重要信息系统突发事件应急管理办法
银行业重要信息系统突发事件应急管理规范2008年53号
中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知银行业重要信息系统突发事件应急管理规范(试行)第一章总则第一条为规范银行业重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范银行业信息系统风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》以及相关法律法规,制定本规范。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社,外商独资银行、中外合资银行和外国银行分行适用本规范。
第三条银行业重要信息系统突发事件应对工作原则包括:(一)健全机制。
银行业金融机构应建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。
(二)明确职责。
银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
(三)预防为主。
银行业金融机构应建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
(四)处置高效。
银行业金融机构应加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第四条以下术语适用于本规范(一)本规范所称重要信息系统是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。
主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
银行业重要信息系统突发事件应急管理规范(试行)
银行业重要信息系统突发事件应急管理规范(试行)第一章总则第一条为规范银行业重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范银行业信息系统风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》以及相关法律法规,制定本规范。
第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社,外商独资银行、中外合资银行和外国银行分行适用本规范。
第三条银行业重要信息系统突发事件应对工作原则包括:(一)健全机制。
银行业金融机构应建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。
(二)明确职责。
银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
(三)预防为主。
银行业金融机构应建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
(四)处置高效。
银行业金融机构应加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第四条以下术语适用于本规范:(一)本规范所称重要信息系统是指银行业金融机构支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。
主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
(二)本规范所称业务服务时段是指银行业金融机构重要信息系统所承载业务对客户提供服务的时间。
《银行业重要信息系统突发事件应急管理规范》
《银行业重要信息系统突发事件应急管理规范》银行业重要信息系统是现代银行业务运作的关键支撑系统,一旦发生突发事件,可能对银行的正常运营和金融市场的稳定产生重大影响。
因此,建立一套科学有效的应急管理规范是保障银行业务连续性和系统安全的必要措施。
一、规范的制定背景和意义随着金融科技的不断发展和银行业务的日益复杂化,银行的重要信息系统遭到的风险也日益增加。
灾难性技术故障、网络攻击、自然灾害等突发事件可能导致银行的信息系统瘫痪,给银行造成巨大损失,甚至对金融市场稳定造成重大冲击。
因此,制定一套应急管理规范,能够帮助银行预防和应对突发情况,保障银行业务的连续性和金融市场的稳定。
二、规范的主要内容1.突发事件风险评估:银行应当对重要信息系统可能遭受的突发事件进行风险评估,包括内部失误、外部攻击、自然灾害等可能发生的情况。
评估结果应当定期更新,并作为后续应急管理工作的基础。
2.应急预案编制:银行应当制定完善的应急预案,明确各类突发事件应急响应的组织架构、责任分工、应急处置流程等。
预案应当满足灵活性、全面性、可操作性的要求,确保在突发事件发生时能够高效应对。
3.应急演练和培训:银行应定期组织应急演练,测试应急预案的有效性和应急响应团队的协作能力。
同时,银行还应加强员工的应急培训,提高员工的突发事件应对能力和信息安全意识。
4.应急响应与恢复能力:在突发事件发生后,银行应迅速启动应急响应机制,进行及时的事件处置。
同时,银行还应建立系统灾备和恢复机制,确保在重要信息系统遭受破坏或中断后能够快速恢复。
5.监测与报告机制:银行应建立全面的突发事件监测和报告机制,通过实时监控系统运行情况,发现异常状况并及时报告。
同时,银行还应加强与监管机构的沟通与协作,及时报告重大突发事件,共同维护金融市场的稳定。
三、规范的实施方案1.加强组织领导:银行应当成立信息系统应急管理委员会,负责制定和推动应急管理规范的实施。
委员会由高级管理人员组成,具有决策和统筹协调的职责。
银行业重要信息系统突发事件应急管理规范(试行)》(XXX发【2008】53号)
银行业重要信息系统突发事件应急管理规范(试行)》(XXX发【2008】53号)1.重要信息系统:指银行业金融机构在业务中使用的关键信息系统,包括核心业务系统、支付结算系统、互联网金融系统等。
2.突发事件:指因自然灾害、技术故障、人为破坏等原因,导致银行业重要信息系统中断或无法正常运行的事件。
3.应急预案:指针对突发事件制定的应急处置方案,包括预警、应急响应、资源调配、恢复重建等措施。
第二章应急管理机制第五条银行业金融机构应当建立健全应急管理机制,包括:一)成立应急管理领导小组,制定应急管理工作计划和预案,负责应急管理工作的组织协调和决策。
二)建立应急响应体系,明确应急响应程序和级别,及时启动应急响应,组织应急处置工作。
三)建立应急资源库,储备必要的应急资源,包括人员、设备、物资等。
四)开展应急演练和评估,不断完善应急预案和应急管理机制。
第六条银行业金融机构应当设立应急管理部门或者委托专业机构承担应急管理工作,明确应急管理工作职责,建立健全应急管理制度和流程,确保应急管理工作的有效开展。
第三章应急预案第七条银行业金融机构应当制定应急预案,明确应急响应程序和应急处置措施,包括:一)预警机制。
建立预警机制,及时发现和预警突发事件。
二)应急响应程序。
明确应急响应程序和级别,及时启动应急响应,组织应急处置工作。
三)应急资源调配。
建立应急资源库,及时调配必要的应急资源。
四)恢复重建措施。
制定恢复重建措施,尽快恢复银行业重要信息系统的正常运行。
第八条银行业金融机构应当定期组织应急演练和评估,完善应急预案和应急管理机制,提高应急处置能力。
第四章风险防范措施第九条银行业金融机构应当建立和完善信息系统突发事件风险防范体系,包括:一)风险识别和评估。
对可能导致突发事件的风险进行有效地识别、分析和评估。
二)风险控制和监测。
对风险指标进行动态、持续监测,采取有效措施控制风险。
三)备份和恢复措施。
建立完善的数据备份和恢复措施,确保数据安全和业务连续性。
信息系统突发事件应急管理办法
信息系统突发事件应急管理办法总则第一条为保证集团信息系统的运行,规范应对信息系统突发应急事件所需的管理和技术要求,有效应对信息系统突发紧急事件,制定本办法。
第二条紧急事件的定义(一)不可抗力紧急事件:战争、地震、火灾、洪水、传染疾病的大范围爆发等。
(二)外界攻击紧急事件:病毒袭击、黑客入侵等导致系统面临全部或局部瘫痪危险的事件等。
(三)不可预见紧急事件:1.重大技术事故:严重电力故障、重要系统故障、关键设备故障、通讯系统严重故障、严重程序或系统BUG等。
2.重大人为失误:严重人为操作事故、关键技术人员因故无法到岗等。
3.重大业务差错等。
(四)其他重大紧急事件。
第三条集团信息系统划分为实时业务系统、办公系统、桌面系统三类。
其中实时业务系统包括各业务交易系统以及网站、邮件系统;办公系统包括财务、OA、档案管理、风险管理等系统;桌面系统则为员工台式机、笔记本等。
这三类系统均包括与之相配套的网络环境系统。
第二章组织与职责、权限第四条在集团设立信息系统应急管理领导小组。
组长:集团总经理;常务副组长:集团信息化建设分管领导;下设集团信息系统应急行动小组。
组长:信息中心主任;组员:办公室主任、财务部部长、风险管理部门部长、各相关系统管理员和操作人员。
集团信息系统应急行动小组是集团信息系统紧急事件应对的责任部门。
除负责集团信息系统紧急事件应对处理外,还负有拟定集团信息系统应急方案、应急计划、应急流程,组织各部门、各单位进行信息系统应急演练的职责等。
第五条各级子公司应设立信息安全应急管理小组,由各级子公司总经理牵头,综合管理部门、风险管理部门、信息化职能部门和信息系统使用部门参加,负责对本单位信息系统安全进行评估,处理系统突发事件。
第三章应急管理方法第六条应急管理首先应坚持预防为主原则,建立健全技术事故的防范对策,建设行之有效的事故防范体制,制定技术故障发生时的应急计划,定期进行故障防范演习,针对薄弱环节不断改进完善。
XX银行信息系统突发事件应急管理办法
Xx银行信息系统突发事件应急管理办法为提高我行处置信息系统的突发事件的能力,根据《商业银行信息风险管理指引》的相关要求,结合我行实际情况,制定本应急管理办法。
第一章总则一、本应急管理办法适用于XX银行对信息系统突发事件的预防、预警和处置。
二、突发事件的定义1、自然灾害、事故灾难或突发社会安全事件造成我行信息系统或其节点的崩溃。
2、突发公共卫生事件、社会安全事件造成可用人力资源短缺,严重影响我行信息系统或其节点的正常运行。
3、我行信息系统或其节点出现故障,影响业务的范围和持续时间超过可容忍的程度。
三、突发事件的分级根据对银行业务的影响程度,突发事件划分为灾难事件、严重事件、一般事件三个等级。
1、灾难事件是指我行数据处理中心发生故障,造成超过三分之一分行所辖所有网点均不能正常办理银行业务,且恢复时间超过可容忍时间的突发事件。
2、严重事件是指我行级数据处理中心发生故障,超过三分之一分行所辖所有网点均不能正常办理银行业务,但恢复时间在可容忍时间内的突发事件;或者分行级数据处理中心发生故障,造成其辖内高于20%的网点同时不能正常办理银行结算账户业务,且恢复时间超过可容忍时间的突发事件。
3、一般事件是指除灾难事件和严重事件外的其他突发事件。
四、处置原则1、业务连续性原则。
在对突发事件进行应急处置时,应采取有效措施,保障银行业务的连续处理。
2、数据完整性原则。
在对突发事件进行应急处置时,应采取有效的措施,保障数据的完整性。
3、效益性原则。
在对突发事件进行应急处置时,各项措施均应讲求经济效益,确保将事件造成的损失和影响控制在最小范围内。
4、可操作性原则。
在对突发事件进行应急处置时,各项应急处置措施应符合实际,具有可操作性。
5、重要性原则。
在对突发事件进行应急处置时,应根据突发事件的性质和影响程度,进行相应分级和处置。
五、科技部门应根据人民银行应急预案的要求,制定技术方面的应急处置实施办法报总部领导小组备案。
第二章组织机构一、我行成立专门的银行结算账户管理系统应急处置领导小组(以下简称领导小组)。
信用社(银行)重要信息系统突发事件应急管理办法
信用社(银行)重要信息系统突发事件应急管理办法第一章总则第一条为规范全省农村信用社重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范信息系统风险,根据《商业银行信息科技风险管理指引》、《银行业重要信息系统突发事件应急管理规范(试行)》,特制定本办法。
第二条工作原则:(一)健全机制。
建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。
(二)明确职责。
明确本机构各部门在应急管理工作中的职责,以保障业务连续性为目标,落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
(三)预防为主。
建立和完善信息系统突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
(四)处置高效。
加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第三条以下术语适用于本办法。
(一)重要信息系统是指甘肃省农村信用社支撑关键业务,其信息安全和系统服务安全关系客户、法人和组织的权益或社会秩序和公共利益,甚至影响**的信息系统。
具体包括核心综合业务系统、核心综合业务系统外围的各子系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施,以及核心综合业务系统外围保障系统,如机房漏水、机房防盗治安、机房火灾扑救、机房停电、机房空调故障等。
(二)业务服务时段是指甘肃省农村信用社重要信息系统所承载业务对客户提供服务的时间。
(三)突发事件是指甘肃省农村信用社重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。
(四)信息系统应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。
银行重要信息系统突发事件应急管理制度模版
银行重要信息系统突发事件应急管理暂行办法第一章总则第一条根据《银行业重要信息系统突发事件应急管理规范(试行)》、《银行业重大突发事件报告制度》、《商业银行信息科技风险管理指引》等有关规定,制定本暂行办法。
第二条银行及各系统托管村镇银行适用本暂行办法。
第三条以下术语适用于本暂行办法:(一)本暂行办法所称重要信息系统是指支撑银行的关键业务,其信息安全、系统服务安全关系公民、法人和组织的权益及社会秩序与公益利益,甚至影响国家安全的信息系统。
主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
(二)本暂行办法所称业务服务时段是指重要信息系统所承载业务对客户提供服务的时间。
(三)本暂行办法所称突发事件是指重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。
(四)本暂行办法所称信息系统应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。
第二章组织体系与职责分工第四条按照“反应灵敏、运转高效、统一领导”的原则,设立突发事件应急处置领导小组,统一领导和管理辖区银行业金融机构信息系统应急处置工作;信息技术部具体负责各重要信息系统应急管理日常工作,以及监督、检查各村镇银行做好重要信息系统突发事件的应急预案和应急管理工作。
第五条突发事件应急处置领导小组和日常信息系统应急管理部门,应针对存在的各类信息系统隐患和暴露出的各类安全问题,督促相关部门采取相应安全防范措施,建立健全预防机制,引导其加强对各应用系统的跟踪与监测,防止因突发事件导致系统出现故障或瘫痪,并最大程度地减少故障或瘫痪造成的损失。
第六条董事会和高级管理层应对本机构应急管理政策及其实施效果负有最终的责任;风险管理部门负责制订应急管理政策和基本管理制度,履行向董事会、高级管理层;信息科技管理部门和业务管理部门负责本机构信息系统突发事件应急管理工作的具体落实,定期组织信息系统应急演练,持续改进本机构信息系统应急预案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
卡卡农村卡卡银行股份有限公司重要信息系统突发事件应急管理办法(试行)(征求意见稿)第一章总则第一条为了规范卡卡农村卡卡银行股份有限公司(以下简称“本行”)重要信息系统的突发事件应急管理,最大限度地减少突发事件的影响,维护国家金融稳定,确保本行稳定健康发展,特制定本办法。
第二条本办法依据《中华人民共和国银行业监督管理法》、中国银行业监督管理委员会《银行业突发事件应急预案》、《重大突发事件报告制度》、《金融违法行为处罚办法》、《银行业重要信息系统突发事件应急管理规范(试行)》等法律、法规和规范性文件及相关行业管理规定制定。
第三条应对本行重要信息系统突发事件的工作原则包括:(一)健全机制。
建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本行的应急预案和相关协调机制。
(二)明确职责。
明确本行各部门在应急管理工作中的职责,以保障业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
(三)预防为主。
建立和完善突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
(四)处置高效。
加强应急处置队伍建设,提供充分的资源保障,确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第四条本办法适用于处置本行发生的,有可能影响某一区域经济秩序稳定的重要信息系统突发性事件。
第五条以下术语适用于本办法:(一)本办法所称重要信息系统是指本行支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。
主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
(二)本办法所称业务服务时段是指本行重要信息系统所承载业务对客户提供服务的时间。
(三)本办法所称突发事件是指本行重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。
(四)本办法所称信息系统应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。
(五)本办法所称业务影响分析是指分析业务功能及其相关信息系统资源、评估特定信息系统突发事件对各种业务功能影响的过程。
(六)本办法所称剩余风险是指采取了风险控制措施后仍不能被完全消除的信息系统风险。
(七)根据各类风险的特点,将本行信息系统分为基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险。
第二章组织指挥体系及职责第六条总行统计信息部是本行信息系统应急处理日常管理机构,其应急管理职责是:(一)根据全省统一布置,管理、指导本行信息系统应急处置工作;(二)向行领导和省卡卡报告本行信息系统突发事件,并按相关规定和程序向相关监管部门报告;(三)通报、发布本行信息系统应急处理情况;(四)发布信息系统突发事件预警信息,并组织、指导本行相关机构采取应对措施;(五)组织、管理、监督、检查本行系统应急演练;(六)建立本行各级应急管理组织机构通讯联络方式。
第七条本行设立应急管理组织机构,负责信息系统突发事件应急管理工作。
(一)董事会和高级管理层对本行应急管理政策及其实施效果负有最终的责任。
董事会和高级管理层领导监督本行信息系统应急管理体系建设,制定落实应急管理的分级授权制度和问责制度,研究确定应急处置重大决策和指导意见,为应急管理工作配置充分的资源,定期听取风险状况分析、信息系统重大突发事件、现有应急管理政策重大修改等汇报,负责信息系统突发事件信息披露等。
(二)风险管理部制订应急管理政策和基本管理制度并报董事会和高级管理层审定,统一组织、协调指导、检查本行信息系统突发事件应急管理;建立应急处置的预授权制度,定期分析风险状况和总结信息系统突发事件应急管理成效,履行向董事会和高级管理层的报告职责,履行向银监会及其派出机构信息系统应急管理部门的报告职责等。
(三)统计信息部和业务管理部门负责本行信息系统突发事件应急管理工作的具体落实,制定信息系统突发事件预防措施、预警标准和应急策略,组织做好信息系统营运监测和维护,实施信息系统突发事件应急处置,评估总结信息系统突发事件及应急处置过程中暴露的问题并整改,履行向风险管理部门的报告职责,定期组织信息系统应急演练,持续改进本行信息系统应急预案等。
本行的业务管理部门针对信息系统突发事件建立相应的业务应急预案和操作流程并进行持续改进和优化。
第八条组织指挥体系本行设立突发事件应急团队。
应急团队包括以下3个小组:(一)应急处置领导小组(以下简称应急领导小组)由董事会和高级管理层授权并由高管人员任应急领导小组组长,其职责是:1.负责信息系统突发事件的应急指挥、组织协调和过程控制;2.明确新闻发布人,授权其在应急过程中统一对外信息发布口径;3.宣布重大应急响应状态的降级或解除;4.向董事会和高级管理层报告应急处置进展情况和总结报告。
(二)应急执行小组由统计信息部及相关业务管理部门、运营部门等派员组成,对应急领导小组负责,其职责是:1.实施信息系统突发事件的具体应急处置工作;2.对信息系统突发事件业务影响情况进行分析和评估;3.收集分析信息系统突发事件应急处置过程中的数据信息和日志;4.向应急领导小组报告应急处置进展情况和事态发展情况。
(三)支持保障小组由办公室、财务管理部、资金管理部、授信管理部、行政管理部、风险管理部、稽核审计部等派员组成,对应急领导小组负责,其职责是:1.提供应急所需人力和物力等资源保障;2.做好对受影响客户的解释和安抚工作;3.做好秩序维护、安全保障、法律咨询和支援等工作;4.建立与电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制;5.其他为降低事件负面影响或损失提供的应急支持保障等。
第三章突发事件分级第九条突发事件依照其影响范围及持续时间等因素分级。
第十条当突发事件同时满足多个级别的定级条件时,按最高级别确定突发事件等级。
(一)特别重大突发事件(I级)1.由于重要信息系统服务中断或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定的,或对公众利益造成特别严重损害的突发事件;2.由于重要信息系统服务异常在业务服务时段导致本地区业务无法正常开展达6个小时(含)以上的突发事件;3.业务服务时段以外,重要信息系统出现的故障或事件救治未果,可能产生上述1至2类的突发事件。
(二)重大突发事件( II级)1.由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的突发事件;2.由于重要信息系统服务异常,在业务服务时段导致本地区业务无法正常开展达3个小时(含)以上的突发事件;3.业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。
(三)较大突发事件(III级)1.由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的突发事件;2.由于重要信息系统服务异常,在业务服务时段导致本地区业务无法正常开展达3个小时以下的突发事件;3.业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。
(四)重要信息系统突发事件发生后,依据事件影响范围和影响时间的变化,按照上述定义进行事件级别升级。
第四章风险防范第十一条本行各项信息系统恢复指标执行全省统一确定的信息系统各项业务恢复指标,主要包括:(一)恢复时间目标(RTO)列表(业务功能恢复正常的时间要求):综合业务系统:2小时;卡业务系统:3小时;大小额支付系统:3小时;中间业务:3小时;农信银:6小时;电话银行:6小时。
(二)恢复点目标(RPO)列表(业务功能恢复时能够容忍的数据丢失量):综合业务系统:5分钟;卡业务系统: 5分钟;大小额支付系统: 5分钟;中间业务:15分钟;农信银:1小时;电话银行:1小时。
第十二条本行各信息系统应急响应恢复优先顺序按省卡卡确定的恢复优先顺序为:1、综合业务系统;2、卡业务;3、大小额支付系统;4、中间业务;5、农信银业务;6、电话银行。
第十三条本行根据本办法及各类应急预案开展全面的风险防范,按全省统一布置定期通过场景模拟、压力测试等手段验证风险防范措施的有效性。
在突发事件应急处置后,应评估已有风险防范措施的有效性并加以改进,同时对关键信息技术资源进行剩余风险评估。
第十四条系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时,相关技术、业务应重新识别、分析、控制风险,并更新剩余风险评估和风险事件监测与预警,以作为上线运行、系统升级、网络改造、设备更新的必要条件。
第十五条应与电力、通信等重要基础设施服务商,主机、网络、存储等重要设备服务商,系统集成服务商以及其他外包服务商签定服务水平协议,并对服务商的技术与产品政策、服务水平、服务能力发生变化可能产生的影响及时进行风险评估和预警。
第五章应急预案与演练第十六条应以本办法为基础,根据具体情况制定其他细化的信息系统应急预案,主要有:(一)重要外包服务的专项应急预案;(二)对于重要基础设施、重要设备、网络、应用系统突发性事件的应急预案。
第十七条应定期对应急预案进行测试和演练,确保其有效性。
第十八条信息系统发生系统上线、系统升级、网络改造、设备更新、配置参数调整等变更时应及时更新应急预案,并适时实施演练。
第十九条应制定年度信息系统应急演练计划,明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。
演练计划应涵盖对应急预案各环节的检验,验证应急预案的有效性、应急资源的完备性及应急人员的适应性。
第二十条应急演练应严格按照应急演练计划实施,并注意如下事项:(一)以全省统一的应急预案为基础,制定适应本行情况的应急演练总体方案,并进行风险再评估,制定相应的保障措施;(二)应急演练内容应全面完整,涵盖信息系统的各类应急场景;(三)严格控制应急演练引起的信息系统变更风险,避免因演练导致服务中断;(四)应急演练应选择在非主要业务时段进行;(五)应急演练完成后,应保证实施应急预案所需的各项恢复正常;(六)定期对信息系统应急响应相关人员进行培训。
第二十一条应积极配合其他业务相关机构完成跨机构或跨行业应急演练。
第二十二条本行在应急演练的过程中,对可能存在较大风险的演练(如全系统范围的演练),根据相关文件要求在实施演练前将应急演练计划向银监会或其派出机构报备。