银行卡系统风险管理办法

银行卡系统风险管理办法内容摘要：

第五十二条 重要网络设备应放置在主机房内，由网络管理人员负责管理。 其他人员不得对网络设备进行任何操作。 第五十三条 网管设备属专管设备，必须严格控制其管理人员密码。 第五十四条 重要网络通信硬件设施、网管应用软件设施及网络参数配置应有备份。 第五十五条 改变网络路由配置和通信地址等参数的操作，必须具有包括时间、目的、内容及维护人员等要素的书面记录。 第五十六条 与其他业务相关机构的网络连接，应采用必要的技术隔离保护措施，对联网使用的用户必须采用 一人一帐户的访问控制。 第五十七条 网络管理人员应随时监测和定期检查网络运行状况，对获得的信息应进行分析，发现安全隐患应报告银行卡系统风险管理部门 第五十八条 有关单位使用专用设备对网络进行检测时，网络管理人员应给予必要的协助和监督。 第五十九条 网络扫描、监测结果和网络运行日志等重要信息应备份存储。 第六十条 银行卡系统网络应定期进行查、杀病毒操作，发现银行卡系统病毒，应按照规定及时处理。 第六十一条 严禁超越网络管理权限，非法操作业务数据信息，擅自设置路由 与非相关网络进行连接。 第三节 接入国际互联网管理 第六十二条 所有银行卡系统设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。 第六十三条 凡要求接入国际互联网的计算机系统，须由使用部门提出申请，报本行银行卡系统风险管理部门审批、备案。 第六十四条 经许可连接国际互联网的计算机系统，使用部门应报本行银行卡系统风险管理管部门备案。 第六十五条 经许可连接国际互联网的计算机系统，不得存留与银行卡相关的涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。 第六十六条 国际互联网接入的计算机系统的帐户和密码必须实行专人管理，并不定期更换密码。 第六十七条 从国际互联网上下载的任何信息资源，未经检测不得在银行卡系统的网络上使用。 第六十八条 各使用部门应自觉接受本行银行卡系统风险管理部门的监督检查。 第六章 银行卡系统建设安全管理 第一节 系统规划与立项的安全管理 第六十九条 银行卡系统的规划和建设应同步做好系统安全保护工作，以确保系统安全目标的实现。 第七十条 银行卡系统的管理部门应采取与业务安全等级要求相应的安全机制，在安全防护方面应符合下列基本安全要 求： (一 )采取必要的技术手段，建立严密的安全管理控制机制，保证数据信息在处理、存储和传输过程中的完整性和安全性，防止数据信息被非法使用、修改和复制； (二 )提供完整的数据备份和恢复功能，能方便地根据系统和数据的备份介质进行灾难恢复； (三 )具有严格的用户和密码管理，能对不同级别的用户进行有限授权，特别应严格限制和分流特权用户的权限，防止非法用户的侵入和破坏； (四 )银行卡系统应设置审计监控程序，具有身份识别和实体认证功能。 能够自动记录操作人员的重要操作，具有防止抵赖机制； (五 )涉密信息的安全设计应符合涉密信息保密管理的有关规定。 第七十一条 银行卡系统立项实行审批制度。 对项目管理部门初审合格的项目申报材料，银行卡系统风险管理部门应进行安全性专项审查，提出审查意见后由项目管理部门最后审批。 第七十二条 项目申报材料在符合相关规定有关要求的同时，还应包括以下与信息系统安全有关的内容： (一 )业务主管部门对保证业务正常开展的安全需求； (二 )系统的安全性指标； (三 )系统运行平台的安全性要求； (四 )系统采取的安全策略、安全保护措施及其安全功能设计； (五 )涉密信息系统的申报还应 取得同级或上级保密部门的同意。 第七十三条 对没有通过银行卡系统风险管理部门审查的项目，项目管理部门不得予以立项。 第二节 系统开发的安全管理 第七十四条 银行卡系统的开发必须符合软件工程规范，并在软件开发的各阶段按照安全管理目标进行管理和实施。 第七十五条 银行卡系统的开发人员或参加开发的协作单位应经过严格资格审查，并签订保密协议书，承诺其负有的安全保密责任和义务。 第七十六条 银行卡系统的开发环境和现场应当与生产环境和现场隔离。 第七十七条 银行卡系统开发完成后，开发人员或参加开发的外部单位应及时移 交程序源代码及其相关技术文档。 第七十八条 银行卡系统采用的关键技术措施和核心安全功能设计不得进行公开学术交流或发表。 第三节 系统安全的评估与审批 第七十九条 银行卡系统投入运行前，科技部应向银行卡系统风险管理部门提出安全评估和审批申请，并报送下列 资料： (一 )系统的用途、总体结构及软硬件配置等基本情况； (二 )关于系统安全需求、安全策略、安全性指标、安全保护措施以及安全功能设计等情况的说明； (三 )系统安全性测试提纲和测试报告； (四 )填制的《银行卡系统安全评估和审批报告书》。 第八十条 总行组织 业务、内控、风险等多部门对银行卡系统主管部门报送的书面材料进行初步审查。 初审合格后，委托相关权威机构组建由相关业务和技术专家组成的安全评估委员会或安全评估专家组，对信息系统进行安全性测试、认证。 第八十一条 对信息系统的安全评估应当包括以下内容： (一 )系统的安全策略； (二 )系统的安全措施； (三 )系统安全功能的实现程度； (四 )系统运行的稳定性、可靠性； (五 )系统运行平台的安全可靠性。 第八十二条 安全评估委员会或安全评估专家组应对测试、认证的信息系统提出安全评估报告，并填制《银行卡系。