发布时间 : 星期日 文章银行业重要信息系统突发事件应急管理规范2008年53号更新完毕开始阅读189e7fda5022aaea998f0f31
2.由于重要信息系统服务异常,在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的突发事件;
3.业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。
第十条 重要信息系统突发事件发生后,银行业金融机构应依据事件影响范围和影响时间的变化,按照上述定义进行事件级别升级。
第四章 风险防范
第十一条 银行业金融机构应根据业务影响分析确定各项业务的信息系统恢复指标,主要包括:
(一)恢复时间目标(RTO):业务功能恢复正常的时间要求;
(二)恢复点目标(RPO):业务功能恢复时能够容忍的数据丢失量。
第十二条 银行业金融机构应根据信息系统恢复指标和系统间的依赖关系,确定各信息系统应急响应恢复优先顺序,并系统化地识别信息技术资源风险,包括基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险等,以确保风险识别的全面性。
第十三条 银行业金融机构应制定全面的风险防范措施,并通过场景模拟、压力测试等手段验证风险防范措施的有效性。在突发事件应急处置后,应评估已有风险防范措施的有效性并加以改进。
第十四条 银行业金融机构应依据风险防范措施对关键信息技术资源进行剩余风险评估,明确剩余风险的监测方法与预警条件,并将其纳入信息系统风险事件监测与预警体系中。
第十五条 银行业金融机构应对关键信息技术资源建立监测指标体系以及相关的日常监测与预警机制,对监测指标的异常波动及时预警,并定期测试与修订监测指标体系以确保其有效性。
第十六条 银行业金融机构应建立关键时点监测与预警机制,在重大业务活动、重大社会活动、信息系统重大变更等关键时点加强风险监控和预警,并及时向企业职能部门进行风险提示,多部门协同做好应急准备。
第十七条 银行业金融机构在系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时,应重新识别、分析、控制风险,并更新剩余风险评估和风险事件监测与预警。
第十八条 银行业金融机构应与电力、通信等重要基础设施服务商,主机、网络、存储等重要设备服务商,系统集成服务商以及其他外包服务商签定服务水平协议,并对服务商的技术与产品政策、服务水平、服务能力发生变化可能产生的影响及时进行风险评估和预警。
第五章 应急预案与演练
第十九条 银行业金融机构应根据恢复时间目标(RTO)和恢复点目标(RPO),结合风险控制策略,从基础设施、网络、信息系统等不同方面,分类制定本机构应急预案。
第二十条 银行业金融机构编制的信息系统应急预案应包括以下内容:
(一)明确有关各方的分工和责任;
(二)说明重要信息系统的业务影响范围、恢复时间目标、恢复点目标、以及信息系统包括的系统资源,明确资源的物理位置、设备型号、软件资源、网络配置等关键信息;
(三)明确各类故障的诊断方法和流程;应急场景应至少覆盖电力故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与信息系统相关的故障;
(四)制定系统恢复流程和应急处置操作手册,尽可能将操作代码化、自动化,降低应急处置过程中产生的操作风险;
(五)明确应急恢复过程中的关键状态,并明确不同状态的沟通和报告内容及等级;
(六)明确应急相关人员的协调内容和沟通方式;
(七)明确系统重建步骤,确保信息系统恢复正常业务处理能力。
第二十一条 银行业金融机构应将支撑信息系统运行的重要外包服务的应急管理纳入其中,建立重要外包服务的专项应急预案,对于重要基础设施、重要设备、网络、系统集成以及其他外包服务商的技术与产品政策、服务水平、服务能力制定风险应对措施,外包服务的应急预案应能够保障银行业信息系统恢复时间目标(RTO)和恢复点目标(RPO)的要求。
第二十二条 银行业金融机构应定期对应急预案进行测试和演练,确保其有效性。
第二十三条 当信息系统发生系统上线、系统升级、网络改造、设备更新、配置参数调整等变更时应及时更新应急预案,并适时实施演练。
第二十四条 银行业金融机构应制定年度信息系统应急演练计划,明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。演练计划应涵盖对应急预案各环节的检验,验证应急预案的有效性、应急资源的完备性及应急人员的适应性。应急演练应做到全面演练和专项演练相结合,一般情况下,银行业金融机构每年至少应组织一次全系统范围内的应急演练。
第二十五条 银行业金融机构应严格按照应急演练计划实施应急演练,并注意如下事项:
(一)以应急预案为基础,制定应急演练总体方案,并进行风险再评估,制定相应的保障措施;
(二)应急演练内容应全面完整,涵盖信息系统的各类应急场景;
(三)严格控制应急演练引起的信息系统变更风险,避免因演练导致服务中断;
(四)应急演练应选择在非主要业务时段进行;
(五)应急演练完成后,应保证实施应急预案所需的各项资源恢复正常;
(六)定期对信息系统应急响应相关人员进行培训。
第二十六条 银行业金融机构应积极配合其他业务相关机构完成跨机构或跨行业应急演练。
第二十七条 银行业金融机构在应急演练的过程中,对可能存在较大风险的演练(如全系统范围的演练),应按属地监管原则,在实施演练前将应急演练计划向银监会或其派出机构报备。
第二十八条 应急演练结束后,银行业金融机构应撰写应急演练情况总结报告,大型或重要的应急演练总结报告应提交董事会和高管层。总结报告包括但不限于:内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论。
第二十九条 银行业金融机构应根据演练总结报告提出的改进措施进行整改,及时修订相应的应急预案,并组织审计部门对整改情况进行监督和检查。
第三十条 对于全系统范围的年度演练或跨机构和跨行业的演练,银行业金融机构应将演练总结报告上报银监会或其派出机构。
第三十一条 银行业金融机构在应急演练过程中,应根据审计、监管部门要求,将应急演练计划、过程记录和结果分析等归档。
第六章 应急响应
第三十二条 银行业金融机构应按照本机构既定的应急预案,做好应急处置,快速有效处置突发事件。
第三十三条 银行业金融机构风险管理部门应在董事会和高管层授权下负责突发事件报告,并指定专人为报告责任人。当报告责任人确定或发生变更时应及时向银监会或其派出机构信息系统应急管理部门报备。
当多个重要信息系统同时受到影响时,按照受影响程序最高原则报告。
第三十四条 全国性银行业金融机构总部向银监会信息系统应急管理部门报告;全国性
银行业金融机构的一级分支机构、地方性银行业金融机构向当地银监会派出机构信息系统应急管理部门报告。
第三十五条 突发事件应急响应流程:
(一)应急执行小组应根据既定的应急预案,启动应急操作,并及时报告应急领导小组。应急处置应集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施;
(二)对于应急预案没有覆盖的突发事件,应立即报告应急领导小组进行应急决策;
(三)应急领导小组应立即启动本机构应急组织,组织协调机构内部进行应急处置,并负责向监管部门报告应急响应情况;
(四)支持保障小组做好各项应急保障工作,为应急处置提供场地、交通、通讯及其他后勤保障;
(五)银行业金融机构应在重要信息系统突发事件后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告;
(六)对造成经济秩序混乱或重大经济损失、影响金融稳定的,或对银行、客户、公众的利益造成损害的突发事件,银行业金融机构要立即上报;
(七)银行业金融机构应将应急处置重大进展情况及时上报银监会或其派出机构,直至应急结束。Ⅰ级突发事件发生后,银行业金融机构应每2小时将应急处置进展情况上报,直至应急结束。
第三十六条 上报银监会或其派出机构的局面报告内容应包括突发事件时间、地点、现象、影响的业务范围、原因分析、后果的初步判断、已采取的措施,后续拟采取方案的建议、事件报告单位、联系人及联系方式、其他与本突发事件有关的内容,并在报告中重点明确需要银监会协调的事项。
第三十七条 银监会及其派出机构信息系统应急管理部门根据银行业金融机构应急协调需求,组织协调国家信息化管理、信息安全管理、治安管理、电力管理等跨部门资源,统筹安排处置工作。
第三十八条 应急处置中所有相关的信息和处理过程应进行严格记录,外部供应商的处理过程应有专门记录文件,如果涉及到保险理赔,中间过程和场景可用摄像设备进行记录。所有过程资料应由专人存档保管。
第三十九条 应急处置过程中出现异常或应急预案、决策方案失效,银行业金融机构应急领导小组要立即上报银监会或其派出机构信息系统应急管理部门。
第四十条 重要信息系统突发事件发生后,银行业金融机构应将相关信息及时通报给受