網(wǎng)上銀行安全及隱私保護(hù)管理辦法及策略

1、. 網(wǎng)上銀行平安與隱私保護(hù)管理方法及策略一、網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理體系及主要容 依據(jù)中國(guó)銀監(jiān)會(huì)部控制評(píng)價(jià)方法、電子銀行業(yè)務(wù)管理方法、電子銀行平安評(píng)估指引的要求，本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的主要涵包括以下方面容： 一網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的主要容 根據(jù)網(wǎng)上銀行業(yè)務(wù)的自身特點(diǎn)，結(jié)合本行實(shí)際情況，本行的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)體系的構(gòu)成包括： 1制定明確的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理政策 本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)涉及的圍和領(lǐng)域； 本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)控制的目標(biāo)和能夠承當(dāng)?shù)娘L(fēng)險(xiǎn)水平； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的組織構(gòu)造、權(quán)限構(gòu)造和責(zé)任機(jī)制； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制程序； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的報(bào)告體系； 網(wǎng)上銀行業(yè)務(wù)

2、風(fēng)險(xiǎn)管理信息系統(tǒng) 部控制和外部審計(jì)； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)資本的分配； 對(duì)重大網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)情況的應(yīng)急處理方案。 2網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制程序 傳統(tǒng)銀行所面臨的各類風(fēng)險(xiǎn)如信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)和市場(chǎng)風(fēng)險(xiǎn)等，這些在網(wǎng)上銀行業(yè)務(wù)中仍然存在，但是其表現(xiàn)形式上則有所變化，對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)展全面的識(shí)別目前還存在一定的困難，還需要不斷摸索規(guī)律、積累經(jīng)歷，因此本行將努力引入有效的方法來(lái)識(shí)別網(wǎng)上銀行業(yè)務(wù)的風(fēng)險(xiǎn)，同時(shí)逐步根據(jù)新資本協(xié)議的要求來(lái)計(jì)量和監(jiān)測(cè)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)： 加強(qiáng)對(duì)防網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的規(guī)章制度建立； 加強(qiáng)對(duì)業(yè)務(wù)合規(guī)性的控制； 加強(qiáng)對(duì)員工管理，防道德風(fēng)險(xiǎn)； 完善信息系統(tǒng)，提

3、高通過(guò)技術(shù)手段防網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的能力； 研究和引入有效的定性或定量的計(jì)量和評(píng)估網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的模式或方法； 制定應(yīng)急準(zhǔn)備； 3實(shí)行對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的獨(dú)立的、外部審計(jì) 、外部審計(jì)應(yīng)包括：本行組織構(gòu)造、所有業(yè)務(wù)和管理管理流程、人員的工作狀況、各部門的運(yùn)行情況、人事變動(dòng)、客戶投拆、系統(tǒng)運(yùn)行狀況等各個(gè)環(huán)節(jié)。 二網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理職能的分布 1董事會(huì) 承當(dāng)對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理實(shí)施監(jiān)控的最終責(zé)任，確保本行有效地識(shí)別、計(jì)量、監(jiān)測(cè)和控制業(yè)務(wù)所承當(dāng)?shù)母黝愶L(fēng)險(xiǎn)，包括： 負(fù)責(zé)審批網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的戰(zhàn)略、政策和程序，確定本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的目標(biāo)； 催促高級(jí)管理層采取必要的措施識(shí)別、計(jì)量、監(jiān)測(cè)和

4、控制網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)； 定期獲得關(guān)于網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)性質(zhì)和水平的報(bào)告，以監(jiān)控和評(píng)價(jià)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的全面性、有效性以及高級(jí)管理層在網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理方面的履職情況。 2監(jiān)事會(huì) 負(fù)責(zé)監(jiān)視董事會(huì)、高級(jí)管理層完善網(wǎng)上銀行業(yè)務(wù)管理體系。 監(jiān)視董事會(huì)和高級(jí)管理層在網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理方面的履職情況。 3高級(jí)管理層 負(fù)責(zé)制定、定期審查和監(jiān)視執(zhí)行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的政策、程序以及管理目標(biāo)； 確定本行所面對(duì)的網(wǎng)上銀行業(yè)務(wù)的各種風(fēng)險(xiǎn)； 在本行建立有效的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理組織框架，確保組織構(gòu)造能有效的表達(dá)管理與經(jīng)營(yíng)相別離的原則； 確保本行能準(zhǔn)確的計(jì)量、監(jiān)測(cè)和控制網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)； 4網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理

5、部門 擬定網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理政策和程序，提出風(fēng)險(xiǎn)管理的目標(biāo)，提交高級(jí)管理層和董事會(huì)審查批準(zhǔn)； 負(fù)責(zé)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理制度體系的建立，確保有相應(yīng)的規(guī)章和程序來(lái)控制或緩沖重大的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)。 對(duì)于網(wǎng)上銀行的新產(chǎn)品、新業(yè)務(wù)中所包含的風(fēng)險(xiǎn)進(jìn)展識(shí)別和評(píng)估，審核相應(yīng)的風(fēng)險(xiǎn)管理程序； 識(shí)別、計(jì)量和監(jiān)測(cè)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)； 設(shè)計(jì)、實(shí)施事后檢驗(yàn)和壓力測(cè)試； 及時(shí)向董事會(huì)和高級(jí)管理層提供獨(dú)立的網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告。 5本行管理與經(jīng)營(yíng)部門 1人員管理：完善人力資源政策和程序，確保與有關(guān)從業(yè)人員具備相應(yīng)的能力和意識(shí)，防可能的人員失誤和部人員欺詐導(dǎo)致的風(fēng)險(xiǎn)。包括： 提高員工工作的責(zé)任心； 防止員工超時(shí)工作； 提高

6、員工對(duì)產(chǎn)品和流程的認(rèn)識(shí)和掌握； 防止人員欺詐。 2系統(tǒng)管理：完善本行網(wǎng)上銀行業(yè)務(wù)各類信息系統(tǒng)，防止因系統(tǒng)失靈或系統(tǒng)自身存在漏洞而導(dǎo)致的風(fēng)險(xiǎn)。包括： 維護(hù)系統(tǒng)硬件平安； 防止信息系統(tǒng)受到侵襲； 不同軟件間的銜接； 制定系統(tǒng)的應(yīng)急預(yù)案； 建立系統(tǒng)數(shù)據(jù)備份機(jī)制。 保證相關(guān)應(yīng)用系統(tǒng)的有效性； 防止使用者使用過(guò)程中的風(fēng)險(xiǎn)。 3程序管理：加強(qiáng)對(duì)流程執(zhí)行情況的檢查，包括： 保證部管理和操作程序在執(zhí)行過(guò)程中的正確性。 4外部事件管理：建立并保持預(yù)案和程序，以防止可能發(fā)生的意外事件或緊急情況的損失，包括： 防止外包效勞的風(fēng)險(xiǎn)； 防外部犯罪活動(dòng)； 防自然災(zāi)害事件。 6資本管理部門 根據(jù)對(duì)本行網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)的狀況

7、提出資本安排方案，并監(jiān)測(cè)與風(fēng)險(xiǎn)相對(duì)應(yīng)的資本水平； 7部審計(jì) 審查和評(píng)價(jià)各部門對(duì)網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)政策和程序的遵守情況，風(fēng)險(xiǎn)管理目標(biāo)的實(shí)現(xiàn)情況； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理的組織構(gòu)造的有效性； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)管理所涵蓋的圍和環(huán)節(jié)的完整性； 風(fēng)險(xiǎn)計(jì)量方法的恰當(dāng)性和計(jì)量結(jié)果的準(zhǔn)確性； 網(wǎng)上銀行業(yè)務(wù)風(fēng)險(xiǎn)資本的計(jì)算和部配置情況 二、網(wǎng)上銀行系統(tǒng)的風(fēng)險(xiǎn)管理策略 由于網(wǎng)上銀行業(yè)務(wù)極依賴于承載它的IT系統(tǒng)，為了保證網(wǎng)上銀行系統(tǒng)的正常運(yùn)行和不斷開展，需要建立一個(gè)完整的風(fēng)險(xiǎn)管理過(guò)程。建立網(wǎng)上銀行系統(tǒng)的風(fēng)險(xiǎn)管理策略，是保證風(fēng)險(xiǎn)管理過(guò)程順利執(zhí)行的重要保證，將有助于網(wǎng)上銀行系統(tǒng)平安建立的持續(xù)改善。 網(wǎng)上銀行系統(tǒng)的風(fēng)險(xiǎn)等級(jí)分為

8、三級(jí)：即高風(fēng)險(xiǎn)(H)：有可能發(fā)生并會(huì)對(duì)網(wǎng)上銀行造成重大的損失；中風(fēng)險(xiǎn)(M)：有可能發(fā)生并會(huì)對(duì)網(wǎng)上銀行會(huì)造成一定的損失；低風(fēng)險(xiǎn)(L)：有可能發(fā)生但對(duì)網(wǎng)上銀行僅造成的輕微的損失。 一風(fēng)險(xiǎn)管理過(guò)程 風(fēng)險(xiǎn)管理是一個(gè)不斷進(jìn)展的過(guò)程，該過(guò)程可以主要分為三個(gè)大步驟： 風(fēng)險(xiǎn)評(píng)估：風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。通過(guò)了解信息資產(chǎn)價(jià)值、威脅、脆弱性和現(xiàn)有平安控制信息來(lái)識(shí)別、分析風(fēng)險(xiǎn)，找出與平安目標(biāo)間的差距，從而明確平安需求； 風(fēng)險(xiǎn)處置：根據(jù)平安需求選擇平安控制措施，制定完善的平安方案并加以實(shí)施，從而到達(dá)減少、躲避或轉(zhuǎn)嫁風(fēng)險(xiǎn)的目標(biāo)； 風(fēng)險(xiǎn)承受：承受風(fēng)險(xiǎn)的決策。分析殘留風(fēng)險(xiǎn)、監(jiān)控識(shí)別出的風(fēng)險(xiǎn)，如果風(fēng)險(xiǎn)很清晰地滿足組織策略

9、和風(fēng)險(xiǎn)承受標(biāo)準(zhǔn)的要求，就客觀有意地承受它們；并對(duì)平安政策執(zhí)行進(jìn)展審計(jì)。 1風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)上銀行系統(tǒng)信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理過(guò)程的根底。 1風(fēng)險(xiǎn)評(píng)估的主要目的包括： 識(shí)別網(wǎng)上銀行系統(tǒng)面臨的各種風(fēng)險(xiǎn)； 評(píng)估風(fēng)險(xiǎn)發(fā)生概率和可能給網(wǎng)上銀行系統(tǒng)帶來(lái)的負(fù)面影響； 確定本行承受風(fēng)險(xiǎn)的能力； 確定風(fēng)險(xiǎn)消減的優(yōu)先等級(jí)； 明確網(wǎng)上銀行系統(tǒng)的平安需求。 2風(fēng)險(xiǎn)評(píng)估方法 風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)包括兩個(gè)局部，一個(gè)局部是識(shí)別風(fēng)險(xiǎn)構(gòu)成要素，即信息資產(chǎn)以及信息相關(guān)資產(chǎn)、威脅方和威脅方可能利用的弱點(diǎn)。另一個(gè)局部是評(píng)估威脅方利用弱點(diǎn)可能造成的業(yè)務(wù)

10、損失。在進(jìn)展風(fēng)險(xiǎn)評(píng)估時(shí)需要定義風(fēng)險(xiǎn)要素的屬性和風(fēng)險(xiǎn)函數(shù)來(lái)完成風(fēng)險(xiǎn)評(píng)估。 對(duì)符合條件的成熟風(fēng)險(xiǎn)評(píng)估方法，應(yīng)該建立實(shí)施過(guò)程，以保證風(fēng)險(xiǎn)評(píng)估的有效性。 3風(fēng)險(xiǎn)評(píng)估類別 風(fēng)險(xiǎn)評(píng)估包括以下類別： 基線風(fēng)險(xiǎn)評(píng)估：組織根據(jù)自身實(shí)際情況，對(duì)信息系統(tǒng)進(jìn)展平安基線檢查把現(xiàn)有的平安措施與平安基線規(guī)定的措施進(jìn)展比擬，找出其中的差距，得出根本的平安需求，通過(guò)選擇并實(shí)施標(biāo)準(zhǔn)的平安措施來(lái)消減和控制風(fēng)險(xiǎn)。 詳細(xì)風(fēng)險(xiǎn)評(píng)估：組織對(duì)資產(chǎn)進(jìn)展詳細(xì)識(shí)別和評(píng)價(jià)，對(duì)可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)展評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)識(shí)別和選擇平安措施。通過(guò)這種評(píng)估途徑集中表達(dá)風(fēng)險(xiǎn)管理的思想，識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可承受的水平，以此證明所采用的

11、平安控制措施是恰當(dāng)?shù)摹?4風(fēng)險(xiǎn)評(píng)估執(zhí)行 本行按照電子銀行平安評(píng)估指引的要求，按年度進(jìn)展信息平安風(fēng)險(xiǎn)評(píng)估，此外根據(jù)網(wǎng)上銀行系統(tǒng)的變化如業(yè)務(wù)變化、業(yè)務(wù)環(huán)境變化等決定啟動(dòng)信息平安風(fēng)險(xiǎn)變化的評(píng)估。 2風(fēng)險(xiǎn)處置 1風(fēng)險(xiǎn)處置 風(fēng)險(xiǎn)處置的目標(biāo)是基于網(wǎng)上銀行業(yè)務(wù)的需求和處置本錢。處置目標(biāo)包括風(fēng)險(xiǎn)處置的圍、策略和業(yè)務(wù)期待的結(jié)果。處置策略包括風(fēng)險(xiǎn)的降低、躲避、轉(zhuǎn)嫁和承受等。 降低風(fēng)險(xiǎn)：實(shí)施有效控制，將風(fēng)險(xiǎn)降低到可承受的程度，實(shí)際上就是力圖減小威脅發(fā)生的可能性和帶來(lái)的影響。躲避風(fēng)險(xiǎn)：有時(shí)候，組織可以選擇放棄*些可能引來(lái)風(fēng)險(xiǎn)的業(yè)務(wù)或資產(chǎn)，以此躲避風(fēng)險(xiǎn)。 轉(zhuǎn)嫁風(fēng)險(xiǎn)：將風(fēng)險(xiǎn)全部或者局部地轉(zhuǎn)移到其他責(zé)任方。 承受風(fēng)險(xiǎn)：在實(shí)

12、施了其他風(fēng)險(xiǎn)應(yīng)對(duì)措施之后，對(duì)于殘留的風(fēng)險(xiǎn)，組織可以選擇承受。 2平安政策 對(duì)風(fēng)險(xiǎn)處置目標(biāo)確定處置的信息平安風(fēng)險(xiǎn)要制定明確的信息平安政策。信息平安政策是風(fēng)險(xiǎn)控制的基線，即只有完全落實(shí)信息平安政策，才能實(shí)現(xiàn)風(fēng)險(xiǎn)控制目標(biāo)。 3平安控制 平安控制是平安政策落實(shí)的手段。平安控制包括物理平安控制、技術(shù)平安控制和行政管理平安控制。 3風(fēng)險(xiǎn)承受 1殘留風(fēng)險(xiǎn) 對(duì)處置的風(fēng)險(xiǎn)進(jìn)展殘留風(fēng)險(xiǎn)分析，確認(rèn)殘留風(fēng)險(xiǎn)是在業(yè)務(wù)可承受的圍。殘留風(fēng)險(xiǎn)將納入到信息風(fēng)險(xiǎn)綜合評(píng)估過(guò)程中。 2風(fēng)險(xiǎn)監(jiān)控 對(duì)識(shí)別出的風(fēng)險(xiǎn)，要進(jìn)展監(jiān)控。一旦發(fā)現(xiàn)風(fēng)險(xiǎn)出現(xiàn)，應(yīng)按預(yù)定的程序進(jìn)展處置。風(fēng)險(xiǎn)的監(jiān)控包括對(duì)平安政策和平安控制執(zhí)行的監(jiān)控。 3平安審計(jì) 定期對(duì)信息

13、平安政策的實(shí)施進(jìn)展審計(jì)。審計(jì)人員應(yīng)獨(dú)立于平安政策制訂和平安控制開發(fā)的人員。信息平安政策審計(jì)的結(jié)果應(yīng)作為綜合風(fēng)險(xiǎn)評(píng)估的輸入之一。 信息平安審計(jì)容包括文檔審計(jì)、日志審計(jì)和行為審計(jì)。 文檔審計(jì)：平安策略的容每年進(jìn)展一次審核，平安管理制度每三個(gè)月進(jìn)展一次審核，業(yè)務(wù)系統(tǒng)操作規(guī)和流程每六個(gè)月進(jìn)展一次審核，應(yīng)急方案每六個(gè)月進(jìn)展一次審核，并根據(jù)實(shí)際情況進(jìn)展修改。 日志審計(jì)：網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等系統(tǒng)日志審計(jì)功能全部開啟，系統(tǒng)日志每周一次平安審核，及時(shí)發(fā)現(xiàn)問(wèn)題。 行為審計(jì)：采取人員監(jiān)視、績(jī)效考核、技術(shù)監(jiān)控等手段，對(duì)平安管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員等的日常工作行為進(jìn)展審核，保

14、證行為的正確性和合法性。 二網(wǎng)上銀行系統(tǒng)平安策略體系 1人事策略 人員平安策略的目標(biāo)為覆蓋工作相關(guān)的平安責(zé)任。 人員平安策略與過(guò)程：雇傭前，人力資源部必須實(shí)施詳細(xì)的背景調(diào)查，確保雇用人員的簡(jiǎn)歷是真實(shí)的。雇用期間，所有員工必須接收平安指導(dǎo)培訓(xùn)。員工離開自身職位必須完成所有的手續(xù)和移交他們的信息平安責(zé)任。 2訪問(wèn)控制策略 訪問(wèn)控制策略的目標(biāo)是阻止從公眾網(wǎng)未被授權(quán)訪問(wèn)銀行的部網(wǎng)絡(luò)。這一策略同時(shí)也保證只有受控的訪問(wèn)和建立銀行部網(wǎng)絡(luò)中的驗(yàn)證機(jī)制，以驗(yàn)證訪問(wèn)公眾網(wǎng)必須經(jīng)過(guò)允許。 為用戶創(chuàng)立訪問(wèn)權(quán)限：一個(gè)具體的訪問(wèn)控制模塊，針對(duì)用戶及其對(duì)網(wǎng)絡(luò)和應(yīng)用程序的訪問(wèn)控制，應(yīng)當(dāng)被定期維護(hù)及更新；訪問(wèn)控制的授權(quán)應(yīng)基于業(yè)

15、務(wù)需求而非*個(gè)人的要求；在使用程序及效勞時(shí)，用戶應(yīng)嚴(yán)格遵守密碼管理方針。 管理特權(quán)：最少特權(quán)原則確保最低限度的訪問(wèn)權(quán)限批準(zhǔn)。 廢除訪問(wèn)權(quán)限：當(dāng)用戶不再需要訪問(wèn)，應(yīng)及時(shí)廢除訪問(wèn)權(quán)限。 訪問(wèn)記錄與監(jiān)控：所有通過(guò)防火墻的網(wǎng)絡(luò)連接都應(yīng)受到監(jiān)控并且應(yīng)為全部設(shè)備保存通信記錄。同樣的，通過(guò)記錄及監(jiān)控程序記下的全部應(yīng)用程序及操作系統(tǒng)的訪問(wèn)嘗試。 3通信和運(yùn)行管理策略 1建立計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)各個(gè)局部的管理和操作所有計(jì)算機(jī)和網(wǎng)絡(luò)的職責(zé)和流程來(lái)指導(dǎo)正確和平安的操作。這些流程包括： 業(yè)務(wù)或第三方的職能所需的有方案的效勞活動(dòng)； 數(shù)據(jù)文件處理，包括驗(yàn)證網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)； 對(duì)所有方案的系統(tǒng)開發(fā)、維護(hù)和測(cè)試工作的變更管理流程；

16、 為意外事件準(zhǔn)備的錯(cuò)誤處理和意外事件處理過(guò)程； 問(wèn)題管理流程，包括登錄所有網(wǎng)絡(luò)問(wèn)題和解決方法； 事件管理流程； 為所有新的或變更的硬件或軟件包括性能、可用性、可靠性、可控性、可恢復(fù)性和錯(cuò)誤處理能力的方面的測(cè)試/評(píng)估流程； 日常管理活動(dòng)，例如啟動(dòng)和關(guān)閉流程，數(shù)據(jù)備份，設(shè)備維護(hù)，計(jì)算機(jī)和網(wǎng)絡(luò)管理，平安方法或需求。 2軟件和信息保護(hù) 采取措施預(yù)防和檢測(cè)對(duì)軟件和信息非授權(quán)的更改。 3介質(zhì)的處理和平安性 控制計(jì)算機(jī)介質(zhì)并進(jìn)展必要的物理保護(hù)。包括控制可移動(dòng)的計(jì)算機(jī)介質(zhì)，制定并遵守處理包含或關(guān)鍵數(shù)據(jù)的介質(zhì)的流程，介質(zhì)應(yīng)在不再需要時(shí)被妥善廢棄，系統(tǒng)文檔分秘級(jí)保護(hù)并防非授權(quán)訪問(wèn)或刪除。 4維護(hù)完整性和可用性 采取措施維護(hù)效勞的完整性和可用性，建立控制備份計(jì)算機(jī)和網(wǎng)絡(luò)資產(chǎn)的流程，定期檢查廣域網(wǎng)絡(luò)的網(wǎng)絡(luò)管理中心和節(jié)點(diǎn)的通訊軟件和數(shù)據(jù)的完整性，保護(hù)所有網(wǎng)絡(luò)設(shè)備以防止物理攻擊，采取物理保護(hù)措施以防止線纜中斷、被偵聽和非授權(quán)訪問(wèn)等。 5數(shù)據(jù)交換 控制銀行部或與外界組織的數(shù)據(jù)和軟件交換。4物理及環(huán)境平安策略 物理平安邊界控制管理：