银行业重要信息系统突发事 件应急管理规范.pdfVIP

银行业重要信息系统突发事件 应急管理规范（试行） 第一章 总则 第一条 为规范银行业重要信息系统的突发事件应急管理，提高应对突发事 件的综合管理水平和应急处置能力，有效防范银行业信息系统风险，根据《中华 人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》以及相关 法律法规，制定本规范。 第二条 在中华人民共和国境内设立的政策性银行、国有商业银行、股份制 商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村 信用社、城市信用社，外商独资银行、中外合资银行和外国银行分行适用本规范。 第三条 银行业重要信息系统突发事件应对工作原则包括： （一）健全机制。银行业金融机构应建立统一指挥、协调有序的应急管理机 制，主动开展应急管理工作，定期演练和评价应急预案，持续改进本机构的应急 预案和相关协调机制。 （二）明确职责。银行业金融机构应明确本机构各部门在应急管理工作中的 职责，以保障银行业金融机构业务连续性为目标，以落实和完善应急预案为基础， 全面加强信息系统应急管理工作，并制定有效的问责制度。 （三）预防为主。银行业金融机构应建立和完善信息系统突发事件风险防范 体系，对可能导致突发事件的风险进行有效地识别、分析和控制，并对风险指标 动态、持续监测，减少重大突发事件发生的可能性。 （四）处置高效。银行业金融机构应加强应急处置队伍建设，提供充分的资 源保障，确保突发事件发生时反应快速、报告及时、措施得力、操作准确，降低 突发事件可能造成的损失。 第四条 以下术语适用于本规范 （一）本规范所称重要信息系统是指银行业金融机构支撑关键业务，其信息 安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益，甚至 影响国家安全的信息系统。主要包括面向客户、涉及账务处理且时效性要求较高 的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，支撑上述 系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一 部分。 （二）本规范所称业务服务时段是指银行业金融机构重要信息系统所承载业 务对客户提供服务的时间。 （三）本规范所称突发事件是指银行业金融机构重要信息系统以及为之提供 支持服务的电力、通讯等系统突然发生的，影响业务持续开展，需要采取应急处 置措施应对的事件。 （四）本规范所称信息系统应急管理是指贯穿于整个信息系统生命周期中， 通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业 务连续性要求的管理。 （五）本规范所称业务影响分析是指分析业务功能及其相关信息系统资源、 评估特定信息系统突发事件对各种业务功能的影响的过程。 （六）本规范所称剩余风险是指采取了风险控制措施后仍不能被完全消除的 信息系统风险。 第二章 组织机构及职责 第五条 中国银行业监督管理委员会（以下简称银监会）信息科技监管部门 是银行业信息系统应急处理日常管理机构，其应急管理职责是： （一）监管、指导银行业金融机构信息系统应急管理工作； （二）向上级部门报告银行业金融机构信息系统突发事件； （三）通报、发布银行业信息系统应急处理情况； （四）向银行业金融机构发布信息系统突发事件预警信息； （五）督导、检查银行业金融机构信息系统应急演练； （六）维护银行业应急管理组织机构通讯联络方式。 第六条 银监会派出机构结合本地实际情况设立相应的应急管理组织机构， 明确职责并监督、检查辖内银行业金融机构做好应急预案，负责辖内银行业信息 系统突发事件应急管理工作。 第七条 银行业金融机构应综合考虑其业务和系统规模，建立应急管理组织 机构，负责本机构信息系统突发事件应急管理工作。 （一）董事会和高级管理层应对本机构应急管理政策及其实施效果负有最终 的责任。董事会和高级管理层应领导、监督本机构信息系统应急管理体系建设， 制定落实应急管理的分级授权制度和问责制度，研究确定应急处置重大决策和指 导意见，为应急管理工作配置充分的资源，定期听取风险状况分析、信息系统重 大突发事件、现有应急管理政策重大修改等汇报，负责信息系统突发事件信息披 露等。 （二）风险管理部门应制订应急管理政策和基本管理制度并报董事会和高级 管理层审定，统一组织、协调、指导、检查本机构信息系统突发事件应急管理； 建立应急处置的预授权制度，定期分析