제20조 상업은행의 정보기술부는 정보 분류 및 보호 시스템을 구축 및 시행할 책임이 있으며, 모든 직원에게 정보 보안의 중요성을 이해시키고 필요한 교육을 조직 및 제공해야 합니다. 직원이 정보 보안의 중요성을 완전히 이해하도록 합니다. 자신의 책임 영역 내에서 정보 보호 프로세스를 이해합니다.
제21조 상업은행의 정보기술부는 정보보안 관리 기능을 구현해야 한다. 이 기능에는 정보 보안 계획 수립 및 장기 관리 메커니즘 유지, 모든 직원의 정보 보안 인식 개선, 보안 문제에 대해 다른 부서에 조언 제공, 은행의 정보 보안 평가 보고서를 정보 기술 관리 부서에 정기적으로 제출하는 것이 포함되어야 합니다. 위원회. 정보 보안 관리 메커니즘에는 정보 보안 표준, 전략, 구현 계획 및 지속적인 유지 관리 계획이 포함되어야 합니다.
정보 보안 전략에는 다음 영역이 포함되어야 합니다.
(1) 보안 시스템 관리.
(2) 정보 보안 조직 및 관리.
(3) 자산 관리.
(4) 인사 안전 관리.
(5) 물리적, 환경적 안전 관리.
(6) 통신 및 운영 관리.
(7) 접근 제어 관리.
(8) 시스템 개발 및 유지 관리.
(9) 정보 보안 사고 관리.
(10) 비즈니스 연속성 관리.
(11) 규정 준수 관리.
제22조 상업은행은 사용자 인증 및 접근 통제를 효과적으로 관리하기 위한 절차를 수립해야 합니다. 사용자는 데이터 및 시스템에 접근할 때 정보 접근 수준에 맞는 인증 메커니즘을 선택해야 하며, 정보 시스템 내에서의 활동은 관련 업무를 합법적으로 수행하는 데 필요한 최소한으로 제한되어야 합니다. 사용자가 새로운 직장으로 이직하거나 상업 은행을 떠날 때 적시에 시스템에서 사용자의 신원을 확인, 업데이트 또는 로그아웃해야 합니다.
제23조 상업은행은 컴퓨터 센터, 데이터 센터, 기밀 정보가 저장되는 구역, 네트워크 장비 등 중요한 정보 기술 장비가 배치되는 구역 등 물리적 보안 보호 구역을 구축해야 하며 이에 상응하는 책임을 진다. 필요한 예방, 탐지 및 복구 통제 조치를 명확히 하고 채택해야 합니다.
제24조 상업은행은 정보 보안 수준에 따라 네트워크를 서로 다른 논리적 보안 영역(이하 도메인이라고 함)으로 나누어야 합니다. 다음과 같은 보안 요소를 평가해야 하며, 보안 수준 정의 및 평가 결과에 따라 각 도메인과 전체 네트워크의 물리적 또는 논리적 파티셔닝, 네트워크 콘텐츠 필터링, 논리적 접근 제어, 전송 암호화 등 효과적인 보안 통제를 구현해야 합니다. 네트워크 모니터링, 활동 로그 기록 등
(1) 도메인에서 애플리케이션과 사용자 그룹의 중요성.
(2) 도메인에 진입하기 위한 다양한 통신 채널에 대한 액세스 포인트입니다.
(3) 도메인에 구성된 네트워크 장치 및 애플리케이션에서 사용되는 네트워크 프로토콜 및 포트입니다.
(4) 성능 요구 사항 또는 표준.
(5) 프로덕션 도메인 또는 테스트 도메인, 내부 도메인 또는 외부 도메인과 같은 도메인의 성격.
(6) 서로 다른 도메인 간의 연결.
(7) 도메인의 신뢰성.
제25조 상업 은행은 다음 조치를 통해 모든 컴퓨터 운영 체제와 시스템 소프트웨어의 보안을 보장해야 합니다.
(1) 각 운영 체제 유형에 대한 기본 보안 요구 사항을 설정하여 다음을 보장합니다. 모든 시스템이 기본 보안 요구 사항을 충족하는지 확인합니다.
(2) 최종 사용자, 시스템 개발자, 시스템 테스터, 컴퓨터 운영자, 시스템 관리자 및 사용자 관리자를 포함한 다양한 사용자 그룹의 액세스 권한을 명확하게 정의합니다.
(3) 최고 권한 시스템 계정에 대한 승인, 검증 및 모니터링 프로세스를 개발하고 최고 권한 사용자의 작업 로그가 기록 및 모니터링되도록 보장합니다.
(4) 기술 담당자가 정기적으로 사용 가능한 보안 패치를 확인하고 패치 관리 상태를 보고하도록 요구합니다.
(5) 실패한 로그인, 중요 시스템 파일에 대한 액세스, 사용자 계정 수정 및 기타 관련 중요 사항을 시스템 로그에 기록하고, 시스템에서 발생하는 비정상적인 이벤트를 수동 또는 자동으로 모니터링하고 보고 및 정기적으로 상태를 모니터링하십시오.
제26조 상업 은행은 다음 조치를 통해 모든 정보 시스템의 보안을 보장해야 합니다.
(1) 정보 시스템 보안 역할에서 최종 사용자와 정보 기술 기술자의 역할을 명확하게 정의합니다. 그리고 책임.
(2) 정보 시스템의 중요성과 민감성을 기반으로 효과적인 신원 확인 방법을 채택합니다.
(3) 책임 분배를 강화하고 핵심 또는 민감한 직책에 대한 이중 통제를 구현합니다.
(4) 주요 교차점에서 입력 검증 또는 출력 검증을 수행합니다.
(5) 정보가 누출되거나 도난당하거나 변조되는 것을 방지하기 위해 기밀 정보의 입력 및 출력을 안전한 방식으로 처리합니다.
(6) 시스템이 미리 정의된 방식으로 예외를 처리하고 시스템이 강제 종료될 때 사용자에게 필요한 정보를 제공하는지 확인하십시오.
(7) 감사 추적을 서면 또는 전자 형식으로 저장합니다.
(8) 사용자 관리자는 로그인 실패 및 사용자 계정 수정을 모니터링하고 검토해야 합니다.
제27조 상업은행은 효과적인 감사, 보안 포렌식 분석 및 사기 예방을 지원하기 위해 모든 생산 시스템의 활동 로그를 관리하는 관련 전략과 프로세스를 수립해야 합니다. 로깅은 다양한 소프트웨어 수준, 다양한 컴퓨터 및 네트워크 장치에서 완료될 수 있습니다. 로그는 두 가지 주요 범주로 나뉩니다.
(1) 트랜잭션 로그. 트랜잭션 로그는 응용 소프트웨어 및 데이터베이스 관리 시스템에 의해 생성되며 사용자 로그인 시도, 데이터 수정, 오류 메시지 등이 포함됩니다. 거래기록은 국가회계기준에 따라 유지되어야 합니다.
(2) 시스템 로그. 시스템 로그는 운영 체제, 데이터베이스 관리 시스템, 방화벽, 침입 탐지 시스템, 라우터 등에 의해 생성되며 관리 로그인 시도, 시스템 이벤트, 네트워크 이벤트, 오류 메시지 등이 포함됩니다. 시스템 로그 보유 기간은 시스템의 위험도에 따라 결정되나, 1년 이상일 수 없습니다. ?
상업 은행은 거래 로그와 시스템 로그에 효과적인 내부 통제를 완료하고, 시스템 오류를 해결하고, 감사 요구 사항을 충족하기에 충분한 콘텐츠가 포함되어 있는지 확인해야 하며, 모든 로그가 동기화되고 시기 적절하도록 적절한 조치를 취해야 합니다. 그리고 그 무결성을 보장합니다. 예외가 발생한 후 즉시 시스템 로그를 검토해야 합니다. 거래 로그 또는 시스템 로그의 검토 빈도 및 보관 기간은 정보 기술 부서와 관련 사업 부서가 공동으로 결정하고 정보 기술 관리 위원회에 보고하여 승인을 받아야 합니다. ?
제28조 상업은행은 암호화 기술을 채택하여 전송, 처리, 저장 과정에서 기밀 정보의 누출 또는 변조 위험을 방지하고 암호화 장비 관리 시스템을 구축하여 다음을 보장해야 합니다.
(1) 국가 요구 사항을 충족하는 암호화 기술 및 암호화 장비를 사용합니다.
(2) 암호화 장비를 관리하고 사용하는 직원은 전문 교육과 엄격한 검토를 받아야 합니다.
(3) 암호화 강도는 정보 기밀성 요구 사항을 충족합니다.
(4) 효과적인 관리 프로세스, 특히 키 및 인증서 수명주기 관리를 개발하고 구현합니다.
제29조 상업은행은 모든 최종 사용자 장비의 안전을 보장하기 위한 실용적이고 효과적인 시스템을 갖추고 데스크톱 개인용 컴퓨터(PC), 휴대용 컴퓨터, 현금자동입출금기(ATM), 통장프린터, 카드리더기, POS(Point of Sale)단말기, PDA(개인휴대단말기) 등
제30조 상업은행은 고객정보의 수집, 처리, 저장, 전송, 배포, 백업, 복구, 정리 및 파기를 엄격하게 관리하기 위한 관련 시스템과 절차를 개발해야 합니다.
제31조: 상업 은행은 모든 직원이 정보 기술 위험 관리 시스템 및 프로세스를 완전히 이해하고, 규정 위반의 결과를 이해하고, 보안 규정 위반에 대해 무관용을 채택할 수 있도록 필요한 교육을 제공해야 합니다. . 정책.