孟加拉国银行推出了最新的《ICT 安全指南》第 4.0 版，概述了银行和金融机构 (FO) 应如何管理 IT 和安全风险，并让银行/FO 更好地了解管理 IT 和安全相关风险的监管期望。《ICT 安全指南》第 1.0 版于 2005 年 10 月首次发布，第 4.0 版是最新版本，于 2023 年 4 月发布。

信息和通信技术 (ICT) 的日益复杂以及随之而来的安全风险对金融机构的运营产生了重大不利影响，可能会对客户利益、组织声誉和国家经济产生负面影响。因此，需要对具有广泛和多层次安全策略的信息安全计划进行适当的控制。

Thales提供综合数据安全解决方案，使银行和金融机构能够协调《信息通信技术安全指南》中的各个章节。

合规性要求

法规概述

ICT 安全指南适用于银行、非银行金融机构 (NBFI)、移动金融服务提供商 (MFSP)、支付服务提供商 (PSP)、支付系统运营商 (PSO)、白标 ATM 和商户收单机构 (WLAMA) 以及孟加拉国银行监管的其他金融服务提供商。

本修订版 ICT 指南定义了每个组织必须遵守的最低控制要求。本指南的主要目标是：

1. 建立金融领域的 ICT 治理

2. 帮助组织制定自己的 ICT 安全政策

3. 建立标准 ICT 安全管理方法

4. 帮助组织开发安全可靠的 ICT 基础设施

5. 建立安全的数据处理环境

6. 建立全面的 ICT 风险管理方法

7. 建立与ICT风险管理相结合的业务影响分析程序

8. 提高利益相关者对信息保护的角色和责任的认识

9. 确定信息和 ICT 系统以及需要缓解的相关风险的优先级

10. 为ICT项目建立适当的项目管理方法

11. 确保技术使用的最佳实践（行业标准）

12. 建立及时有效处理运营和信息安全事故的框架

13. 减轻业务活动中断的影响，保护关键业务流程免受信息系统重大故障或灾难的影响，并确保及时恢复

14. 定义保护通过通信网络传输的数据所需的必要控制

15. 确保安全性贯穿信息系统采购、开发和维护的整个生命周期

16. 最大限度地降低电子银行基础设施的安全风险，包括 ATM 和 POS 设备、支付卡、网上银行、移动金融服务等。

17. 建立意识并培训与 ICT 活动相关的用户以实现业务目标

18. 确保新兴技术的安全使用。

详细要求概述于 13 个章节中。

合规性遵守方法

Thales帮助孟加拉国的银行和金融机构遵守《信息和通信技术安全指南》中的以下六个章节。

第 4 章：ICT 服务交付管理

• CipherTrust 云密钥管理允许组织将密钥与存储在云中的数据分开，通过使用 Hold-Your-Own-Key (HYOK) 技术防止云服务提供商进行未经授权的数据访问，组织通过控制加密密钥访问来完全控制和拥有其数据。

• 保护静态数据： CipherTrust 数据安全平台提供多种功能来保护文件、卷和数据库中的静态数据。其中包括：CipherTrust 透明加密和CipherTrust 标记化。

• 保护移动数据： Thales高速网络加密(HSE) 提供独立于网络的移动数据加密（第 2、3 和 4 层），确保数据在站点间或从本地移动到云端并返回时的安全。

第五章：基础设施安全管理

• CipherTrust 数据发现和分类使组织能够根据主要的全球和地区合规要求，跨多个数据源有效地定位和分类结构化和非结构化受监管数据。

• Thales高速网络加密(HSE) 解决方案提供独立于网络的传输中/运动数据加密（第 2、3 和 4 层），确保数据在站点间、本地和云端间移动时的安全。

• CipherTrust 透明加密提供与数据库无关的静态数据加密，具有集中密钥管理、特权用户访问控制和详细的数据访问审计日志记录，可帮助组织满足保护数据的合规性和最佳实践要求。

• 硬件安全模块 (HSM)保护加密密钥，并提供 FIPS 140-2 Level 3级别的强化、防篡改环境，用于安全加密处理、密钥生成和保护、加密等。Luna HSM 可在本地、云端以服务形式以及混合环境中使用，并允许在符合 FIPS 140-2 Level 3标准的备份 HSM 中备份密钥。

• Thales 密钥管理产品可简化和加强云和企业环境中各种用例的密钥管理。利用符合 FIPS 140-2 标准的虚拟或硬件设备，Thales 密钥管理工具和解决方案可为敏感环境提供高安全性，并集中管理自主开发加密以及第三方应用程序的密钥。

第九章：业务连续性管理

• 磁带或磁盘中的敏感信息可通过CipherTrust 数据安全平台进行保护，确保数据在存储和传输之前得到加密。Thales密钥管理与领先的备份解决方案供应商集成，以管理备份加密密钥并将数据与密钥分离。它还可以在数据备份和存储在可移动介质之前保护数据。

第 10 章：信息系统的获取与开发

• CipherTrust Secrets Management (CSM)是一种先进的 Secrets Management 解决方案，由 Akeyless 提供支持，可保护并自动访问 DevOps 工具和云工作负载中的关键任务机密，包括机密、凭据、证书、API 密钥和令牌。

• CipherTrust 数据保护网关为任何利用 REST API 的 RESTful Web 服务或微服务提供透明的数据保护。

第 11 章：数字支付安全

• PayShield 10K HSM是一种支付硬件安全模块 (HSM)，在全球支付生态系统中被发行方、服务提供商、收单机构、处理商和支付网络广泛使用。它在确保面对面和数字远程支付的支付凭证发行、用户身份验证、卡身份验证和敏感数据保护流程的安全方面发挥着基础安全作用。

第 14 章：新兴技术管理

• Thales Luna Network HSM旨在将区块链成员用于签署所有交易的私钥存储在 FIPS 140-2 Level 3 专用加密处理器中。密钥在其整个生命周期内存储；确保加密密钥不会被未经授权的设备或人员访问、修改或使用。

作为Thales的合作伙伴，揽阁信息与您一同解决合规性要求的各类问题，欢迎联系揽阁信息获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 2026年密钥安全的新挑战和应对
• 泰国：在金融服务业合规方面应对前所未有的数字化增长
• 哪些国家和地区的合规性可以使用Luna HSM进行满足？
• 2025年的全球合规趋势
• Thales Luna HSM v7.8.5 获得 eIDAS合规通用标准 EAL4+ 认证
• 遵守澳大利亚 SOCI 法案 - 合规性满足