版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引中國銀行業(yè)監(jiān)督管理委員會2010年4月20日第一章總則第一條為加強商業(yè)銀行數(shù)據(jù)中心風(fēng)險管理,保障數(shù)據(jù)中心安全、可靠、穩(wěn)定運行,提高商業(yè)銀行業(yè)務(wù)連續(xù)性水平,根據(jù)中華人民共和國銀行業(yè)監(jiān)督管理法及中華人民共和國商業(yè)銀行法制定本指引。第二條在中華人民共和國境內(nèi)設(shè)立的國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城市商業(yè)銀行、省級農(nóng)村信用聯(lián)合社、外商獨資銀行、中外合資銀行適用本指引。中國銀行業(yè)監(jiān)督管理委員會(以下簡稱中國銀監(jiān)會)監(jiān)管的其他金融機構(gòu)參照本指引執(zhí)行。第三條以下術(shù)語適用于本指引:(一)本指引所稱數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心(以下簡稱災(zāi)備中心)。(二)本指引所稱生產(chǎn)中
2、心是指商業(yè)銀行對全行業(yè)務(wù)、客戶和管理等重要信息進(jìn)行集中存儲、處理和維護(hù),具備專用場所,為業(yè)務(wù)運營及管理提供信息科技支撐服務(wù)的組織。(三)本指引所稱災(zāi)備中心是指商業(yè)銀行為保障其業(yè)務(wù)連續(xù)性,在生產(chǎn)中心故障、停頓或癱疾后,能夠接替生產(chǎn)中心運行,具備專用場所,進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運行的組織。(四)本指引所稱災(zāi)備中心同城模式是指災(zāi)備中心與生產(chǎn)中心位于同一地理區(qū)域,一般距離數(shù)十公里,可防范火災(zāi)、建筑物破壞、電力或通信系統(tǒng)中斷等事件。災(zāi)備中心異地模式是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域,一般距離在數(shù)百公里以上,不會同時面臨同類區(qū)域性災(zāi)難風(fēng)險,如地震、臺風(fēng)和洪水等。(五)本指引所稱重要信息系統(tǒng)是指
3、支撐重要業(yè)務(wù),其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和組織的權(quán)益,或關(guān)系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且時效性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。第四條 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范(GB/T209882007)中的條款通過本指引的引用而成為本指引的條款。第二章設(shè)立與變更第五條商業(yè)銀行應(yīng)于取得金融許可證后兩年內(nèi),設(shè)立生產(chǎn)中心;生產(chǎn)中心設(shè)立后兩年內(nèi),設(shè)立災(zāi)備中心。第六條商業(yè)銀行數(shù)據(jù)中心應(yīng)配置滿足業(yè)務(wù)運營與管理要求的場地、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)和人員,并具備支持業(yè)務(wù)不間斷服務(wù)的能力。第
4、七條總資產(chǎn)規(guī)模一千億元人民幣以上且跨省設(shè)立分支機構(gòu)的法人商業(yè)銀行,及省級農(nóng)村信用聯(lián)合社應(yīng)設(shè)立異地模式災(zāi)備中心,重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 中定義的災(zāi)難恢復(fù)等級第5級(含)以上;其他法人商業(yè)銀行應(yīng)設(shè)立同城模式災(zāi)備中心并實現(xiàn)數(shù)據(jù)異地備份,重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范中定義的災(zāi)難恢復(fù)等級第4級(含)以上。第八條商業(yè)銀行應(yīng)就數(shù)據(jù)中心設(shè)立,數(shù)據(jù)中心服務(wù)范圍、服務(wù)職能和場所變更,以及其他對數(shù)據(jù)中心持續(xù)運行具有較大影響的重大變更事項向中國銀監(jiān)會或其派出機構(gòu)報告。第九條商業(yè)銀行應(yīng)在數(shù)據(jù)中心規(guī)劃籌建階段,以及在數(shù)據(jù)中心正式運營前至少20個工
5、作日,向中國銀監(jiān)會或其派出機構(gòu)報告。第十條商業(yè)銀行變更數(shù)據(jù)中心場所時應(yīng)至少提前2個月,其他重大變更應(yīng)至少提前10個工作日向中國銀監(jiān)會或其派出機構(gòu)報告。第三章風(fēng)險管理第十一條商業(yè)銀行信息科技風(fēng)險管理部門應(yīng)制定數(shù)據(jù)中心風(fēng)險管理策略、風(fēng)險識別和評估流程,定期開展風(fēng)險評估工作,對風(fēng)險進(jìn)行分級管理,持續(xù)監(jiān)督風(fēng)險管理狀況,及時預(yù)警,將風(fēng)險控制在可接受水平。第十二條商業(yè)銀行信息科技部門應(yīng)指導(dǎo)、監(jiān)督和協(xié)調(diào)數(shù)據(jù)中心明確信息系統(tǒng)運營維護(hù)管理策略,建立運營維護(hù)管理制度、標(biāo)準(zhǔn)和流程,落實信息科技風(fēng)險管理措施。第十三條商業(yè)銀行數(shù)據(jù)中心應(yīng)建立健全各項管理與內(nèi)控制度,從技術(shù)和管理等方面實施風(fēng)險控制措施。第十四條商業(yè)銀行數(shù)據(jù)
6、中心應(yīng)設(shè)立專門管理崗位,監(jiān)督、檢查數(shù)據(jù)中心各項規(guī)范、制度、標(biāo)準(zhǔn)和流程的執(zhí)行情況以及風(fēng)險管理狀況。第十五條商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)影響分析所識別出風(fēng)險的可能性和損失程度,決定是否購買商業(yè)保險以應(yīng)對不同類型的災(zāi)難,并定期檢查其保險策略及范圍。投保資產(chǎn)清單應(yīng)保存于安全場所,以便索賠時使用。第十六條商業(yè)銀行內(nèi)部審計部門應(yīng)至少每三年進(jìn)行一次數(shù)據(jù)中心內(nèi)部審計。第十七條商業(yè)銀行在采取有效信息安全控制措施的前提下,可聘請合格的外部審計機構(gòu)定期對數(shù)據(jù)中心進(jìn)行審計。第十八條商業(yè)銀行數(shù)據(jù)中心應(yīng)根據(jù)內(nèi)、外部審計意見,及時制定整改計劃并實施整改。第四章運行環(huán)境管理第十九條商業(yè)銀行進(jìn)行數(shù)據(jù)中心選址時,應(yīng)進(jìn)行全面的風(fēng)險評估,綜合
7、考慮地理位置、環(huán)境、設(shè)施等各種因素對數(shù)據(jù)中心安全運營的潛在影響,規(guī)避選址不當(dāng)風(fēng)險,避免數(shù)據(jù)中心選址過度集中。第二十條數(shù)據(jù)中心選址應(yīng)滿足但不限于以下要求:(一)生產(chǎn)中心與災(zāi)備中心的場所應(yīng)保持合理距離,避免同時遭受同類風(fēng)險。(二)應(yīng)選址于電力供給可靠,交通、通信便捷地區(qū);遠(yuǎn)離水災(zāi)和火災(zāi)隱患區(qū)域;遠(yuǎn)離易燃、易爆場所等危險區(qū)域;遠(yuǎn)離強振源和強噪聲源,避開強電磁場干擾;應(yīng)避免選址于地震、地質(zhì)災(zāi)害高發(fā)區(qū)域。第二十一條數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)應(yīng)以滿足重要信息系統(tǒng)運行高可用性和高可靠性要求、保障業(yè)務(wù)連續(xù)性為目標(biāo),應(yīng)滿足但不限于以下要求:(一)建筑物結(jié)構(gòu),如層高、承重、抗震等,應(yīng)滿足專用機房建設(shè)要求。(二)應(yīng)根據(jù)使
8、用要求劃分功能區(qū)域,各功能區(qū)域原則上相對獨立。(三)應(yīng)配備不間斷電源、應(yīng)急發(fā)電設(shè)施等以滿足信息技術(shù)設(shè)備連續(xù)運行的要求。(四)通信線路、供電、機房專用空調(diào)等基礎(chǔ)設(shè)施應(yīng)具備冗余能力,進(jìn)行冗余配置,消除單點隱患。(五)機房區(qū)域應(yīng)采用氣體消防和自動消防預(yù)警系統(tǒng),內(nèi)部通道設(shè)置、裝飾材料等應(yīng)滿足消防要求,并通過消防驗收。(六)應(yīng)采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護(hù)措施。(七)應(yīng)采用環(huán)保節(jié)能技術(shù),降低能耗,提高效率。第二十二條數(shù)據(jù)中心安防與基礎(chǔ)設(shè)施保障應(yīng)滿足但不限于以下要求:(一)各功能區(qū)域應(yīng)根據(jù)使用功能劃分安全控制級別,不同級別區(qū)域采用獨立的出入控制設(shè)備,并集中監(jiān)控,各區(qū)域出入口及重要位置應(yīng)采用
9、視頻監(jiān)控,監(jiān)控記錄保存時間應(yīng)滿足亭件分析、監(jiān)督審計的需要。(二)應(yīng)具備機房環(huán)境監(jiān)控系統(tǒng),對基礎(chǔ)設(shè)施設(shè)備、機房環(huán)境狀況、安防系統(tǒng)狀況進(jìn)行7x24小時實時監(jiān)測,監(jiān)測記錄保存時間應(yīng)滿足故障診斷、事后審計的需要。(三)每年至少開展一次針對基礎(chǔ)設(shè)施的安全評估,對基礎(chǔ)設(shè)施的可用性和可靠性、運維管理流程以及人員的安全意識等方面進(jìn)行檢查,及時發(fā)現(xiàn)安全隱患并落實整改。第二十三條數(shù)據(jù)中心應(yīng)來用兩家或多家通信運營商線路互為備份。互為備份的通信線路不得經(jīng)過同一路由節(jié)點。第五章運營維護(hù)管理第二十四條商業(yè)銀行應(yīng)建立滿足業(yè)務(wù)發(fā)展要求的數(shù)據(jù)中心運營維護(hù)管理體系,根據(jù)業(yè)務(wù)需求定義運營維護(hù)服務(wù)內(nèi)容,制定服務(wù)標(biāo)準(zhǔn)和評價方法,建立運
10、營維護(hù)管理持續(xù)改進(jìn)機制。第二十五條 數(shù)據(jù)中心應(yīng)建立滿足信息科技服務(wù)要求的運營管理組織架構(gòu)。設(shè)立生產(chǎn)調(diào)度、信息安全、操作運行維護(hù)、質(zhì)量合規(guī)管理等職能相關(guān)的部門或崗位,明確崗位和職責(zé),配備專職人員,提供崗位專業(yè)技能培訓(xùn),確保關(guān)鍵崗位職責(zé)分離,通過職責(zé)分工和崗位制約降低數(shù)據(jù)中心操作風(fēng)險。第二十六條數(shù)據(jù)中心應(yīng)建立信息科技運行維護(hù)服務(wù)管理流程,提高整體運行效率和服務(wù)水平,包括:(一)應(yīng)建立事件和問題管理機制。明確亭件管理流程,定義事件類別、事件分級響應(yīng)要求和事件升級、上報規(guī)則,及時受理、響應(yīng)、審批和交付服務(wù)請求,保障生產(chǎn)服務(wù)質(zhì)量,盡可能降低對業(yè)務(wù)影響;建立服務(wù)臺負(fù)責(zé)受理、跟蹤、解答各類運營問題;建立問題
11、根源分析及跟蹤解決機制,查明運營事件產(chǎn)生的根本原因,避免事件再次發(fā)生。(二)應(yīng)建立變更管理流程,減少或防止變更對信息科技服務(wù)的影響。根據(jù)變更對業(yè)務(wù)影響大小進(jìn)行變更分級,對變更影響、變更風(fēng)險、資源需求和變更批準(zhǔn)進(jìn)行控制和管理;變更方案應(yīng)包括應(yīng)急及回退措施,并經(jīng)過充分測試和驗證;建立變更管理聯(lián)動機制,當(dāng)生產(chǎn)中心發(fā)生變更時,應(yīng)同步分析災(zāi)備系統(tǒng)變更需求并進(jìn)行相應(yīng)的變更,評估災(zāi)備恢復(fù)的有效性;應(yīng)盡量減少緊急變更。(三)應(yīng)建立配置管理流程,統(tǒng)一管理、及時更新數(shù)據(jù)中心基礎(chǔ)設(shè)施和重要信息系統(tǒng)配置信息,支持變更風(fēng)險評估、變更實施、故障事件排查、問題根源分析等服務(wù)管理流程。(四)應(yīng)對重要信息系統(tǒng)和通信網(wǎng)絡(luò)的容量和
12、性能需求進(jìn)行前瞻性規(guī)劃,分析、調(diào)整和優(yōu)化容量和性能,滿足業(yè)務(wù)發(fā)展要求。(五)應(yīng)統(tǒng)一調(diào)度各項運維任務(wù),協(xié)調(diào)和解決各項運維任務(wù)沖突,妥善記錄和保存運維任務(wù)調(diào)度過程。(六)應(yīng)制定驗收交接標(biāo)準(zhǔn)及流程,規(guī)范重要信息系統(tǒng)投產(chǎn)驗收管理。加強版本控制,防范因軟件版本、操作文檔等不一致產(chǎn)生的風(fēng)險。(七)應(yīng)根據(jù)商業(yè)銀行總體風(fēng)險控制策略及應(yīng)急管理要求,從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)等不同方面分別制定應(yīng)急預(yù)案,并及時修訂應(yīng)急預(yù)案,定期進(jìn)行演練,保證其有效性。(八)應(yīng)集中監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)運行狀態(tài)。采用監(jiān)控管理工具,實時監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)的運行狀況,通過監(jiān)測、采集、分析和調(diào)優(yōu),提升生產(chǎn)系統(tǒng)運行的可靠性、穩(wěn)定
13、性和可用性。監(jiān)控記錄應(yīng)滿足故障定位、診斷及事后審計等要求。第二十七條 數(shù)據(jù)中心應(yīng)建立信息安全管理規(guī)范,保證重要信息的機密性、完整性和可用性,包括:(一)應(yīng)設(shè)立專門的信息安全管理部門或崗位,制定安全管理制度和實施計劃,定期對信息安全策略、制度和流程的執(zhí)行情況進(jìn)行檢查和報告。(二)應(yīng)建立和落實人員安全管理制度,明確信息安全管理職責(zé);通過安全教育與培訓(xùn),提高人員的安全意識和技能;建立重要崗位人員備份制度和監(jiān)督制約機制。(三)應(yīng)加強信息資產(chǎn)管理,識別信息資產(chǎn)并建立責(zé)任制,根據(jù)信息資產(chǎn)重要性實施分類控制和分級保護(hù),防范信息資產(chǎn)生成、使用和處置過程中的風(fēng)險。(四)應(yīng)建立和落實物理環(huán)境安全管理制度,明確安全
14、區(qū)域、規(guī)范區(qū)域訪問管理,減少未授權(quán)訪問所造成的風(fēng)險。(五)應(yīng)建立操作安全管理制度,制定操作規(guī)程文檔,規(guī)范信息系統(tǒng)監(jiān)控、日常維護(hù)和批處理操作等過程。(六)應(yīng)建立數(shù)據(jù)安全管理制度,規(guī)范數(shù)據(jù)的產(chǎn)生、獲取、存儲、傳輸、分發(fā)、備份、恢復(fù)和清理的管理,以及存儲介質(zhì)的臺帳、轉(zhuǎn)儲、抽檢、報廢和銷毀的管理,保證數(shù)據(jù)的保密、真實、完整和可用。(七)應(yīng)建立網(wǎng)絡(luò)通信與訪問安全策略,隔離不同網(wǎng)絡(luò)功能區(qū)域,采取與其安全級別對應(yīng)的預(yù)防、監(jiān)測等控制措施,防范對網(wǎng)絡(luò)的未授權(quán)訪問,保證網(wǎng)絡(luò)通信安全。(八)應(yīng)建立基礎(chǔ)設(shè)施和重要信息的授權(quán)訪問機制,制定訪問控制流程,保留訪問記錄,防止未授權(quán)訪問。第六章災(zāi)難恢復(fù)管理第二十八條商業(yè)銀行應(yīng)
15、將災(zāi)難恢復(fù)管理納入業(yè)務(wù)連續(xù)性管理框架,建立災(zāi)難恢復(fù)管理組織架構(gòu),明確災(zāi)難恢復(fù)管理機制和流程。第二十九條商業(yè)銀行應(yīng)統(tǒng)籌規(guī)劃災(zāi)難恢復(fù)工作,定期進(jìn)行風(fēng)險評估和業(yè)務(wù)影響分析,確定災(zāi)難恢復(fù)目標(biāo)和恢復(fù)等級,明確災(zāi)難恢復(fù)策略、預(yù)案并及時更新。第三十條商業(yè)銀行災(zāi)難恢復(fù)預(yù)案應(yīng)包括但不限于以下內(nèi)容:災(zāi)難恢復(fù)指揮小組和工作小組人員組成及聯(lián)系方式、匯報路線和溝通協(xié)調(diào)機制、災(zāi)難恢復(fù)資源分配、基礎(chǔ)設(shè)施與信息系統(tǒng)的恢復(fù)優(yōu)先次序、災(zāi)難恢復(fù)與回切流程及時效性要求、對外溝通機制、最終用戶操作指導(dǎo)及第三方技術(shù)支持和應(yīng)急響應(yīng)服務(wù)等內(nèi)容。第三十一條 商業(yè)銀行應(yīng)為災(zāi)難恢復(fù)提供充分的資源保障,包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)通信、運維及技術(shù)支持人力資源
16、、技術(shù)培訓(xùn)等。第三十二條 商業(yè)銀行應(yīng)建立與服務(wù)提供商、電力部門、公安部門、當(dāng)?shù)卣托侣劽襟w等單位的外部協(xié)作機制,保證災(zāi)難恢復(fù)時能及時獲取外部支持。第三十三條商業(yè)銀行應(yīng)建立災(zāi)難恢復(fù)有效性測試驗證機制,測試驗證應(yīng)定期或在重大變更后進(jìn)行,內(nèi)容應(yīng)包含業(yè)務(wù)功能的恢復(fù)驗證。第三十四條商業(yè)銀行應(yīng)每年至少進(jìn)行一次重要信息系統(tǒng)專項災(zāi)備切換演練,每三年至少進(jìn)行一次重要信息系統(tǒng)全面災(zāi)備切換演練,以真實業(yè)務(wù)接管為目標(biāo),驗證災(zāi)備系統(tǒng)有效接管生產(chǎn)系統(tǒng)及安全回切的能力。第三十五條商業(yè)銀行進(jìn)行全面災(zāi)備切換和真實業(yè)務(wù)接管演練前應(yīng)向中國銀監(jiān)會或其派出機構(gòu)報告,并在演練結(jié)束后報送演練總結(jié)。第三十六條商業(yè)銀行因災(zāi)難亭件啟動災(zāi)難恢復(fù)
17、或?qū)?zāi)備中心回切至生產(chǎn)中心后,應(yīng)及時向中國銀監(jiān)會或其派出機構(gòu)報告,報告內(nèi)容包括但不限于:災(zāi)難亭件發(fā)生時間、影響范圍和程度,亭件起因、應(yīng)急處置措施、災(zāi)難恢復(fù)實施情況和結(jié)果、回切方案。第七章外包管理第三十七條商業(yè)銀行董事會對外包負(fù)最終管理責(zé)任,應(yīng)推動和完善外包風(fēng)險管理體系建設(shè),確保商業(yè)銀行有效應(yīng)對外包風(fēng)險。第三十八條商業(yè)銀行應(yīng)根據(jù)信息科技戰(zhàn)略規(guī)劃制定數(shù)據(jù)中心外包策略;應(yīng)制定數(shù)據(jù)中心服務(wù)外包管理制度、流程,建立全面的風(fēng)險控制機制。第三十九條商業(yè)銀行應(yīng)確定外包服務(wù)所涉及的信息資產(chǎn)的關(guān)鍵性和敏感程度,審慎確定數(shù)據(jù)中心外包服務(wù)范圍。第四十條 商業(yè)銀行應(yīng)充分識別、分析、評估數(shù)據(jù)中心外包風(fēng)險,包括信息安全風(fēng)險
18、、服務(wù)中斷風(fēng)險、系統(tǒng)失控風(fēng)險以及聲譽風(fēng)險、戰(zhàn)略風(fēng)險等,形成風(fēng)險評估報告并報董事會和高管層審核。第四十一條 實施數(shù)據(jù)中心服務(wù)外包時,商業(yè)銀行的管理責(zé)任不得外包。第四十二條數(shù)據(jù)中心服務(wù)外包一般包括:(一)基礎(chǔ)設(shè)施類:外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心機房、配套設(shè)施或運行設(shè)備的服務(wù)。(二)運營維護(hù)類:外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心信息系統(tǒng)或墓礎(chǔ)設(shè)施的日常運行、維護(hù)等服務(wù)。第四十三條商業(yè)銀行在選擇數(shù)據(jù)中心外包服務(wù)商時,應(yīng)充分審查、評估外包服務(wù)商的資質(zhì)、專業(yè)能力和服務(wù)方案,對外包服務(wù)商進(jìn)行風(fēng)險評估,考查其服務(wù)能力是否足以承擔(dān)相應(yīng)的貴任。評估包括:外包服務(wù)商的企業(yè)信譽及財務(wù)德定性,外包服務(wù)商的信息安全和信
19、息科技服務(wù)管理體系,銀行業(yè)服務(wù)經(jīng)驗等。提供數(shù)據(jù)中心基礎(chǔ)設(shè)施外包服務(wù)的服務(wù)商,其運行環(huán)境應(yīng)符合商業(yè)銀行要求,并具有完備的安全管理規(guī)范。第四十四條商業(yè)銀行應(yīng)與數(shù)據(jù)中心外包服務(wù)商簽訂書面合同,在合同中明確重要亭項,包括但不限于雙方的權(quán)利和義務(wù)、外包服務(wù)水平、服務(wù)的可靠性、服務(wù)的可用性、信息安全控制、服務(wù)持續(xù)性計劃、審計、合規(guī)性要求、違約賠償?shù)?。第四十五條商業(yè)銀行應(yīng)要求外包服務(wù)商購買商業(yè)保險以保證其有足夠的賠償能力,并告知保險覆蓋范圍。第四十六條商業(yè)銀行應(yīng)加強對數(shù)據(jù)中心外包服務(wù)活動的安全管理,包括但不限于:(一)商業(yè)銀行應(yīng)將數(shù)據(jù)中心外包服務(wù)安全管理納入數(shù)據(jù)中心的整體安全策略,保障業(yè)務(wù)、管理和客戶敏感數(shù)
20、據(jù)信息安全。(二)商業(yè)銀行應(yīng)按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格控制外包服務(wù)商信息訪問的權(quán)限,要求外包服務(wù)商不得對外泄露所接觸的商業(yè)銀行信息。(三)商業(yè)銀行應(yīng)要求外包服務(wù)商保留操作痕跡、記錄完整的日志,相關(guān)內(nèi)容和保存期限應(yīng)滿足事件分析、安全取證、獨立審計和監(jiān)督檢查需要。(四)商業(yè)銀行應(yīng)要求外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險管理制度和流程。(五)商業(yè)銀行應(yīng)要求外包服務(wù)商每年至少開展一次信息安全風(fēng)險評估并提交評估報告。(六)商業(yè)銀行應(yīng)要求外包服務(wù)商聘請外部機構(gòu)定期對其進(jìn)行安全審計并提交審計報告,督促其及時整改發(fā)現(xiàn)的問題。第四十七條 商業(yè)銀行應(yīng)禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包,保證外包服務(wù)水
21、平。第四十八條商業(yè)銀行應(yīng)制定數(shù)據(jù)中心外包服務(wù)應(yīng)急計劃,制訂供應(yīng)商替換方案,以應(yīng)對外包服務(wù)商破產(chǎn)、不可抗力或其它潛在問題導(dǎo)致服務(wù)中斷或服務(wù)水平下降的情形,支持?jǐn)?shù)據(jù)中心連續(xù)、可靠運行。第四十九條商業(yè)銀行應(yīng)建立外包服務(wù)考核、評價機制,定期對外包服務(wù)活動和外包服務(wù)商的服務(wù)能力進(jìn)行審核和評估,確保獲得持續(xù)、穩(wěn)定的外包服務(wù)。第五十條商業(yè)銀行在實施數(shù)據(jù)中心整體服務(wù)外包以及涉及影響業(yè)務(wù)、管理和客戶敏感數(shù)據(jù)信息安全的外包前,應(yīng)向中國銀監(jiān)會或其派出機構(gòu)報告。第五十一條商業(yè)銀行應(yīng)在外包服務(wù)協(xié)議條款中明確商業(yè)銀行和監(jiān)管機構(gòu)有權(quán)對協(xié)議范圍內(nèi)的服務(wù)活動進(jìn)行監(jiān)督檢查,包括外包商的服務(wù)職能、責(zé)任、系統(tǒng)和設(shè)施等內(nèi)容。第八章監(jiān)督
22、管理第五十二條中國銀監(jiān)會及其派出機構(gòu)可依法對商業(yè)銀行的數(shù)據(jù)中心實施非現(xiàn)場監(jiān)管及現(xiàn)場檢查?,F(xiàn)場檢查原則上每三年一次。第五十三條針對商業(yè)銀行數(shù)據(jù)中心設(shè)立、變更、運營過程存在的風(fēng)險,中國銀監(jiān)會或其派出機構(gòu)可向商業(yè)銀行提示風(fēng)險并提出整改意見。商業(yè)銀行應(yīng)及時整改并反饋結(jié)果。第九章附則第五十四條本指引由中國銀監(jiān)會負(fù)責(zé)解釋、修訂。第五十五條本指引自公布之日起執(zhí)行。附件: 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 報告材料目錄和格式要求附件: 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 報告材料目錄和格式要求一、數(shù)據(jù)中心規(guī)劃報告材料目錄(一)數(shù)據(jù)中心建設(shè)規(guī)劃報告,包括:1 立項報告和可行性分析報告,包括建設(shè)背景、建設(shè)目標(biāo)、風(fēng)險評估、效益分析、成本投入等。2 基礎(chǔ)設(shè)施規(guī)劃方案,包括選址、建筑物結(jié)構(gòu)、功能區(qū)域劃分、監(jiān)控、防雷接地及消防等配套設(shè)施、機房等級等。3 信息系統(tǒng)建設(shè)規(guī)劃方案,包括功能與技術(shù)方案規(guī)劃、人員配置計劃、系統(tǒng)服務(wù)的區(qū)域和業(yè)務(wù)范圍等。災(zāi)備中心還需提供災(zāi)難恢復(fù)目標(biāo)、災(zāi)難恢復(fù)等級、災(zāi)備技術(shù)方案規(guī)劃及風(fēng)險評佑報告等。(二)區(qū)域環(huán)境及基礎(chǔ)設(shè)施風(fēng)險評估說明,包括風(fēng)險識別,風(fēng)險分析和風(fēng)險控制策略等。(三)建設(shè)及運營模式說明,包括技術(shù)支持及運行維護(hù)體系等。如采用外包,需提供外包的服務(wù)內(nèi)容和外包風(fēng)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 新材料研發(fā)合作合同
- 2024勞動合同管理指南:權(quán)益與義務(wù)全解析
- 合同評審和合同模板
- 人工智能輔助虛擬現(xiàn)實內(nèi)容軟件合同
- 2024年一手房中介服務(wù)合同
- 油漆倉儲合同模板
- 寫房屋建造合同模板
- 服裝代理協(xié)議合同模板
- 2024年先進(jìn)型:玻璃幕墻清洗合作協(xié)議
- 政府采購監(jiān)控合同模板
- 四川公安基礎(chǔ)知識模擬5
- 吉林省松原市長嶺縣長嶺鎮(zhèn)2023-2024學(xué)年四年級上學(xué)期期中道德與法治試卷
- 2023年四川農(nóng)信(農(nóng)商行)招聘筆試真題
- 《紀(jì)念白求恩》說課課件 2024-2025學(xué)年統(tǒng)編版語文七年級上冊
- 汽車機械基礎(chǔ)-說課課件
- 2024年認(rèn)證行業(yè)法律法規(guī)及認(rèn)證基礎(chǔ)知識 CCAA年度確認(rèn) 試題與答案
- 中國建設(shè)銀行招聘(全國)筆試真題2023
- 健康管理專業(yè)職業(yè)生涯規(guī)劃書
- 上期開特下期必開特規(guī)律
- 石油加工基礎(chǔ)知識
- 總經(jīng)理責(zé)權(quán)利(制定版)
評論
0/150
提交評論