Q_520103 G 002-2019贵阳银行网上银行安全管理规定.pdf

贵阳银行网上银行安全管理规定 贵阳银行网上银行安全管理规定 制定时间：2019年5月24 日 1 目的 本规定涉及的内容包括：贵阳银行网上银行风险管理组织构架及 责任、贵阳银行网上银行风险的管理措施的执行规范。 依据中国银监会 《贵商业银行内部控制评价试行办法》、《电子银 行业务管理办法》、《电子银行安全评估指引》，中国人民银行 《网上 银行系统信息安全通用规范》的要求，制定本规范。 2 范围 本规定涉及的内容包括：贵阳银行网上银行安全管理组织构架及 责任、贵阳银行网上银行安全的管理措施。 3 术语及定义 3.1 网上银行 Internet banking 网上银行系统是商业银行等金融机构通过互联网、移动通信网 络、其他开放性公众网络或专用网络基础设施向其客户提供各种金融 服务的信息系统。贵阳银行网上银行系统将传统的银行业务同互联网 等资源和技术进行融合，将传统的柜台通过互联网、移动通信网络、 其他开放性公众网络或专用网络向客户进行延伸，是贵阳银行在网络 经济的环境下，开拓新业务、方便客户操作、改善服务质量、推动生 产关系变革等的重要举措，提高了贵阳银行等金融机构的社会效益和 经济效益。 3.2 敏感信息 sensitive information 主要指影响网上银行安全的密码、密钥以及交易敏感数据等信 1 贵阳银行网上银行安全管理规定 息，密码包括但不限于转账密码、查询密码、登录密码、证书的PIN 等，密钥包括但不限于用于确保通讯安全、报文完整性等的密钥，交 易敏感数据包括但不局限于完整磁道信息、有效期、CVN、CVN2、证 件号码等。 3.3 隐私信息 private information 主要指客户使用网上银行所需要或产生的个人信息、交易信息 等，包含不限于地理位置、IP 地址、设备信息、账户信息、交易记录 信息等 。 3.3 客户端程序 client program 为网上银行客户提供人机交互功能的程序，以及提供必需功能的 组件，包括但不限于：可执行文件、控件、静态链接库、动态链接库 等，不包括IE等通用浏览器。 3.4 USB Key 又称 “Ukey”，一种USB接口的硬件设备。它内置单片机或智能 卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书。 3.5 资金类交易 funds transaction 指通过网上银行进行资金操作交易，如转账、订单支付、缴费等。 本人名下的投资理财、托管账户以及本人签订委托代扣协议的委托代 扣等风险可控的资金变动不属于此范畴。 3.6 信息及业务变更类交易 information business changing transaction 2 贵阳银行网上银行安全管理规定 通过网上银行变更客户相关信息或开通、取消业务的交易，如客 户修改基本信息、调整交易额度、授权委托交易、修改交易订单、开 通 （签订）新业务、取消某项业务、电子合同签署、电子保单等。 3.7 企业网银 corporate banking 指贵阳银行等金融机构面向企事业单位和其他组织提供的网上 金融服务。 4 网上银行安全管理措施 4.1 业务管理安全措施 4.1.1制定 《贵阳银行网上银行应急计划和业务连续性计划》、 《贵 阳银行网上银行业务管理办法》等文件，规范网上银行业务管理。 4.1.2 制定业务运行应急预案和安全策略。应急计划包括：数据恢复、 可以替换的数据处理设施、紧急员工配备、以及客户服务支持。安全 策略包括：对网上银行下安全属性进行的重点规划、建设和管理，确 保网上银行系统的机密性、完整性和可用性。 4.1.3 鉴于网上银行对技术结合紧密的特点，对管理人员的任职资格 增加了额外要求。贵阳银行网上银行的中级管理人员必须熟悉网上银 行运作所需要的技术，能负责管理和监控网上银行运作所需要的信息 技术系统，并及时更新网上银行运营所必须的信息技术。 4.1.4 加强风险管理文化建设，提高相关业务人员网上银行业务风险 意识和思想道德准则，确保风险管理工作落到实处。 4.1.5