第十七条 银行业金融机构在系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时，应重新识别、分析、控制风险，并更新剩余风险评估和风险事件监测与预警。

第十八条 银行业金融机构应与电力、通信等重要基础设施服务商，主机、网络、存储等重要设备服务商，系统集成服务商以及其他外包服务商签定服务水平协议，并对服务商的技术与产品政策、服务水平、服务能力发生变化可能产生的影响及时进行风险评估和预警。

第五章 应急预案与演练

第十九条 银行业金融机构应根据恢复时间目标（RTO）和恢复点目标（RPO），结合风险控制策略，从基础设施、网络、信息系统等不同方面，分类制定本机构应急预案。

第二十条 银行业金融机构编制的信息系统应急预案应包括以下内容： （一）明确有关各方的分工和责任；

（二）说明重要信息系统的业务影响范围、恢复时间目标、恢复点目标、以及信息系统包括的系统资源，明确资源的物理位置、设备型号、软件资源、网络配置等关键信息；

（三）明确各类故障的诊断方法和流程；应急场景应至少覆盖电力故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与信息系统相关的故障； （四）制定系统恢复流程和应急处置操作手册，尽可能将操作代码化、自动化，降低应急处置过程中产生的操作风险；

（五）明确应急恢复过程中的关键状态，并明确不同状态的沟通和报告内容及等级；

（六）明确应急相关人员的协调内容和沟通方式；

（七）明确系统重建步骤，确保信息系统恢复正常业务处理能力。

第二十一条 银行业金融机构应将支撑信息系统运行的重要外包服务的应急管理纳入其中，建立重要外包服务的专项应急预案，对于重要基础设施、重要设备、网络、系统集成以 及其他外包服务商的技术与产品政策、服务水平、服务能力制定风险应对措施，外包服务的应急预案应能够保障银行业信息系统恢复时间目标（RTO）和恢复点目 标（RPO）的要求。

第二十二条 银行业金融机构应定期对应急预案进行测试和演练，确保其有效性。

第二十三条 当信息系统发生系统上线、系统升级、网络改造、设备更新、配置参数调整等变更时应及时更新应急预案，并适时实施演练。

第二十四条 银行业金融机构应制定年度信息系统应急演练计划，明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。演练计划应涵盖对应急预案各环节的检 验，验证应急预案的有效性、应急资源的完备性及应急人员的适应性。应急演练应做到全面演练和专项演练相结合，一般情况下，银行业金融机构每年至少应组织一 次全系统范围内的应急演练。

第二十五条 银行业金融机构应严格按照应急演练计划实施应急演练，并注意如下事项：

（一）以应急预案为基础，制定应急演练总体方案，并进行风险再评估，制定相应的保障措施；

（二）应急演练内容应全面完整，涵盖信息系统的各类应急场景；

（三）严格控制应急演练引起的信息系统变更风险，避免因演练导致服务中断；

（四）应急演练应选择在非主要业务时段进行；

（五）应急演练完成后，应保证实施应急预案所需的各项资源恢复正常； （六）定期对信息系统应急响应相关人员进行培训。

第二十六条 银行业金融机构应积极配合其他业务相关机构完成跨机构或跨行业应急演练。

第二十七条 银行业金融机构在应急演练的过程中，对可能存在较大风险的演练（如全系统范围的演练），应按属地监管原则，在实施演练前将应急演练计划向银监会或其派出机构报备。 第二十八条 应急演练结束后，银行业金融机构应撰写应急演练情况总结报告，大型或重要的应急演练总结报告应提交董事会和高管层。总结报告包括但不限于：内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论。

第二十九条 银行业金融机构应根据演练总结报告提出的改进措施进行整改，及时修订相应的应急预案，并组织审计部门对整改情况进行监督和检查。 第三十条 对于全系统范围的年度演练或跨机构和跨行业的演练，银行业金融机构应将演练总结报告上报银监会或其派出机构。

第三十一条 银行业金融机构在应急演练过程中，应根据审计、监管部门要求，将应急演练计划、过程记录和结果分析等归档。

第六章 应急响应

第三十二条 银行业金融机构应按照本机构既定的应急预案，做好应急处置，快速有效处置突发事件。

第三十三条 银行业金融机构风险管理部门应在董事会和高管层授权下负责突发事件报告，并指定专人为报告责任人。当报告责任人确定或发生变更时应及时向银监会或其派出机构信息系统应急管理部门报备。

当多个重要信息系统同时受到影响时，按照受影响程序最高原则报告。 第三十四条 全国性银行业金融机构总部向银监会信息系统应急管理部门报告；全国性银行业金融机构的一级分支机构、地方性银行业金融机构向当地银监会派出机构信息系统应急管理部门报告。 第三十五条 突发事件应急响应流程：

（一）应急执行小组应根据既定的应急预案，启动应急操作，并及时报告应急领导小组。应急处置应集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施；

（二）对于应急预案没有覆盖的突发事件，应立即报告应急领导小组进行应急决策；

（三）应急领导小组应立即启动本机构应急组织，组织协调机构内部进行应急处置，并负责向监管部门报告应急响应情况；

（四）支持保障小组做好各项应急保障工作，为应急处置提供场地、交通、通讯及其他后勤保障；

（五）银行业金融机构应在重要信息系统突发事件后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门，并在事件发生后12小时内提交正式书面报告；

（六）对造成经济秩序混乱或重大经济损失、影响金融稳定的，或对银行、客户、公众的利益造成损害的突发事件，银行业金融机构要立即上报；

（七）银行业金融机构应将应急处置重大进展情况及时上报银监会或其派出机构，直至应急结束。Ⅰ级突发事件发生后，银行业金融机构应每2小时将应急处置进展情况上报，直至应急结束。

第三十六条 上报银监会或其派出机构的局面报告内容应包括突发事件时间、地点、现象、影响的业务范围、原因分析、后果的初步判断、已采取的措施，后续拟采取方案的建议、事件报告单位、联系人及联系方式、其他与本突发事件有关的内容，并在报告中重点明确需要银监会协调的事项。

第三十七条 银监会及其派出机构信息系统应急管理部门根据银行业金融机构应急协调需求，组织协调国家信息化管理、信息安全管理、治安管理、电力管理等跨部门资源，统筹安排处置工作。

第三十八条 应急处置中所有相关的信息和处理过程应进行严格记录，外部供应商的处理过程应有专门记录文件，如果涉及到保险理赔，中间过程和场景可用摄像设备进行记录。所有过程资料应由专人存档保管。

第三十九条 应急处置过程中出现异常或应急预案、决策方案失效，银行业金融机构应急领导小组要立即上报银监会或其派出机构信息系统应急管理部门。 第四十条 重要信息系统突发事件发生后，银行业金融机构应将相关信息及时通报给受影响的外部机构及重要客户，并将相关信息准确通报给相关设备及服务提供商、电信、电力等外部组织，以获得应急响应支持。

第四十一条 重要信息系统突发事件发生后，根据突发事件的严重程度，银行业金融机构应急领导小组应及时向新闻媒体发布相关信息，严格按照行业、机构的相关规定和要求对外发布信息，机构内其它部门或者个人不得随意接受新闻媒体采访或对外发表个人看法。

第四十二条 重要信息系统恢复正常服务即为应急结束。 第四十三条 银行业金融机构在应急结束后，应针对应急工作进行评估和总结，并报银监会或其派出机构信息系统应急管理部门。总结报告应包括信息系统突发事件评估、处置工作总结以及症结分析和相应建议等内容。

（一）突发事件评估应包括现象、影响范围、处理时间和过程以及造成的损失；

（二）处置工作总结应评价应急预案的可用性，分析处置工作中存在的问题，总结处置工作的整体过程；

（三）症结分析和相应建议应分析突发事件的深层次原因，反映存在的困难和问题，并提出改进措施、计划及相关建议。

第七章 应急保障

第四十四条 银行业金融机构应建立长效的人员保障机制，确保人员能够胜任应急处置工作。在人员保障方面应达到以下要求：

（一）确保应急处置人员具备应急工作必要的技术资质，定期组织人员培训以满足应急处置的要求，并通过应急演练，保证应急处置人员的熟练度； （二）确保主、备岗机制的落实；

（三）确保主、备岗人员定期进行互换； （四）避免一人兼过多的岗位。

第四十五条 银行业金融机构应建立有效的物质保障机制，确保在应急响应过程中不会因物质缺乏而导致应急处置中断或延长应急处置时间。在物质保障方面应达到以下要求：

（一）储备一定数量应急设备或物资，并确保物资供应渠道畅通；

（二）建立应急响应专项资金预算管理与审批制度，确保应急响应过程中及时进行应急物资采购。

第四十六条 银行业金融机构应建立有效的技术保障机制，确保在应急响应过程中不会因技术能力缺乏而导致应急处置中断或延长应急处置时间。在技术保障方面应达到以下要求：

（一）建立应急事件预警平台，确保及时发现应急事件，并及时通知有关人员启动应急响应；

（二）明确相关厂商的技术支持服务水平，确保应急处置过程中相关厂商能够提供及时有效的技术支持。

第四十七条 银行业金融机构应采取必要的通讯保障措施，确保应急响应通讯及时有效。在通讯保障方面应达到以下要求：

（一）适时更新各级应急管理机构联络人和联络方式；

（二）建立多种通讯渠道，避免单一通讯风险，并明确各通讯渠道使用的优先顺序。

第八章 持续改进

第四十八条 银行业金融机构应每年开展一次对突发事件风险防范措施的全面评估和审计活动，包括评估风险识别、分析和控制措施的有效性、应急预案的完备性、应急演练的全 面性和及时性等，检验防范措施的有效性，并及时发现新的风险，改进风险控制措施，进一步完善应急预案，形成风险防范措施的持续改进。

第四十九条 银行业金融机构应每年开展一次对应急响应工作的全面评估和审计活动。评估范围包括应急响应的有效性、投入资源的充分性、突发事件报告的及时性等，确保应急响应持续有效。

第五十条 银行业金融机构应对应急管理的策略、机制、方法、流程等不断完善，对应急管理过程中发现的问题适时整改。

第五十一条 银行业金融机构应将应急管理纳入到全面风险管理体系中，建立应急管理的长效机制，保证应急管理工作的持续性和有效性。

第九章 附则

第五十二条 本规范由银监会负责解释和修订。银行业金融机构可依据本规范制定具体的信息系统应急管理实施细则。

第五十三条 在中国境内设立的金融资产管理公司、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司及银监会批准设立的其他金融机构，参照本规范执行。

第五十四条 本规范自公布之日起执行。

发布部门：中国银行业监督管理委员会 发布日期：2008年04月23日 实施日期：2008年04月23日

中央法规)

(