中国银监会办公厅关于银行业金融机构信息系统应急管理风险提示的通知
(银监办发〔2008〕158号)
各银监局,各国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
在四川汶川大地震中,银行业金融机构及时启动应急预案,最大程度减少了信息系统损失,但是也暴露出在应急管理方面存在的一些薄弱环节。现就完善银行业金融机构信息系统应急管理作以下风险提示:
一、总结经验教训,加强信息科技服务危机管理
此次震灾发生后,银行业金融机构信息科技应急措施发挥了重要作用,为迅速恢复营业创造了条件,但也暴露了一些问题,如:基础设施抗灾能力薄弱,缺乏灾备通讯手段,科技人员备份不足,外包服务商不能及时到位等。各银行业金融机构要认真总结经验教训,重视多风险并发危机下的风险分析和评估,研究制定有效的信息科技服务危机管理流程。
二、科学选址,合理设计,提高基础设施的抗灾能力
各银行业金融机构在数据中心和灾备中心的选址和建设中要充分考虑应灾需求,要科学评估周边建筑物和地形环境的影响,要对电力、通讯等基础设施制定应灾措施。
三、客观评估外包风险,重视外包服务商应急响应能力
各银行业金融机构应慎重对待信息科技服务外包,对外包服务商应急响应能力要作充分的风险评估。一是要避免因外包服务商应急响应能力不足而影响信息系统的及时恢复;二是在应急预案中对外包服务商的应急响应能力要有明确定义,在开展应急演练时,要将外包服务商一并纳入演练,并定期对外包服务商的应急响应能力进行评估;三是要掌控核心技术,避免在技术上过分依赖外包服务商,在应急状态下,也要严格限制外包人员对银行核心数据和重要信息系统的访问,并详细记录、严密监控其运行维护过程,谨防外包人员的不当或不法行为。
四、加强风险评估,完善应急预案,提高应急管理水平
各银行业金融机构应进一步提升应对突发事件的能力。一是要分析重要信息系统中断对业务产生的影响。各银行业金融机构要加强风险管理部门、信息科技部门与业务部门的横向沟通,对重要信息系统进行业务影响分析和风险评估,进一步完善应急预案。二是要完善应急指挥协调机制。各银行业金融机构应建立跨部门的应急指挥和处理机制,明确应急处理的发起部门和配合部门,明确处理流程和报告路线,建立联动机制,重点关注风险管理部门、信息科技部门与业务部门之间协作的有效性。三是要加强应急预案的培训工作。各银行业金融机构在完善应急预案的同时,要加强对员工的培训教育工作,确保各岗位职责清晰,执行有力。四是积极推进应急演练。各银行业金融机构应加紧应急演练计划的实施,真抓实干、不走过场,以实际演练促进应急预案的完善,全面提高应急处理能力。
