银行重要信息系统突发事件应急管理制度模版.docx

1、银行重要信息系统突发事件应急管理暂行办法 第一章 总则第一条 根据银行业重要信息系统突发事件应急管理规范（试行）、银行业重大突发事件报告制度、商业银行信息科技风险管理指引等有关规定，制定本暂行办法。第二条 银行及各系统托管村镇银行适用本暂行办法。第三条 以下术语适用于本暂行办法：（一）本暂行办法所称重要信息系统是指支撑银行的关键业务，其信息安全、系统服务安全关系公民、法人和组织的权益及社会秩序与公益利益，甚至影响国家安全的信息系统。主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，支撑上述系统运行的前置机、客户端、机房、网络等基础设施也

2、应作为重要信息系统的一部分。（二）本暂行办法所称业务服务时段是指重要信息系统所承载业务对客户提供服务的时间。（三）本暂行办法所称突发事件是指重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的，影响业务持续开展，需要采取应急处置措施应对的事件。（四）本暂行办法所称信息系统应急管理是指贯穿于整个信息系统生命周期中，通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。第二章 组织体系与职责分工第四条 按照“反应灵敏、运转高效、统一领导”的原则，设立突发事件应急处置领导小组，统一领导和管理辖区银行业金融机构信息系统应急处置工作；信息技术部具体负责各重要信

3、息系统应急管理日常工作，以及监督、检查各村镇银行做好重要信息系统突发事件的应急预案和应急管理工作。第五条 突发事件应急处置领导小组和日常信息系统应急管理部门，应针对存在的各类信息系统隐患和暴露出的各类安全问题，督促相关部门采取相应安全防范措施，建立健全预防机制，引导其加强对各应用系统的跟踪与监测，防止因突发事件导致系统出现故障或瘫痪，并最大程度地减少故障或瘫痪造成的损失。第六条 董事会和高级管理层应对本机构应急管理政策及其实施效果负有最终的责任；风险管理部门负责制订应急管理政策和基本管理制度，履行向董事会、高级管理层；信息科技管理部门和业务管理部门负责本机构信息系统突发事件应急管理工作的具体落

4、实，定期组织信息系统应急演练，持续改进本机构信息系统应急预案。第七条 行内建立应急团队，在发生信息系统突发事件时，能够做到及时实施专项应急处置工作。应急团队应包括但不限于应急领导小组、应急执行小组、支持保障小组。针对信息系统突发事件制定应急预案，确保信息系统突发事件发生时，能够做到及时实施专项应急处置工作。第三章 突发事件处置原则第八条 重要信息系统突发事件处置应遵循以下原则：（一）系统不间断原则：重要信息系统应建立灾难备份系统，发生突发事件时，按规定程序切换到灾难备份系统，保障重要信息系统的不间断运行；（二）业务连续性原则：在重要信息系统突发事件处置时，应采取积极有效的措施，保障信息系统业务

5、的连续性处理；（三）数据完整性原则：在重要信息系统突发事件处置时，应尽快查找丢失的信息科技数据，确保数据的完整性和社会资金安全；（四）可操作性原则：重要信息系统突发事件处置实施方案应体现以人为本，具有可操作性；（五）立即报告原则：发生重要信息系统突发事件应立即向有关单位应急处置领导小组报告，不得隐瞒不报或延迟报告；（六）及时响应原则：一旦发生重要信息系统突发事件，应迅速判断发生原因，预计解决时间，并及时启动应急预案。 第四章 突发事件分级第九条 突发事件依照其影响范围及持续时间等因素分级。突发事件同时满足多个级别的定级条件时，按最高级别确定突发事件等级。（一）特别重大突发事件（I级）1、由于重

6、要信息系统服务中断或重要数据损毁、丢失、泄露，造成经济秩序混乱或重大经济损失、影响地方金融稳定的，或对公众利益造成特别严重损害的突发事件。2、由于重要信息系统服务异常，在业务服务时段导致其辖区两个（含）以上分支机构业务无法正常开展达3个小时（含）以上，或一个分支机构业务无法正常开展达6小时（含）以上的突发事件。3、业务服务时段以外，重要信息系统出现的故障或事件救治未果，可能产生上述1 至2 类的突发事件。（二）重大突发事件（II级）1、由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对银行或客户利益造成严重损害的突发事件。2、由于重要信息系统服务异常，在业务服务时段导致其辖区两个（含）以上

7、分支机构业务无法正常开展达1个小时（含）以上，或一个分支机构业务无法正常开展达3小时（含）以上的突发事件。3、业务服务时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1 至2 类的突发事件。（三）较大突发事件（III级）1、由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对银行或客户利益造成较大损害的突发事件。2、由于重要信息系统服务异常，在业务服务时段导致辖区一个分支机构业务无法正常开展达2个小时（含）以上的突发事件。3、业务服务时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1 至2 类的突发事件。第十条 重要信息系统突发事件发生后，应依据事件影响范围和影响时间

8、的变化，按照上述定义进行事件级别升级。第五章 应急预案与演练第十一条 为保障重要信息系统安全、高效、稳定运行，从基础设施、网络、信息系统等不同方面，分类制定本机构应急预案。编制的信息系统应急预案应包括以下内容：（一）明确有关各方的分工和责任；（二）说明重要信息系统的业务影响范围、恢复时间目标、恢复点目标、以及信息系统包括的系统资源，明确资源的物理位置、设备型号、软件资源、网络配置等关键信息；（三）明确各类故障的诊断方法和流程；应急场景应至少覆盖电力故障、通信线路故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力因素、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与信

9、息系统相关的故障； （四）制定系统恢复流程和应急处置操作手册，应尽可能将操作代码化、自动化，降低应急处置过程中产生的操作风险；（五）明确应急恢复过程中的关键状态，并明确不同状态的沟通和报告内容及等级；（六）明确应急相关人员的协调内容和沟通方式；（七）明确系统重建步骤，确保信息系统恢复正常业务处理能力。第十二条 将支撑信息系统运行的重要外包服务的应急管理纳入其中，建立重要外包服务的专项应急预案，对于重要基础设施、重要设备、网络、系统集成以及其他外包服务商的技术与产品政策、服务水平、服务能力制定风险应对措施，外包服务的应急预案应能够保障银行业信息系统恢复时间目标和恢复点目标的要求。第十三条 定期对

10、应急预案进行测试和演练，确保其有效性。当信息系统发生系统上线、系统升级、网络改造、设备更新、配置参数调整等变更时应及时更新应急预案，并适时实施演练。第十四条 制定年度信息系统应急演练计划，明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。演练计划应涵盖对应急预案各环节的检验，验证应急预案的有效性、应急资源的完备性及应急人员的适应性。应急演练应做到综合演练和专项演练相结合，一般情况下，银行业金融机构每年至少应组织一次综合应急演练和四次专项应急演练。第十五条 严格按照应急演练计划实施应急演练，并注意如下事项：（一）以应急预案为基础，制定应急演练总体方案，并进行风险再评估，制定相应的保障

11、措施；（二）应急演练内容应全面完整，涵盖信息系统的各类应急场景；（三）严格控制应急演练引起的信息系统变更风险，避免因演练导致服务中断；（四）应急演练应选择在非主要业务时段进行；（五）应急演练完成后，应保证实施应急预案所需的各项资源恢复正常；（六）定期对信息系统应急响应相关人员进行培训。第十六条 应急演练结束后，应撰写应急演练情况总结报告。总结报告包括但不限于：内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论。第十七条 根据演练总结报告提出的改进措施进行整改，及时修订相应的应急预案，并组织审计部门对整改情况进行监督和检查。第十八条

12、为保障重要信息系统安全、高效、稳定运行，应建设较为完备的灾难备份系统，该系统要在硬件设备、应用软件、网络环境、场地环境、运行耗材、人力资源等方面满足正常运行的要求。逐步建立健全重要信息系统和相关系统的运行维护机制，明确运行维护的主体，制定严格的运行管理制度，建立责任追究和赔偿机制，建立科学合理的运行维护管理体制。第十九条 信息系统应急预案、年度应急演练计划、应急演练总结报告和应急团队名单，以及变化情况要及时报送当地监管局备案。第六章 应急响应第二十条 在重要信息系统突发事件发生后，事发银行业金融机构应急领导小组应立即根据其内部有关应急处置的制度规定，及时启动应急预案，进行自救。在能够明确故障原

13、因并可自主修复的情况下，领导小组立即组织相关系统的技术人员和业务人员，对突发事件影响系统的程度及系统恢复时间给出合理评估，并提出相应建议，确定适当的危机处置预案并组织实施。在不能判断故障原因并自主修复时，应急领导小组应及时上报上级单位，在上级单位的指导和支持下进行故障判断和修复工作，同时采取相应的应急措施。第二十一条 突发事件应急响应流程：（一）应急执行小组应根据既定的应急预案，启动应急操作，并及时报告应急领导小组。应急处置应集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施；（二）对于应急预案没有覆盖的突发事件，应立即报告应急领导小组进行应急决策；（三）

14、应急领导小组应立即启动本机构应急组织，组织协调机构内部进行应急处置，并负责向监管部门报告应急响应情况；（四）支持保障小组做好各项应急保障工作，为应急处置提供场地、交通、通讯及其他后勤保障；（五）在重要信息系统突发事件后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门，并在事件发生后12小时内提交正式书面报告；（六）对造成经济秩序混乱或重大经济损失、影响金融稳定的，或对银行、客户、公众的利益造成损害的突发事件，银行业金融机构要立即上报；（七）应急处置重大进展情况及时上报银监会或其派出机构，直至应急结束。级突发事件发生后，银行业金融机构应每2小时将应急处置进展情况上报，直至

15、应急结束。第二十二条 应急处置中所有相关的信息和处理过程应进行严格记录，外部供应商的处理过程应有专门记录文件，如果涉及到保险理赔，中间过程和场景可用摄像设备进行记录。所有过程资料应由专人存档保管。第二十三条 应急处置过程中出现异常或应急预案、决策方案失效，银行业金融机构应急领导小组要立即上报银监会或其派出机构信息系统应急管理部门。第二十四条重要信息系统突发事件发生后，根据突发事件的严重程度，应急领导小组应及时向新闻媒体发布相关信息，严格按照行业、机构的相关规定和要求对外发布信息，机构内其它部门或者个人不得随意接受新闻媒体采访或对外发表个人看法。第二十五条重要信息系统恢复正常服务即为应急结束。第

16、二十六条应急结束后，应针对应急工作进行评估和总结，并报银监会或其派出机构信息系统应急管理部门。总结报告应包括信息系统突发事件评估、处置工作总结以及症结分析和相应建议等内容。（一）突发事件评估应包括现象、影响范围、处理时间和过程以及造成的损失；（二）处置工作总结应评价应急预案的可用性，分析处置工作中存在的问题，总结处置工作的整体过程；（三）症结分析和相应建议应分析突发事件的深层次原因，反映存在的困难和问题，并提出改进措施、计划及相关建议。第七章应急保障第二十七条建立长效的人员保障机制，确保人员能够胜任应急处置工作。在人员保障方面应达到以下要求：（一）确保应急处置人员具备应急工作必要的技术资质，定

17、期组织人员培训以满足应急处置的要求，并通过应急演练，保证应急处置人员的熟练度；（二）确保主、备岗机制的落实；（三）确保主、备岗人员定期进行互换；（四）避免一人兼过多的岗位。第二十八条建立有效的物质保障机制，确保在应急响应过程中不会因物质缺乏而导致应急处置中断或延长应急处置时间。在物质保障方面应达到以下要求：（一）储备一定数量应急设备或物资，并确保物资供应渠道畅通；（二）建立应急响应专项资金预算管理与审批制度，确保应急响应过程中及时进行应急物资采购。第二十九条建立有效的技术保障机制，确保在应急响应过程中不会因技术能力缺乏而导致应急处置中断或延长应急处置时间。在技术保障方面应达到以下要求：（一）建

18、立应急事件预警平台，确保及时发现应急事件，并及时通知有关人员启动应急响应；（二）明确相关厂商的技术支持服务水平，确保应急处置过程中相关厂商能够提供及时有效的技术支持。第三十条采取必要的通讯保障措施，确保应急响应通讯及时有效。在通讯保障方面应达到以下要求：（一）适时更新各级应急管理机构联络人和联络方式；（二）建立多种通讯渠道，避免单一通讯风险，并明确各通讯渠道使用的优先顺序。第八章持续改进第三十一条 每年应开展一次对突发事件风险防范措施的全面评估和审计活动，包括评估风险识别、分析和控制措施的有效性、应急预案的完备性、应急演练的全面性和及时性等，检验防范措施的有效性，并及时发现新的风险，改进风险控制措施，进一步完善应急预案，形成风险防范措施的持续改进。第三十二条每年开展一次对应急响应工作的全面评估和审计活动。评估范围包括应急响应的有效性、投入资源的充分性、突发事件报告的及时性等，确保应急响应持续有效。第三十三条对应急管理的策略、机制、方法、流程等不断完善，对应急管理过程中发现的问题适时整改。第三十四条将应急管理纳入到全面风险管理体系中，建立应急管理的长效机制，保证应急管理工作的持续性和有效性。 第八章 附则第三十五条 本暂行办法由银行制定并负责解释。第三十六条 本暂行办法自发布之日起实施。