八、加强灾难恢复系统建设,提高业务持续运营能力
实施数据集中的银行业金融机构应同步规划、同步建设、同步运行信息系统灾难恢复系统。灾难备份中心的规划建设应综合考虑平衡风险与成本、运维管理与灾难恢复力量等因素,可采取自建、联合共建或利用外部企业(组织)的灾难备份设施等方式。全国性大型银行,原则上应同时采用同城和异地灾难备份和恢复策略,区域性银行可采用同城或异地灾难备份和恢复策略。对于核心业务系统,应实施应用级备份,以保证灾难发生时,能尽快恢复业务运营,对于其他应用系统,可实施系统级或数据级备份。灾难备份中心的选址要从国家整体安全出发,合理规划布局,不要过度集中于个别地区。要适时备份和安全保存业务数据,定期对冗余备份系统、备份介质进行深度可用性检查,建立应急预案演练制度,定期组织有业务部门参与的桌面演练和生产系统实战演练,定期对双机热备系统进行切换演练,已建立灾难备份系统的单位,原则上备份系统与生产系统的切换要至少每年演练一次。要建立统一、高效应急反应机制,并与分支机构、营业网点间建立快速、有效的沟通机制,上下互动应对危机。涉及跨行业的应急协调工作,按照人民银行制定的《银行重要信息系统应急协调预案》处置。
九、建立银行卡风险防范体系,切实保障银行卡的使用安全
要加强对银行卡发卡、转接、收单、第三方服务等环节的安全管理,确保银行卡交易信息及持卡人信息的安全,建立针对相关责任方的处罚机制和赔偿机制,建立应急反应机制,及时调查和通报泄密事件,及时采取补救措施,及时向发卡、转接、收单机构和持卡人发出风险提示,银行卡业务外包应签订信息数据保密协议。要采取有效技术措施,确保银行卡信息安全和交易安全,依据我国银行IC卡应用规划实施指导意见的要求,推进银行卡芯片化,积极应对,审慎实施EMV迁移改造,建立健全银行卡密钥管理体系,完善银行IC卡安全认证技术,防止伪卡欺诈。要加大银行卡信息安全监督管理执行力度,定期开展检查,堵疏防漏,建立银行卡风险数据报告和监管指标体系,加强合作,及时通报银行卡风险情况。要建立健全银行卡产品检测认证体制,按照国家和行业标准,加强对银行卡产品的安全认证管理,加大银行卡各项标准的执行力度。要确保银行卡交易信息和资金清算的安全,各发卡机构发行的境内卡在境内使用和人民币卡在境外使用时,发卡机构与银行卡清算组织应以人民币结算,并在境内完成交易信息处理及资金清算。境内发卡机构应在境内建立发卡主机及数据系统,确保银行卡交易数据和持卡人信息的完整性和安全性。
十、采取有效措施,进一步增强网上银行信息安全风险防范能力
