亚洲成AV人的天堂在线观看,久久av免费精品首页,av这里只有精品大帝,免费国产一级av片

第十六條

第十七條  商業(yè)銀行應(yīng)依據(jù)信息科技風險管理策略和風險評估結(jié)果，實施全面的風險防范措施。防范措施應(yīng)包括：

（一） 制定明確的信息科技風險管理制度、技術(shù)標準和操作規(guī)程等，定期進行更新和公示。

（二） 確定潛在風險區(qū)域，并對這些區(qū)域進行詳細和獨立的監(jiān)控，實現(xiàn)風險最小化。建立適當?shù)目刂瓶蚣?，以便于檢查和平衡風險；定義每個業(yè)務(wù)級別的控制內(nèi)容，包括：

1. 最高權(quán)限用戶的審查。

2. 控制對數(shù)據(jù)和系統(tǒng)的物理和邏輯訪問。

3. 訪問授權(quán)以“必需知道”和“最小授權(quán)”為原則。

4. 審批和授權(quán)。

5. 驗證和調(diào)節(jié)。

第十八條  商業(yè)銀行應(yīng)建立持續(xù)的信息科技風險計量和監(jiān)測機制，其中應(yīng)包括：

（一） 建立信息科技項目實施前及實施后的評價機制。

（二） 建立定期檢查系統(tǒng)性能的程序和標準。

（三） 建立信息科技服務(wù)投訴和事故處理的報告機制。

（四） 建立內(nèi)部審計、外部審計和監(jiān)管發(fā)現(xiàn)問題的整改處理機制。

（五） 安排供應(yīng)商和業(yè)務(wù)部門對服務(wù)水平協(xié)議的完成情況進行定期審查。

（六） 定期評估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。

（七） 定期進行運行環(huán)境下操作風險和管理控制的檢查。

（八） 定期進行信息科技外包項目的風險狀況評價。

第十九條  中資商業(yè)銀行在境外設(shè)立的機構(gòu)及境內(nèi)的外資商業(yè)銀行，應(yīng)當遵守境內(nèi)外監(jiān)管機構(gòu)關(guān)于信息科技風險管理的要求，并防范因監(jiān)管差異所造成的風險。

第四章  信息安全

第二十條   商業(yè)銀行信息科技部門負責建立和實施信息分類和保護體系，商業(yè)銀行應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓，讓員工充分了解其職責范圍內(nèi)的信息保護流程。

第二十一條  商業(yè)銀行信息科技部門應(yīng)落實信息安全管理職能。該職能應(yīng)包括建立信息安全計劃和保持長效的管理機制，提高全體員工信息安全意識，就安全問題向其他部門提供建議，并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應(yīng)包括信息安全標準、策略、實施計劃和持續(xù)維護計劃。

信息安全策略應(yīng)涉及以下領(lǐng)域：

（一） 安全制度管理。

（二） 信息安全組織管理。

（三） 資產(chǎn)管理。

（四） 人員安全管理。

（五） 物理與環(huán)境安全管理。

（六） 通信與運營管理。

（七） 訪問控制管理。

（八） 系統(tǒng)開發(fā)與維護管理。

（九） 信息安全事故管理。

（十） 業(yè)務(wù)連續(xù)性管理。

（十一） 合規(guī)性管理。