银行信息系统应急预案编写和演练程序.docVIP

文件编号:　 　 版本号： 第 PAGE 2 页 共 NUMPAGES 9 页 文件编号：　 受控号： 银行信息系统应急预案编写和演练程序 编 制： 审 核： 批 准： 版 本 号： 生效日期： 目 录 TOC \o 1-3 \h \z 修改记录 3 1.目的 4 2.适用范围 4 3.定义和缩写 4 4.职责与权限 4 5.政策 5 6. 流程描述与控制要求 5 7.检查监督 8 8.依据文件和相关文件 8 9.附录 9  修改记录 序号 修改日期 修改单号 修改人 生效日期  1.目的 本文件规定了中国建设银行江苏省分行信息系统应急预案编写演练的操作流程和控制要点，旨在确保信息系统应急预案制定的及时性和严肃性，应急预案的正确性和可用性，以备应急处理使用。 2.适用范围 本文件适用于中国建设银行江苏省分行信息系统应急预案编写和演练。 3.定义和缩写 本文件采用《中国建设银行内部控制体系――框架和要求》、《中国建设银行江苏省分行内控手册》（ICM-CCBJS）的定义和缩写，本文件中需补充说明的定义和缩写如下： 应急工作小组：负责组织、协调信息系统紧急性或灾难性故障应急处理的非常设机构，由计算机安全领导小组成员、信息技术管理部和行内相关部门人员组成； 专家组：负责对应急预案可行性进行评审的非常设机构。应急工作小组召集，由信息技术管理部门技术专家和行内相关部门专家组成，也可邀请行外技术专家参加。 4.职责与权限 部门/岗位 职责 不相容职责 应急工作小组 负责总体组织协调完成应急预案的编写和演练 信息技术管理部 负责技术类风险分析和应急预案的制定和演练 行内相关部门 负责业务类风险分析和应急预案的制定和演练 专家组 负责应急预案的评审 5.政策 为及时处理紧急性或灾难性故障，各生产系统投产前必须制定应急预案并根据实际运行情况及时调整。 应急预案内容应包括应急组织机构及职责分工、应急目标及风险事件分析、各项应急程序的启动条件及操作步骤、所需资源、现场保护及恢复流程、处理假设性风险事件的业务方法和技术方法。 系统投产前，应进行应急预案的演练；系统投产后，对可模拟的故障或灾难，在保证系统日间正常运行的前提下，应定期或不定期地组织应急方案的演练，原则上每年至少一次。 演练完成后，应及时根据演练结果，整理和充实应急预案。 6. 流程描述与控制要求 本体系文件的控制活动分为三个阶段，包括：预案编写阶段、论证及审批阶段和演练阶段。 流程的主要风险是：应急目标不明确,编写的应急预案不实用。针对主要风险的关键控制环节是：选派具有技术、业务水平较高，特别是对该系统有比较深入了解的人员参加方案编写，通过演练进一步完善应急预案。 本流程的输入为信息类项目投产准备，流程的供方为项目提出部门；流程的输出为完成信息系统应急预案的制定和演练，流程的顾客为项目提出部门。具体的流程描述及控制要求见下表。 阶段 流程描述 风险点及其控制 6.1预案编写阶段 在项目投产准备阶段，由项目提出部门提交应急预案编写申请至应急工作小组 应急工作小组应及时组织研究分析，根据业务重要程度，应用规模，并结合系统实际运行环境配置，确定合理的系统应急目标。 信息技术管理部从技术层面完成系统风险分析。 行内相关部门从业务应用层面完成系统风险分析。 信息技术管理部编写技术类应急预案。 行内相关部门编写业务类应急预案。 信息技术管理部根据技术类和业务类应急预案的内容，汇总完成总体应急预案的编写。应急预案应包括应急组织机构及职责分工、应急目标及风险事件分析、各项应急程序的启动条件及操作步骤、所需资源、现场保护及恢复流程、处理假设性风险事件的业务方法和技术方法。 在应急预案编写完成后，应急工作小组根据实际情况，对可模拟的故障，组织完成应急预案的测试。并根据测试情况，提交测试报告。 风险点1：应急目标分析不准确 风险类型：管理风险 风险级别：中等 控制目标： 应急目标定位准确 控制措施：项目投产前，全面分析投产时可能产生的风险，确定应急目标，并完成应急预案编写。 控制岗位：应急工作小组 风险点2：技术类应急方案编写不全面，准确 风险类型：管理风险 风险级别：中等 控制目标：技术应急措施准确、实用 控制措施：选派具有技术水平较高，特别是对该系统有比较深入了解的人员参加方案编写。 控制岗位：信息技术管理部 风险点3：业务类应急方