銀行業(yè)重要信息系統(tǒng)突發(fā)事項(xiàng)應(yīng)急管理規(guī)范方案()

...wd......wd......wd...銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理標(biāo)準(zhǔn)(試行)第一章總那么第一條為標(biāo)準(zhǔn)銀行業(yè)重要信息系統(tǒng)的突發(fā)事件應(yīng)急管理，提高應(yīng)對(duì)突發(fā)事件的綜合管理水平和應(yīng)急處置能力，有效防范銀行業(yè)信息系統(tǒng)不安全因素，根據(jù)?中華人民共和國(guó)銀行業(yè)監(jiān)視管理法?、?中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法?以及相關(guān)法律法規(guī)，制定本標(biāo)準(zhǔn)。第二條在中華人民共和國(guó)境內(nèi)設(shè)立的政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行、郵政儲(chǔ)蓄銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社、城市信用社，外商獨(dú)資銀行、中外合資銀行和外國(guó)銀行分行適用本標(biāo)準(zhǔn)。第三條銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)對(duì)工作原那么包括：(一)健全機(jī)制。銀行業(yè)金融機(jī)構(gòu)應(yīng)建設(shè)統(tǒng)一指揮、協(xié)調(diào)有序的應(yīng)急管理機(jī)制，主動(dòng)開(kāi)展應(yīng)急管理工作，定期演練和評(píng)價(jià)應(yīng)急預(yù)案，持續(xù)改進(jìn)本機(jī)構(gòu)的應(yīng)急預(yù)案和相關(guān)協(xié)調(diào)機(jī)制。(二)明確職責(zé)。銀行業(yè)金融機(jī)構(gòu)應(yīng)明確本機(jī)構(gòu)各部門(mén)在應(yīng)急管理工作中的職責(zé)，以保障銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)連續(xù)性為目標(biāo)，以落實(shí)和完善應(yīng)急預(yù)案為根基，全面加強(qiáng)信息系統(tǒng)應(yīng)急管理工作，并制定有效的問(wèn)責(zé)制度。(三)預(yù)防為主。銀行業(yè)金融機(jī)構(gòu)應(yīng)建設(shè)和完善信息系統(tǒng)突發(fā)事件不安全因素防范體系，對(duì)可能導(dǎo)致突發(fā)事件的不安全因素進(jìn)展有效地識(shí)別、分析和控制，并對(duì)不安全因素指標(biāo)動(dòng)態(tài)、持續(xù)監(jiān)測(cè)，減少重大突發(fā)事件發(fā)生的可能性。(四)處置高效。銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)應(yīng)急處置隊(duì)伍建設(shè)，提供充分的資源保障，確保突發(fā)事件發(fā)生時(shí)反響快速、報(bào)告及時(shí)、措施得力、操作準(zhǔn)確，降低突發(fā)事件可能造成的損失。第四條以下術(shù)語(yǔ)適用于本標(biāo)準(zhǔn)：(一)本標(biāo)準(zhǔn)所稱(chēng)重要信息系統(tǒng)是指銀行業(yè)金融機(jī)構(gòu)支撐關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織的權(quán)益或社會(huì)秩序和公共利益，甚至影響國(guó)家安全的信息系統(tǒng)。主要包括面向客戶(hù)、涉及賬務(wù)處理且時(shí)效性要求較高的業(yè)務(wù)處理類(lèi)、渠道類(lèi)和涉及客戶(hù)不安全因素管理等業(yè)務(wù)的管理類(lèi)信息系統(tǒng)，支撐上述系統(tǒng)運(yùn)行的前置機(jī)、客戶(hù)端、機(jī)房、網(wǎng)絡(luò)等根基設(shè)施也應(yīng)作為重要信息系統(tǒng)的一局部。(二)本標(biāo)準(zhǔn)所稱(chēng)業(yè)務(wù)服務(wù)時(shí)段是指銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)所承載業(yè)務(wù)對(duì)客戶(hù)提供服務(wù)的時(shí)間。(三)本標(biāo)準(zhǔn)所稱(chēng)突發(fā)事件是指銀行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)以及為之提供支持服務(wù)的電力、通訊等系統(tǒng)突然發(fā)生的，影響業(yè)務(wù)持續(xù)開(kāi)展，需要采取應(yīng)急處置措施應(yīng)對(duì)的事件。(四)本標(biāo)準(zhǔn)所稱(chēng)信息系統(tǒng)應(yīng)急管理是指貫穿于整個(gè)信息系統(tǒng)生命周期中，通過(guò)不安全因素防范、應(yīng)急響應(yīng)、應(yīng)急保障以確保信息系統(tǒng)能夠滿(mǎn)足業(yè)務(wù)開(kāi)展戰(zhàn)略對(duì)業(yè)務(wù)連續(xù)性要求的管理。(五)本標(biāo)準(zhǔn)所稱(chēng)業(yè)務(wù)影響分析是指分析業(yè)務(wù)功能及其相關(guān)信息系統(tǒng)資源、評(píng)估特定信息系統(tǒng)突發(fā)事件對(duì)各種業(yè)務(wù)功能的影響的過(guò)程。(六)本標(biāo)準(zhǔn)所稱(chēng)剩余不安全因素是指采取了不安全因素控制措施后仍不能被完全消除的信息系統(tǒng)不安全因素。第二章組織機(jī)構(gòu)及職責(zé)第五條中國(guó)銀行業(yè)監(jiān)視管理委員會(huì)(以下簡(jiǎn)稱(chēng)銀監(jiān)會(huì))信息科技監(jiān)管部門(mén)是銀行業(yè)信息系統(tǒng)應(yīng)急處理日常管理機(jī)構(gòu)，其應(yīng)急管理職責(zé)是：(一)監(jiān)管、指導(dǎo)銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理工作；(二)向上級(jí)部門(mén)報(bào)告銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)突發(fā)事件；(三)通報(bào)、發(fā)布銀行業(yè)信息系統(tǒng)應(yīng)急處理情況；(四)向銀行業(yè)金融機(jī)構(gòu)發(fā)布信息系統(tǒng)突發(fā)事件預(yù)警信息；(五)督導(dǎo)、檢查銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)應(yīng)急演練；(六)維護(hù)銀行業(yè)應(yīng)急管理組織機(jī)構(gòu)通訊聯(lián)絡(luò)方式。第六條銀監(jiān)會(huì)派出機(jī)構(gòu)結(jié)合本地實(shí)際情況設(shè)立相應(yīng)的應(yīng)急管理組織機(jī)構(gòu)，明確職責(zé)并監(jiān)視、檢查轄內(nèi)銀行業(yè)金融機(jī)構(gòu)做好應(yīng)急預(yù)案，負(fù)責(zé)轄內(nèi)銀行業(yè)信息系統(tǒng)突發(fā)事件應(yīng)急管理工作。第七條銀行業(yè)金融機(jī)構(gòu)應(yīng)綜合考慮其業(yè)務(wù)和系統(tǒng)規(guī)模，建設(shè)應(yīng)急管理組織機(jī)構(gòu)，負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)突發(fā)事件應(yīng)急管理工作。(一)董事會(huì)和高級(jí)管理層應(yīng)對(duì)本機(jī)構(gòu)應(yīng)急管理政策及其實(shí)施效果負(fù)有最終的責(zé)任。董事會(huì)和高級(jí)管理層應(yīng)領(lǐng)導(dǎo)、監(jiān)視本機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理體系建設(shè)，制定落實(shí)應(yīng)急管理的分級(jí)授權(quán)制度和問(wèn)責(zé)制度，研究確定應(yīng)急處置重大決策和指導(dǎo)意見(jiàn)，為應(yīng)急管理工作配置充分的資源，定期聽(tīng)取不安全因素狀況分析、信息系統(tǒng)重大突發(fā)事件、現(xiàn)有應(yīng)急管理政策重大修改等匯報(bào)，負(fù)責(zé)信息系統(tǒng)突發(fā)事件信息披露等。(二)不安全因素管理部門(mén)應(yīng)制訂應(yīng)急管理政策和基本管理制度并報(bào)董事會(huì)和高級(jí)管理層審定，統(tǒng)一組織、協(xié)調(diào)、指導(dǎo)、檢查本機(jī)構(gòu)信息系統(tǒng)突發(fā)事件應(yīng)急管理；建設(shè)應(yīng)急處置的預(yù)授權(quán)制度，定期分析不安全因素狀況和總結(jié)信息系統(tǒng)突發(fā)事件應(yīng)急管理成效，履行向董事會(huì)和高級(jí)管理層的報(bào)告職責(zé)，履行向銀監(jiān)會(huì)及其派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門(mén)的報(bào)告職責(zé)等。(三)信息科技管理部門(mén)和業(yè)務(wù)管理部門(mén)負(fù)責(zé)本機(jī)構(gòu)信息系統(tǒng)突發(fā)事件應(yīng)急管理工作的具體落實(shí)，制定信息系統(tǒng)突發(fā)事件預(yù)防措施、預(yù)警標(biāo)準(zhǔn)和應(yīng)急策略，組織做好信息系統(tǒng)營(yíng)運(yùn)監(jiān)測(cè)和維護(hù)，實(shí)施信息系統(tǒng)突發(fā)事件應(yīng)急處置，評(píng)估總結(jié)信息系統(tǒng)突發(fā)事件及應(yīng)急處置過(guò)程中暴露的問(wèn)題并整改，履行向不安全因素管理部門(mén)的報(bào)告職責(zé)，定期組織信息系統(tǒng)應(yīng)急演練，持續(xù)改進(jìn)本機(jī)構(gòu)信息系統(tǒng)應(yīng)急預(yù)案等。各銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)管理部門(mén)應(yīng)針對(duì)信息系統(tǒng)突發(fā)事件建設(shè)相應(yīng)的業(yè)務(wù)應(yīng)急預(yù)案和操作流程，并進(jìn)展持續(xù)改進(jìn)和優(yōu)化。第八條銀行業(yè)金融機(jī)構(gòu)應(yīng)組建應(yīng)急團(tuán)隊(duì)，在發(fā)生信息系統(tǒng)突發(fā)事件時(shí)，能夠做到及時(shí)實(shí)施專(zhuān)項(xiàng)應(yīng)急處置工作。應(yīng)急團(tuán)隊(duì)?wèi)?yīng)包括但不限于應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急執(zhí)行小組、支持保障小組。(一)應(yīng)急領(lǐng)導(dǎo)小組由董事會(huì)和高管層授權(quán)并由高管人員任應(yīng)急領(lǐng)導(dǎo)小組組長(zhǎng)，各相關(guān)職能部門(mén)(包括但不限于不安全因素管理部門(mén)、業(yè)務(wù)管理部門(mén)、信息科技管理部門(mén)和支持保障部門(mén)等)和一級(jí)分支機(jī)構(gòu)的負(fù)責(zé)人為應(yīng)急領(lǐng)導(dǎo)小組成員，其職責(zé)是：1.負(fù)責(zé)信息系統(tǒng)突發(fā)事件的應(yīng)急指揮、組織協(xié)調(diào)和過(guò)程控制；2.明確新聞發(fā)布人，授權(quán)其在應(yīng)急過(guò)程中統(tǒng)一對(duì)外信息發(fā)布口徑；3.宣布重大應(yīng)急響應(yīng)狀態(tài)的降級(jí)或解除；4.向董事會(huì)和高級(jí)管理層報(bào)告應(yīng)急處置進(jìn)展情況和總結(jié)報(bào)告。(二)應(yīng)急執(zhí)行小組由業(yè)務(wù)管理部門(mén)、信息科技管理部門(mén)、運(yùn)營(yíng)部門(mén)等派員組成，對(duì)應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)，其職責(zé)是：1.實(shí)施信息系統(tǒng)突發(fā)事件的具體應(yīng)急處置工作；2.對(duì)信息系統(tǒng)突發(fā)事件業(yè)務(wù)影響情況進(jìn)展分析和評(píng)估；3.收集分析信息系統(tǒng)突發(fā)事件應(yīng)急處置過(guò)程中的數(shù)據(jù)信息和日志；4.向應(yīng)急領(lǐng)導(dǎo)小組報(bào)告應(yīng)急處置進(jìn)展情況和事態(tài)開(kāi)展情況。(三)支持保障小組由人力資源部門(mén)、方案財(cái)務(wù)部門(mén)、法律事務(wù)部門(mén)、公共關(guān)系部門(mén)、安全保衛(wèi)部門(mén)、后勤保障部門(mén)等派員組成，對(duì)應(yīng)急領(lǐng)導(dǎo)小組負(fù)責(zé)，其職責(zé)是：1.提供應(yīng)急所需人力和物力等資源保障；2.做好對(duì)受影響客戶(hù)的解釋和安撫工作；3.做好秩序維護(hù)、安全保障、法律咨詢(xún)和支援等工作；4.建設(shè)與電力、通訊、公安和消防等相關(guān)外部機(jī)構(gòu)的應(yīng)急協(xié)調(diào)機(jī)制和應(yīng)急聯(lián)動(dòng)機(jī)制；5.其他為降低事件負(fù)面影響或損失提供的應(yīng)急支持保障等。第三章突發(fā)事件分級(jí)第九條突發(fā)事件依照其影響范圍及持續(xù)時(shí)間等因素分級(jí)。當(dāng)突發(fā)事件同時(shí)滿(mǎn)足多個(gè)級(jí)別的定級(jí)條件時(shí)，按最高級(jí)別確定突發(fā)事件等級(jí)。(一)特別重大突發(fā)事件(I級(jí))1.銀行業(yè)金融機(jī)構(gòu)由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、喪失、泄露，造成經(jīng)濟(jì)秩序混亂或重大經(jīng)濟(jì)損失、影響金融穩(wěn)定的，或?qū)娎嬖斐商貏e嚴(yán)重?fù)p害的突發(fā)事件；2.由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致銀行業(yè)金融機(jī)構(gòu)兩個(gè)(含)以上省(自治區(qū)、直轄市)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)(含)以上，或一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)6個(gè)小時(shí)(含)以上的突發(fā)事件；3.業(yè)務(wù)服務(wù)時(shí)段以外，重要信息系統(tǒng)出現(xiàn)的故障或事件救治未果，可能產(chǎn)生上述1至2類(lèi)的突發(fā)事件。(二)重大突發(fā)事件(Ⅱ級(jí))1.銀行業(yè)金融機(jī)構(gòu)由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、喪失、泄露，對(duì)銀行或客戶(hù)利益造成嚴(yán)重?fù)p害的突發(fā)事件；2.由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致銀行業(yè)金融機(jī)構(gòu)兩個(gè)(含)以上省(自治區(qū)、直轄市)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)半個(gè)小時(shí)(含)以上，或一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)3個(gè)小時(shí)(含)以上的突發(fā)事件；3.業(yè)務(wù)服務(wù)時(shí)段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類(lèi)的突發(fā)事件。(三)較大突發(fā)事件(Ⅲ級(jí))1.銀行業(yè)金融機(jī)構(gòu)由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、喪失、泄露，對(duì)銀行或客戶(hù)利益造成較大損害的突發(fā)事件；2.由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無(wú)法正常開(kāi)展達(dá)半個(gè)小時(shí)(含)以上的突發(fā)事件；3.業(yè)務(wù)服務(wù)時(shí)段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類(lèi)的突發(fā)事件。第十條重要信息系統(tǒng)突發(fā)事件發(fā)生后，銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)事件影響范圍和影響時(shí)間的變化，按照上述定義進(jìn)展事件級(jí)別升級(jí)。第四章不安全因素防范第十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)業(yè)務(wù)影響分析確定各項(xiàng)業(yè)務(wù)的信息系統(tǒng)恢復(fù)指標(biāo)，主要包括：(一)恢復(fù)時(shí)間目標(biāo)(RTO)：業(yè)務(wù)功能恢復(fù)正常的時(shí)間要求；(二)恢復(fù)點(diǎn)目標(biāo)(RPO)：業(yè)務(wù)功能恢復(fù)時(shí)能夠容忍的數(shù)據(jù)喪失量。第十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)信息系統(tǒng)恢復(fù)指標(biāo)和系統(tǒng)間的依賴(lài)關(guān)系，確定各信息系統(tǒng)應(yīng)急響應(yīng)恢復(fù)優(yōu)先順序，并系統(tǒng)化地識(shí)別信息技術(shù)資源不安全因素，包括根基設(shè)施類(lèi)不安全因素、主機(jī)和硬件設(shè)備類(lèi)不安全因素、系統(tǒng)類(lèi)不安全因素、應(yīng)用類(lèi)不安全因素、網(wǎng)絡(luò)類(lèi)不安全因素等，以確保不安全因素識(shí)別的全面性。第十三條銀行業(yè)金融機(jī)構(gòu)應(yīng)制定全面的不安全因素防范措施，并通過(guò)場(chǎng)景模擬、壓力測(cè)試等手段驗(yàn)證不安全因素防范措施的有效性。在突發(fā)事件應(yīng)急處置后，應(yīng)評(píng)估已有不安全因素防范措施的有效性并加以改進(jìn)。第十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)依據(jù)不安全因素防范措施對(duì)關(guān)鍵信息技術(shù)資源進(jìn)展剩余不安全因素評(píng)估，明確剩余不安全因素的監(jiān)測(cè)方法與預(yù)警條件，并將其納入信息系統(tǒng)不安全因素事件監(jiān)測(cè)與預(yù)警體系中。第十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)對(duì)關(guān)鍵信息技術(shù)資源建設(shè)監(jiān)測(cè)指標(biāo)體系以及相關(guān)的日常監(jiān)測(cè)與預(yù)警機(jī)制，對(duì)監(jiān)測(cè)指標(biāo)的異常波動(dòng)及時(shí)預(yù)警，并定期測(cè)試與修訂監(jiān)測(cè)指標(biāo)體系以確保其有效性。第十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)建設(shè)關(guān)鍵時(shí)點(diǎn)監(jiān)測(cè)與預(yù)警機(jī)制，在重大業(yè)務(wù)活動(dòng)、重大社會(huì)活動(dòng)、信息系統(tǒng)重大變更等關(guān)鍵時(shí)點(diǎn)加強(qiáng)不安全因素監(jiān)控和預(yù)警，并及時(shí)向業(yè)務(wù)職能部門(mén)進(jìn)展不安全因素提示，多部門(mén)協(xié)同做好應(yīng)急準(zhǔn)備。第十七條銀行業(yè)金融機(jī)構(gòu)在系統(tǒng)上線、系統(tǒng)升級(jí)、網(wǎng)絡(luò)改造、設(shè)備更新等關(guān)鍵信息技術(shù)資源發(fā)生重大變更及業(yè)務(wù)種類(lèi)和交易量發(fā)生重大變化時(shí)，應(yīng)重新識(shí)別、分析、控制不安全因素，并更新剩余不安全因素評(píng)估和不安全因素事件監(jiān)測(cè)與預(yù)警。第十八條銀行業(yè)金融機(jī)構(gòu)應(yīng)與電力、通信等重要根基設(shè)施服務(wù)商，主機(jī)、網(wǎng)絡(luò)、存儲(chǔ)等重要設(shè)備服務(wù)商，系統(tǒng)集成服務(wù)商以及其他外包服務(wù)商簽定服務(wù)水平協(xié)議，并對(duì)服務(wù)商的技術(shù)與產(chǎn)品政策、服務(wù)水平、服務(wù)能力發(fā)生變化可能產(chǎn)生的影響及時(shí)進(jìn)展不安全因素評(píng)估和預(yù)警。第五章應(yīng)急預(yù)案與演練第十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)，結(jié)合不安全因素控制策略，從根基設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)等不同方面，分類(lèi)制定本機(jī)構(gòu)應(yīng)急預(yù)案。第二十條銀行業(yè)金融機(jī)構(gòu)編制的信息系統(tǒng)應(yīng)急預(yù)案應(yīng)包括以下內(nèi)容：(一)明確有關(guān)各方的分工和責(zé)任；(二)說(shuō)明重要信息系統(tǒng)的業(yè)務(wù)影響范圍、恢復(fù)時(shí)間目標(biāo)、恢復(fù)點(diǎn)目標(biāo)、以及信息系統(tǒng)包括的系統(tǒng)資源，明確資源的物理位置、設(shè)備型號(hào)、軟件資源、網(wǎng)絡(luò)配置等關(guān)鍵信息；(三)明確各類(lèi)故障的診斷方法和流程；應(yīng)急場(chǎng)景應(yīng)至少覆蓋電力故障、通信線路故障、火情水災(zāi)、治安、病毒爆發(fā)、網(wǎng)絡(luò)攻擊、人為破壞、不可抗力、計(jì)算機(jī)硬件故障、操作系統(tǒng)故障、系統(tǒng)漏洞、應(yīng)用系統(tǒng)故障以及其他各類(lèi)與信息系統(tǒng)相關(guān)的故障；(四)制定系統(tǒng)恢復(fù)流程和應(yīng)急處置操作手冊(cè)，盡可能將操作代碼化、自動(dòng)化，降低應(yīng)急處置過(guò)程中產(chǎn)生的操作不安全因素；(五)明確應(yīng)急恢復(fù)過(guò)程中的關(guān)鍵狀態(tài)，并明確不同狀態(tài)的溝通和報(bào)告內(nèi)容及等級(jí)；(六)明確應(yīng)急相關(guān)人員的協(xié)調(diào)內(nèi)容和溝通方式；(七)明確系統(tǒng)重建步驟，確保信息系統(tǒng)恢復(fù)正常業(yè)務(wù)處理能力。第二十一條銀行業(yè)金融機(jī)構(gòu)應(yīng)將支撐信息系統(tǒng)運(yùn)行的重要外包服務(wù)的應(yīng)急管理納入其中，建設(shè)重要外包服務(wù)的專(zhuān)項(xiàng)應(yīng)急預(yù)案，對(duì)于重要根基設(shè)施、重要設(shè)備、網(wǎng)絡(luò)、系統(tǒng)集成以及其他外包服務(wù)商的技術(shù)與產(chǎn)品政策、服務(wù)水平、服務(wù)能力制定不安全因素應(yīng)對(duì)措施，外包服務(wù)的應(yīng)急預(yù)案應(yīng)能夠保障銀行業(yè)信息系統(tǒng)恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)的要求。第二十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)展測(cè)試和演練，確保其有效性。第二十三條當(dāng)信息系統(tǒng)發(fā)生系統(tǒng)上線、系統(tǒng)升級(jí)、網(wǎng)絡(luò)改造、設(shè)備更新、配置參數(shù)調(diào)整等變更時(shí)應(yīng)及時(shí)更新應(yīng)急預(yù)案，并適時(shí)實(shí)施演練。第二十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)制定年度信息系統(tǒng)應(yīng)急演練方案，明確演練的時(shí)間、內(nèi)容、依據(jù)、目的、負(fù)責(zé)人和相關(guān)配合機(jī)構(gòu)等要素。演練方案應(yīng)涵蓋對(duì)應(yīng)急預(yù)案各環(huán)節(jié)的檢驗(yàn)，驗(yàn)證應(yīng)急預(yù)案的有效性、應(yīng)急資源的完備性及應(yīng)急人員的適應(yīng)性。應(yīng)急演練應(yīng)做到全面演練和專(zhuān)項(xiàng)演練相結(jié)合，一般情況下，銀行業(yè)金融機(jī)構(gòu)每年至少應(yīng)組織一次全系統(tǒng)范圍內(nèi)的應(yīng)急演練。第二十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)嚴(yán)格按照應(yīng)急演練方案實(shí)施應(yīng)急演練，并注意如下事項(xiàng)：(一)以應(yīng)急預(yù)案為根基，制定應(yīng)急演練總體方案，并進(jìn)展不安全因素再評(píng)估，制定相應(yīng)的保障措施；(二)應(yīng)急演練內(nèi)容應(yīng)全面完整，涵蓋信息系統(tǒng)的各類(lèi)應(yīng)急場(chǎng)景；(三)嚴(yán)格控制應(yīng)急演練引起的信息系統(tǒng)變更不安全因素，防止因演練導(dǎo)致服務(wù)中斷；(四)應(yīng)急演練應(yīng)選擇在非主要業(yè)務(wù)時(shí)段進(jìn)展；(五)應(yīng)急演練完成后，應(yīng)保證實(shí)施應(yīng)急預(yù)案所需的各項(xiàng)資源恢復(fù)正常；(六)定期對(duì)信息系統(tǒng)應(yīng)急響應(yīng)相關(guān)人員進(jìn)展培訓(xùn)。第二十六條銀行業(yè)金融機(jī)構(gòu)應(yīng)積極配合其他業(yè)務(wù)相關(guān)機(jī)構(gòu)完成跨機(jī)構(gòu)或跨行業(yè)應(yīng)急演練。第二十七條銀行業(yè)金融機(jī)構(gòu)在應(yīng)急演練的過(guò)程中，對(duì)可能存在較大不安全因素的演練(如全系統(tǒng)范圍的演練)，應(yīng)按屬地監(jiān)管原那么，在實(shí)施演練前將應(yīng)急演練方案向銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)備。第二十八條應(yīng)急演練完畢后，銀行業(yè)金融機(jī)構(gòu)應(yīng)撰寫(xiě)應(yīng)急演練情況總結(jié)報(bào)告，大型或重要的應(yīng)急演練總結(jié)報(bào)告應(yīng)提交董事會(huì)和高管層?？偨Y(jié)報(bào)告包括但不限于：內(nèi)容和目的、總體方案、參與人員、準(zhǔn)備工作、主要過(guò)程和關(guān)鍵時(shí)間點(diǎn)記錄、存在的問(wèn)題、后續(xù)改進(jìn)措施及實(shí)施方案、演練結(jié)論。第二十九條銀行業(yè)金融機(jī)構(gòu)應(yīng)根據(jù)演練總結(jié)報(bào)告提出的改進(jìn)措施進(jìn)展整改，及時(shí)修訂相應(yīng)的應(yīng)急預(yù)案，并組織審計(jì)部門(mén)對(duì)整改情況進(jìn)展監(jiān)視和檢查。第三十條對(duì)于全系統(tǒng)范圍的年度演練或跨機(jī)構(gòu)和跨行業(yè)的演練，銀行業(yè)金融機(jī)構(gòu)應(yīng)將演練總結(jié)報(bào)告上報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)。第三十一條銀行業(yè)金融機(jī)構(gòu)在應(yīng)急演練的過(guò)程中，應(yīng)根據(jù)審計(jì)、監(jiān)管部門(mén)要求，將應(yīng)急演練方案、過(guò)程記錄和結(jié)果分析等歸檔。第六章應(yīng)急響應(yīng)第三十二條銀行業(yè)金融機(jī)構(gòu)應(yīng)按照本機(jī)構(gòu)既定的應(yīng)急預(yù)案，做好應(yīng)急處置，快速有效處置突發(fā)事件。第三十三條銀行業(yè)金融機(jī)構(gòu)不安全因素管理部門(mén)應(yīng)在董事會(huì)和高管層授權(quán)下負(fù)責(zé)突發(fā)事件報(bào)告，并指定專(zhuān)人為報(bào)告責(zé)任人。當(dāng)報(bào)告責(zé)任人確定或發(fā)生變更時(shí)應(yīng)及時(shí)向銀監(jiān)會(huì)或其派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門(mén)報(bào)備。當(dāng)多個(gè)重要信息系統(tǒng)同時(shí)受到影響時(shí)，按照受影響程度最高原那么報(bào)告。第三十四條全國(guó)性銀行業(yè)金融機(jī)構(gòu)總部向銀監(jiān)會(huì)信息系統(tǒng)應(yīng)急管理部門(mén)報(bào)告；全國(guó)性銀行業(yè)金融機(jī)構(gòu)的一級(jí)分支機(jī)構(gòu)、地方性銀行業(yè)金融機(jī)構(gòu)向當(dāng)?shù)劂y監(jiān)會(huì)派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門(mén)報(bào)告。第三十五條突發(fā)事件應(yīng)急響應(yīng)流程：(一)應(yīng)急執(zhí)行小組應(yīng)根據(jù)既定的應(yīng)急預(yù)案，啟動(dòng)應(yīng)急操作，并及時(shí)報(bào)告應(yīng)急領(lǐng)導(dǎo)小組。應(yīng)急處置應(yīng)集中于建設(shè)臨時(shí)業(yè)務(wù)處理能力、修復(fù)原系統(tǒng)損害、在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力等應(yīng)急措施；(二)對(duì)于應(yīng)急預(yù)案沒(méi)有覆蓋的突發(fā)事件，應(yīng)立即報(bào)告應(yīng)急領(lǐng)導(dǎo)小組進(jìn)展應(yīng)急決策；(三)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立即啟動(dòng)本機(jī)構(gòu)應(yīng)急組織，組織協(xié)調(diào)機(jī)構(gòu)內(nèi)部進(jìn)展應(yīng)急處置，并負(fù)責(zé)向監(jiān)管部門(mén)報(bào)告應(yīng)急響應(yīng)情況；(四)支持保障小組做好各項(xiàng)應(yīng)急保障工作，為應(yīng)急處置提供場(chǎng)地、交通、通訊及其他后勤保障；(五)銀行業(yè)金融機(jī)構(gòu)應(yīng)在重要信息系統(tǒng)突發(fā)事件發(fā)生后60分鐘之內(nèi)將突發(fā)事件相關(guān)情況上報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門(mén)，并在事件發(fā)生后12小時(shí)內(nèi)提交正式書(shū)面報(bào)告；(六)對(duì)造成經(jīng)濟(jì)秩序混亂或重大經(jīng)濟(jì)損失、影響金融穩(wěn)定的，或?qū)︺y行、客戶(hù)、公眾的利益造成損害的突發(fā)事件，銀行業(yè)金融機(jī)構(gòu)要立即上報(bào)；(七)銀行業(yè)金融機(jī)構(gòu)應(yīng)將應(yīng)急處置重大進(jìn)展情況及時(shí)上報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)，直至應(yīng)急完畢。I級(jí)突發(fā)事件發(fā)生后，銀行業(yè)金融機(jī)構(gòu)應(yīng)每2小時(shí)將應(yīng)急處置進(jìn)展情況上報(bào)，直至應(yīng)急完畢。第三十六條上報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的書(shū)面報(bào)告內(nèi)容應(yīng)包括突發(fā)事件時(shí)間、地點(diǎn)、現(xiàn)象、影響的業(yè)務(wù)范圍、原因分析、后果的初步判斷、已采取的措施、后續(xù)擬采取方案的建議、事件報(bào)告單位、聯(lián)系人及聯(lián)系方式、其他與本突發(fā)事件有關(guān)的內(nèi)容，并在報(bào)告中重點(diǎn)明確需要銀監(jiān)會(huì)協(xié)調(diào)的事項(xiàng)。第三十七條銀監(jiān)會(huì)及其派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門(mén)根據(jù)銀行業(yè)金融機(jī)構(gòu)應(yīng)急協(xié)調(diào)需求，組織協(xié)調(diào)國(guó)家信息化管理、信息安全管理、治安管理、電力管理等跨部門(mén)資源，統(tǒng)籌安排處置工作。第三十八條應(yīng)急處置中所有相關(guān)的信息和處理過(guò)程應(yīng)進(jìn)展嚴(yán)格記錄，外部供應(yīng)商的處理過(guò)程應(yīng)有專(zhuān)門(mén)記錄文件，如果涉及到保險(xiǎn)理賠，中間過(guò)程和場(chǎng)景可用攝像設(shè)備進(jìn)展記錄。所有過(guò)程資料應(yīng)由專(zhuān)人存檔保管。第三十九條應(yīng)急處置過(guò)程中出現(xiàn)異常或應(yīng)急預(yù)案、決策方案失效，銀行業(yè)金融機(jī)構(gòu)應(yīng)急領(lǐng)導(dǎo)小組要立即上報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門(mén)。第四十條重要信息系統(tǒng)突發(fā)事件發(fā)生后，銀行業(yè)金融機(jī)構(gòu)應(yīng)將相關(guān)信息及時(shí)通報(bào)給受影響的外部機(jī)構(gòu)及重要客戶(hù)，并將相關(guān)信息準(zhǔn)確通報(bào)給相關(guān)設(shè)備及服務(wù)提供商、電信、電力等外部組織，以獲得應(yīng)急響應(yīng)支持。第四十一條重要信息系統(tǒng)突發(fā)事件發(fā)生后，根據(jù)突發(fā)事件的嚴(yán)重程度，銀行業(yè)金融機(jī)構(gòu)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)及時(shí)向新聞媒體發(fā)布相關(guān)信息，嚴(yán)格按照行業(yè)、機(jī)構(gòu)的相關(guān)規(guī)定和要求對(duì)外發(fā)布信息，機(jī)構(gòu)內(nèi)其它部門(mén)或者個(gè)人不得隨意承受新聞媒體采訪或?qū)ν獍l(fā)表個(gè)人看法。第四十二條重要信息系統(tǒng)恢復(fù)正常服務(wù)即為應(yīng)急完畢。第四十三條銀行業(yè)金融機(jī)構(gòu)在應(yīng)急完畢后，應(yīng)針對(duì)應(yīng)急工作進(jìn)展評(píng)估和總結(jié)，并報(bào)銀監(jiān)會(huì)或其派出機(jī)構(gòu)信息系統(tǒng)應(yīng)急管理部門(mén)?？偨Y(jié)報(bào)告應(yīng)包括信息系統(tǒng)突發(fā)事件評(píng)估、處置工作總結(jié)以及癥結(jié)分析和相應(yīng)建議等內(nèi)容。(一)突發(fā)事件評(píng)估應(yīng)包括現(xiàn)象、影響范圍、處理時(shí)間和過(guò)程以及造成的損失；(二)處置工作總結(jié)應(yīng)評(píng)價(jià)應(yīng)急預(yù)案的可用性，分析處置工作中存在的問(wèn)題，總結(jié)處置工作的整體過(guò)程；(三)癥結(jié)分析和相應(yīng)建議應(yīng)分析突發(fā)事件的深層次原因，反映存在的困難和問(wèn)題，并提出改進(jìn)措施、方案及相關(guān)建議。第七章應(yīng)急保障第四十四條銀行業(yè)金融機(jī)構(gòu)應(yīng)建設(shè)長(zhǎng)效的人員保障機(jī)制，確保人員能夠勝任應(yīng)急處置工作。在人員保障方面應(yīng)到達(dá)以下要求：(一)確保應(yīng)急處置人員具備應(yīng)急工作必要的技術(shù)資質(zhì)，定期組織人員培訓(xùn)以滿(mǎn)足應(yīng)急處置的要求，并通過(guò)應(yīng)急演練，保證應(yīng)急處置人員的熟練度；(二)確保主、備崗機(jī)制的落實(shí)；(三)確保主、備崗人員定期進(jìn)展互換；(四)防止一人兼過(guò)多的崗位。第四十五條銀行業(yè)金融機(jī)構(gòu)應(yīng)建設(shè)有效的物質(zhì)保障機(jī)制，確保在應(yīng)急響應(yīng)過(guò)程中不會(huì)因物質(zhì)缺乏而導(dǎo)致應(yīng)急處置中斷或延長(zhǎng)應(yīng)急處置時(shí)間。在物質(zhì)保障方面應(yīng)到達(dá)以下要求：(一)儲(chǔ)藏一定數(shù)量應(yīng)急設(shè)備或物資，并確保物資供應(yīng)渠道暢通；(二)建設(shè)應(yīng)急響應(yīng)專(zhuān)項(xiàng)資金預(yù)算