，若機(jī)構(gòu)將關(guān)，應(yīng)確保供應(yīng)商采取了與金融機(jī)構(gòu)類似的保護(hù)措施。1.5.3在 ATM 機(jī)上的金融機(jī)構(gòu)應(yīng)根據(jù)自身的風(fēng)險(xiǎn)度限制個(gè)人額，如：1)設(shè)置最大取款額2)設(shè)置最大轉(zhuǎn)賬額1.6 外包管理1.6.1對于經(jīng)由第機(jī)構(gòu)獲得、實(shí)施或外包的重要項(xiàng)目，董事會或委員會在綜合分、風(fēng)險(xiǎn)及財(cái)務(wù)影響等因素后對其進(jìn)行審批。同時(shí)項(xiàng)目應(yīng)

15、受 IT 指導(dǎo)，包括但不限于以下方面：析成本、委員會的1)所有項(xiàng)目應(yīng)符合機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略；2)識別并協(xié)調(diào)項(xiàng)目的附屬活動；3)指定機(jī)員或第咨詢顧問作為項(xiàng)目經(jīng)理；4)在執(zhí)行合同前向具有法律資質(zhì)的咨詢相關(guān)法律事宜；5)識別技術(shù)與業(yè)務(wù)風(fēng)險(xiǎn)，并對其進(jìn)行管理；6)確定分配的優(yōu)先級，協(xié)調(diào)分配事項(xiàng)；7)告知利益相關(guān)方項(xiàng)目進(jìn)展情況，并向其征詢建議。1.6.2層應(yīng)完全掌握外包相關(guān)的風(fēng)險(xiǎn)。開展適當(dāng)?shù)谋M職，審閱及評估外包活動的可行性、外包商能力、可靠性、專業(yè)知識及業(yè)績。對于關(guān)鍵活動，層應(yīng)考慮備用外包商的可用性以及切換外包商所需的成本和。1.6.3若外包活動需要與供應(yīng)商敏感信息，金融機(jī)構(gòu)層應(yīng)評估供應(yīng)商對敏感信息的保護(hù)能力

16、，并對外包活動進(jìn)行嚴(yán)格，確保上述信息已經(jīng)被保護(hù)。確保外包活動過敏感信息的性、完整性及可用性。1.6.4層應(yīng)確保正式合同中合理定義了所有相關(guān)方的、關(guān)系、義務(wù)及責(zé)任，同時(shí)還括（但不限于）外包表現(xiàn)預(yù)期、服務(wù)水平、可用性、可靠性、可伸縮性、合規(guī)性、安全及性、回歸流程實(shí)施便捷性、連續(xù)性計(jì)劃、審計(jì)權(quán)責(zé)、服務(wù)中斷事項(xiàng)及機(jī)構(gòu)信息返還事項(xiàng)等。另外，供應(yīng)商的服務(wù)能力、運(yùn)維表現(xiàn)及財(cái)務(wù)狀況（評估合同中明確此條款）。1.6.5金融機(jī)構(gòu)應(yīng)與供應(yīng)商簽訂具有法律效力的合同，確保合同中定義了金融機(jī)構(gòu)預(yù)期中的服務(wù)水平。確保對供應(yīng)商技術(shù)及咨詢實(shí)施了與機(jī)構(gòu)內(nèi)部員工一致（或更嚴(yán)格）的安全政策與。與雇員簽訂有效的合同。1.6.6當(dāng)代碼由

17、供應(yīng)商開發(fā)，而未對金融機(jī)構(gòu)公布源代碼時(shí)，金融機(jī)構(gòu)應(yīng)通過簽訂正式的合同進(jìn)行自我保護(hù)。該合同應(yīng)金融機(jī)構(gòu)在特定情況下源代碼，包機(jī)構(gòu)保括但不限于以下情況：供應(yīng)商中斷服務(wù)或，此情況下應(yīng)指定第存程序及相關(guān)文檔。金融機(jī)構(gòu)應(yīng)定期確定保存在第新的。機(jī)構(gòu)的源代碼是及時(shí)更1.6.7金融機(jī)構(gòu)與供應(yīng)商應(yīng)簽訂并執(zhí)行具有法律效力的合同以保護(hù)機(jī)構(gòu)的利益。合同應(yīng)規(guī)定供應(yīng)商的活動符合最佳業(yè)務(wù)實(shí)踐信息的性和完整性、定期提交網(wǎng)絡(luò)性能表現(xiàn)報(bào)告、保證中的網(wǎng)絡(luò)系統(tǒng)連續(xù)性，同時(shí)其活動被審計(jì)。實(shí)施了與機(jī)構(gòu)內(nèi)若外包運(yùn)維活動在金融機(jī)構(gòu)處進(jìn)行，應(yīng)確保對供應(yīng)商技術(shù)部員工一致（或更嚴(yán)格）的安全政策與。1.6.8層對 IT 運(yùn)維的管理責(zé)任不得因 IT 運(yùn)

18、維活動的外包而減小或解除，同時(shí)層應(yīng)對 IT 運(yùn)維的監(jiān)管及負(fù)全部責(zé)任。1.6.9層有責(zé)任通過運(yùn)用成本效益方法評估外包活動是否有效支持了機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略級業(yè)務(wù)活動。1.6.10若由供應(yīng)商對系統(tǒng)進(jìn)行技術(shù)支持或運(yùn)行維護(hù)，選擇軟件時(shí)進(jìn)行需求分析，確保用戶及業(yè)務(wù)需求得到滿足。金融機(jī)構(gòu)應(yīng)對供應(yīng)商的技術(shù)支持能力和財(cái)務(wù)情評估，確保供應(yīng)商能順利執(zhí)行合同條款。若供應(yīng)商的財(cái)務(wù)狀況出現(xiàn)異常，應(yīng)有替代措施減小為金融機(jī)構(gòu)帶來的影響。1.6.11若通訊設(shè)備從外部服務(wù)供應(yīng)商獲得，金融機(jī)構(gòu)應(yīng)確保與供應(yīng)商簽訂正式合同，合同中應(yīng)明確規(guī)定各方與職責(zé)和預(yù)期服務(wù)水平，并包含服務(wù)連續(xù)性條款（如服務(wù)中斷的檢測及恢復(fù)）。合同中的所有條款應(yīng)被強(qiáng)制執(zhí)

19、行并定期審閱。1.6.12若網(wǎng)絡(luò)運(yùn)維由第制，保護(hù)信息的機(jī)構(gòu)執(zhí)行，金融機(jī)構(gòu)層有責(zé)任實(shí)施了適當(dāng)?shù)牧鞒碳翱匦院屯暾?。在選擇供應(yīng)商時(shí)進(jìn)行適當(dāng)?shù)姆治觯ＷC供應(yīng)商的財(cái)務(wù)穩(wěn)健性和服務(wù)水平。1.6.13當(dāng)由第機(jī)構(gòu)管理災(zāi)備設(shè)施簽訂具有法律效力的合同。合同中應(yīng)明確災(zāi)備設(shè)施的使用條件，并明確若第機(jī)構(gòu)發(fā)生受影響時(shí)，第機(jī)構(gòu)應(yīng)機(jī)構(gòu)客金融機(jī)戶的安置措施。在金融機(jī)構(gòu)的系統(tǒng)功能完全恢復(fù)前，第構(gòu)使用其災(zāi)備設(shè)施。1.6.14外包合同中應(yīng)規(guī)定供應(yīng)商在外包活動中應(yīng)遵守相關(guān)的職業(yè)規(guī)范，還應(yīng)明確外包商的和職責(zé)。1.6.15外包合同中應(yīng)規(guī)定，若外包商無法按照合同中的強(qiáng)制條款履行合約，終止外包合同。1.6.16應(yīng)采取適當(dāng)?shù)膱?bào)告和措施，確保外

20、包商服務(wù)的質(zhì)量和完整性。1.6.17應(yīng)定期測試并審閱外包商已完成的工作，外包商應(yīng)定期向管理層報(bào)告外包活動進(jìn)展。1.6.18的連續(xù)性計(jì)劃中必須具有應(yīng)對供應(yīng)商服務(wù)終止的措施。應(yīng)定期審閱該計(jì)劃，以確保其時(shí)效性并能應(yīng)對供應(yīng)商突然中止服務(wù)的情況。該計(jì)劃還應(yīng)經(jīng)過董事會的批準(zhǔn)。1.6.19與外包商簽訂外包合同前，應(yīng)至少提前兩周向報(bào)告(供應(yīng)提交外包活動滿足應(yīng)至少在與新外包商簽訂合商名稱、地址及所外包的功能）。應(yīng)向本制度條款的承諾書。若外包商有任何變動，同兩向報(bào)告。1.7管理1.7.1層有責(zé)任為機(jī)構(gòu)所有的信息資產(chǎn)指定其所有者，并清晰界定信息資產(chǎn)的所有關(guān)系及責(zé)任歸屬。1.8 知識產(chǎn)權(quán)管理暫無明確要求。在管理方面有

21、著較詳細(xì)的管理要求，包括內(nèi)部管理及客戶管理兩方2.管理面，其中電子業(yè)務(wù)的客戶管理是其監(jiān)管的重點(diǎn)領(lǐng)域。該領(lǐng)域的重點(diǎn)監(jiān)管要求列舉如下：2.1 內(nèi)部管理2.1.1層有責(zé)任確保機(jī)構(gòu) IT 人力IT的充足性，具有適當(dāng)?shù)馁Y質(zhì)、經(jīng)驗(yàn)及知識技能。同建立適當(dāng)?shù)妮啌Q計(jì)劃。2.1.2層有責(zé)任確保對 IT完成工作。為所有級別的實(shí)施了適當(dāng)?shù)呐嘤?xùn)，幫助更有效率的培訓(xùn)計(jì)劃。制的培訓(xùn)計(jì)劃，并2.1.3層應(yīng)確保員工在行使工作職責(zé)時(shí)保持職業(yè)態(tài)度，不工作中獲取的信息并對上述信息進(jìn)行。確保員工在工作過遵守全部使用的。2.1.4金融機(jī)構(gòu)應(yīng)定期舉行安全意識培訓(xùn)，提高員工對于責(zé)任的理解。政策、流程及安全2.1.5金融機(jī)構(gòu)應(yīng)委派安全管理員及

22、系統(tǒng)管理員負(fù)責(zé)安全職能的執(zhí)行及安全政策標(biāo)準(zhǔn)的實(shí)施。2.1.6金融機(jī)構(gòu)應(yīng)審閱并實(shí)施適當(dāng)級別的職責(zé)分離安全，確保：1)沒有個(gè)人或供應(yīng)商能夠同時(shí)開啟、和完成一個(gè)2)對靜態(tài)數(shù)據(jù)的初始化和有效性驗(yàn)證實(shí)施職責(zé)分離3)對電子系統(tǒng)的開發(fā)者和管理者實(shí)施職責(zé)分離2.1.7任何個(gè)人不應(yīng)獨(dú)自具有關(guān)鍵安全離：的物理權(quán)限或邏輯權(quán)限，下列職責(zé)應(yīng)被分1)2)管理3)與核對2.1.8網(wǎng)絡(luò)運(yùn)維應(yīng)理解機(jī)構(gòu)的，并具有處理錯誤、異常和緊急情況的必要技能。金融機(jī)構(gòu)應(yīng)具有可理解的流程文檔，幫助上述網(wǎng)絡(luò)管理工作。更有效的進(jìn)行2.1.9系統(tǒng)中的用戶分組及配置應(yīng)與用戶崗位分配及職責(zé)相適應(yīng)。IT 部門及非 IT 部門的員工不應(yīng)處于類似的系統(tǒng)分組中

23、。2.2 外來管理暫無明確要求。2.3 客戶管理2.3.1金融機(jī)構(gòu)應(yīng)采取積極的措施和有效的方法及時(shí)通知客戶以下事項(xiàng)：1)電子服務(wù)以及用的潛在風(fēng)險(xiǎn)2)客戶在電子施安動中的，以及防止盜用應(yīng)采取的安全措3)賬號、認(rèn)證碼、多因素認(rèn)證信息及其他認(rèn)證工具信息防泄漏的重要性，包括不向金融機(jī)構(gòu)員工及監(jiān)管方透露上述信息4)、郵件、或互聯(lián)網(wǎng)上個(gè)人信息防泄漏的重要性，客戶在提供上述信息簽訂合同或了解對手5)客戶收到假稱來自或其他可疑金融機(jī)構(gòu)的郵件或采取的措施6)客戶的權(quán)利和責(zé)任7)閱讀金融機(jī)構(gòu)以及相關(guān)第機(jī)構(gòu)隱私政策的重要性8)定期閱讀金融機(jī)構(gòu)發(fā)布的信息及安全警告的重要性2.3.2金融機(jī)構(gòu)應(yīng)采取積極的措施對客戶進(jìn)行電

24、子安全培訓(xùn)。同采取必要的措施對非電子客戶（電子潛在客戶）進(jìn)行培訓(xùn)。2.3.3金融機(jī)構(gòu)應(yīng)確保所有向客戶提供有效的咨詢服務(wù)。了解盜取的潛在風(fēng)險(xiǎn)，并在發(fā)生時(shí)能夠2.3.4金融機(jī)構(gòu)有責(zé)任采取所有可能的措施告知客戶必要的電子相關(guān)事項(xiàng)。2.3.5金融機(jī)構(gòu)應(yīng)盡可能向客戶提供透明、清晰的電子用、違約處理辦法和相關(guān)利益率信息?？蛻魬?yīng)能夠與服務(wù)特性，以及費(fèi)、打印并保留所有合同。2.3.6金融機(jī)構(gòu)在對電子條款進(jìn)行增加客戶費(fèi)用或責(zé)任的調(diào)整，以及在進(jìn)行其他關(guān)鍵性變更給予客戶足夠的時(shí)間令客戶是否繼續(xù)使用該服務(wù)。2.3.7電子服務(wù)條款中應(yīng)明確金融機(jī)構(gòu)和客戶的責(zé)任、的責(zé)任認(rèn)定、條款更改通知程序、投訴處理信息以及與解決流程。2

25、.3.8金融機(jī)構(gòu)與客戶簽訂的合同中應(yīng)明確雙承擔(dān)的風(fēng)險(xiǎn)責(zé)任，客戶不應(yīng)為非自身產(chǎn)生的損失負(fù)責(zé)。2.3.9只有在客戶要求的情況下，金融機(jī)構(gòu)才能為客戶開通會增加客戶花銷的電子銀行新或服務(wù)。2.3.10金融機(jī)構(gòu)應(yīng)具有指引中的原則。問題的爭議解決辦法，爭議解決應(yīng)遵循投訴處理2.3.11金融機(jī)構(gòu)不應(yīng)向客戶轉(zhuǎn)嫁風(fēng)險(xiǎn)管理和內(nèi)控水平提升過的任何成本。2.3.12金融機(jī)構(gòu)應(yīng)確?？蛻糁C(jī)構(gòu)的隱私保護(hù)政策及電子私事項(xiàng)。和服務(wù)的相關(guān)隱2.3.13客戶應(yīng)擁有客戶接受電子金融機(jī)構(gòu)向第服務(wù)的權(quán)限。機(jī)構(gòu)提供其信息的選擇權(quán)，該選擇不應(yīng)影響2.3.14金融機(jī)構(gòu)應(yīng)將會話超時(shí)時(shí)所做的重復(fù)金額償還給客戶。2.3.15在登錄系統(tǒng)顯示誤用系

26、統(tǒng)信息或設(shè)備的警告。在流程管理方面對 IT 系統(tǒng)開發(fā)測試、運(yùn)維服務(wù)、各個(gè)方面都進(jìn)行了比較詳細(xì)的規(guī)定。尤其是對于系統(tǒng)運(yùn)維中的業(yè)務(wù)連續(xù)性管理、災(zāi)備管理、應(yīng)急管理、口令管理、密鑰對業(yè)務(wù)運(yùn)營安全有著影響的領(lǐng)域，有著較詳細(xì)的監(jiān)管條款。該領(lǐng)域的重點(diǎn)監(jiān)管要求列舉如下：3.1 開發(fā)/外購/部署管理3.1.1金融機(jī)構(gòu)開發(fā)前進(jìn)行可行性研究，確開發(fā)預(yù)期成本及，并決定選擇內(nèi)部開發(fā)或從供應(yīng)商處獲取。若決定將應(yīng)用開發(fā)外包，金融機(jī)構(gòu)層對應(yīng)用設(shè)計(jì)水平所負(fù)有的責(zé)任不應(yīng)有任何減少。層應(yīng)確保軟件開發(fā)外包活動已采取了必須的以滿足金融機(jī)構(gòu)的相關(guān)標(biāo)準(zhǔn)。3.1.2在開發(fā)或外購新系統(tǒng)前，金融機(jī)構(gòu)應(yīng)定義清晰的安全需求。并對新系統(tǒng)進(jìn)行審閱，保證

27、其安全性與易用性的平衡。3.1.3層有責(zé)任確保開發(fā)或外購的 IT 系統(tǒng)合乎機(jī)構(gòu)的最低標(biāo)準(zhǔn)，建立權(quán)限級別、異常報(bào)告和控。保管等領(lǐng)域的 IT 運(yùn)維指引，并對該指引實(shí)行常態(tài)化監(jiān)3.1.4金融機(jī)構(gòu)應(yīng)制定項(xiàng)目計(jì)劃，確保項(xiàng)目目標(biāo)的達(dá)成。應(yīng)用項(xiàng)目系統(tǒng)對項(xiàng)目完成度進(jìn)行，比與預(yù)訂時(shí)間表進(jìn)行對比。定期向管理層報(bào)告項(xiàng)目優(yōu)先級、資源分配、與目標(biāo)的偏差及預(yù)算等信息，以評估項(xiàng)目有效性。3.1.5金融機(jī)構(gòu)應(yīng)按照正式的測試計(jì)劃，對預(yù)定的數(shù)據(jù)或系統(tǒng)處理問題及業(yè)務(wù)場景進(jìn)試。3.1.6金融機(jī)構(gòu)應(yīng)對電子系統(tǒng)進(jìn)試，確保職責(zé)分離被繞過3.1.7金融機(jī)構(gòu)應(yīng)對所有應(yīng)用實(shí)施版本更新。保存舊版本代碼及其相關(guān)信息（包括日期、時(shí)間等信息），同時(shí)對存

28、有舊版本源代碼的數(shù)據(jù)庫實(shí)施嚴(yán)格的保護(hù)。版本也可用于確保只有經(jīng)過的代碼才能移植到區(qū)和生產(chǎn)環(huán)境。3.1.8金融機(jī)構(gòu)應(yīng)對源代碼到目標(biāo)代碼的轉(zhuǎn)換過程進(jìn)行，確保代碼結(jié)果的準(zhǔn)確性和完整性，減小未變更的風(fēng)險(xiǎn)。3.1.9只有指定的個(gè)實(shí)施嚴(yán)格的能進(jìn)行代碼轉(zhuǎn)換操作。當(dāng)使用編譯程序或其他系統(tǒng)開發(fā)工具并對所有操作進(jìn)行嚴(yán)密。3. 流程管理3.1.10金融機(jī)構(gòu)應(yīng)對應(yīng)用進(jìn)行上線前審閱，評估應(yīng)用上線后的運(yùn)維表現(xiàn)。通過比較計(jì)劃與實(shí)際的成本、沒有實(shí)現(xiàn)，應(yīng)確認(rèn)閱。及開發(fā)時(shí)間對項(xiàng)目并在上線前評估報(bào)告中與否進(jìn)行評測。若項(xiàng)目計(jì)劃目標(biāo)，該報(bào)告應(yīng)提交給層審3.1.11電子系統(tǒng)在設(shè)計(jì)確保盡量減少客戶無意識誤操作的可能性，并確保客戶完全了解風(fēng)險(xiǎn)

29、。3.1.12終端用戶開發(fā)的代碼、據(jù)的完整性、可靠性。及宏在使用前應(yīng)經(jīng)過批準(zhǔn)和測試，以保證應(yīng)用和數(shù)3.2 交付/服務(wù)/支持管理變更管理3.2.1建立正式的程序變更管理流程，執(zhí)行該流程并做適當(dāng)?shù)?。對變更進(jìn)行和審批，明確定義程序遷移過的簽字確認(rèn)，以供事后問責(zé)需要。的個(gè)人責(zé)任。在正式過應(yīng)進(jìn)行必要3.2.2接受變更申請前，確定變更方法、變更成本及代碼編寫所需時(shí)間。系統(tǒng)分析分析變更的影響及變更有效性，并確定所有重要變更的優(yōu)先級。3.2.3金融機(jī)構(gòu)應(yīng)確定并變更狀態(tài)跟進(jìn)報(bào)告。申請變更的。定期向管理層提交正式的問題分析及3.2.4變更實(shí)施前，金融機(jī)構(gòu)應(yīng)適當(dāng)?shù)闹贫ú⑦^最終用戶的簽字確認(rèn)。測試計(jì)劃，測試結(jié)果需在上

30、線前經(jīng)3.2.5金融機(jī)構(gòu)應(yīng)實(shí)施適當(dāng)?shù)木W(wǎng)絡(luò)變更管理措施，確保網(wǎng)絡(luò)變更中信息的可用性、保密性和完整性。對于影響網(wǎng)絡(luò)系統(tǒng)和通訊設(shè)備的變更，應(yīng)執(zhí)行正式的、記錄及批準(zhǔn)流程。在執(zhí)行變更前，應(yīng)對變更進(jìn)試并評估其影響。3.2.6對電子服務(wù)進(jìn)行升級前，金融機(jī)構(gòu)應(yīng)最晚在實(shí)施兩向銀行報(bào)告相關(guān)情況，并提交以下信息：1)升級及描述2)影響分析及風(fēng)險(xiǎn)管理實(shí)踐3.2.7金融機(jī)構(gòu)對電子服務(wù)進(jìn)行升級遵循以下準(zhǔn)則：1)在通知符合央行的所有要求；之后的 21 天內(nèi)向央行提交了所有所需的信息，并2)若央行認(rèn)為服務(wù)升級提高了客戶的風(fēng)險(xiǎn)，且機(jī)構(gòu)未采用滿足央行要求的風(fēng)險(xiǎn)管理方法，則對電子服務(wù)進(jìn)行升級。3.2.8金融機(jī)構(gòu)應(yīng)具有適當(dāng)?shù)淖兏?/p>

31、，防止錯誤或無意識的變更對安全或數(shù)據(jù)完整性與可靠性產(chǎn)生影響。管理3.2.9機(jī)構(gòu)應(yīng)具備有效識別與解決網(wǎng)絡(luò)的流程，最小化對業(yè)務(wù)的影響并減小類似發(fā)生的風(fēng)險(xiǎn)。3.2.10金融機(jī)構(gòu)應(yīng)建立相關(guān)風(fēng)險(xiǎn)。響應(yīng)機(jī)制，對與進(jìn)行識別及評估，同時(shí)聲譽(yù)3.2.11金融機(jī)構(gòu)應(yīng)不同場景、業(yè)務(wù)和地理位置制定應(yīng)急響應(yīng)計(jì)劃，確保電子系統(tǒng)及服務(wù)能夠在發(fā)生后及時(shí)恢復(fù)。場景分析括發(fā)生的可能性和的影響。應(yīng)急計(jì)劃中應(yīng)綜合考慮將電子外包給第供應(yīng)商的注意事項(xiàng)。金融機(jī)構(gòu)應(yīng)定期審閱并完善響應(yīng)計(jì)劃。3.2.12金融機(jī)構(gòu)響應(yīng)計(jì)劃中包含業(yè)界認(rèn)可的響應(yīng)流程，包括及時(shí)向馬來西亞相關(guān)監(jiān)管機(jī)構(gòu)報(bào)告的流程。3.2.13金融機(jī)構(gòu)應(yīng)具備經(jīng)過良好培訓(xùn)的響應(yīng)團(tuán)隊(duì)，該團(tuán)隊(duì)緊

32、急中享有決，并對內(nèi)部和外部機(jī)構(gòu)有著清晰的指揮路徑。3.2.14金融機(jī)構(gòu)響應(yīng)過應(yīng)具備相關(guān)的法務(wù)團(tuán)隊(duì)，該團(tuán)隊(duì)?wèi)?yīng)與機(jī)構(gòu)和其他響應(yīng)團(tuán)隊(duì)保持良好，遏制虛假的發(fā)生并消除其不利影響。3.2.15金融機(jī)構(gòu)應(yīng)具有以下響應(yīng)流程或措施：1)應(yīng)對外部市場與的策略2)及時(shí)將告知股東的通報(bào)流程3)及信息收集流程，用于進(jìn)行損失審閱。用戶管理3.2.16金融機(jī)構(gòu)應(yīng)建立適當(dāng)?shù)挠脩糍~號廢棄流程，當(dāng)用戶離開機(jī)構(gòu)或調(diào)轉(zhuǎn)到不需要現(xiàn)限的崗位應(yīng)提前設(shè)置好該用戶的過期時(shí)點(diǎn)，同時(shí)按照指定的時(shí)間表將離職用戶目錄下的所有文件刪除。3.2.17當(dāng)用戶賬號 30 天未進(jìn)行活動時(shí)，金融機(jī)構(gòu)應(yīng)暫時(shí)凍結(jié)或刪除上述賬號。以減少未個(gè)人的帶來的風(fēng)險(xiǎn)。3.2.18

33、金融機(jī)構(gòu)應(yīng)確保令牌只用于站點(diǎn)，且用戶了解使用令牌時(shí)負(fù)有的安全責(zé)任，包括使用、保護(hù)及替換的規(guī)則。對用戶持有的令牌實(shí)施正式的過期、更新及廢棄流程。3.2.19金融機(jī)構(gòu)系統(tǒng)運(yùn)維環(huán)境中實(shí)施不相容職責(zé)分離流程，并實(shí)施安全，限制操作員過高的程序權(quán)限，未的操作發(fā)生。3.2.20金融機(jī)構(gòu)應(yīng)創(chuàng)建并維護(hù)電子系統(tǒng)的安全設(shè)置，為所有用戶（包括客戶、金融機(jī)構(gòu)內(nèi)部用戶及供應(yīng)戶）分配權(quán)限必須經(jīng)過批準(zhǔn)。設(shè)計(jì)適當(dāng)?shù)?，確保不相容職責(zé)已被分離。3.2.21金融機(jī)構(gòu)應(yīng)確保對電子以外的活動進(jìn)行，如密鑰權(quán)限3.2.22金融機(jī)構(gòu)應(yīng)采取適當(dāng)?shù)挠眠M(jìn)行保護(hù)，檢測并防止未措施，對電子的發(fā)生。關(guān)、服務(wù)器、數(shù)據(jù)庫和應(yīng)3.2.23金融機(jī)構(gòu)應(yīng)確保沒有個(gè)人

34、擁有更改權(quán)限的能力。電子數(shù)據(jù)庫中任對該過程進(jìn)何用戶的增加和權(quán)限的變更應(yīng)被指定的者適當(dāng)?shù)?，同行合理的并保存審?jì)痕跡。3.2.24金融機(jī)構(gòu)應(yīng)定期審閱否必要。用戶并對其重新。重新評估所限是性能和容量管理3.2.25層應(yīng)確及其他運(yùn)維性能及的高可用性以維持公眾對金融機(jī)構(gòu)的信息，保證硬件、軟件能夠持續(xù)交付可靠的服務(wù)?？诹罟芾?.2.26金融機(jī)構(gòu)應(yīng)使用管理系統(tǒng)確保加密適量，當(dāng)用戶創(chuàng)建動檢查長度，長度不應(yīng)少于 6 位。3.2.27應(yīng)對復(fù)雜度做出要求，可由數(shù)字、符號、大小寫字母或記憶術(shù)（短語、詩句或歌曲中每個(gè)詞的首字母）組成。3.2.28在鍵入以其他符號隱藏真實(shí)的，對的或傳輸中的。實(shí)施高度保護(hù)措施（如進(jìn)行加密）

35、并防止對未3.2.29為安全管理員創(chuàng)建的賬戶分配（初次登陸后過期），計(jì)算機(jī)或通信設(shè)備的默認(rèn)初始化后立即修改。3.2.30系統(tǒng)應(yīng)能夠在使用 90 天后強(qiáng)制用戶修改，或有用的可能時(shí)，用戶應(yīng)及時(shí)修改碼。系統(tǒng)應(yīng)限制用戶重復(fù)使用指定期間內(nèi)使用過的密3.2.31超級用戶應(yīng)分為兩部分并由不同的保管，應(yīng)盡量減少超級用戶的使用，且使用必須經(jīng)過適當(dāng)?shù)?，并在指定區(qū)域的終端上進(jìn)行。采取措施保證超級用戶封的安全保存。密鑰管理3.2.32 可應(yīng)用公共密鑰設(shè)施（PKI）對雇員及合作伙伴進(jìn)行認(rèn)證，并對客戶的電子進(jìn)行。當(dāng)應(yīng)用 PKI 認(rèn)證但不限于）：，機(jī)構(gòu)應(yīng)確保滿足以下安全需求（包括1)在安全生效前檢查數(shù)字和密鑰的合理性；2)

36、為設(shè)置合理的有效期，在過期后應(yīng)評估密鑰長度和加密算法的有效性，在再次生效前根據(jù)需要對密鑰長度和加密算法進(jìn)行變更；3)在進(jìn)行前檢查撤銷列表，確保數(shù)字的有效性；4)定義撤銷的情景，如客戶密鑰用或用戶賬號已注銷；5)在數(shù)據(jù)庫中對已被撤銷的進(jìn)行定時(shí)狀態(tài)更新，最好可以實(shí)；6)確保對根密鑰實(shí)施了嚴(yán)格的安全保護(hù)措施；7)定期進(jìn)行審計(jì)，確保已實(shí)施了合理的安全、公鑰與私鑰長度合理、模塊的設(shè)計(jì)符合業(yè)界標(biāo)準(zhǔn)，并已對認(rèn)證中心的系統(tǒng)進(jìn)行了保護(hù)；8)保存認(rèn)證中心系統(tǒng)所有安全的審計(jì)日志，包括對根密鑰的使用；9)定期審閱認(rèn)證中心的異常報(bào)告及其雇員的系統(tǒng)活動，防止的發(fā)生；破壞和未10)確保機(jī)構(gòu)的數(shù)字及認(rèn)證系統(tǒng)符合被廣泛接受的

37、PKI 技術(shù)標(biāo)準(zhǔn)，確保機(jī)構(gòu)的安全與其他認(rèn)證中心的兼容性。3.2.33密鑰的使用應(yīng)經(jīng)過密鑰。，以防止員工在加密文件或刪除密鑰的可讀版本后丟失3.2.34在設(shè)計(jì)密鑰系統(tǒng)分離及雙人密鑰保證沒有個(gè)人能夠掌握密鑰的全部信息，這可以通過職責(zé)實(shí)現(xiàn)。應(yīng)定期修改密鑰。3.2.35使用密鑰確保雇員刪除密鑰的唯一可讀版本（除非已確認(rèn)能夠再次恢復(fù)可讀性版本），防止密鑰丟失導(dǎo)致的敏感信息丟失。業(yè)務(wù)連續(xù)性管理3.2.36層應(yīng)確保定義了業(yè)務(wù)恢復(fù)優(yōu)先級、采取了風(fēng)險(xiǎn)減緩措施，且連續(xù)性流程已經(jīng)過測試及演練。另外，應(yīng)定期評估、更新及測試恢復(fù)計(jì)劃和響應(yīng)流程。3.2.37層有責(zé)任確保機(jī)構(gòu)有正式的業(yè)務(wù)恢復(fù)及連續(xù)性計(jì)劃，當(dāng)測試。該計(jì)劃已被

38、適3.2.38董事會及層應(yīng)直接參與到業(yè)務(wù)恢復(fù)與連續(xù)性計(jì)劃（BRCP）中。層應(yīng)了解系統(tǒng)中斷對財(cái)務(wù)及運(yùn)維造成的致命影響，并盡力支持及執(zhí)行業(yè)務(wù)恢復(fù)及連續(xù)性計(jì)劃。BRCP 應(yīng)經(jīng)過董事會審批并被金融機(jī)構(gòu)正式實(shí)施。3.2.39根據(jù)金融機(jī)構(gòu)的業(yè)務(wù)風(fēng)險(xiǎn)及解決方案制定業(yè)務(wù)連續(xù)性策略并提交給管理層，該策略括 BRCP 項(xiàng)目結(jié)構(gòu)、報(bào)告需求、初始成本及后續(xù)成本預(yù)計(jì)。同制定連續(xù)性計(jì)劃，確保機(jī)構(gòu)關(guān)鍵業(yè)務(wù)及 IT 人力滿足需求。3.2.40當(dāng) BRCP減小。任務(wù)外包給外部咨詢師時(shí)，層確保計(jì)劃設(shè)計(jì)質(zhì)量的責(zé)任不應(yīng)3.2.41BRCP 應(yīng)確定關(guān)鍵業(yè)務(wù)流程并支持關(guān)任務(wù)的運(yùn)行。應(yīng)對關(guān)鍵信息系統(tǒng)失效的影響及由供應(yīng)商、業(yè)務(wù)伙伴提出的機(jī)構(gòu)

39、關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行評估。3.2.42對各關(guān)進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)及影響分析。根據(jù)各業(yè)務(wù)風(fēng)險(xiǎn)發(fā)生概率及影響程度，識別并確定業(yè)務(wù)風(fēng)險(xiǎn)等級。BRCP 應(yīng)集中關(guān)注最大風(fēng)險(xiǎn)或關(guān)鍵業(yè)務(wù)可能出現(xiàn)的最壞場景。3.2.43對已識別出的所有可能中斷采取適當(dāng)連續(xù)性及恢復(fù)測試，該策略的制定應(yīng)依據(jù)關(guān)鍵業(yè)務(wù)的恢復(fù)優(yōu)先級并與業(yè)務(wù)影響分析的結(jié)果想一致。應(yīng)考慮可實(shí)踐性、成本效益等因素選擇最適合金融機(jī)構(gòu)的連續(xù)性及恢復(fù)策略，并將其在文件中。3.2.44業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)明確啟動條件，宣布人及計(jì)劃啟動審批管理，包括：備份站點(diǎn)啟動條件及通知流程、計(jì)劃團(tuán)隊(duì)成員、供應(yīng)商、服務(wù)提供商及合作機(jī)構(gòu)（包括母公司）。該計(jì)劃還劃的具體行動。括團(tuán)隊(duì)成員職責(zé)、人計(jì)劃、

40、應(yīng)急流程和計(jì)3.2.45應(yīng)對 BRCP 進(jìn)試，評估該計(jì)劃能否有效支持金融機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)，并在明確的時(shí)間內(nèi)完成。以確保恢復(fù)團(tuán)隊(duì)成員及其他相關(guān)身的職責(zé)且熟悉 BRCP 中的流程。被適當(dāng)?shù)呐嘤?xùn)，了解自3.2.46對 BRCP 至少每年進(jìn)行一次測試，IT 連續(xù)性計(jì)劃至少每年進(jìn)行兩次測試，并至少進(jìn)行一次實(shí)際演練。3.2.47為業(yè)務(wù)連續(xù)性計(jì)劃制定正式的、文檔化的測試計(jì)劃和測試標(biāo)準(zhǔn)，使用實(shí)際模擬及一系列活動進(jìn)試。測試之前確定測試目標(biāo)，所有測試應(yīng)使用恢復(fù)設(shè)施、備份系統(tǒng)和離線數(shù)據(jù)備份文件。3.2.48內(nèi)審部門應(yīng)觀察整個(gè)業(yè)務(wù)連續(xù)性測試過程，并報(bào)告測試中發(fā)現(xiàn)的缺陷。3.2.49金融機(jī)構(gòu)應(yīng)通過檢查測試結(jié)果的準(zhǔn)確性和一

41、致性，確認(rèn)對每個(gè)連續(xù)性計(jì)劃的有效性。金融機(jī)構(gòu)每個(gè)連續(xù)性計(jì)劃滿足以下條件：1)能夠通過備用業(yè)務(wù)流程管理、和跟蹤2)系統(tǒng)失效時(shí)個(gè)別的人工活動和備用業(yè)務(wù)流程可滿足業(yè)務(wù)的最低需求3)對備用業(yè)務(wù)流程的關(guān)鍵部分實(shí)施質(zhì)量性，確保備用數(shù)據(jù)庫的完整性和穩(wěn)定4)保證備用數(shù)據(jù)提取系統(tǒng)及其所提取數(shù)據(jù)的安全5)定義備用數(shù)據(jù)庫需求，以及數(shù)據(jù)庫從災(zāi)備環(huán)境切換到正常生產(chǎn)環(huán)境的措施6)在數(shù)據(jù)庫層面調(diào)整災(zāi)備環(huán)境與正常生產(chǎn)環(huán)境的所有差異，確保一致性3.2.50建立業(yè)務(wù)連續(xù)性計(jì)劃測試結(jié)果分析報(bào)告、反饋及審閱流程，將測試結(jié)果與預(yù)訂結(jié)果對比，以確保測試的完整性、識別測試過正措施。發(fā)現(xiàn)的問題及采取相應(yīng)的更3.2.51業(yè)務(wù)連續(xù)性計(jì)劃測試結(jié)果

42、分析報(bào)告應(yīng)提交給管理層，并向報(bào)備，報(bào)備內(nèi)容參見附錄或報(bào)備要求。3.2.52BRCP 不應(yīng)被視為一個(gè)靜態(tài)的文檔，應(yīng)持續(xù)對其進(jìn)行審閱、更新并使其生效。金融機(jī)構(gòu)應(yīng)執(zhí)行正式的 BRCP 審閱、再評估及更新流程，確保其有效性。3.2.53業(yè)務(wù)連續(xù)性計(jì)劃測試過發(fā)現(xiàn)的缺陷和問題應(yīng)被解決與更新，恢復(fù)更新周期括系統(tǒng)、軟件、應(yīng)用、通訊和運(yùn)維變更。必要，金融機(jī)構(gòu)應(yīng)執(zhí)行重復(fù)測試，保證問題再次發(fā)生以及更新的計(jì)劃滿足業(yè)務(wù)連續(xù)性需要。3.2.54更新的業(yè)務(wù)連續(xù)性計(jì)劃副本應(yīng)上報(bào)至相關(guān)機(jī)構(gòu)，并被離線儲存，確保在發(fā)生時(shí)該計(jì)劃能被災(zāi)備及時(shí)。3.2.55金融機(jī)構(gòu)在制定全部業(yè)務(wù)的連續(xù)性和應(yīng)急計(jì)劃和覆蓋電子系統(tǒng)和服務(wù)，包括適當(dāng)?shù)膫浞菰O(shè)備

43、、定期測試和處理性能審閱，以保證電子銀能夠適應(yīng)不同的量。系統(tǒng)性能與容量應(yīng)與機(jī)構(gòu)未來電子長相一致。增3.2.56金融機(jī)構(gòu)應(yīng)確保電子系統(tǒng)的業(yè)務(wù)連續(xù)性與應(yīng)急計(jì)劃被定期測試（根據(jù)系統(tǒng)關(guān)鍵性和停機(jī)度確定頻率），并明確系統(tǒng)恢復(fù)過對第供應(yīng)商或其他外部機(jī)構(gòu)的依賴。災(zāi)備管理3.2.57為應(yīng)對整個(gè)數(shù)據(jù)中心或數(shù)據(jù)中心部分區(qū)域功能的失效，金融機(jī)構(gòu)應(yīng)具備備用的運(yùn)維?？山惖貫?zāi)備站點(diǎn)、將恢復(fù)職能外包給第機(jī)構(gòu)或使用前兩者綜合的解決方案。3.2.58不論采用異地災(zāi)備站點(diǎn)或?qū)⑼獍鼫?zhǔn)則：恢復(fù)職能外包，金融機(jī)構(gòu)至少應(yīng)遵循以下1)恢復(fù)系統(tǒng)與機(jī)構(gòu)關(guān)鍵應(yīng)用兼容2)災(zāi)備設(shè)施應(yīng)與數(shù)據(jù)中心保持適當(dāng)距離，以防相同。在確定災(zāi)備中心地點(diǎn)時(shí)還應(yīng)考慮

44、設(shè)施及應(yīng)用及恢復(fù)時(shí)間。建議災(zāi)備中心與數(shù)據(jù)中心使用不同的供電和通訊網(wǎng)絡(luò)3)根據(jù)數(shù)據(jù)中心系統(tǒng)配置和金融機(jī)設(shè)置。RCP 的要求及災(zāi)備中心設(shè)施的3.2.59當(dāng)由第機(jī)構(gòu)管理災(zāi)備設(shè)施簽訂具有法律效力的合同。合同中應(yīng)明確災(zāi)備設(shè)施的使用條件，并明確若第機(jī)構(gòu)發(fā)生受影響時(shí)，第機(jī)構(gòu)應(yīng)機(jī)構(gòu)客金融機(jī)戶的安置措施。在金融機(jī)構(gòu)的系統(tǒng)功能完全恢復(fù)前，第構(gòu)使用其災(zāi)備設(shè)施。備份與恢復(fù)管理3.2.60 金融機(jī)構(gòu)應(yīng)確保備份介質(zhì)的創(chuàng)建及管理符合IT 環(huán)境指引性計(jì)劃部分的最低要求。務(wù)恢復(fù)及連續(xù)3.2.61金融機(jī)構(gòu)應(yīng)確保對業(yè)務(wù)信息、軟件和相關(guān)紙質(zhì)文檔進(jìn)行了充分的備份，確保在關(guān)鍵運(yùn)維恢復(fù)過能夠及時(shí)獲得上述信息。同對上述信息或文檔進(jìn)行適備份文

45、件。當(dāng)?shù)碾x線備份，并根據(jù)生產(chǎn)環(huán)境中的變更及3.2.62金融機(jī)構(gòu)應(yīng)對備份介質(zhì)環(huán)境進(jìn)行，強(qiáng)度應(yīng)與主站點(diǎn)一致，并符合制造商的安全建議。備份站點(diǎn)應(yīng)與主站點(diǎn)保持一定距離，以防被同一影響，同時(shí)還應(yīng)保持合理的應(yīng)用恢復(fù)時(shí)間。3.2.63金融機(jī)構(gòu)應(yīng)定期進(jìn)序、系統(tǒng)工具和備份，包括但不限于：最新版操作系統(tǒng)、生成程文件。根據(jù)重要性確定各系統(tǒng)的備份頻率，但發(fā)生變更和修改時(shí)必須進(jìn)行備份。3.2.64所有的備份介質(zhì)應(yīng)被清晰標(biāo)識，標(biāo)識括（但不限于）：用途、日期和保存期限。定期清點(diǎn)所有備份介質(zhì)，并進(jìn)行恢復(fù)測試，下數(shù)據(jù)恢復(fù)的可靠性。條件，還應(yīng)測試緊急情況3.2.65金融機(jī)構(gòu)應(yīng)及時(shí)對所有離線備份介質(zhì)進(jìn)行體系化的更新。在備份介質(zhì)的過

46、保護(hù)介質(zhì)的安全，介質(zhì)的應(yīng)被和。實(shí)施備份介質(zhì)流程。生產(chǎn)環(huán)境管理3.2.66金融機(jī)構(gòu)應(yīng)對生產(chǎn)環(huán)境實(shí)施嚴(yán)格，防止未。供應(yīng)商或程序員需要生產(chǎn)環(huán)境時(shí)，為其分配臨時(shí)賬戶，當(dāng)任務(wù)完成時(shí)立即將臨時(shí)賬戶作廢。對供應(yīng)商或程序員的所有活動應(yīng)被適當(dāng)并。3.2.67當(dāng)生產(chǎn)環(huán)境的日常維護(hù)由供應(yīng)商進(jìn)行時(shí)，金融機(jī)構(gòu)應(yīng)確保與供應(yīng)商簽訂了具有法律效力的合同。所有的維護(hù)活動經(jīng)過的供應(yīng)商實(shí)施，供應(yīng)商活動應(yīng)被并被合理，該應(yīng)定期向管理層匯報(bào)，并用于未來供應(yīng)商選擇、設(shè)備基準(zhǔn)管理、設(shè)備更換決策及設(shè)備性能計(jì)劃。3.2.68開發(fā)環(huán)境、測試環(huán)境和生產(chǎn)環(huán)境進(jìn)行物理將程序路徑或程序庫分離，并執(zhí)行嚴(yán)格的。當(dāng)無條件進(jìn)行物理。3.2.69對生產(chǎn)環(huán)境實(shí)施嚴(yán)格

47、，防止未。供應(yīng)商或程序員需要生產(chǎn)環(huán)境時(shí)，為其分配臨時(shí)賬戶，當(dāng)任務(wù)完成時(shí)立即將臨時(shí)賬戶作廢。對供應(yīng)商或程序員的所有活動應(yīng)被適當(dāng)并。3.3/評估/核定管理3.3.1層應(yīng)確保有效性以及狀況被目標(biāo)的有效完成。并定期被再評估，以保證政策和流程的持續(xù)3.3.2層有責(zé)任確保實(shí)施了適當(dāng)?shù)膭?wù)器進(jìn)程、使用率）。流程以連續(xù)關(guān)鍵活動（系統(tǒng)性能、服3.3.3金融機(jī)構(gòu)應(yīng)適當(dāng)所有操作臺及系統(tǒng)的活動，并定期由指定的審閱，以確保操作員的操作符合制定的流程，檢測未的程序運(yùn)行或異常操作，確定補(bǔ)償措施。金融機(jī)構(gòu)應(yīng)開發(fā)或用以生成異常報(bào)告的系統(tǒng)。上述異常報(bào)告應(yīng)被定期審閱，并對其實(shí)施相應(yīng)的根據(jù)措施。3.3.4金融機(jī)構(gòu)應(yīng)使用適當(dāng)?shù)南到y(tǒng)對數(shù)據(jù)

48、中心的括但不限于：進(jìn)行和管理?；顒?)處理器、硬盤和內(nèi)存的使用率2)問題報(bào)告及升級流程3)設(shè)備故障4)系統(tǒng)失效的頻率及時(shí)間跨度5)網(wǎng)絡(luò)活動，檢測可疑趨勢及系統(tǒng)嘗試上述信息應(yīng)用于報(bào)告層、設(shè)備更新及未來性能計(jì)劃決策。層在影響金融機(jī)構(gòu)的安全問題、系統(tǒng)失效及性能下降等情況出現(xiàn)時(shí)，應(yīng)立即向報(bào)告，并兩天內(nèi)向提供正式的報(bào)告（參見該制度附錄或報(bào)備要求）。3.3.5金融機(jī)構(gòu)應(yīng)確保沒有個(gè)人擁有更改何用戶的增加和權(quán)限的變更應(yīng)被指定的權(quán)限的能力。電子者適當(dāng)?shù)臄?shù)據(jù)庫中任對該過程進(jìn)，同行合理的并保存審計(jì)痕跡。在技術(shù)管理的數(shù)據(jù)、應(yīng)用、終端和網(wǎng)絡(luò)層面都提出了比較具體的監(jiān)管要求，尤其是對網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)防泄漏及數(shù)據(jù)保護(hù)、應(yīng)用方面

49、的技術(shù)要求比較嚴(yán)格。該領(lǐng)域的重點(diǎn)監(jiān)管要求列舉如下：4.1 數(shù)據(jù)4.1.1金融機(jī)構(gòu)應(yīng)使用數(shù)據(jù)字典、規(guī)范及數(shù)據(jù)命名習(xí)慣及數(shù)據(jù)的使用。4.1.2所有連接數(shù)據(jù)庫的請求應(yīng)被正式批準(zhǔn)，限制并維護(hù)工具。能夠繞過安全的數(shù)據(jù)庫4.1.3使用數(shù)據(jù)完整性驗(yàn)證技術(shù)（如信息認(rèn)證碼和散列碼技術(shù)）確保數(shù)據(jù)完整性。4.1.4金融機(jī)構(gòu)應(yīng)為或在網(wǎng)絡(luò)中傳輸?shù)拿舾?關(guān)鍵信息制定加密政策，進(jìn)行風(fēng)險(xiǎn)評估以確定加密保護(hù)等級，包括但不限于以下：實(shí)施成本、風(fēng)險(xiǎn)偏好、加密算法影響/類型/質(zhì)量以及密鑰長度。4.1.5根據(jù)電子如加密、系統(tǒng)和數(shù)據(jù)的敏感性和重要性，對其進(jìn)行分類。實(shí)施合理的方法，及數(shù)據(jù)恢復(fù)計(jì)劃，對高風(fēng)險(xiǎn)系統(tǒng)、服務(wù)器、數(shù)據(jù)庫及應(yīng)用進(jìn)4. 技術(shù)管理行保護(hù)。4.1.6保護(hù)金融數(shù)據(jù)不受未的更改，同時(shí)任何數(shù)據(jù)更改應(yīng)是可檢測的。4.1.7電子數(shù)據(jù)庫應(yīng)能夠防篡改，實(shí)施相應(yīng)的流程檢測該類篡改，同時(shí)保存足夠的審計(jì)痕跡，據(jù)庫替代前不應(yīng)投入使用。上述篡改。任何