제 21 조 상업은행의 정보기술 부문은 정보 안전 관리 기능을 이행해야 한다. 이 기능에는 정보 보안 계획 수립 및 장기 관리 메커니즘 유지, 전체 직원의 정보 보안 인식 향상, 보안 문제에 대한 다른 부서에 조언 제공, 정보 기술 관리위원회에 정기적으로 정보 보안 평가 보고서 제출 등이 포함되어야 합니다. 정보 보안 관리 메커니즘에는 정보 보안 표준, 정책, 구현 계획 및 지속적인 유지 관리 계획이 포함되어야 합니다.
정보 보안 정책은 다음 영역을 다루어야합니다.
(1) 보안 시스템 관리.
(2) 정보 보안의 조직 및 관리.
(3) 자산 관리.
(4) 인력 안전 관리.
(5) 물리적 및 환경 안전 관리.
(6) 커뮤니케이션 및 운영 관리.
(7) 액세스 제어 관리.
(8) 시스템 개발 및 유지 보수 관리
(9) 정보 보안 사고 관리.
(10) 무중단 업무 운영 관리.
(1 1) 규정 준수 관리.
제 22 조 상업은행은 사용자 인증과 액세스 제어를 효과적으로 관리하는 프로세스를 세워야 한다. 데이터 및 시스템에 대한 사용자 액세스는 정보 액세스 수준에 맞는 인증 메커니즘을 선택해야 하며 정보 시스템에서의 활동이 관련 업무를 합법적으로 수행하는 데 필요한 최소한으로 제한되도록 해야 합니다. 사용자가 이직하거나 상업은행을 떠날 때, 제때에 시스템에서 신분을 확인, 업데이트 또는 로그아웃해야 한다.
제 23 조 상업은행은 컴퓨터 센터나 데이터 센터, 기밀 정보 저장, 네트워크 장비 등 중요한 정보 기술 장비를 보관하는 지역을 포함한 물리적 보안 보호 지역을 확립하고 책임을 명확히 하며 필요한 예방, 탐지 및 복구 통제 조치를 취해야 한다.
제 24 조 상업은행은 정보 보안 등급에 따라 네트워크를 논리적 보안 도메인 (이하 보안 도메인) 으로 분할해야 한다. 다음 보안 요소를 평가하고 각 도메인 및 전체 네트워크에 대한 물리적 또는 논리적 파티셔닝, 네트워크 컨텐츠 필터링, 논리적 액세스 제어, 전송 암호화, 네트워크 모니터링, 작업 로깅 등 보안 수준 정의 및 평가 결과에 따라 효과적인 보안 제어를 구현해야 합니다.
(a) 영역에서 응용 프로그램 및 사용자 그룹의 중요성
(2) 다양한 통신 채널이 도메인에 들어가는 액세스 포인트.
(3) 도메인에 구성된 네트워크 디바이스 및 애플리케이션이 사용하는 네트워크 프로토콜 및 포트.
(4) 성능 요구 사항 또는 표준.
(5) 프로덕션 또는 테스트 도메인, 내부 도메인 또는 외부 도메인과 같은 도메인의 특성입니다.
(6) 다른 도메인 간의 연결성.
(7) 도메인 이름의 신뢰성.
제 25 조 상업은행은 모든 컴퓨터 운영 체제와 시스템 소프트웨어의 안전을 보장하기 위해 다음과 같은 조치를 취해야 한다.
(a) 모든 시스템이 기본 보안 요구 사항을 충족하는지 확인하기 위해 다양한 운영 체제에 대한 기본 보안 요구 사항을 개발합니다.
(2) 최종 사용자, 시스템 개발자, 시스템 테스터, 컴퓨터 운영자, 시스템 관리자, 사용자 관리자 등 다양한 사용자 그룹에 대한 액세스 권한을 명시적으로 정의합니다.
(3) 최고 권한 시스템 계정의 승인, 검증 및 모니터링 프로세스를 개발하여 최고 권한 사용자의 운영 로그를 기록하고 모니터링합니다.
(4) 기술자에게 사용 가능한 보안 패치를 정기적으로 점검하고 패치 관리 상태를 보고하도록 요청합니다.
(5) 시스템 로그에 로그인 실패 기록, 중요한 시스템 파일 액세스, 사용자 계정 수정 등 중요한 사항, 시스템의 모든 예외 이벤트를 수동 또는 자동으로 모니터링하고 정기적으로 모니터링 상황을 보고합니다.
제 26 조 상업은행은 모든 정보 시스템의 안전을 보장하기 위해 다음과 같은 조치를 취해야 한다.
(1) 정보 시스템 보안에 대한 최종 사용자 및 정보 기술자의 역할과 책임을 명확하게 정의합니다.
(b) 정보 시스템의 중요성과 민감성에 따라 효과적인 인증 방법을 채택한다.
(3) 책임 분담을 강화하고, 관건이나 민감한 직위에 대해 이중 통제를 실시한다.
(4) 키 노드의 입력 검증 또는 출력 검증.
(5) 기밀 정보의 입력과 출력을 안전하게 처리하여 정보가 유출, 도난 또는 변조되는 것을 방지한다.
(6) 시스템이 미리 정의된 방식으로 예외를 처리하고 시스템이 강제 종료될 때 사용자에게 필요한 정보를 제공하는지 확인합니다.
(7) 감사 추적을 서면 또는 전자 형식으로 보관하십시오.
(8) 사용자 관리자에게 실패한 로그인과 사용자 계정 수정을 모니터링하고 감사하도록 요청합니다.
제 27 조 상업 은행은 효과적인 감사, 보안 법의학 분석 및 사기 방지를 지원하기 위해 관련 정책 및 프로세스 관리 각 생산 시스템의 활동 로그를 개발해야 합니다. 로그는 다양한 수준의 소프트웨어와 다양한 컴퓨터 및 네트워크 장치에서 수행할 수 있습니다. 로그는 다음 두 가지 범주로 나눌 수 있습니다.
(1) 트랜잭션 로그 트랜잭션 로그는 애플리케이션 소프트웨어 및 데이터베이스 관리 시스템에 의해 생성되며 사용자 로그인 시도, 데이터 수정, 오류 메시지 등을 포함합니다. 거래 로그는 국가 회계 기준의 요구 사항에 따라 보관해야 합니다.
(2) 시스템 로그. 시스템 로그는 운영 체제, 데이터베이스 관리 시스템, 방화벽, 침입 탐지 시스템, 라우터 등에 의해 생성됩니다. 관리 로그인 시도, 시스템 이벤트, 네트워크 이벤트, 오류 메시지 등이 포함되어 있습니다. 시스템 로그의 보존 기간은 시스템의 위험 수준에 따라 결정되어야 하지만 1 년 이상이어야 합니다. -응?
상업은행은 거래일과 시스템 로그에 효과적인 내부 통제를 완료하고, 시스템 장애를 해결하고, 감사 요구 사항을 충족시킬 수 있는 충분한 콘텐츠가 포함되어 있는지 확인해야 합니다. 모든 로그의 동기화 타이밍과 무결성을 보장하기 위해 적절한 조치를 취해야 합니다. 예외가 발생한 후에는 시스템 로그를 즉시 확인해야 합니다. 거래 로그 또는 시스템 로그의 검토 빈도 및 보존 기간은 정보 기술부와 관련 업무 부서가 공동으로 결정하고 정보 기술 관리위원회에 보고하여 승인을 받습니다. -응?
제 28 조 상업은행은 전송, 처리 및 저장 과정에서 기밀 정보가 유출되거나 변조될 위험을 방지하기 위해 암호화 기술을 사용해야 하며, 암호 장비 관리 시스템을 구축하여 다음을 보장해야 합니다.
(a) 국가 규정을 준수하는 암호화 기술 및 암호화 장비를 사용합니다.
(2) 암호 설비를 관리하고 사용하는 종사자들은 전문적인 훈련과 엄격한 심사를 거쳤다.
(3) 암호화 강도는 정보 기밀 유지 요구 사항을 충족합니다.
(4) 효과적인 관리 프로세스, 특히 키와 인증서의 수명 주기 관리를 개발하고 구현합니다.
제 29 조 상업은행은 모든 엔드 유저 장치의 보안을 보장하기 위한 효과적인 시스템을 갖추고 데스크톱 개인용 컴퓨터 (PC), 랩톱 컴퓨터, 카운터 터미널, ATM (ATM), 통장 프린터, 카드 리더기, 판매 단말기 (POS) 및 PDA (Personal Digital Assistant) 를 포함한 모든 장치의 보안을 정기적으로 점검해야 한다.
제 30 조 상업은행은 고객 정보의 수집, 처리, 저장, 전송, 배포, 백업, 복구, 정리 및 폐기를 엄격하게 관리하는 관련 제도와 절차를 마련해야 한다.
제 31 조 상업은행은 모든 직원에게 정보 기술 위험 관리 시스템 및 프로세스를 충분히 파악하고 규정 위반의 결과를 이해하며 안전 규정 위반에 대한 무관용 정책을 채택하는 데 필요한 교육을 실시해야 한다.