第二十七条银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和信息科技部门对投产及变更的有效性进行验证。
第二十八条银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,并适时实施演练。
第二十九条银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。
第五章 投产及变更报告
第三十条银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。
第三十一条银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于: (一) 总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。
(二) 重要信息系统基本信息,包括:系统名称,业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。
(三) 重要信息系统信息安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。
(四) 涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。
(五) 采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。
(六) 投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。
(七) 风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。
(八) 应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。
第三十二条银行业金融机构应在重要信息系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料, 内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。
第三十三条银行业金融机构应按照属地监管原则提交报告材料,报送路线如下:
(一)银行业金融机构法人组织实施投产及变更的,由该法人机构统一向中国银监会或其派出机构提交报告材料。
(二)银行业金融机构分行组织实施投产及变更的,由分行向
所在地中国银监会派出机构提交报告材料。
第三十四条重要信息系统投产及变更如失败需重新安排的,银行业金融机构应再次向中国银监会或其派出机构报告。第三十五条银行业金融机构数据中心机房设立、场所变更,应按照中国银监会有关数据中心管理规范报告。
第六章 监督管理
第三十六条针对银行业金融机构重要信息系统投产及变更风险,中国银监会及其派出机构可以采取风险提示、约见谈话、监管质询等措施。
第三十七条中国银监会及其派出机构可依法对银行业金融机构的重要信息系统投产及变更实施现场检查。
第三十八条银行业金融机构违反本办法有关规定的,中国银监会及其派出机构将依法追究相关责任。
第七章 附 则
第三十九条本办法由中国银监会负责解释和修订。第四十条本办法自公布之日起执行。