银行业重要信息系统突发事件应急管理规范(试行) 下载本文

急预案等。各银行业金融机构的业务管理部门应针对信息系统突发事件建立相应的业务应急预案和操作流程,并进行持续改进和优化。

第八条 银行业金融机构应组建应急团队,在发生信息系统突发事件时,能够做到及时实施专项应急处置工作。应急团队应包括但不限于应急领导小组、应急执行小组、支持保障小组。

(一)应急领导小组由董事会和高管层授权并由高管人员任应急领导小组组长,各相关职能部门(包括但不限于风险管理部门、业务管理部门、信息科技管理部门和支持保障部门等)和一级分支机构的负责人为应急领导小组成员,其职责是:

1.负责信息系统突发事件的应急指挥、组织协调和过程控制;

2.明确新闻发布人,授权其在应急过程中统一对外信息发布口径;

3.宣布重大应急响应状态的降级或解除;

4.向董事会和高级管理层报告应急处置进展情况和总结报告。

(二)应急执行小组由业务管理部门、信息科技管理部门、运营部门等派员组成,对应急领导小组负责,其职责是:

1.实施信息系统突发事件的具体应急处置工作; 2.对信息系统突发事件业务影响情况进行分析和评估;

3.收集分析信息系统突发事件应急处置过程中的数据信息和日志;

4.向应急领导小组报告应急处置进展情况和事态发展情况。 (三)支持保障小组由人力资源部门、计划财务部门、法律事务部门、公共关系部门、安全保卫部门、后勤保障部门等派员组成,对应急领导小组负责,其职责是:

1.提供应急所需人力和物力等资源保障; 2.做好对受影响客户的解释和安抚工作;

3.做好秩序维护、安全保障、法律咨询和支援等工作; 4.建立与电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制;

5.其他为降低事件负面影响或损失提供的应急支持保障等。

第三章 突发事件分级

第九条 突发事件依照其影响范围及持续时间等因素分级。当突发事件同时满足多个级别的定级条件时,按最高级别确定突发事件等级。

(一)特别重大突发事件(I级)

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定的,或对公众利益造成特别严重损害的突发事件;

2.由于重要信息系统服务异常,在业务服务时段导致银行业金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达

(含)以上,或一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的突发事件;

3.业务服务时段以外,重要信息系统出现的故障或事件救治未果,可能产生上述1至2类的突发事件。

(二)重大突发事件(Ⅱ级)

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的突发事件;

2.由于重要信息系统服务异常,在业务服务时段导致银行业金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达半个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达3个小时(含)以上的突发事件;

3.业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。

(三)较大突发事件(Ⅲ级)

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的突发事件;

2.由于重要信息系统服务异常,在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的突发事件;

3.业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。

第十条 重要信息系统突发事件发生后,银行业金融机构应依据事件影响范围和影响时间的变化,按照上述定义进行事件级别升级。

第四章 风险防范

第十一条 银行业金融机构应根据业务影响分析确定各项业务的信息系统恢复指标,主要包括:

(一)恢复时间目标(RTO):业务功能恢复正常的时间要求; (二)恢复点目标(RPO):业务功能恢复时能够容忍的数据丢失量。

第十二条 银行业金融机构应根据信息系统恢复指标和系统间的依赖关系,确定各信息系统应急响应恢复优先顺序,并系统化地识别信息技术资源风险,包括基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险等,以确保风险识别的全面性。

第十三条 银行业金融机构应制定全面的风险防范措施,并通过场景模拟、压力测试等手段验证风险防范措施的有效性。在突发事件应急处置后,应评估已有风险防范措施的有效性并加以改进。

第十四条 银行业金融机构应依据风险防范措施对关键信息技术资源进行剩余风险评估,明确剩余风险的监测方法与预警条件,并将其纳入信息系统风险事件监测与预警体系中。