제 15 조 상업 은행은 다음을 포함하되 이에 국한되지 않는 포괄적인 정보 기술 위험 관리 전략을 개발해야 한다.
(1) 정보 분류 및 보호.
(2) 정보 시스템 개발, 테스트 및 유지 보수.
(3) 정보 기술 운영 및 유지 보수.
(4) 액세스 제어.
(5) 개인 안전.
(6) 인원 안전.
(7) 무중단 업무 운영 계획 및 비상 대응.
제 16 조 상업 은행은 지속적인 위험 식별 및 평가 프로세스를 개발하고, 정보 기술의 숨겨진 위험 영역을 식별하고, 비즈니스에 대한 위험의 잠재적 영향을 평가하고, 위험을 평가하고, 위험 예방 조치 및 필요한 자원 (아웃소싱 공급업체, 제품 공급업체 및 서비스 공급업체 포함) 의 우선 순위를 결정해야 합니다.
제 17 조 상업은행은 정보기술 위험관리 전략과 위험평가 결과에 따라 종합적인 위험예방 조치를 실시해야 한다. 예방 조치에는 다음이 포함되어야합니다.
(a) 명확한 정보 기술 위험 관리 시스템, 기술 표준 및 운영 절차 개발. , 그리고 정기적으로 업데이트 및 홍보.
(2) 잠재적 위험 영역을 식별하고 이러한 영역을 상세하고 독립적으로 모니터링하여 위험을 최소화합니다. 위험을 점검하고 균형을 맞추기 위한 적절한 통제 프레임워크를 수립한다. 다음을 포함하여 각 업무 수준에 대한 통제 콘텐츠를 정의합니다.
1. 최고 권한 사용자의 검토.
2. 데이터 및 시스템에 대한 물리적 및 논리적 액세스를 제어합니다.
3. 액세스 권한은 "알아야 함" 및 "최소 권한 부여" 원칙에 근거합니다.
4. 승인 및 승인.
5. 검증 및 화해.
제 18 조 상업 은행은 다음을 포함한 지속적인 정보 기술 위험 측정 및 모니터링 메커니즘을 구축해야 한다.
(a) 정보 프로젝트 시행 전후의 평가 메커니즘을 수립한다.
(2) 시스템 성능을 정기적으로 점검하는 절차와 기준을 수립한다.
(3) 정보기술 서비스 불만과 사고 처리 신고 메커니즘을 세우다.
(4) 내부 감사, 외부 감사 및 발견 문제를 감독하는 정류 메커니즘을 수립한다.
(5) 공급자와 업무 부서가 정기적으로 서비스 수준 계약의 완료를 검토하도록 배정합니다.
(6) 신기술의 발전이 가져올 수 있는 영향과 사용 중인 소프트웨어가 직면한 새로운 위협을 정기적으로 평가합니다.
(7) 경영 환경에서의 운영 위험과 관리 통제를 정기적으로 점검한다.
(8) 정보 기술 아웃소싱 프로젝트의 위험 상태를 정기적으로 평가합니다.
제 19 조 중자 상업은행과 국내 외자상업은행이 해외에 설립한 기관은 국내외 감독기관의 정보기술 리스크 관리 요구 사항을 준수하고 규제 차이로 인한 위험을 방지해야 한다.