网络及信息系统突发事件应急管理制度.pdfVIP

网络及信息系统突发事件应急管理制度

第一章总则

第一条为加强公司信息系统应急管理工作，依据中国银监

会办公厅《银行业重要信息系统突发事件应急管理规范（试行）》，

制定本制度。

第二条本制度规定的内容包括：应急处理的组织体系构

成、风险防范措施、应急预案编制、应急演练、应急启动、应急

处理等。

第三条本制度适用于公司各部门。

第四条本制度所指网络包括公司内网、互联网、外联网（外

联网指通过专线、拨号等手段连接其他外部机构的网络）及其网

络基础设施；信息系统是指利用信息化技术实现业务和办公电子

化处理的应用系统，包括支撑信息系统运行的客户端、服务器、

机房等基础设施。

第五条本制度所称突发事件是指网络与信息系统以及为

之提供支持服务的电力、通讯等系统突然发生的、影响业务持续

开展，需要采取应急处置措施应对的事件。

第六条应急管理是指为防止可能发生或已发生且在规定

时间内无法解决的影响信息系统连续运行的事件，须尽快恢复对

1

外服务而启动应急预案的一系列行为。

第七条网络及信息系统的突发事件依照其影响范围、持续

时间、遭到破坏的危害程度等因素，划分为三个级别，当突发事

件同时满足多个级别的定级条件时，按最高级别确定突发事件等

级。具体级别定义如下：

（一）特别重大突发事件(I级)

1.由于重要信息系统服务中断或重要数据损毁、丢失、泄露，

造成重大经济损失、影响金融稳定的，或对公司业务活动、公司

利益、社会公众利益造成特别严重损害的突发事件；

2.由于重要信息系统服务异常，在业务服务时段导致业务无

法正常开展达6小时（含）以上的突发事件；

3.业务服务时段以外，重要信息系统出现的故障或事件救治

未果，可能产生上述情况的突发事件。

（二）重大突发事件(Ⅱ级)

1.由于重要信息系统服务中断或重要数据损毁、丢失、泄露，

对公司业务活动、公司利益、客户利益及社会公共利益造成严重

损害的突发事件；

2.由于重要信息系统服务异常，在业务服务时段导致业务无

法正常开展达3小时（含）以上的突发事件；

3.业务服务时段以外，出现的重要信息系统故障或事件救治

未果，可能产生上述情况的突发事件。

（三）较大突发事件(Ⅲ级)

2

1.由于重要信息系统服务中断或重要数据损毁、丢失、泄露，

对公司业务活动、公司利益、客户利益及社会公共利益造成较大

损害的突发事件；

2.由于重要信息系统服务异常，在业务服务时段导致业务无

法正常开展达半小时（含）以上的突发事件；

3.业务服务时段以外，出现的重要信息系统故障或事件救治

未果，可能产生上述情况的突发事件。

第八条重要信息系统突发事件发生后，公司应依据事件影

响范围和影响时间的变化，按照上述定义进行事件级别升级。应

急管理是指涉及风险评估、应急策略、信息系统恢复和重建、应

急资源、人员分工等方面的管理办法。

第二章组织职责

第九条应急管理工作的组织按职责可分为：应急领导小

组、应急执行小组、技术支持小组和后勤保障支持小组四个工作

组。

第十条应急领导小组由董事会及公司高管层授权并由高

管人员担任应急领导小组组长，各相关职能部门负责人组成。

第十一条应急领导小组工作职责包括：

（一）负责信息系统突发事件的应急指挥、组织协调和过

程控制；

（二）明确事件通报人，授权其在应急过程中统一对外信

3

息发布口径；

（三）宣布重大应急响应状态的降级或解除；

（四）向公司董事会及公司高管层报告应急处置进展情况

并做总结报告。

第十二条网络及信息系统突发事件发生时，公司信息化工

作领导小组转为应急领导小组，原信息化工作领导小组组长担任

应急领导小组总指挥。

第十三条应急领