序号1应建立与金融机构发展战略相适应的网上银行信息安全保障及风险管理组织架构,建立由董事会、高级管理层负责、相关各部门负责人及内部专家参与的网上银行信息安全领导协调机制,明确各个部门职责,对其所负责的安全保障及风险管理内容进行管理,明确各部门章程并详细定义各部门人员配置。2应设立网上银行信息安全保障及风险管理工作的主要负责部门,由该部门组织制定、发布相关制度、规范,协调处置网上银行信息安全管理工作中的关键事项,组织跨部门应急演练等工作,应合理设立部门内部岗位及人员职责,明确该部门和其他各相关部门的职责范围、工作流程和沟通协调机制。3应设置网上银行产品设计,系统研发、测试、集成、运行维护、管理,内部审计等部门或团队,业务部门、技术、审计等各部门应明确本部门网上银行信息安全保障及风险管理职责,执行相应的风险评估、规划实施、应急管理、监督检查、跟踪整改等工作。相关人员应详细了解本部门网上银行相关的职责设置、信息安全保障机制等基本情况。(信息技术部项目管理组管理,验收报告)4应坚持三分离原 则 ,实现 前 后 台 分离、开 发与操 作分离、技术与业务部门分离。5应配备 一 定数 量 的专职安全管理员、系统管理员、网络 管理员等。6应配备 专职信息安全管理人员,实行A、B 岗制度,不 可 兼 任 其他岗位。7应实现 关键岗位的多 人共 同 管理。8应根 据 网上银行相关部门、岗位的职责明确上下 级间 和各部门间 的授 权 审批 事项、审批 部门和批 准 人等。9应针 对网上银行业务部门及技术规划、架构及策 略、网上银行新 产品推 出 、网上银行重 要技术路 线 选 择 、网上银行系统重 要变 更 操 作、物 理访 问 和网上银行系统接 入 等事项建立审批 程序,必 须 提 交 高层管理层审批 ,并按 照 审批 程序执行审批过 程,对重 要活 动 建立逐 级审批 制度。10应定期 审查审批 事项,及时 更 新 需 授 权 和审批 的项目、审批 部门和审批 人等信息。11应记 录 审批 过 程并保存 审批 文 档 。12用 户 应被 授 予 完 成所承 担 任 务所需 的最 小 权 限 ,重 要岗位的员工之 间 应形 成相互制约 的关系。权 限 变 更 应执行相关审批 流程,并有 完 整的变 更 记 录 。13应建立系统用 户 及权 限 清 单 ,定期 对员工权 限 进行检查核 对,发现 越 权...
