生意银行多少主导监管指引2010

商贸银行数量基本监管指引
  第一章 总则

  第一长条
为提高商贸银行数量基本风险管理,保障数据主导安全、可靠、稳定运转,提高商业银行业务连续性水平,根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。
  第二长达
在中华人民共和国境内开设的共用商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。中国银行业监督管理委员会(以下简称中国银监会)监管的别金融机构参照本指引执行。
  第三久 以下术语适用于依指引:
  (一)本带所称数据主导包括生产骨干和灾难备份中心(以下简称灾备中心)。
  (二)本指引所称生产中心是借助买卖银行针对全行业务、客户及管理等关键信息进行集中储存、处理及保护,具备专用场地,为作业运营及管制提供信息科技支持服务之社。
  (三)本指引所称灾备中心是负买卖银行也保全其工作连续性,在生养中心故障、停顿或瘫疾后,能够接替生产骨干运行,具备专用场地,进行数据处理以及支持重点事务不断运转的团。
  (四)本带所称灾备中心同城模式是乘灾备中心跟生产骨干在同地理区域,一般距离数十公里,可防火灾、建筑物破坏、电力或通信系统中断等事件。灾备中心异地模式是依赖灾备中心以及生育为主处于不同地理区域,一般距离在数百公里以上,不见面又面临同类区域性灾难风险,如地震、台风和洪水等。
  (五)本带所称要信息体系是据支撑重要事务,其信息安全和服务品质关系人民、法人和集体的变通,或干社会秩序、公共利益乃至国家安全的信体系。包括面向客户、涉及账务处理都时效性要求比高的工作处理类似、渠道类和关联客户风险管理等业务的管理类信息体系,以及支持体系运转的机房和网等基础设备。
  第四修
《信息安全技能信息体系灾难恢复规范》(GB/T20988-2007)中的条规通过以带的援而成以指引的条文。

  第二章 设立和改

  第五漫漫
商业银行应被博经济许可证后少年内,设立生产骨干;生产为主举办后少年内,设立灾备中心。
  第六长条
商业银行多少主导应配置满足工作运营跟管理要求的场合、基础设备、网络、信息体系以及人员,并有支持工作不停顿服务之力量。
  第七长
总财力规模一千亿第一人民币以上都超过省办分支机构的责任者商业银行,及省级农村信用联合社应设立异地模式灾备中心,重要消息体系灾难恢复能力应高达《信息安全技能信息体系灾难恢复规范》中定义之难恢复阶段第5级(含)以上;其他法人商业银行应设同城模式灾备中心并促成多少异地备份,重要消息体系灾难恢复能力应高达《信息安全技能信息体系灾难恢复规范》中定义之灾难恢复阶段第4级(含)以上。
  第八长长的
商业银行应就多少基本举办,数据主导服务范围、服务力量以及场地变更,以及任何对数码基本不断运作有较生影响之要紧改观事项向中国银监会或其派出机构报告。
  第九长长的
商业银行应以数码基本计划筹建阶段,以及在数额主导正式运营前至少20独工作日,向中国银监会或该派出机构报告。
  第十条
商业银行转数据核心场所经常承诺至少提前2独月,其他重点改观应至少提前10单工作日向中国银监会或该派出机构报告。

  第三回 风险管理

  第十一漫漫
商业银行信科技风险管理机构承诺制订数据核心风险管理策略、风险识别以及评估流程,定期进行风险评估工作,对风险进行分级管理,持续监控风险管理状况,及时预警,将风险控制在可接受程度。
  第十二漫漫
商业银行信科技机构应指、监督及和谐数据核心明确信息体系运营保障管理策略,建立营业保障管理制度、标准与流程,落实信息科技风险管理措施。
  第十三长条
商业银行多少主导答应建立健全各项管理以及内控制度,从技术和管理等方面实施风险控制措施。
  第十四条
商业银行数量基本应设置专门管理岗位,监督、检查数据中心各项规范、制度、标准以及流程的推行情况与风险管理状况。
  第十五漫长
商业银行应因业务影响分析所识别出风险的可能与损失程度,决定是否请商业保险以报不同种类的灾难,并定期检查其保险政策与范围。投保资产清单应封存于安场所,以便索赔时用。
  第十六漫长
商业银行间审计机关应至少每三年开展同样不成数据核心内审计。
  第十七长达
商业银行在采取有效信息安全控制措施之前提下,可请合格的表面审计单位期限对数据主导进行审计。
  第十八漫漫
商业银行多少基本答应基于外、外部审计意见,及时制定整改计划并执行整。

  第四章 运行条件管理

  第十九长条
商业银行进行数量主导选址时,应开展到的高风险评估,综合考虑地理位置、环境、设施等各种因素对数据主导安全运营的私房影响,规避选址不当风险,避免数据基本选址过分集中。
  第二十长长的 数据核心选址应满足但未杀以下要求:
  (一)生产骨干和灾备中心的场合应维持合理距离,避免以受到同类风险。
  (二)应选址于电力供给可靠,交通、通信便捷地区;远离水灾和火灾隐患区域;远离易燃、易爆场所当危急区域;远离强振源和强噪声源,避开强电磁场干扰;应避免选址于地震、地质灾害高发区域。
  第二十一久
数据基本基础设备建设答应因满足重点信息体系运行高可用性和高可靠性要求、保障业务连续性为对象,应满足但无压以下要求:
  (一)建筑物结构,如层高、承重、抗震等,应满足专用机房建设求。
  (二)应根据使用要求分割功能区域,各职能区域条件达成相对独立。
  (三)应配置不中断电源、应急发电装置等因满足信息技术设备连续运行的求。
  (四)通信线路、供电、机房专用空调等基础设备应享冗余能力,进行冗余配置,消除单点隐患。
  (五)机房区域应以气体消防和机关消防预警系统,内部通道设置、装饰材料抵承诺满足消防要求,并经消防验收。
  (六)应利用防雷接地、防磁、防水、防盗、防鼠虫害等保护措施。
  (七)应以环保节俭技术,降低能耗,提高效率。
  第二十二长 数据主导安防和基础设备保障应满足但不制止以下要求:
  (一)各职能区域应因使用功能划分安全控制级别,不同级别区域采用独立的进出控制配备,并集中监督,各区域出入口及重大职务应利用视频监控,监控记录封存时间应满足亭件分析、监督审计的要。
  (二)应享机房环境监察网,对基础设备设备、机房环境气象、安防系统状况进行7×24钟头实时监测,监测记录保留时应满足故障诊断、事后审计的需。
  (三)每年最少进行一糟糕针对基础设备的平安评估,对基础设备的可用性和可靠性、运维管理流程和人员的安全意识等方面进行检查,及时发现安全隐患并贯彻整改。
  第二十三漫漫
数据基本答应来所以少小或者多贱通信运营商线路互为备份。互为备份的通信线路不得通过同一路由节点。

  第五段 运营保障管理

  第二十四长
商业银行应成立满足工作发展要求的数量主导运营维护管理体系,根据工作要求定义运营保障服务内容,制定服务专业以及评价方法,建立营业保障管理不断改进机制。
  第二十五漫长
数据核心答应成立满足信息科技服务要求的营业管理组织架构。设立生产调度、信。息安全、操作运行保障、质量合规管理等作用相关的机构还是岗位,明确岗位与天职,配备专职人员,提供岗位专业技能培训,确保重要岗位职责分离,通过职责分工与位置制约降低数据核心操作风险。
  第二十六修
数据主导答应树立信息科技运行保障服务管理流程,提高总体运行效率及服务水平,包括:
  (一)应确立事件以及问题管理机制。明确亭件管理流程,定义事件类、事件分别响应要求与波升级、上报规则,及时受理、响应、审批及付出服务请,保障生产服务品质,尽可能降低对工作影响;建立服务台负责受理、跟踪、解答各类运营问题;建立问题源于分析和跟踪解决机制,查明运营事件有的根本原因,避免事件再次发生。
  (二)应建变更管理流程,减少或预防变更对信息科技服务的熏陶。根据变更对作业影响大小进行反分级,对改变影响、变更风险、资源需求以及改变批准开展支配和保管;变更方案应包括应急和回退措施,并经充分测试和说明;建立变更管理联动机制,当生产为主来转移时,应共同分析灾备系统变更需要并开展对应的改,评估灾备恢复的有用;应尽可能压缩紧急转移。
  (三)应建立布局管理流程,统一保管、及时更新数据核心基础设备以及重大消息体系安排信息,支持变更风险评估、变更实施、故障事件排查、问题来自分析等劳务管理流程。
  (四)应针对根本消息体系及通信网络的容量与性能需求进行前瞻性规划,分析、调整与优化容量和性质,满足工作发展求。
  (五)应统一调度各项运维任务,协调以及解决各类运维任务冲突,妥善记录与封存运维任务调度过程。
  (六)应制订验收交接标准和流程,规范重点信息体系投产验收管理。加强版本控制,防范因软件版本、操作文档等未一致产生的风险。
  (七)应因商业银行总体风险控制策略及应急管理要求,从基础设备、网络、信息体系等不等地方分别制定应急预案,并马上修订应急预案,定期开展演练,保证其行。
  (八)应集中监督主要消息体系及通信网络运行状态。采用监控管理工具,实时监督主要消息体系和通信网络的运行状况,通过监测、采集、分析和调优,提升生育系统运转的可靠性、稳定性与可用性。监控记录应满足故障定位、诊断及下审计等要求。
  第二十七长长的
数据基本应树立信息安全保管规范,保证重点消息的机密性、完整性和可用性,包括:
  (一)应设置专门的信安全管理单位要职务,制定安全管理制度和实施计划,定期对信息安全策略、制度同流程的实施情况开展反省及报告。
  (二)应确立与促成人口安然无恙管理制度,明确信息安全保管职责;通过安全教育和培训,提高人口之安全意识和技艺;建立第一职位人员备份制度与监督制约机制。
  (三)应增进信息资产管理,识别信息资产并成立责任制,根据信息资产重要性实施分类控制及分级保护,防范信息资产变、使用以及处过程中的风险。
  (四)应树立和贯彻物理环境安全管理制度,明确安全区域、规范区域走访管理,减少非授权访问所导致的高风险。
  (五)应树立操作安全管理制度,制定操作规程文档,规范信息系统监控、日常维护与批判处理操作等经过。
  (六)应确立数量安全管理制度,规范数据的发生、获取、存储、传输、分发、备份、恢复与清理的军事管制,以及存储介质的台帐、转储、抽检、报废及销毁之保管,保证数据的保密、真实、完整和可用。
  (七)应成立网络通信同走访安全策略,隔离不同网络作用区域,采取与那个安全级别对应之防止、监测等控制措施,防范针对网络的非授权访问,保证网络通信安全。
  (八)应确立基础设备和关键消息之授权访问机制,制定访问控制流程,保留访问记录,防止不授权访问。

  第六章 灾难恢复管理

  第二十八漫长
商业银行应将灾难恢复管理纳入业务连续性管理框架,建立灾难恢复管理团队架构,明确灾难恢复管理机制和流程。
  第二十九长长的
商业银行应统筹规划灾难恢复工作,定期进行风险评估和作业影响分析,确定灾难恢复目标与回复等,明确灾难恢复策略、预案并立即更新。
  第三十长达
商业银行难恢复预案应包括可未杀以下内容:灾难恢复指挥小组及劳作小组人员做和联系方式、汇报路线及联络协调机制、灾难恢复资源分配、基础设备和信息体系的回复优先顺序、灾难恢复和回切流程就效性要求、对外关系机制、最终用户操作指导与第三正值技术支持和应急响应服务等内容。
  第三十一长条
商业银行应为厄恢复提供充分的资源保持,包括基础设备、网络通信、运维及技术支持人力资源、技术培训等。
  第三十二条
商业银行应建及服务提供商、电力部门、公安部门、当地政府和新闻媒体等单位之表面合作机制,保证灾难恢复时会及时获取标支持。
  第三十三长
商业银行应建灾难恢复中测试证明机制,测试证明应定期或以事关重大改观后开展,内容应包含业务功能的回升验证。
  第三十四长条
商业银行应每年至少进行同样糟重要信息体系专项灾备切换演练,每三年足足进行同样潮重大信息体系全面灾备切换演练,以诚工作接管为目标,验证灾备系统中接管生产系统跟康宁回切的能力。
  第三十五长长的
商业银行拓展全面灾备切换和实在工作接管演练前许往中国银监会或该派出机构报告,并以排练了后报送演练总结。
  第三十六久
商业银行因为难亭件启动灾难恢复或用灾备中心回切至生产骨干后,应马上向中国银监会或其派出机构报告,报告情节包括但不压制:灾难亭件发生时间、影响范围与程度,亭件起因、应急处置措施、灾难恢复执行情况以及结果、回切方案。

  第七回 外包管理

  第三十七长长的
商业银行董事会对外包负最终管理义务,应促进及完美外包风险管理体系建设,确保商业银行有效应对外担保风险。
  第三十八漫漫
商业银行应根据信。息科技战略统筹制定数据核心外包策略;应制定数据基本服务外包管理制度、流程,建立健全的风险控制机制。
  第三十九长条
商业银行应确定外包服务所涉及的信息资产的重点和能屈能伸程度,审慎确定数据基本外包服务范围。
  第四十久
商业银行应尽辨识、分析、评估数据主导外包风险,包括信息安全风险、服务中断风险、系统失控风险与声誉风险、战略风险相当,形成风险评估报告并报董事会和高管层审核。
  第四十一漫漫 实施数据主导服务外包时,商业银行的田间管理责任不得外包。
  第四十二久 数据基本服务外包一般包括:
  (一)基础设备类:外包服务商向商业银行提供数据中心机房、配套设备或者运行设备的服务。
  (二)运营维护类:外包服务商向商业银行提供数据中心信息体系或墓础设施的一般运作、维护等劳务。
  第四十三漫长
商业银行于选数据基本外包服务商时,应尽审查、评估外包服务商的天赋、专业能力以及服务方案,对外包服务商进行高风险评估,考查其服务力量是不是好承担相应的贵任。评估包括:外包服务商的商店信誉和财务德定性,外包服务商的消息安全以及消息科技服务管理体系,银行业服务经验相当。提供数据中心基础设备外包服务之服务商,其运作条件应顺应商业银行要求,并有完备的平安管理标准。
  第四十四长长的
商业银行应跟数基本外包服务商签订书面合同,在合同中显然要亭项,包括但切莫限于双方的权利和白、外包服务水平、服务之可靠性、服务之可用性、信息安全控制、服务持续性计划、审计、合规性要求、违约赔偿相当于。
  第四十五长达
商业银行应要求外包服务商购买商业保险以保证其发出足够的赔付能力,并报告保险覆盖范围。
  第四十六漫漫
商业银行应加强针对数码主导外包服务活动的安康管理,包括但非压:
  (一)商业银行应拿数据核心外包服务安全治本纳入数据基本的完整安全策略,保障工作、管理与客户敏感数据信息安全。
  (二)商业银行应仍“必需知道”和“最小授权”原则,严格控制外包服务商信息看的权位,要求外包服务商不得对外泄露所接触的经贸银行信息。
  (三)商业银行应要求外包服务商保留操作痕迹、记录完整的日志,相关内容及封存期限应满足事件分析、安全取证、独立审计和监控检查用。
  (四)商业银行应要求外包服务商遵守商业银行有关消息科技风险管理制度和流程。
  (五)商业银行应要求外包服务商每年最少进行一不善信息安全风险评估并交由评估报告。
  (六)商业银行应要求外包服务商聘请外部机构澳门新匍京娱乐场国际品牌定期对该展开安全审计并付出审计报告,督促该马上整改发现的题材。
  第四十七条
商业银行应禁止外包服务商转包并严格控制分包,保证外包服务水平。
  第四十八长条
商业银行应制订数据核心外包服务应急计划,制订供应商替换方案,以承诺对外担保服务商破产、不可抗力或者其它潜在问题造成服务中断或服务水平下降之事态,支持数据主导连接、可靠运行。
  第四十九长
商业银行应树立外包服务考核、评价机制,定期对外担保服务活动和外包服务商的劳动力量开展甄别与评估,确保取得持续、稳定的外包服务。
  第五十长长的
商业银行以实践数量主导整体服务外包以及关系影响工作、管理与客户敏感数据信息安全的外包前,应于中国银监会或该派出机构报告。
  第五十一长达
商业银行应在外包服务协议条款中显然商业银行及监管单位来且对商限制外之劳动活动进行监察检查,包括外包商的劳务功能、责任、系统跟配备相当内容。

  第八段 监督管理

  第五十二长达
中国银监会及其派出机构可依法对商银行之数据基本执行不现场监管及现场检查。现场检查规范及各个三年一如既往潮。
  第五十三条
针对经贸银行多少基本设立、变更、运营过程有的高风险,中国银监会或该派出机构可往商业银行提醒风险并提出整改意见。商业银行应及时整治并申报结果。

  第九章 附则

  第五十四漫漫 本指引由中国银监会负责解释、修订。
  第五十五条 本指引自公布的日自施行。
  附件:《商业银行数量基本监管指引》报告材料目录及格式要求
  附件:

  《商业银行多少核心监管指引》报告材料目录和格式要求

  一、数据主导计划报告材料目录
  (一)数据基本建设计划报告,包括:
  1.立项报告与自由化分析报告,包括建设背景、建设目标、风险评估、效益分析、成本投入等。
  2.基础设备设计方案,包括选址、建筑物结构、功能区域划分、监控、防雷接地及消防等配套装备、机房等等。
  3.音讯体系建设统筹方案,包括功能跟技能方案计划、人员配备计划、系统服务之区域及业务范围等。灾备中心还欲提供灾难恢复目标、灾难恢复阶段、灾备技术方案统筹与风险评佑报告当。
  (二)区域条件以及基础设备风险评估说明,包括风险识别,风险分析以及风险控制策略等。
  (三)建设与营业模式说明,包括技术支持及运行维护体系等。如运用外包,需提供外包的劳务内容与外包风险评估报告;
  (四)组织架构设计。包括拟设立的机构和岗位职责、计划利用的人手数量等。
  (五)建设以及投入运营的工夫进度计划暨财务预算(基础设备建设同运维管理费用等)。
  (六)中国银监会或该派出机构要求提供的其余文件和素材。
  二、数据基本设立报告材料目录
  (一)由经贸银行法定代表人签署之多少主导投产审批文件,包括数据基本上线申请,数据基本上线审批报告当。
  (二)基础设备状况,包括地点、建筑物结构、功能区域分、监控、防雷接地及消防等配套设备验收报告、机房和附属设施验收报告等。
  (三)信息体系情况,包括系统架构、系统名称、系统服务的区域和业务范围、数据备份方案、灾备技术方案等。
  (四)运营模式说明,包括技术支持及运行维护体系等。如采用外包需说明要外包管理状态,包括主要外包项目名称、外包内容(业务类别和范围等)、外包商基本状况、外包合同(包括平安保密条款、知识产权保护条款)、外包服务水平协议和外包风险评估报告等。
  (五)组织架构,包括机关设置以及岗位职责、人员配备、主要管理者名单等。
  (六)管理制度和正式清单及有关认证,包括运转管理流程、安全管理制度、应急管理制度和标准(含应急恢复策略、信息体系备份和回复方案、应急管理流程以及预案、应急演练和培养计划等)、灾难恢复预案。
  (七)中国银监会或该派出机构要求提供的其他文件和材料。
  三、数据基本主要变更报告材料目录
  (一)变更证明,包括改变原因、目的、内容、时间和熏陶范围等。
  (二)变更方案,包括反准备、变更计划同步骤、变更应急和回退措施。
  (三)风险评估报告,包括风险分析,控制措施、变更有效性评估。
  (四)中国银监会或该派出机构要求提供的别样文件及资料。
  四、报告材料格式要求
  数据主导规划、设立与第一变动报告材料应朝着中国银监会或该派出机构报送纸质资料和电子文档。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注