广州银行信息科技风险管理办法.docx

《广州银行信息科技风险管理办法.docx》由会员分享，可在线阅读，更多相关《广州银行信息科技风险管理办法.docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、广州*银行信息科技风险管理办法第一章总则第一条 为有效防范、控制、化解利用信息系统进行业 务处理、经营管理和内部控制过程中产生的风险，促进全行 安全、持续、稳健发展，根据商业银行信息科技风险管理 指引和有关信息系统管理的法规、标准，制定本办法。第二条信息科技风险是指信息科技在银行业运用过 程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生 的操作、法律和声誉等风险。第三条本办法信息科技风险管理，包括信息科技风险 组织保障体系、总体风险控制、管理风险控制、开发风险控 制、运行维护风险控制、外包风险控制以及信息科技风险审 计等。第四条全行信息科技风险管理按照统一规划建设、全面综合防治、技术管理并

2、重、保障运营安全的原则，防范风 险，保障业务的持续性和信息的安全性、完整性、可用性。第五条信息科技风险管理的目标是通过建立有效的 机制，实现对本行信息科技风险的识别、计量、监测和控制, 促进本行安全、持续、稳健运行，推动业务创新，提高信息 技术使用水平，增强核心竞争力和可持续发展能力。第六条本制度适用于总行、各分支行，附属机构。但不限于下述领域：（一）信息分级与保护。（二）信息系统开发、测试和维护。（三）信息科技运行和维护。（四）访问控制。（五）物理安全。（六）人员安全。（七）业务连续性计划与应急处置。第三十三条管理风险是指在信息科技专业化管理的制度建设、中长期规划和年度计划、可持续发展、机构

3、建设、人员管理和信息安全管理等方面产生的风险。第三十四条按照专业化管理、信息安全、应用开发、运行维护的框架体系和信息科技管理操作流程，不断加强规 章制度、技术规范、操作规程等的建设，明确各个岗位责任 和岗位流程的前后衔接。第三十五条建立健全信息科技制度的制定、审批和修 订流程，使信息科技制度与国家、行业有关法律法规和本行 总体业务发展相一致。第三十六条总行科技部负责组织制定中长期信息科 技发展规划和年度工作计划，报告批准后组织实施，并根据 业务发展状况组织定期修订。根据信息科技中长期规划和年度工作计划，制定明确、持续的风险管理规划，按照信息科技的敏感程度对各个集成要素进行分析和评估，采取措施防

4、范自然灾害、运行环境变 化等产生的安全威胁，防范各类突发事件和恶意攻击。第三十七条 逐步建立异地灾难备份中心，在数据中心 发生重大安全事件时保障业务的连续性。第三十八条每年组织信息科技相关员工的专业素质 调查，对新员工和转岗员工进行包括职业道德、安全意识和 专业技能等在内的岗前培训。第三十九条定期组织整体信息安全风险评估和专项评估，并根据评估结果进行整改、实行信息安全等级保护,以保证信息系统的安全性和完整性。第四十条加强对计算机病毒的防范，加强对操作系统、数据库和应用软件等的补丁升级管理以及软件的使用许 可和授权管理。对网络安全实施有效控制，加强内外网接入安全管理，防火墙、入侵检测等按照整体安

5、全策略进行设 置、安装和管理。第五章开发风险控制第四十二条第四十二条开发风险是指在开发过程中组织、规划、需求、分析、设计、编程、测试和上线等环节产生的风险。第四十三条信息系统研发前必须按照总行相关规定成立项目组，并指定具体负责人，负责项目的组织、协调、 检查和监督工作。第四十四条 业务部门根据业务发展规划，在充分进行市场调查、产品效益分析的基础上制定项目可行性报告。第四十五条业务部门编写项目业务需求说明书，提出风险控制要求。第四十六条科技部依据业务需求分别编写项目总体技术框架、项目设计说明书，设计和编码须符合开发规范,并进行风险评估，整体技术框架应充分考虑性能、安全及特 殊场景下的影响，同时能

6、够支持信用风险、声誉风险等关联 风险的联动。第四十七条在研发过程中的需求变更必须由变更提出部门以正式书面的形式通知科技部，经项目开发小组组长 批准后，才能进行变更。第四十八条必须建立独立的测试环境，以保证测试的完整性和独立性。测试部门需提交完整的测试报告，测试报 告应包括功能测试、安全性测试、验收测试、渗透性测试等 测试，重要系统还需要提交系统的性能测试报告。第四十九条 项目开发小组根据测试结果修补系统的功能和安全性缺陷，提高系统的整体质量。第五十条 业务人员、技术人员根据职责范围分别编写 操作说明书、技术应急预案、业务连续性计划、上线计划、 应急回退计划，并进行演练。第五十一条 应用开发过程

7、中所涉及的各种文档资料 须经相关部门、人员的签字确认并归档保存。第五十二条 项目验收必须出具相关负责人签字的项 目验收报告，测试不合格不得上线使用。第六章运行维护风险控制及应急处置第五十三条运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。第五十四条信息科技运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操 作规程巡检和操作。维护人员应按授权和维护规程要求对生 产状态的软硬件、数据进行维护。第五十五条信息系统的运行应符合以下要求：（一）制定详细的运行值班操作表，包括规定巡检时 间，操作范围、内容、办法、命令以及负责人

8、员等信息。（二）提供常见和简便的操作菜单或命令，如信息系统 的启动或停止、运行日志的查询等。（三）记录机房环境、设备使用、网络运行、系统运行 等监控信息以及值班操作信息。（四）对信息系统进行持续性或阶段性监测，主要包括 响应时间和处理量、系统承载能力、系统使用的峰值和均值、 系统使用趋向和容量等。第五十六条信息系统的维护应符合以下要求:（一）除对信息系统设备和系统环境的维护外，严禁对生产数据进行直接操作；（二）记录并保存各种详细的日志信息，以便维护和审 计。第五十七条信息科技的变更应符合以下要求：（一）严格遵守相关制度，依照审批授权机制和工作流 程，制订严密的变更处理流程，明确变更控制中各岗位

9、的职 责，并遵循流程实施控制和管理；变更前应明确应急和回退 方案，无授权不得进行变更操作；（二）根据变更需求、变更方案、变更内容核实清单等 相关文档审核变更的正确性、安全性和合法性；（三）核心应用软件变更后应保留初始版本和所有历史 版本，对所有重大变更文档进行归档管理；（四）重要信息系统或基础架构发生重大变更时，应对 变更后的信息系统或架构开展压力测试工作，确保变更工作 能够安全、稳定地支持业务开展；（五）应对变更的关联信息系统应急预案及操作手册开 展评估或测试，及时修订应急预案与操作手册内容，确保文 档有效。第五十八条科技部应对运行维护人员实施有效管理， 对敏感性岗位人员定期进行背景检查和岗

10、位轮换，实施有效 避免人员过度流失的政策和有效岗位职权终止的制度。第五十九条对信息资料档案实施有效管理，加强对信 息系统输出文件的控制和管理以及数据采集、存贮、传输、 使用、备份、恢复、抽检、清理、销毁等环节的管理，不得 脱离系统采集加工、传输、存取数据；加强交易数据、账务 数据、客户数据以及产生的报表数据等重要数据和系统说明 文件、源程序以及系统开发、运行和维护过程中形成的各类 技术资料的备份管理，保留副本并异地存放，按规定年限保 存，调用时严格授权；存储介质的日常管理维护、废弃处理 以及内容的恢复等必须严格遵守相关制度。第六十条对信息系统配置参数实施严格的安全与保 密管理，防止非法生成、变

11、更、泄漏、丢失与破坏。根据敏 感程度和用途，确定存取权限、方式和授权使用范围，严格 审批和登记手续。第六十一条 采集生产主机、数据库、网络设备、防火 墙和入侵检测等产生的详细日志并定期审阅。根据对业务影 响的重要程度，确定保存期限、方式和调阅授权等。第六十二条信息系统发生造成重大风险、重大经济声 誉损失和重大影响事件，应按照广州银行重要信息系统应 急预案的要求，启动应急处置。第六十三条在重要信息系统故障发生后，相关部门和 分支行应第一时间向科技部报告。当突发事件发生或系统故 障经判断不能及时、有效排除，将可能造成重大影响时，科 技部应根据应急预案，及时报告广州银行重要信息系统应急处置领导小组和

12、风险管理部，并启动应急操作。应急处置领 导小组组织相关部门进行应急处置，并向监管部门报告突发 事件及应急响应情况。第六十四条信息系统突发事件发生后，根据突发事件的严重程度，应急处置领导小组可根据需要向新闻媒体发布 相关信息。对外信息发布和新闻报道由应急领导小组按照审 批程序进行审批后对外发布。第七章外包风险控制及应急处置第六十五条外包风险是指将信息系统的规划、开发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术 供应商时形成的风险。第六十六条在进行信息科技外包时，应根据风险控制 和实际需要，合理确定外包的原则和范围，认真分析和评估 外包存在的潜在风险以及外包服务对信息系统风险控制的 直接

13、和间接影响，并将其纳入总体安全策略和风险控制之 中。建立健全有关规章制度，制定相应的风险防范措施，审 慎管理外包产生的风险，提高对外包管理的能力。第六十七条 信息科技外包风险管理应当符合风险管 理标准和策略，并应建立针对外包风险的应急计划。第六十八条建立健全信息科技外包风险评估与监测 机制，充分审查、评估承包方的经营状况、财务实力、诚信 历史、安全资质和实际风险控制与责任承担水平，并进行必 要的尽职调查。评估工作可委托经国家相应监管部门认定资 质，具有相关专业经验的独立机构完成。第六十九条建立健全外包承包方技术服务能力的评 估机制，充分审查承包方的综合技术服务支持能力，特别是 与承包相关技术的

14、先进性和成熟性以及与本行现有技术的 匹配度。第七十条 进行项目外包时必须与承包方签订书面合 同，明确双方的权利、义务，并规定承包方在安全、保密、 知识产权等方面的义务和责任。第七H 条与外包承包方建立有效的联络、沟通和信 息交流机制，并制定在意外情况下能够实现承包方的顺利变 更，保证外包服务不间断的应急预案。第七十二条将敏感的信息系统，以及其他涉及国家秘 密、商业秘密和客户隐私数据的管理与传递等内容进行外包 时，应遵守国家有关法律法规，符合中国人民银行和中国银 保监会的有关规定，并在实施外包前报中国人民银行、中国 银保监会及其派出机构和法律法规规定需要报告的机构备 案。第八章信息系统风险审计第

15、七十三条审计部负责信息科技风险审计，也可根据 需要聘请经国家相应监管部门认定资质的中介机构对本行 信息科技风险外部审计。第七十四条信息科技风险审计应包括：总体风险审计、系统审阅和专项风险审计。第七十五条总体风险审计是指对本机构所有信息系统 共有的部分进行审计，实施总体风险控制。根据信息系统 的总体风险状况确定审计频率。第七十六条信息科技专项风险审计是指对信息安全 事故进行的调查、分析和评估，或原有信息系统进行重大结 构调整的审计，或审计部认为需要对信息系统某项专题进行 审计。第七十七条 信息科技风险审计也可以由本行依据法 律、法规和规章，委托并授权有法定资质的中介评估机构进 行。中介机构进行审

16、计时，应出示委托授权书，并依照委托 授权书上规定的委托和授权范围进行审计。第七十八条 中介机构根据授权出具的审计报告后，有 关部室对该审计报告在法定时间内提出整改意见，并按审计 报告中提出的建议进行及时整改。第七十九条 中介机构应严格执行法律法规，保守本行 的商业秘密和风险信息。审计过程中所有涉及资料的调阅应 有交接手续，并不得带离现场或进行修改、复制。第九章业务连续性风险管理第八十条 业务连续性风险指由于信息技术故障、外部 服务中断、人为破坏、自然灾害等原因导致的信息系统服务 异常、重要业务停止运营的风险。第八十一条总行风险管理部作为业务连续性主管部 门，牵头建立全行业务连续性管理体系，组织

17、科技部门和业 务部门开展业务连续性管理工作。第八十二条 本行每年需根据最新的生产系统情况，开 展一次全面的业务影响分析，分析业务与系统、系统与系统 间的关系，确定业务恢复时间要求（业务RTO）、业务恢复 点要求（业务RPO）、信息系统恢复时间要求（信息系统RTO）、 信息系统恢复点要求（信息系统RPO）、信息系统恢复优先 级别。第八十三条本行应根据业务影响分析，评估业务连续 性风险；应根据自身业务的性质、规模和复杂程度制定适当 的业务连续性计划，以确保在无法预见的中断时，系统仍能 持续运行并提供服务，定期对计划进行更新和演练，以保证其有效性。第八十四条总行风险管理部每年牵头组织一次全行性质的业

18、务连续性计划演练，科技部、相关业务部门参与计 划演练，通过演练不断完善业务连续性计划，提高本行业务 连续性管理水平。第十章信息安全管理第二章组织保障体系第七条根据本行信息科技治理的要求，法定代表人是 本行信息科技风险管理第一责任人，负责组织本办法的贯彻 落实，董事会应履行以下信息科技管理职责：（一）遵守并贯彻执行国家有关信息科技管理的法律、 法规和技术标准，落实中国银保监会相关监管要求。（二）审查批准信息科技战略，确保其与本行的总体业 务战略和重大策略相一致。评估信息科技及其风险管理工作 的总体效果和效率。（三）掌握主要的信息科技风险，确定可接受的风险级 别，确保相关风险能够被识别、计量、监测

19、和控制。（四）规范职业道德行为和廉洁标准，增强本行内部文 化建设，提高全行员工对信息科技风险管理重要性的认识。（五）设立一个由来自高级管理层、信息科技部门和主 要业务部门的代表组成的专门信息科技管理委员会，负责监 督各项职责的落实，定期向董事会和高级管理层汇报信息科 技战略规划的执行、信息科技预算和实际支出、信息科技的 整体状况。（六）在建立良好的公司治理的基础上进行信息科技治 理，形成分工合理、职责明确、相互制衡、报告关系清晰的 信息科技治理组织结构。加强信息科技专业队伍的建设，建 立人才激励机制。第八十五条应根据全行业务发展规划建立符合全行 发展的信息安全工作方针，包括建立信息安全计划和保

20、持长 效的管理机制，并定期向信息科技管理委员会提交信息安全 评估报告。第八十六条.应建立信息安全分级分类保护管理策略， 根据不同的级别类别制定不同的信息安全控制策略，合理平 衡威胁影响与实施成本，确保安全控制策略有效、可行。第八十七条信息安全策略应覆盖全行信息科技工作， 包括但不限于以下内容：（一）根据物理区域重要程度划分不同的安全区域，制 定现各区域的访问控制、环境监控、出入登记、物理防护等 安全控制策略；（二）建立人员生命周期管理，实现人员入职、调岗、 离职以及外包人员入场、离场过程中的安全管控，严格控制 人员与信息资产之间的访问关系，明确人员保密责任与义 务；（三）建立信息系统开发建设过

21、程中的安全管控，实现 在需求设计、代码编写、测试验收等不同阶段的安全控制；（四）建立信息系统运行维护过程中的安全管控，以“最 小授权原则”建立访问控制关系，通过技术手段有效防范内 外部攻击行为。建立统一日志管理机制与监控检测机制，管 理所有生产系统的操作日志，以支持有效审核和安全取证分 析，确保信息安全问题能够及时发现与有效追溯；（五）建立数据分级分类保护机制，有效控制数据的产 生、存储、使用、销毁过程，采取安全可靠的隧道加密及数 据加密措施，有效控制数据在传输过程中被窃听、篡改的风 险；（六）建立信息资产的安全评估机制，实现对重要信息 资产投产变更和周期性评估，识别、控制信息资产中存在的 安

22、全隐患；（七）建立终端的安全管控，控制终端日常使用、资源 回收等过程中面临的安全隐患；（八）结合内部控制与技术控制实现创新技术应用过程 中的安全管控，保持技术创新与安全研究同步。第八十八条 根据安全策略建立全行信息资产安全基 线，加强信息安全基础建设，实现对主机、网络、应用、终 端等信息资产的安全准入。第八十九条 每年开展面向全行的信息安全意识培训， 增强全行员工信息安全意识与技能，提高全行员工应对信息 安全威胁的能力。第十一章附则第九十条 本办法由广州银行（风险管理部）负责制定、 解释和修订。第九十一条 本办法自下发之日起执行，原广州银行 信息科技风险管理办法(赣银发(2020) 460号)

23、同时废 止。附件：广州银行信息科技风险管理策略（七）确保内部审计部门进行独立有效的信息科技风险 管理审计，对审计报告进行确认并落实整改。（A）每年审阅并向银保监会及其派出机构报送信息科 技风险管理的年度报告。（九）确保信息科技风险管理工作所需资金。（十）确保银行所有员工充分理解和遵守经其批准的信 息科技风险管理制度和流程，并安排相关培训。（十一）确保本法人机构涉及客户信息、账务信息以及 产品信息等的核心系统在中国境内独立运行，并保持最高的 管理权限，符合中国银保监会监管和实施现场检查的要求， 防范跨境风险。（十二）及时向中国银保监会及其派出机构报告本机构 发生的重大信息科技事故或突发事件，按相

24、关预案快速响 应。（十三）配合中国银保监会及其派出机构做好信息科技 风险监督检查工作，并按照监管意见进行整改。（十四）履行信息科技风险管理其他相关工作。第八条本行应设立首席信息官，首席信息官直接向总 行行长汇报，并参与决策。首席信息官的职责为：（一）直接参与本行与信息科技运用有关的业务发展决 策。（二）确保信息科技战略，尤其是信息系统开发战略， 符合本银行的总体业务战略和信息科技风险管理策略。（三）负责建立一个切实有效的信息科技部门，承担本 银行的信息科技职责。确保其履行：信息科技预算和支出、 信息科技策略、标准和流程、信息科技内部控制、专业化研 发、信息科技项目发起和管理、信息系统和信息科技

25、基础设 施的运行、维护和升级、信息安全管理、灾难恢复计划、信 息科技外包和信息系统退出等职责。（四）确保信息科技风险管理的有效性，并使有关管理 措施落实到相关的每一个内设机构和分支机构。（五）组织专业培训，提高人才队伍的专业技能。（六）履行信息科技风险管理其他相关工作。第九条本行需设立风险管理委员会和信息科技管理 委员会。第十条风险管理委员会的工作职责为负责组织落实 国家及中国人民银行、中国银保监会关于信息科技风险工作 的方针政策，研究决定全行信息科技风险的重大事项，审批、 组织信息科技风险工作的计划和实施；检查信息科技风险措 施的执行情况。第十一条 信息科技管理委员会的工作职责为：（一）审议

26、IT战略规划，并报董事会批准。（二）对审定的IT战略规划进行执行和推动。（三）审定全行重要的IT管理制度、标准、流程和策 略。（四）审定全行信息安全管理体系建设方案，评估全行 信息安全风险。（五）调整IT项目和活动的优先级，对重要IT项目和 活动进行监督、指导和评估。（六）在全行全面风险管理框架下，推动和落实信息科 技风险管理规定和相关要求。（七）向董事会及高级管理层汇报信息科技战略规划的 执行情况、预算和实际支出情况、信息科技整体状况、面临 的主要风险及应对措施。（八）审定重大IT项目建设方案和技术架构。（九）审定重大IT项目终止及系统下线。（十）其它需要信科委审定的事项。第十二条 各分（支

27、）行主要负责人是本机构信息科技 风险管理的第一责任人，信息科技风险管理状况纳入本机构 考核体系。第十三条总行风险管理部负责协调制定有关信息科 技风险管理策略，尤其是在涉及信息安全、业务连续性计划 和合规性风险等方面，为业务部门和科技信息部门提供建议 及相关合规性信息，实施持续信息科技风险评估，跟踪整改 意见的落实。具体职责包括：（一）制定持续的风险识别和评估流程，确定信息科技 中存在隐患的区域，评价风险对其业务的潜在影响，对风险 进行排序，并确定风险防范措施及所需资源的优先级别；（二）建立持续的信息科技风险计量和监测机制；（三）组织开展全行业务连续性管理工作，指导、评估、 监督各部门的业务连续

28、性管理工作；组织制定业务连续性计 划，协调业务条线部门，汇总、确定重要业务的恢复目标和 恢复策略；组织开展业务连续性计划的演练、评估与改进； 开展业务连续性管理培训等；（四）定期开展外包风险管理评估，保持评估的独立性, 并向高级管理层提交评估报告。评估内容包括：信息科技外 包战略执行情况、外包信息安全、机构集中度、服务连续性、 服务质量、政策及市场变化对外包服务的影响分析等；（五）定期开展数据中心风险评估工作，对风险进行分 级管理，持续监督风险管理状况，及时预警，将风险控制在 可接受水平；（六）充分识别、分析、评估重要信息系统投产及变更 风险，包括系统功能缺陷、客户信息泄露、业务中断、交易 缓

29、慢或其他因素可能造成的操作风险、法律风险和声誉风 险，并形成风险评估报告。第十四条总行科技部统一负责信息科技的规划、开发、建设、运行、维护和监控，提供日常科技服务和运行技 术支持，对信息科技风险防范进行专业化管理。第十五条总行审计部负责信息科技风险的内部审计 工作。第十六条 总行科技部、风险管理部和审计部应配备适 量的合格人员进行信息科技风险评估和审计。第十七条 各分（支）行负责落实本行制定的各项风险 防控政策在辖内的执行、制定（细则或补充规定）和实施情 况。各分行应配备专职信息科技人员，各支行应配备兼职的 科技协管员，负责本机构的信息系统安全及风险控制。第十八条 总行科技部应明确信息科技安全

30、、开发、维 护、运行管理和设备管理岗位的职责，做到岗位之间互相制 约，各岗位之间不得互相兼任，维护、安全等重要岗位实行 A、B 岗。第十九条科技部工作人员应符合以下要求：（一）具备良好的职业道德，掌握履行信息科技相关岗 位职责所需的专业知识和技能。（二）未经岗前培训或培训不合格者不得上岗。（三）经考核不适宜的工作人员，及时进行调整。第三章总体风险控制第二十条 总体风险是指全行信息科技在策略、管理、 制度、软件、硬件、网络、数据、文档、机房、操作等方面 影响全局或共有的风险。第二十一条总行各部（室）、各分（支）行应严格执 行国家信息安全相关标准，参照有关国家标准，积极推进信 息安全标准化。第二十

31、二条建立健全与信息科技相关的规章制度、技 术规范和操作规程，明确信息科技相关人员的职责权限，建立制约机制，防范信息科技风险。各相关部门应加强沟通协 调，确保系统的整体安全。第二十三条重视知识产权保护工作，使用正版软件,优先使用我国具有自主知识产权的软硬件产品；积极研发具 有自主知识产权的信息系统和相关金融产品，并采取有效措 施保护信息化成果；加强软件版本管理。第二十四条总行科技部应建立健全信息系统使用的相关规章制度和操作规程，明确信息系统使用人员的职责权 限，建立制约机制，实行最小授权。第二十五条 总行科技部和相关业务部门对信息系统 实施有效的用户授权和访问控制管理，根据业务和安全的要 求，对

32、信息和业务程序的访问权限，对用户的创建、变更、 删除、用户口令的设置和失效等均建立严格的控制。第二十六条 总行科技部和相关业务部门应加强信息 系统加密机、密钥、密码和加密程序等安全要素的管理，使 用符合国家安全标准的密码设备，完善安全要素生成、领取、 使用、修改、保管和销毁等环节管理制度。密钥、密码应定 期更改。第二十七条与信息系统相关的软、硬件设备的选型、 购置、登记、保养、维修、报废等必须严格执行相关制度， 选用设备须经过技术论证，对供应商的资格条件进行严格审 查，在使用前按照本行相关制度进行试用性安全测试，明确 产品供应商对产品在使用期间应承担的责任，确保产品正常 使用和有效维护。信息系

33、统所用的服务器等关键设备应具有 较高的可靠性、充足的容量和一定的容错特性，并配置适当 的备品备件。第二十八条 网络系统的设计、建设要按照相关标准和 规范，兼备技术先进性和产品成熟性；网络设备和线路应有 冗余备份；严格线路租用合同管理，按照业务和交易流量要 求保证传输带宽；建立健全网络管理系统，有效管理网络的 安全、故障、性能和配置等；实现内部网络与外部网络的隔 离，加强网络边界管理，使用技术手段有效降低外部攻击、 信息泄漏等风险；加强接入国际互联网的管理。第二十九条机房建设必须符合国家有关计算机场地、 环境和供配电等技术标准。出入机房应当有严格的审批程序 和出入记录，未经授权不得进入，确保机房环境和计算机硬 件、各种存储介质的物理安全。第三十条 建立计算机安全应急机制，制定详细的应急 预案，并定期进行演练、评审和修订；通过预防性和恢复性 措施的结合，把灾难或安全事故（如自然灾害、突发事件、 设备故障和故意行为）所导致的破坏减少到最低水平。第三十一条 信息系统可能影响客户服务时，应以适当 的方式告知客户。第四章管理风险控制第三十二条制定全面的信息科技风险管理策略，包括