银行业重要信息系统突发事件应急管理规范(试行).pdf

银行业重要信息系统突发事件应急管理规

范(试行)

银行业重要信息系统突发事件应急管理规范(试行)

为了规范银行业重要信息系统的突发事件应急管理，提高

应对突发事件的综合管理水平和应急处置能力，有效防范银行

业信息系统风险，根据相关法律法规，制定了本规范。

本规范适用于中华人民共和国境内设立的政策性银行、国

有商业银行、股份制商业银行、___、城市商业银行、___、

___、农村信用社、城市信用社，外商独资银行、___和外国银

行分行。

银行业重要信息系统突发事件应对工作原则包括健全机制、

明确职责、预防为主和处置高效。银行业金融机构应建立统一

指挥、协调有序的应急管理机制，明确本机构各部门在应急管

理工作中的职责，建立和完善信息系统突发事件风险防范体系，

加强应急处置队伍建设，提供充分的资源保障，确保突发事件

发生时反应快速、报告及时、措施得力、操作准确，降低突发

事件可能造成的损失。

本规范定义了重要信息系统、业务服务时段和突发事件的

概念。重要信息系统是指银行业金融机构支撑关键业务，其信

息安全和系统服务安全关系公民、法人和组织的权益或社会秩

序和公共利益，甚至影响国家安全的信息系统。业务服务时段

是指银行业金融机构重要信息系统所承载业务对客户提供服务

的时间。突发事件是指银行业金融机构重要信息系统以及为之

提供支持服务的电力、通讯等系统突然发生的，影响业务持续

开展，需要采取应急处置措施应对的事件。

四)本规范中所提到的信息系统应急管理是指通过风险防

范、应急响应、应急保障等措施，确保信息系统在整个生命周

期中能够满足业务发展战略对业务连续性的要求。

五)业务影响分析是指对业务功能及相关信息系统资源进

行分析，评估特定信息系统突发事件对各种业务功能的影响。

六)剩余风险是指在采取风险控制措施后仍无法完全消除

的信息系统风险。

第二章组织机构及职责

第五条___监管部门是银行业信息系统应急处理的日常管

理机构，其应急管理职责包括：

一)监管、指导银行业金融机构的信息系统应急管理工作；

二)向上级部门报告银行业金融机构的信息系统突发事件；

三)通报、发布银行业信息系统应急处理情况；

四)向银行业金融机构发布信息系统突发事件预警信息；

五)督导、检查银行业金融机构的信息系统应急演练；

六)维护银行业应急管理组织机构通讯联络方式。

第六条___派出机构结合本地实际情况设立相应的应急管

理组织机构，明确职责并监督、检查辖内银行业金融机构做好

应急预案，负责辖内银行业信息系统突发事件应急管理工作。

第七条银行业金融机构应该综合考虑其业务和系统规模，

建立应急管理组织机构，负责本机构信息系统突发事件应急管

理工作。具体职责包括：

一)董事会和高级管理层负有最终的责任，领导、监督本

机构信息系统应急管理体系建设，制定落实应急管理的分级授

权制度和问责制度，研究确定应急处置重大决策和指导意见，

为应急管理工作配置充分的资源，定期听取风险状况分析、信

息系统重大突发事件、现有应急管理政策重大修改等汇报，负

责信息系统突发事件信息披露等。

二)风险管理部门应制订应急管理政策和基本管理制度并

报董事会和高级管理层审定，统一组织、协调、指导、检查本

机构信息系统突发事件应急管理；建立应急处置的预授权制度，

定期分析风险状况和总结信息系统突发事件应急管理成效，履

行向董事会和高级管理层的报告职责，履行向___及其派出机

构信息系统应急管理部门的报告职责等。

对银行业金融机构的整体经营及金融市场秩序产生极其严

重影响的事件，如系统瘫痪、重大安全漏洞等。

二)重大突发事件(II级)：对银行业金融机构的重要业务和

客户的资金安全产生较大影响的事件，如大规模数据泄露、网

络攻击等。

三)一般突发事件(III级)：对银行业金融机构的业务和客

户的资金安全产生一定影响的事件，如单个系统故障、病毒感

染等。

第十条银行业金融机构应根据突发事件等级，制定相应的

应急预案和处置流程，明确应急响应级别、应急处置措施、应

急人员职责和协调机制等，确保突发事件得到及时、有效处置。

同时，应定期组织应急演练，检验和完善应急预案和处置流程，

提高应急处置能力和水平。