金融机构资通系统与服务供应链风险管理规范（4页）.pdf-制度规章-保险资料库

金融机构资通系统与服务供应链风险管理规范（4页）.pdf

第一条 **银行商业同业公会全国联合会(以下称本会)为确保银行资通系统委外具有一致性之供应链资讯安全风险管理，特订定本规范。

第二条本规范所称金融机构资通系统与服务供应链，係指提供银行资通系统之软硬体产品开发、建置或维运服务的组织或个人(以下称供应商)，包含其受託者与跨机构合作伙伴。

资讯服务係指提供与电脑系统软体或硬体有关之服务形态，包含系统发展类、维运管理类及云端服务类。

银行之资通系统供应链如为云端服务、物联网设备业者，除本规范外，亦应遵循金融监督管理委员会及本会所订定之相关规范。

第三条本规范用词定义如下：

一、核心业务：由银行依业务运作中断对客户影响数等风险评估结果予以决定，评估范围如：存款业务、放款业务、汇款业务、外汇业务等。

二、核心资通系统：支持核心业务持续运作必要之系统或设备。

三、第一类电脑系统：直接提供客户自动化服务或对营运有重大影响之系统(如：电子银行、分行柜台、 ATM 自动化服务、 SWIFT等系统)。

四、第二类电脑系统：经人工介入以直接或间接提供客户服务之系统(如：作业中心、客户服务等系统)。

五、第三类电脑系统：未接触客户资讯或服务且对营运无影响之系统或设备(如：人资、财会、总务等系统、物联网设备)。

六、供应链资讯安全风险：源自供应商的资讯安全议题(如：离职员工持有系统帐号、密码及原始码、对外服务系统管控不周或其他资讯安全事件等)，可能对银行资通系统与资讯服务的机密性、完整性或可用性造成衝击。

分享到：