1、农商行信息系统突发事件应急管理办法第一章 总则第一条 为规范全省农商行信息系统突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范信息系统风险,根据商业银行信息科技风险管理指引、银行业重要信息系统突发事件应急管理规范(试行),特制定本办法。第二条 本办法所称省联社是指农商行联合社。本办法所称市级机构包括省联社各市办事处和市级联社,市级联社包括忻州、运城、吕梁市农村信用合作社联合社。本办法所称县级机构包括县(市、区)农村信用合作联社、农村合作银行、农村商业银行。 第三条 本办法适用于全省农商行(含农村合作银行、农村商业银行)。第四条 信息系统应急工作基于信息系统风险分析,依托
2、业务连续性计划,服务于信息系统监控预警响应,落实在信息系统的应急组织、应急处置和应急保障的各个方面,呈现于各类应急预案之中。应急预案是基于平时应急管理工作的成果,描述应急处置目标、处置流程和处置方法等内容,以保障在突发事件发生时能有条不紊地做出应急反应,确保应急处置工作能协调、有序地达到预期目标。第二章 组织管理与职责第五条 省联社科技信息系统应急工作领导小组负责领导监督信息系统应急管理体系建设,研究确定应急处置重大决策和指导意见,为应急管理工作配置充分的资源,定期听取风险状况分析、信息系统重大突发事件、现有应急管理政策重大修改等汇报,负责信息系统突发事件信息披露等。第六条 省联社科技信息中心
3、是全省农商行信息系统应急处理日常管理机构,其应急管理职责是:(一)管理、指导全省农商行信息系统应急处置工作;(二)向省联社领导报告农商行信息系统突发事件,并按相关规定和程序向监管部门报告;(三)通报、发布农商行信息系统应急处理情况;(四)发布信息系统突发事件预警信息,并组织、指导农商行相关机构采取应对措施;(五)组织、管理、监督、检查农商行信息系统应急演练;(六)建立农商行各级应急管理组织机构通讯联络方式。第七条 省联社各业务部门负责制定其业务条线的业务连续性计划及相应业务应急预案,参与跨部门应急演练。第八条 省联社风险管理部门负责指导及监督信息系统应急管理中相关风险评估工作及全社业务连续性计
4、划的制定。第九条 市级机构、县级机构应结合本地实际情况设立相应的应急管理组织机构,明确职责并管理、指导、检查辖内农商行根据省联社的统一部署做好应急预案和演练,负责辖内农商行信息系统突发事件应急管理工作。第三章 业务影响风险及预防措施第十条 各业务部门要积极开展业务影响分析,识别关键业务功能,基于业务性质、监管要求及投入应急成本等方面的综合考虑,初步确定各业务系统的恢复时间目标(RTO)和恢复点目标(RPO)。第十一条 各业务部门应根据相应信息系统的特点,制订业务连续性计划并制订业务应急预案,在信息系统故障恢复前根据业务应急预案采取措施保证关键业务的进行。第十二条 科技部门根据信息系统自身的特点
5、、运行情况、影响范围和投入成本与相关业务部门充分沟通,双方商定各信息系统的故障恢复时间目标和恢复点目标;对多个信息系统的恢复次序进行排序,确定各信息系统的恢复优先级。第十三条 科技部门会同业务部门对信息系统可能面临的风险进行分析并采取积极措施降解风险。对一时降解不了的风险应预先分析可能的应对手段,使结果控制在预期的范围内,以保障信息系统在异常情况发生时能按预先设计的目标进行恢复,保障信息系统的恢复时间目标和恢复点目标得以实现,并据此进行文档化工作,建立专门性应急预案。第十四条 负责信息系统日常运行的科技部门和业务部门应安排人员或使用工具对可能引发安全生产事件的风险点进行监控,对异常现象应及时报
6、告并触发相应预案。应保留监控记录并进行定期分析,对事件发生规律和发展趋势进行探索,提高预防事件发生的能力。第四章 建立应急预案的原则第十五条 应急预案应具备以下特性:易读性、可操作性和有效性。第十六条 农商行科技信息应急预案是全省农商行信息系统应急演练的总体方案。第十七条 各级农商行应以信息系统应急演练总体方案和本管理办法为基础,根据具体情况制定应急预案,预案可分为总体性应急预案和专门性应急预案。第十八条 总体性应急预案是阐述应急处置的体制和准则,内容包括:预案目的、作用和一般原则,应急组织机构、指挥体系和各相关单位的职责,对内沟通方式和对外解释途径,生产事件预防措施和事前准备工作,事件的监控
7、预警、报告流程、应急处置及恢复,事后分析总结要求等。第十九条 专门性应急预案是针对某个或某类系统出现的具体风险或场景而制定的专项预案,内容应包括:适用场景描述,涉及的角色,启用的前提条件,应急对象的固有属性,应急处置说明(细化到操作步骤和指令)和预案维护说明等。第二十条 由于突发事件处置的紧迫性和特殊性,在应急预案设计和处置时应考虑处置过程中可能存在的风险并在实际处置中全程记载操作痕迹、记录处置过程,并在处置完成后安排专人进行事后审计。第二十一条 各级农商行应建立并维护与应急预案配套的联系机制,确保紧急情况下能及时准确的沟通。第二十二条 县级机构应急预案应上报市级机构备案;市级机构应急预案应报
8、省联社科技信息中心备案。第五章 应急演练第二十三条 各级农商行应结合各自的特点开展应急演练工作,以评估应急机制的可操作性,评估预案与实际应急处置的符合性及其有效性和及时性。应急演练可分为完全演练和部分演练。完全演练需采用真实环境或实战方式进行,部分演练可采用变通的方式以减少对业务的影响。第二十四条 各级农商行在年初应根据本单位实际情况拟订本单位年度应急演练计划并报上级科技部门备案。应急预案在两年内应至少进行一次演练。第二十五条 应急演练应尽量选择在非营业时间进行,以减少对生产系统和客户服务的影响。第二十六条 应急演练开始前应做好充分准备,落实责任人员,明确演练目标,确保演练效果。演练准备工作包
9、括:制定应急演练计划,设计应急场景,确定参加单位和角色人员,明确场地、设施和环境,举办应急预案培训活动,使相关人员了解应急处置的流程和步骤,做好必要沟通和对外公告。第二十七条 应急演练进行时,应指派评估人员对应急演练过程进行记录,尤其对于应急演练全过程中产生的问题要如实记录。第二十八条 应急演练结束后,应根据评估人员的评估报告对应急演练过程进行总结,及时发现应急预案或应急部署中的不足,对于应急演练中出现的问题应进行充分讨论并通过修订应急预案或完善流程等方法进行整改。第六章 应急处置第二十九条 各级农商行系统运行维护人员和值班人员应认真履行职责,加强信息系统的监控,及时发现异常现象,同时采取有效
10、措施防止事态进一步扩大。第三十条 各级农商行系统运行维护人员和值班人员应按照预先确定的流程启动应急处置工作,包括但不限于执行应急预案、报告负责人、召集有关人员到指定地点集结。第三十一条 应急处置过程中应尽可能保护必要的现场、访问日志和操作记录,为事后处置及分析提供依据和证据。第三十二条 应急处置过程中应妥善处理好信息发布工作。第三十三条 相关岗位人员应严格履行职责,积极参与应急处置工作。对临阵脱逃、拒不执行指挥人员指令的人员应严肃处理。第七章 事后分析总结第三十四条 事件发生单位和上一级管理部门应对事件现象、发生的原因、影响的范围、解决方法、处置过程和处置效果等内容进行分析总结,形成文字材料存
11、档并报省联社科技信息中心备查。第八章 应急预案维护第三十五条 各级农商行对应急预案应进行必要的维护,包括但不限于定期进行适应性分析、流程性分析、人员分析及操作性分析。【适应性分析】当信息系统发生变更时,需要进行相关应急预案的适应性分析,对不适应处进行修改。【流程性分析】当组织架构发生变化时,应对相关应急预案中可能涉及的上报及处置流程进行分析,对变化处进行修改。【人员分析】应根据人员变化、调动情况及时调整相关岗位人员,特别要注意维保公司及其维护人员的变化,与应急预案配套的通讯方式须同步更新。【操作性分析】当进行演练或实战时,对操作的适用性和效果进行分析,对不相宜的内容进行修订。第三十六条 各级农商行应安排专人负责预案的培训、保管、分发和回收。相关人员在收到更新的预案的同时应交还老版本的预案。老版本预案除用做档案外应及时销毁。第三十七条 应急预案应存放在各使用地点,并按照保密要求进行管理。第九章附则第三十八条 本办法由省联社负责解释,各级农商行可参照本办法,结合实际情况,制定具体的实施细则。第三十九条 本办法自下发之日起施行。