《银行业重要信息系统突发事件应急管理规范(试行)》(银监办发【2008】53号)

(一)应急领导小组由董事会和高管层授权并由高管人员任应急

领导小组组长,各相关职能部门(包括但不限于风险管理部门、业务管理部门、信息科技管理部门和支持保障部门等)和一级分支机构的负责人为应急领导小组成员,其职责是:

1.负责信息系统突发事件的应急指挥、组织协调和过程控制; 2.明确新闻发布人,授权其在应急过程中统一对外信息发布口

径;

3.宣布重大应急响应状态的降级或解除;

4.向董事会和高级管理层报告应急处置进展情况和总结报告。 (二)应急执行小组由业务管理部门、信息科技管理部门、运营1.实施信息系统突发事件的具体应急处置工作; 2.对信息系统突发事件业务影响情况进行分析和评估; 3.收集分析信息系统突发事件应急处置过程中的数据信息和日4.向应急领导小组报告应急处置进展情况和事态发展情况。 (三)支持保障小组由人力资源部门、计划财务部门、法律事务

部门等派员组成,对应急领导小组负责,其职责是:

志。

部门、公共关系部门、安全保卫部门、后勤保障部门等派员组成,对应急领导小组负责,其职责是:

1.提供应急所需人力和物力等资源保障;

2.做好对受影响客户的解释和安抚工作;

3.做好秩序维护、安全保障、法律咨询和支援等工作; 4.建立与电力、通讯、公安和消防等相关外部机构的应急协调机

制和应急联动机制;

5.其他为降低事件负面影响或损失提供的应急支持保障等。

第三章 突发事件分级

第九条 突发事件依照其影响范围及持续时间等因素分级。当突

发事件同时满足多个级别的定级条件时,按最高级别确定突发事件等级。

(一)特别重大突发事件(Ⅰ级)

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、

丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定的,或对公众利益造成特别严重损害的突发事件;

2.由于重要信息系统服务异常,在业务服务时段导致银行业金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达3个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的突发事件;

3.业务服务时段以外,重要信息系统出现的故障或事件救治未

果,可能产生上述1至2类的突发事件。

(二)重大突发事件(Ⅱ级)

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、

丢失、泄露,对银行或客户利益造成严重损害的突发事件;

2.由于重要信息系统服务异常,在业务服务时段导致银行金融机

构两个(含)以上省(自治区、直辖市)业务无法正常开展达半个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达3个小时(含)以上的突发事件;

3.业务服务时段以外,出现的重要信息系统故障或事件救治未

果,可能产生上述1至2类的突发事件。

(三)较大突发事件(Ⅲ级)

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、

丢失、泄露,对银行或客户利益造成较大损害的突发事件;

2.由于重要信息系统服务异常,在业务服务时段导致一个省(自

治区、直辖市)业务无法正常开展达半个小时(含)以上的突发事件;

3.业务服务时段以外,出现的重要信息系统故障或事件救治未第十条 重要信息系统突发事件发生后,银行业金融机构应依据

果,可能产生上述1至2类的突发事件。

事件影响范围和影响时间的变化,按照上述定义进行事件级别升级。

第四章 风险防范

第十一条 银行业金融机构应根据业务影响分析确定各项业务的信息系统恢复指标,主要包括:

(一)恢复时间目标(RTO):业务功能恢复正常的时间要求; (二)恢复点目标(RPO):业务功能恢复时能够容忍的数据丢第十二条 银行业金融机构应根据信息系统恢复指标和系统间

失量。

的依赖关系,确定各信息系统应急响应恢复优先顺序,并系统化地识别信息技术资源风险,包括基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险等,以确保风险识别的全面性。

第十三条 银行业金融机构应制定全面的风险防范措施,并通过场景模拟、压力测试等手段验证风险防范措施的有效性。在突发事件应急处置后,应评估已有风险防范措施的有效性并加以改进。

第十四条 银行业金融机构应依据风险防范措施对关键信息技术资源进行剩余风险评估,明确剩余风险的监测方法与预警条件,并将其纳入信息系统风险事件监测与预警体系中。

第十五条 银行业金融机构应对关键信息技术资源建立监测指标体系以及相关的日常监测与预警机制,对监测指标的异常波动及时预警,并定期测试与修订监测指标体系以确保其有效性。

第十六条 银行业金融机构应建立关键时点监测与预警机制,在重大业务活动、重大社会活动、信息系统重大变更等关键时点加强风险监控和预警,并及时向企业职能部门进行风险提示,多部门协同做好应急准备。

第十七条 银行业金融机构在系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时,应重新识别、分析、控制风险,并更新剩余风险评估

和风险事件监测与预警。

第十八条 银行业金融机构应与电力、通信等重要基础设施服务商,主机、网络、存储等重要设备服务商,系统集成服务商以及其他外包服务商签定服务水平协议,并对服务商的技术与产品政策、服务水平、服务能力发生变化可能产生的影响及时进行风险评估和预警。

第五章 应急预案与演练

第十九条 银行业金融机构应根据恢复时间目标(RTO)和恢复点目标(RPO),结合风险控制策略,从基础设施、网络、信息系统等不同方面,分类制定本机构应急预案。

第二十条 银行业金融机构编制的信息系统应急预案应包括以下内容:

(一)明确有关各方的分工和责任;

(二)说明重要信息系统的业务影响范围、恢复时间目标、恢复

点目标、以及信息系统包括的系统资源,明确资源的物理位置、设备型号、软件资源、网络配置等关键信息;

(三)明确各类故障的诊断方法和流程;应急场景应至少覆盖电

力故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与信息系统相关的故障;

(四)制定系统恢复流程和应急处置操作手册,尽可能将操作代(五)明确应急恢复过程中的关键状态,并明确不同状态的沟通(六)明确应急相关人员的协调内容和沟通方式;

(七)明确系统重建步骤,确保信息系统恢复正常业务处理能力。 第二十一条 银行业金融机构应将支撑信息系统运行的重要外

码化、自动化,降低应急处置过程中产生的操作风险;

和报告内容及等级;

包服务的应急管理纳入其中,建立重要外包服务的专项应急预案,对

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4