巴西网络安全条例（译文）.docxVIP

CMN2021年2月26日第4,893号

决议

CMN第4,893号决议，2021年2月26日

规定了由巴西中央银行授权运营的机构遵守的有关承包

数据处理和存储以及云计算服务的网络安全政策和要

求。

巴西中央银行，根据艺术。1964年12月31

日第4,595号法律第9条公开了国家货币委员会在

2021年2月25日举行的会议上，基于艺术。上述法

律第4条第VIII项，1965年7月14日第4,728号

法律第9条，1974年9月1日第6,099号法律第7

和第23项“a”项，第1项第II项2001年2月14

日第10,194号法和2009年4月17日第130号

补充法第1条第1款，

解析度：

第一章

目的和适用范围

艺术。1本决议规定了巴西中央银行授权经营的机构应

遵守的网络安全政策以及承包数据处理和存储以及云计

算服务的要求。

单段。本决议的规定不适用于支付机构，支付机构必须

遵守巴西中央银行颁布的规定，才能行使法律责任。

第二章

网络安全政策

第一节

网络安全政策实施

艺术。2艺术中提到的机构。1必须实施和维护基于旨

在确保所用数据和信息系统的机密性、完整性和可用性

的原则和指南制定的网络安全政策。

§1caput中提到的政策必须符合：

I-机构的规模、风险状况和商业模式；

II-运营的性质和机构产品、服务、活动和流程

的复杂性；和

III-该机构负责的数据和信息的敏感性。

§2允许采用单一的网络安全政策：

I-审慎企业集团；说

二——合作信用体系。

§3由于§2的规定而没有自己的网络安全政

策的机构必须在董事会会议上正式确定该选项的选择

权，如果没有，则在该机构的董事会会议上正式确定。

艺术。3网络安全政策必须至少包括：

I-机构的网络安全目标；

II-为减少机构对事件的脆弱性和满足其他网

络安全目标而采用的程序和控制措施；

III-特定控制，包括旨在确保敏感信息安全的

信息可追溯性；

IV-记录、分析原因和影响，以及控制与机构

活动相关的事件的影响；

V-指导方针：

a)详细说明业务连续性测试中考虑的事件场

景；

b)为处理敏感数据或信息或与机构运营活动

相关的第三方提供服务的公司将采用的旨在预防和处理

事件的程序和控制的定义；

c)根据相关性对数据和信息进行分类；和

d)用于评估事件相关性的参数的定义；

VI-在机构内传播网络安全文化的机制，包括：

a)培训计划的实施和人员的定期评估；

b)向客户和用户提供有关使用金融产品和服

务的注意事项的信息；和

c)高级管??理层对持续改进网络安全相关程序

的承诺；和

VII-与第IV条中提到的其他机构共享有关第

IV项中提到的相关事件的信息的举措。第一个。

§1在定义第I项中提到的网络安全目标时，

必须考虑机构预防、检测和减少与网络环境相关的事件

的脆弱性的能力。

§2caput第II项中提及的程序和控制必须至

少包括身份验证、加密、入侵预防和检测、防止信息泄

露、定期测试和扫描到漏洞检测、防止恶意软件、建立

可追溯性机制、访问控制和计算机网络分段以及数据和

信息备份副本的维护。

§3必须应用资本金第II项中提到的程序和控

制措施，包括开发安全信息系统和采用机构活动中使用

的新技术。

§4登记、原因和影响分析以及事件影响的控

制，在caput第IV项中提到，必须包括从向第三方提供

服务的公司收到的信息。

§5按人头额第V项“b”项提及的指南必须包

括复杂程度、范围和精确度与机构本身使用的程序和控

制相兼容的程序和控制。

第二节

网络安全政策披露

艺术。4网络安全政策必须使用清晰易懂的语

言向机构的员工和向第三方提供服务的公司披露，其详

细程度与所执行的功能和信息的敏感性相适应。

艺术。5th机构必须向公众披露包含网络安全

政策总则的摘要。

第三节

行动计划和事件响应

艺术。6.艺术中提到的机构。1，他们必须制

定旨在实施网络安全政策的行动和事件响应计划。

单段。caput中提到的计划必须至少涵盖：

I-机构为使其组织和运营结构适应网络安全

政策的原则和指导方针而采取的行动；

II-根据网络安全政策指南，用于预防和响应事

件的例程、程序、控制和技术；和

III-负责记录和控制相关事件影响的区域。

艺术。7.艺术中提到的机构。1，他们必须指

定一名主管，负责网络安全政策以及行动和事件响应计

划的执行。

单段。只要不存在利益冲突，上限中提到的董

事可以在机构