非银行支付机构信息科技风险管理指引.pdfVIP

非银行支付机构信息科技风险管理指引 第一章 总 则 第一条 为加强非银行支付机构信息科技风险管理，根据国家法 律法规和信息安全相关要求、人民银行的行业监管要求以及中国支付 清算协会的行业自律相关规定，制定本指引。 第二条 本指引所称信息科技是指计算机、通信、微电子和软件 工程等现代信息技术，在支付机构业务交易处理、经营管理和内部控 制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架 构，制订完善的管理制度和流程。 第三条 本指引所称信息科技风险，是指支付机构运用信息科技 的过程中，由于自然因素、人为因素、技术漏洞和管理缺陷导致的操 作、法律和声誉等风险。 第四条 本指引适用于中国支付清算协会会员单位中根据中国 人民银行《非金融机构支付服务管理办法》规定,取得《支付业务许 可证》的非银行支付机构，以下简称“支付机构”。 第二章 信息科技风险管理 第五条 支付机构的负责人是本机构信息科技风险管理的第一 1 责任人，负责组织本指引的贯彻落实。 第六条 支付机构管理层履行以下信息科技管理职责： (一) 遵守并贯彻执行国家和行业有关信息科技管理的法律、 法规和技术标准，落实中国人民银行相关监管要求，以及中国支付清 算协会的相关自律规范，确保持续符合国家、行业相关标准要求。 (二) 配合监管部门及行业自律组织做好信息科技风险监督 检查工作，并按照监督检查意见进行整改。 (三) 审查批准信息科技战略，确保其与支付机构的总体业务 战略和重大决策相一致；评估信息科技及其风险管理工作的总体效果。 (四) 履行信息科技风险管理其他相关工作。 第七条 支付机构应制定符合本机构总体业务规划的信息科技 战略、信息科技运行计划和信息科技风险评估计划，确保配置足够资 源，维持稳定、安全的信息科技环境。 第八条 支付机构应设立专门的高级管理职位，统筹负责信息化 规划、建设、运行维护、信息安全、业务连续性等工作,并负责协调 制定有关信息科技风险管理策略，尤其是在涉及信息安全、业务连续 性计划和合规性风险等方面。 第九条 支付机构应制定全面的信息科技风险管理策略，包括但 不限于下述领域： (一) 信息分级与保护。 (二) 信息系统开发、测试、运行和维护。 (三) 访问控制。 2 (四) 物理安全。 (五) 人员安全。 (六) 数据安全。 (七) 业务连续性计划。 第十条 支付机构应制定持续的信息科技风险识别和评估流程， 确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响。 第十一条 支付机构应依据信息科技风险管理策略和风险评估 结果，实施全面的风险防范措施。防范措施应包括但不限于： (一) 制定明确的信息科技风险管理制度、技术标准和操作规 程等，定期进行更新。 (二) 确定潜在信息科技风险区域，并对这些区域进行详细和 独立的监控，实现风险最小化。 (三) 建立适当的控制框架，以便于检查和平衡风险。 第十二条 支付机构设立相应岗位和部门，负责信息科技审计 制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个 生命周期和重大事件等进行审计。 第十三条 支付机构应对信息科技部门内部管理职责进行明确 的界定；各岗位的人员应具有相应的专业知识和技能；应对各岗位的 人员定期开展信息安全相关培训教育，使其充分掌握信息科技风险管 理制度和流程，了解违反规定的后果，并对违反相关规定的行为采取 措施。