《非银行支付机构信息科技风险管理指引》.pdf

第一章总则

第一条为加强非银行支付机构信息科技风险管理，根据国家法律

法规和信息安全相关要求、人民银行的行业监管要求以及中国支付清

算协会的行业自律相关规定，制定本指引。

第二条本指引所称信息科技是指计算机、通信、微电子和软件工

程等现代信息技术，在支付机构业务交易处理、经营管理和内部控制

等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，

制订完善的管理制度和流程。

第三条本指引所称信息科技风险，是指支付机构运用信息科技的

过程中，由于自然因素、人为因素、技术漏洞和管理缺陷导致的操作、

法律和声誉等风险。

第四条本指引适用于中国支付清算协会会员单位中根据中国人民

银行《非金融机构支付服务管理办法》规定,取得《支付业务许可证》

的非银行支付机构，以下简称“支付机构”。

第二章信息科技风险管理

第五条支付机构的负责人是本机构信息科技风险管理的第一

责任人，负责组织本指引的贯彻落实。

第六条支付机构管理层履行以下信息科技管理职责：

(一)遵守并贯彻执行国家和行业有关信息科技管理的法律、法规和

技术标准，落实中国人民银行相关监管要求，以及中国支付清算协会

的相关自律规范，确保持续符合国家、行业相关标准要求。

(二)配合监管部门及行业自律组织做好信息科技风险监督检查工作，

并按照监督检查意见进行整改。

(三)审查批准信息科技战略，确保其与支付机构的总体业务战略和

重大决策相一致；评估信息科技及其风险管理工作的总体效果。

(四)履行信息科技风险管理其他相关工作。

第七条支付机构应制定符合本机构总体业务规划的信息科技战略、

持稳定、安全的信息科技环境。

第八条支付机构应设立专门的高级管理职位，统筹负责信息化规

划、建设、运行维护、信息安全、业务连续性等工作,并负责协调制定

有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续性计

划和合规性风险等方面。

第九条支付机构应制定全面的信息科技风险管理策略，包括但不

限于下述领域：

(一)信息分级与保护。

(二)信息系统开发、测试、运行和维护。

(三)访问控制。

(四)物理安全。

(五)人员安全。

(六)数据安全。

(七)业务连续性计划。

第十条支付机构应制定持续的信息科技风险识别和评估流程，确

定信息科技中存在隐患的区域，评价风险对其业务的潜在影响。

第十一条支付机构应依据信息科技风险管理策略和风险评估结果，

实施全面的风险防范措施。防范措施应包括但不限于：

(一)制定明确的信息科技风险管理制度、技术标准和操作规程等，

定期进行更新。

(二)确定潜在信息科技风险区域，并对这些区域进行详细和独立的

监控，实现风险最小化。

(三)建立适当的控制框架，以便于检查和平衡风险。

第十二条支付机构设立相应岗位和部门，负责信息科技审计制度

和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命

周期和重大事件等进行审计。

第十三条支付机构应对信息科技部门内部管理职责进行明确的界

定；各岗位的人员应具有相应的专业知识和技能；应对各岗位的人员

定期开展信息安全相关培训教育，使其充分掌握信息科技风险管理制

第三章信息安全

第十四条支付机构信息科技部门负责制订信息安全整体方针、政

策、制度、规范、流程、实施方案、实施计划和监督机制，支付机构

应使所有员工都了解信息安全的重要性，并组织必要的培训，让员工

充分了解其职责范围内的信息保护流程及要求。

第十五条支付机构信息科技部门负责从安全技术和安全管理角度

推动信息安全保护措施落地执行，安全技术要求覆盖物理安全、网络

安全、主机安全、终端安全、应用安全和数据安全等方面；安全管理

要求覆盖安全管理制度、安全管理机构、人员安全管理、系统建设管

理、系统运维管理和业务连续性等方面。

第十六条支付机构应确保其办公区域的安全。明确工作人员的职

责，对区域的访问进行授权管理，对敏感数据的访问以及存储设备进

行想要的管理，对可能影响安全的时间采取必要的预防、检测和恢复

控制措施。

第十七条支付机构应根据网络承载的业务重要性和数据敏感度，

将网络划分为不同的逻辑安全域（以下简称为域），对每个域的

边界进行识别控制，采取网络内容过滤、逻辑访问控制、传输