(四)应急演练应选择在非主要业务时段进行;
(五)应急演练完成后,应保证实施应急预案所需的各项资源一12 一
恢复正常; (六)定期对信息系统应急响应相关人员进行培训。第二十六条银行业金融机构应积极配合其他业务相关机构完成跨机构或跨行业应急演练。
第二十七条银行业金融机构在应急演练的过程中,对可能存在较大风险的演练(如全系统范围的演练),应按属地监管原则,在实施演练前将应急演练计划向银监会或其派出机构报备。第二十八条应急演练结束后,银行业金融机构应撰写应急演练情况总结报告,大型或重要的应急演练总结报告应提交董事会和高管层。总结报告包括但不限于:内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论。 第二十九条银行业金融机构应根据演练总结报告提出的改进措施进行整改,及时修订相应的应急预案,并组织审计部门对整改情况进行监督和检查。 第三十条对于全系统范围的年度演练或跨机构和跨行业的演练,银行业金融机构应将演练总结报告上报银监会或其派出机构。
第三十一条银行业金融机构在应急演练的过程中,应根据审计、监管部门要求,将应急演练计划、过程记录和结果分析等归档。 」― lse . lt 峨肠口峨口口口口口口 第六章应急响应
第三十二条银行业金融机构应按照本机构既定的应急预案,做好应急处置,快速有效处置突发事件。
第三十三条银行业金融机构风险管理部门应在董事会和高管层授权下负责突发事件报告,并指定专人为报告责任人。当报告责任人确定或发生变更时应及时向银监会或其派出机构信息系统应急管理部门报备。
当多个重要信息系统同时受到影响时,按照受影响程度最高原则报告。
第三十四条全国性银行业金融机构总部向银监会信息系统应急管理部门报告;全国性银行业金融机构的一级分支机构、地方性银行业金融机构向当地银监会派出机构信息系统应急管理部门报告。 第三十五条突发事件应急响应流程:
(一)应急执行小组应根据既定的应急预案,启动应急操作,并及时报告应急领导小组。应急处置应集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施; (二)对于应急预案没有覆盖的突发事件,应立即报告应急领导小组进行应急决策;
(三)应急领导小组应立即启动本机构应急组织,组织协调机
构内部进行应急处置,并负责向监管部门报告应急响应情况;(四)支持保障小组做好各项应急保障工作,为应急处置提供场地、交通、通讯及其他后勤保障; (五)银行业金融机构应在重要信息系统突发事件发生后60 分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12 小时内提交正式书面报告;(六)对造成经济秩序混乱或重大经济损失、影
响金融稳定的,或对银行、客户、公众的利益造成损害的突发事件,银行业金融机构要立即上报;
(七)银行业金融机构应将应急处置重大进展情况及时上报银监会或其派出机构,直至应急结束。I 级突发事件发生后,银行业金融机构应每2 小时将应急处置进展情况上报,直至应急结束。第三十六条上报银监会或其派出机构的书面报告内容应包括突发事件时间、地点、现象、影响的业务范围、原因分析、后果的初步判断、已采取的措施、后续拟采取方案的建议、事件报告单位、联系人及联系方式、其他与本突发事件有关的内容,并在报告中重点明确需要银监会协调的事项。
第三+七条银监会及其派出机构信息系统应急管理部门根据银行业金融机构应急协调需求,组织协调国家信息化管理、信息安全管理、治安管理、电力管理等跨部门资源,统筹安排处置工作。第三十八条应急处置中所有相关的信息和处理过程应进行严格记录,外部供应商的处理过程应有专门记录文件,如果涉及到一15 一
保险理赔,中间过程和场景可用摄像设备进行记录。所有过程资料应由专人存档保管。
第三十九条应急处置过程中出现异常或应急预案、决策方案失效,银行业金融机构应急领导小组要立即上报银监会或其派出机构信息系统应急管理部门。 第四十条重要信息系统突发事件发生后,银行业金融机构应将相关信息及时通报给受影响的外部机构及重要客户,并将相关信息准确通报给相关设备及服务提供商、电信、电力等外部组织,以获得应急响应支持。
第四十一条重要信息系统突发事件发生后,根据突发事件的严重程度,银行业金融机构应急领导小组应及时向新闻媒体发布相关信息,严格按照行业、机构的相关规定和要求对外发布信息,机构内其它部门或者个人不得随意接受新闻媒体采访或对外发表个人看法。
第四十二条重要信息系统恢复正常服务即为应急结束。第四十三条银行业金融机构在应急结束后,应针对应急工作进行评估和总结,并报银监会或其派出机构信息系统应急管理部门。总结报告应包括信息系统突发事件评估、处置工作总结以及症结分析和相应建议等内容。
(一)突发事件评估应包括现象、影响范围、处理时间和过程以及造成的损失; (二)处置工作总结应评价应急预案的可用性,分析处置工作一16 一 中存在的问题,总结处置工作的整体过程; (三)症结分析和相应建议应分析突发事件的深层次原因,反映存在的困难和问题,并提出改进措施、计划及相关建议。 第七章应急保障
第四十四条银行业金融机构应建立长效的人员保障机制,确保人员能够胜任应急处置工作。在人员保障方面应达到以下要求: (一)确保应急处置人员具备应急工作必要的技术资质,定期组织人员培训以满足应急处置的要求,并通过应急演练,保证应急处置人员的熟练度; (二)确保主、备岗机制的落实;
(三)确保主、备岗人员定期进行互换;
(四)避免一人兼过多的岗位。
第四十五条银行业金融机构应建立有效的物质保障机制,确保在应急响应过程中不会因物质缺乏而导致应急处置中断或延长应急处置时间。在物质保障方面应达到以下要求:
(一)储备一定数量应急设备或物资,并确保物资供应渠道畅通; (二)建立应急响应专项资金预算管理与审批制度,确保应急响应过程中及时进行应急物资采购。 一17 一
第四十六条银行业金融机构应建立有效的技术保障机制,确保在应急响应过程中不会因技术能力缺乏而导致应急处置中断或延长应急处置时间。在技术保障方面应达到以下要求:(一)建立应急事件预警平台,确保及时发现应急事件,并及时通知有关人员启动应急响应; (二)明确相关厂商的技术支持服务水平,确保应急处置过程中相关厂商能够提供及时有效的技术支持。
第四十七条银行业金融机构应采取必要的通讯保障措施,确保应急响应通讯及时有效。在通讯保障方面应达到以下要求:(一)适时更新各级应急管理机构联络人和联络方式;(二)建立多种通讯渠道,避免单一通讯风险,并明确各通讯渠道使用的优先顺序。 第八章持续改进 les 习
第四十八条银行业金融机构应每年开展一次对突发事件风险防范措施的全面评估和审计活动,包括评估风险识别、分析和控制措施的有效性、应急预案的完备性、应急演练的全面性和及时性等,检验防范措施的有效性,并及时发现新的风险,改进风险控制措施,进一步完善应急预案,形成风险防范措施的持续改进。第四十九条银行业金融机构应每年开展一次对应急响应工作的全面评估和审计活动。评估范围包括应急响应的有效性、投一18 一
― - - . . . . . . . . . . . . . .」.胜二.卜乓目口口口口口口口口口 入资源的充分性、突发事件报告的及时性等,确保应急响应持续有效。
第五十条银行业金融机构应对应急管理的策略、机制、方法、流程等不断完善,对应急管理过程中发现的问题适时整改。第五十一条银行业金融机构应将应急管理纳入到全面风险管理体系中,建立应急管理的长效机制,保证应急管理工作的持续性和有效性。 第九章附则
第五十二条本规范由银监会负责解释和修订。银行业金融机构可依据本规范制定具体的信息系统应急管理实施细则。第五十三条在中国境内设立的金融资产管理公司、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司及银监
会批准设立的其他金融机构,参照本规范执行。 第五十四条本规范自公布之日起执行。
主题词:信息系统应急规范通知
内部发送:信息中心、法规部、银行一部、银行二部、银行三部、银行四部、非银部、合作部、创新监管部(共印148 份)联系人:骆絮飞联系电话:66278572 校对:骆絮飞中国银行业监督管理委员会办公厅二00 八年四月二十四日印发 哪麒鬓撇鞭ul1