银行重要信息系统突发事件应急管理办法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ⅩⅩ银行重要信息系统突发事件应急管理办法(试行)
(征求意见稿)
第一章总则
第一条为了规范ⅩⅩ农村ⅩⅩ银行股份有限公司(以下简称“本行”)重要信息系统的突发事件应急管理,最大限度地减少突发事件的影响,维护国家金融稳定,确保本行稳定健康发展,特制定本办法。
第二条本办法依据《中华人民共和国银行业监督管理法》、中国银行业监督管理委员会《银行业突发事件应急预案》、《重大突发事件报告制度》、《金融违法行为处罚办法》、《银行业重要信息系统突发事件应急管理规范(试行)》等法律、法规和规范性文件及相关行业管理规定制定。
第三条应对本行重要信息系统突发事件的工作原则包括:
(一)健全机制。建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本行的应急预案和相关协调机制。
(二)明确职责。明确本行各部门在应急管理工作中的职责,以保障业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。
(三)预防为主。建立和完善突发事件风险防范体系,对可能导致突发事件的风险进行有效地识别、分析和控制,并对风险指标动态、持续监测,减少重大突发事件发生的可能性。
(四)处置高效。加强应急处置队伍建设,提供充分的资源保障,
确保突发事件发生时反应快速、报告及时、措施得力、操作准确,降低突发事件可能造成的损失。
第四条本办法适用于处置本行发生的,有可能影响某一区域经济秩序稳定的重要信息系统突发性事件。
第五条以下术语适用于本办法:
(一)本办法所称重要信息系统是指本行支撑关键业务,其信息安全和系统服务安全关系公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全的信息系统。主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,支撑上述系统运行的前置机、客户端、机房、网络等基础设施也应作为重要信息系统的一部分。
(二)本办法所称业务服务时段是指本行重要信息系统所承载业务对客户提供服务的时间。
(三)本办法所称突发事件是指本行重要信息系统以及为之提供支持服务的电力、通讯等系统突然发生的,影响业务持续开展,需要采取应急处置措施应对的事件。
(四)本办法所称信息系统应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。
(五)本办法所称业务影响分析是指分析业务功能及其相关信息系统资源、评估特定信息系统突发事件对各种业务功能影响的过程。
(六)本办法所称剩余风险是指采取了风险控制措施后仍不能被完全消除的信息系统风险。
(七)根据各类风险的特点,将本行信息系统分为基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险。
第二章组织指挥体系及职责
第六条总行统计信息部是本行信息系统应急处理日常管理机构,其应急管理职责是:
(一)根据全省统一布置,管理、指导本行信息系统应急处置工作;
(二)向行领导和省ⅩⅩ报告本行信息系统突发事件,并按相关规定和程序向相关监管部门报告;
(三)通报、发布本行信息系统应急处理情况;
(四)发布信息系统突发事件预警信息,并组织、指导本行相关机构采取应对措施;
(五)组织、管理、监督、检查本行系统应急演练;
(六)建立本行各级应急管理组织机构通讯联络方式。
第七条本行设立应急管理组织机构,负责信息系统突发事件应急管理工作。
(一)董事会和高级管理层对本行应急管理政策及其实施效果负有最终的责任。董事会和高级管理层领导监督本行信息系统应急管理体系建设,制定落实应急管理的分级授权制度和问责制度,研究确定应急处置重大决策和指导意见,为应急管理工作配置充分的资源,定期听取风险状况分析、信息系统重大突发事件、现有应急管理政策重大修改等汇报,负责信息系统突发事件信息披露等。
(二)风险管理部制订应急管理政策和基本管理制度并报董事
会和高级管理层审定,统一组织、协调指导、检查本行信息系统突发事件应急管理;建立应急处置的预授权制度,定期分析风险状况和总结信息系统突发事件应急管理成效,履行向董事会和高级管理层的报告职责,履行向银监会及其派出机构信息系统应急管理部门的报告职责等。
(三)统计信息部和业务管理部门负责本行信息系统突发事件应急管理工作的具体落实,制定信息系统突发事件预防措施、预警标准和应急策略,组织做好信息系统营运监测和维护,实施信息系统突发事件应急处置,评估总结信息系统突发事件及应急处置过程中暴露的问题并整改,履行向风险管理部门的报告职责,定期组织信息系统应急演练,持续改进本行信息系统应急预案等。本行的业务管理部门针对信息系统突发事件建立相应的业务应急预案和操作流程并进行持续改进和优化。
第八条组织指挥体系
本行设立突发事件应急团队。应急团队包括以下3个小组:
(一)应急处置领导小组(以下简称应急领导小组)
由董事会和高级管理层授权并由高管人员任应急领导小组组长,其职责是:
1.负责信息系统突发事件的应急指挥、组织协调和过程控制;
2.明确新闻发布人,授权其在应急过程中统一对外信息发布口径;
3.宣布重大应急响应状态的降级或解除;
4.向董事会和高级管理层报告应急处置进展情况和总结报告。
(二)应急执行小组由统计信息部及相关业务管理部门、运营部门等派员组成,对应急领导小组负责,其职责是:
1.实施信息系统突发事件的具体应急处置工作;
2.对信息系统突发事件业务影响情况进行分析和评估;
3.收集分析信息系统突发事件应急处置过程中的数据信息和日志;
4.向应急领导小组报告应急处置进展情况和事态发展情况。
(三)支持保障小组由办公室、财务管理部、资金管理部、授信管理部、行政管理部、风险管理部、稽核审计部等派员组成,对应急领导小组负责,其职责是:
1.提供应急所需人力和物力等资源保障;
2.做好对受影响客户的解释和安抚工作;
3.做好秩序维护、安全保障、法律咨询和支援等工作;
4.建立与电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制;
5.其他为降低事件负面影响或损失提供的应急支持保障等。
第三章突发事件分级
第九条突发事件依照其影响范围及持续时间等因素分级。
第十条当突发事件同时满足多个级别的定级条件时,按最高级别确定突发事件等级。
(一)特别重大突发事件(I级)
1.由于重要信息系统服务中断或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定的,或对公众利益造成特别严重损害的突发事件;
2.由于重要信息系统服务异常在业务服务时段导致本地区业务无法正常开展达6个小时(含)以上的突发事件;
3.业务服务时段以外,重要信息系统出现的故障或事件救治未