第一篇:《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》(銀監(jiān)辦發(fā)﹝2010﹞114號(hào))
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)辦公廳關(guān)于印發(fā)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》的通知
銀監(jiān)辦發(fā)[2010]114號(hào)
各銀監(jiān)局,各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行,郵政儲(chǔ)蓄銀行,各省級(jí)農(nóng)村信用聯(lián)社:
為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)管理,保障數(shù)據(jù)中心安全、可靠、穩(wěn)定運(yùn)行,加強(qiáng)災(zāi)難恢復(fù)管理,提高業(yè)務(wù)連續(xù)性水平,現(xiàn)將《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》印發(fā)給你們,請(qǐng)遵照?qǐng)?zhí)行。
請(qǐng)各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)相關(guān)銀行業(yè)金融機(jī)構(gòu)。
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)辦公廳
二0一0年四月二十日
商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引
(三)應(yīng)配備不間斷電源、應(yīng)急發(fā)電設(shè)施等以滿足信息技術(shù)設(shè)備連續(xù)運(yùn)行的要求。
(四)通信線路、供電、機(jī)房專用空調(diào)等基礎(chǔ)設(shè)施應(yīng)具備冗余能力,進(jìn)行冗余配置,消除單點(diǎn)隱患。
(五)機(jī)房區(qū)域應(yīng)采用氣體消防和自動(dòng)消防預(yù)警系統(tǒng),內(nèi)部通道設(shè)置、裝飾材料等應(yīng)滿足消防要求,并通過(guò)消防驗(yàn)收。
(六)應(yīng)采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護(hù)措施。
(七)應(yīng)采用環(huán)保節(jié)能技術(shù),降低能耗,提高效率。
(八)應(yīng)集中監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)運(yùn)行狀態(tài)。采用監(jiān)控管理工具,實(shí)時(shí)監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)的運(yùn)行狀況,通過(guò)監(jiān)測(cè)、采集、分析和調(diào)優(yōu),提升生產(chǎn)系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和可用性。監(jiān)控記錄應(yīng)滿足故障定位、診斷及事后審計(jì)等要求。
國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,報(bào)告內(nèi)容包括但不限于:災(zāi)難亭件發(fā)生時(shí)間、影響范圍和程度,亭件起因、應(yīng)急處置措施、災(zāi)難恢復(fù)實(shí)施情況和結(jié)果、回切方案。
(五)組織架構(gòu),包括部門設(shè)置與崗位職責(zé)、人員配備、主要負(fù)責(zé)人名單等。
(六)管理制度和規(guī)范清單及相關(guān)說(shuō)明,包括運(yùn)行管理流程、安全管理制度、應(yīng)急管理制度和規(guī)范(含應(yīng)急恢復(fù)策略、信息系統(tǒng)備份和恢復(fù)方案、應(yīng)急管理流程及預(yù)案、應(yīng)急演練及培訓(xùn)計(jì)劃等)、災(zāi)難恢復(fù)預(yù)案。
(七)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
三、數(shù)據(jù)中心重大變更報(bào)告材料目錄
(一)變更說(shuō)明,包括變更原因、目的、內(nèi)容、時(shí)間和影響范圍等。
(二)變更方案,包括變更準(zhǔn)備、變更計(jì)劃和步驟、變更應(yīng)急和回退措施。
(三)風(fēng)險(xiǎn)評(píng)估報(bào)告,包括風(fēng)險(xiǎn)分析,控制措施、變更有效性評(píng)估。
(四)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
四、報(bào)告材料格式要求
數(shù)據(jù)中心規(guī)劃、設(shè)立及重大變更報(bào)告材料應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)送紙質(zhì)材料和電子文檔。
第二篇:《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)北京監(jiān)管局辦公室轉(zhuǎn)發(fā)中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于印發(fā)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》文件的通知
(京銀監(jiān)辦[2010]87號(hào))
各政策性銀行北京市分行及總行營(yíng)業(yè)部、國(guó)家開發(fā)銀行在京營(yíng)業(yè)機(jī)構(gòu)、各國(guó)有商業(yè)銀行北京市分行、轄內(nèi)各股份制商業(yè)銀行、北京銀行、北京農(nóng)村商業(yè)銀行、轄內(nèi)各村鎮(zhèn)銀行、各城市商業(yè)銀行北京分行、中國(guó)郵政儲(chǔ)蓄銀行北京分行、轄內(nèi)各外資銀行、各金融資產(chǎn)管理公司北京辦事處、轄內(nèi)各信托公司、轄內(nèi)各企業(yè)集團(tuán)財(cái)務(wù)公司、金融租賃公司、轄內(nèi)各汽車金融公司、中國(guó)工商銀行牡丹卡中心、中國(guó)銀行銀行卡中心、中國(guó)民生銀行信用卡中心、中國(guó)工商銀行票據(jù)營(yíng)業(yè)部北京分部、中國(guó)工商銀行私人銀行部北京分部:
為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)控制和管理,現(xiàn)將《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于印發(fā)<商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引>的通知》(銀監(jiān)辦發(fā)[2010]114號(hào))轉(zhuǎn)發(fā)給你們,請(qǐng)遵照?qǐng)?zhí)行。
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)北京監(jiān)管局辦公室
二0一0年四月二十七日
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)辦公廳關(guān)于印發(fā)《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》的通
知
(銀監(jiān)辦發(fā)[2010]114號(hào))
各銀監(jiān)局,各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行,郵政儲(chǔ)蓄銀行,各省級(jí)農(nóng)村信用聯(lián)社:
為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)管理,保障數(shù)據(jù)中心安全、可靠、穩(wěn)定運(yùn)行,加強(qiáng)災(zāi)難恢復(fù)管理,提高業(yè)務(wù)連續(xù)性水平,現(xiàn)將《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》印發(fā)給你們,請(qǐng)遵照?qǐng)?zhí)行。
請(qǐng)各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)相關(guān)銀行業(yè)金融機(jī)構(gòu)。
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)辦公廳
二0一0年四月二十日
商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引
第一章 總則
第一條 為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)管理,保障數(shù)據(jù)中心安全、可靠、穩(wěn)定運(yùn)行,提高商業(yè)銀行業(yè)務(wù)連續(xù)性水平,根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》及《中華人民共和國(guó)商業(yè)銀行法》制定本指引。第二條 在中華人民共和國(guó)境內(nèi)設(shè)立的國(guó)有商業(yè)銀行、股份制商業(yè)銀行、郵政儲(chǔ)蓄銀行、城市商業(yè)銀行、省級(jí)農(nóng)村信用聯(lián)合社、外商獨(dú)資銀行、中外合資銀行適用本指引。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì))監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。
第三條 以下術(shù)語(yǔ)適用于本指引:
(一)本指引所稱數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心(以下簡(jiǎn)稱災(zāi)備中心)。
(二)本指引所稱生產(chǎn)中心是指商業(yè)銀行對(duì)全行業(yè)務(wù)、客戶和管理等重要信息進(jìn)行集中存儲(chǔ)、處理和維護(hù),具備專用場(chǎng)所,為業(yè)務(wù)運(yùn)營(yíng)及管理提供信息科技支撐服務(wù)的組織。
(三)本指引所稱災(zāi)備中心是指商業(yè)銀行為保障其業(yè)務(wù)連續(xù)性,在生產(chǎn)中心故障、停頓或癱疾后,能夠接替生產(chǎn)中心運(yùn)行,具備專用場(chǎng)所,進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織。
(四)本指引所稱災(zāi)備中心同城模式是指災(zāi)備中心與生產(chǎn)中心位于同一地理區(qū)域,一般距離數(shù)十公里,可防范火災(zāi)、建筑物破壞、電力或通信系統(tǒng)中斷等事件。災(zāi)備中心異地模式是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域,一般距離在數(shù)百公里以上,不會(huì)同時(shí)面臨同類區(qū)域性災(zāi)難風(fēng)險(xiǎn),如地震、臺(tái)風(fēng)和洪水等。
(五)本指引所稱重要信息系統(tǒng)是指支撐重要業(yè)務(wù),其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和組織的權(quán)益,或關(guān)系社會(huì)秩序、公共利益乃至國(guó)家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且時(shí)效性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第四條 《 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988-2007)
第二章 設(shè)立與變更 中的條款通過(guò)本指引的引用而成為本指引的條款。
第五條 商業(yè)銀行應(yīng)于取得金融許可證后兩年內(nèi),設(shè)立生產(chǎn)中心;生產(chǎn)中心第六條 商業(yè)銀行數(shù)據(jù)中心應(yīng)配置滿足業(yè)務(wù)運(yùn)營(yíng)與管理要求的場(chǎng)地、基礎(chǔ)設(shè)第七條 總資產(chǎn)規(guī)模一千億元人民幣以上且跨省設(shè)立分支機(jī)構(gòu)的法人商業(yè)銀設(shè)立后兩年內(nèi),設(shè)立災(zāi)備中心。
施、網(wǎng)絡(luò)、信息系統(tǒng)和人員,并具備支持業(yè)務(wù)不間斷服務(wù)的能力。
行,及省級(jí)農(nóng)村信用聯(lián)合社應(yīng)設(shè)立異地模式災(zāi)備中心,重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到《 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》 中定義的災(zāi)難恢復(fù)等級(jí)第5級(jí)(含)以上;其他法人商業(yè)銀行應(yīng)設(shè)立同城模式災(zāi)備中心并實(shí)現(xiàn)數(shù)據(jù)異地備份,重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中定義的災(zāi)難恢復(fù)等級(jí)第4級(jí)(含)以上。第八條 商業(yè)銀行應(yīng)就數(shù)據(jù)中心設(shè)立,數(shù)據(jù)中心服務(wù)范圍、服務(wù)職能和場(chǎng)所變更,以及其他對(duì)數(shù)據(jù)中心持續(xù)運(yùn)行具有較大影響的重大變更事項(xiàng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
第九條 商業(yè)銀行應(yīng)在數(shù)據(jù)中心規(guī)劃籌建階段,以及在數(shù)據(jù)中心正式運(yùn)營(yíng)前第十條 商業(yè)銀行變更數(shù)據(jù)中心場(chǎng)所時(shí)應(yīng)至少提前2個(gè)月,其他重大變更應(yīng)
第三章 風(fēng)險(xiǎn)管理 至少20個(gè)工作日,向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
至少提前10個(gè)工作日向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
第十一條 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理部門應(yīng)制定數(shù)據(jù)中心風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)識(shí)別和評(píng)估流程,定期開展風(fēng)險(xiǎn)評(píng)估工作,對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)管理,持續(xù)監(jiān)督風(fēng)險(xiǎn)管理狀況,及時(shí)預(yù)警,將風(fēng)險(xiǎn)控制在可接受水平。
第十二條 商業(yè)銀行信息科技部門應(yīng)指導(dǎo)、監(jiān)督和協(xié)調(diào)數(shù)據(jù)中心明確信息系統(tǒng)運(yùn)營(yíng)維護(hù)管理策略,建立運(yùn)營(yíng)維護(hù)管理制度、標(biāo)準(zhǔn)和流程,落實(shí)信息科技風(fēng)險(xiǎn)管理措施。
第十三條 商業(yè)銀行數(shù)據(jù)中心應(yīng)建立健全各項(xiàng)管理與內(nèi)控制度,從技術(shù)和管第十四條 商業(yè)銀行數(shù)據(jù)中心應(yīng)設(shè)立專門管理崗位,監(jiān)督、檢查數(shù)據(jù)中心各第十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)影響分析所識(shí)別出風(fēng)險(xiǎn)的可能性和損失程度,理等方面實(shí)施風(fēng)險(xiǎn)控制措施。
項(xiàng)規(guī)范、制度、標(biāo)準(zhǔn)和流程的執(zhí)行情況以及風(fēng)險(xiǎn)管理狀況。
決定是否購(gòu)買商業(yè)保險(xiǎn)以應(yīng)對(duì)不同類型的災(zāi)難,并定期檢查其保險(xiǎn)策略及范圍。投保資產(chǎn)清單應(yīng)保存于安全場(chǎng)所,以便索賠時(shí)使用。
第十六條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)至少每三年進(jìn)行一次數(shù)據(jù)中心內(nèi)部審計(jì)。第十七條 商業(yè)銀行在采取有效信息安全控制措施的前提下,可聘請(qǐng)合格的外部審計(jì)機(jī)構(gòu)定期對(duì)數(shù)據(jù)中心進(jìn)行審計(jì)。第十八條商業(yè)銀行數(shù)據(jù)中心應(yīng)根據(jù)內(nèi)、外部審計(jì)意見,及時(shí)制定整改計(jì)劃并實(shí)施整改。
第四章 運(yùn)行環(huán)境管理
第十九條 商業(yè)銀行進(jìn)行數(shù)據(jù)中心選址時(shí),應(yīng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估,綜合考慮地理位置、環(huán)境、設(shè)施等各種因素對(duì)數(shù)據(jù)中心安全運(yùn)營(yíng)的潛在影響,規(guī)避選址不當(dāng)風(fēng)險(xiǎn),避免數(shù)據(jù)中心選址過(guò)度集中。
第二十條 數(shù)據(jù)中心選址應(yīng)滿足但不限于以下要求:
(一)生產(chǎn)中心與災(zāi)備中心的場(chǎng)所應(yīng)保持合理距離,避免同時(shí)遭受同類風(fēng)險(xiǎn)。
(二)應(yīng)選址于電力供給可靠,交通、通信便捷地區(qū);遠(yuǎn)離水災(zāi)和火災(zāi)隱患區(qū)域;遠(yuǎn)離易燃、易爆場(chǎng)所等危險(xiǎn)區(qū)域;遠(yuǎn)離強(qiáng)振源和強(qiáng)噪聲源,避開強(qiáng)電磁場(chǎng)干擾;應(yīng)避免選址于地震、地質(zhì)災(zāi)害高發(fā)區(qū)域。第二十一條 數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)應(yīng)以滿足重要信息系統(tǒng)運(yùn)行高可用性和高可靠性要求、保障業(yè)務(wù)連續(xù)性為目標(biāo),應(yīng)滿足但不限于以下要求:
(一)建筑物結(jié)構(gòu),如層高、承重、抗震等,應(yīng)滿足專用機(jī)房建設(shè)要求。
(二)應(yīng)根據(jù)使用要求劃分功能區(qū)域,各功能區(qū)域原則上相對(duì)獨(dú)立。
(三)應(yīng)配備不間斷電源、應(yīng)急發(fā)電設(shè)施等以滿足信息技術(shù)設(shè)備連續(xù)運(yùn)行的要求。
(四)通信線路、供電、機(jī)房專用空調(diào)等基礎(chǔ)設(shè)施應(yīng)具備冗余能力,進(jìn)行冗余配置,消除單點(diǎn)隱患。
(五)機(jī)房區(qū)域應(yīng)采用氣體消防和自動(dòng)消防預(yù)警系統(tǒng),內(nèi)部通道設(shè)置、裝飾材料等應(yīng)滿足消防要求,并通過(guò)消防驗(yàn)收。
(六)應(yīng)采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護(hù)措施。
(七)應(yīng)采用環(huán)保節(jié)能技術(shù),降低能耗,提高效率。
第二十二條 數(shù)據(jù)中心安防與基礎(chǔ)設(shè)施保障應(yīng)滿足但不限于以下要求:
(一)各功能區(qū)域應(yīng)根據(jù)使用功能劃分安全控制級(jí)別,不同級(jí)別區(qū)域采用獨(dú)立的出入控制設(shè)備,并集中監(jiān)控,各區(qū)域出入口及重要位置應(yīng)采用視頻監(jiān)控,監(jiān)控記錄保存時(shí)間應(yīng)滿足亭件分析、監(jiān)督審計(jì)的需要。
(二)應(yīng)具備機(jī)房環(huán)境監(jiān)控系統(tǒng),對(duì)基礎(chǔ)設(shè)施設(shè)備、機(jī)房環(huán)境狀況、安防系統(tǒng)狀況進(jìn)行7x24小時(shí)實(shí)時(shí)監(jiān)測(cè),監(jiān)測(cè)記錄保存時(shí)間應(yīng)滿足故障診斷、事后審計(jì)的需要。
(三)每年至少開展一次針對(duì)基礎(chǔ)設(shè)施的安全評(píng)估,對(duì)基礎(chǔ)設(shè)施的可用性和可靠性、運(yùn)維管理流程以及人員的安全意識(shí)等方面進(jìn)行檢查,及時(shí)發(fā)現(xiàn)安全隱患并落實(shí)整改。
第二十三條 數(shù)據(jù)中心應(yīng)來(lái)用兩家或多家通信運(yùn)營(yíng)商線路互為備份。互為備
第五章 運(yùn)營(yíng)維護(hù)管理 份的通信線路不得經(jīng)過(guò)同一路由節(jié)點(diǎn)。
第二十四條 商業(yè)銀行應(yīng)建立滿足業(yè)務(wù)發(fā)展要求的數(shù)據(jù)中心運(yùn)營(yíng)維護(hù)管理體系,根據(jù)業(yè)務(wù)需求定義運(yùn)營(yíng)維護(hù)服務(wù)內(nèi)容,制定服務(wù)標(biāo)準(zhǔn)和評(píng)價(jià)方法,建立運(yùn)營(yíng)維護(hù)管理持續(xù)改進(jìn)機(jī)制。
第二十五條 數(shù)據(jù)中心應(yīng)建立滿足信息科技服務(wù)要求的運(yùn)營(yíng)管理組織架構(gòu)。設(shè)立生產(chǎn)調(diào)度、信.息安全、操作運(yùn)行維護(hù)、質(zhì)量合規(guī)管理等職能相關(guān)的部門或崗位,明確崗位和職責(zé),配備專職人員,提供崗位專業(yè)技能培訓(xùn),確保關(guān)鍵崗位職責(zé)分離,通過(guò)職責(zé)分工和崗位制約降低數(shù)據(jù)中心操作風(fēng)險(xiǎn)。
第二十六條 數(shù)據(jù)中心應(yīng)建立信息科技運(yùn)行維護(hù)服務(wù)管理流程,提高整體運(yùn)行效率和服務(wù)水平,包括:
(一)應(yīng)建立事件和問(wèn)題管理機(jī)制。明確亭件管理流程,定義事件類別、事件分級(jí)響應(yīng)要求和事件升級(jí)、上報(bào)規(guī)則,及時(shí)受理、響應(yīng)、審批和交付服務(wù)請(qǐng)求,保障生產(chǎn)服務(wù)質(zhì)量,盡可能降低對(duì)業(yè)務(wù)影響;建立服務(wù)臺(tái)負(fù)責(zé)受理、跟蹤、解答各類運(yùn)營(yíng)問(wèn)題;建立問(wèn)題根源分析及跟蹤解決機(jī)制,查明運(yùn)營(yíng)事件產(chǎn)生的根本原因,避免事件再次發(fā)生。
(二)應(yīng)建立變更管理流程,減少或防止變更對(duì)信息科技服務(wù)的影響。根據(jù)變更對(duì)業(yè)務(wù)影響大小進(jìn)行變更分級(jí),對(duì)變更影響、變更風(fēng)險(xiǎn)、資源需求和變更批準(zhǔn)進(jìn)行控制和管理;變更方案應(yīng)包括應(yīng)急及回退措施,并經(jīng)過(guò)充分測(cè)試和驗(yàn)證;建立變更管理聯(lián)動(dòng)機(jī)制,當(dāng)生產(chǎn)中心發(fā)生變更時(shí),應(yīng)同步分析災(zāi)備系統(tǒng)變更需求并進(jìn)行相應(yīng)的變更,評(píng)估災(zāi)備恢復(fù)的有效性;應(yīng)盡量減少緊急變更。
(三)應(yīng)建立配置管理流程,統(tǒng)一管理、及時(shí)更新數(shù)據(jù)中心基礎(chǔ)設(shè)施和重要信息系統(tǒng)配置信息,支持變更風(fēng)險(xiǎn)評(píng)估、變更實(shí)施、故障事件排查、問(wèn)題根源分析等服務(wù)管理流程。
(四)應(yīng)對(duì)重要信息系統(tǒng)和通信網(wǎng)絡(luò)的容量和性能需求進(jìn)行前瞻性規(guī)劃,分析、調(diào)整和優(yōu)化容量和性能,滿足業(yè)務(wù)發(fā)展要求。
(五)應(yīng)統(tǒng)一調(diào)度各項(xiàng)運(yùn)維任務(wù),協(xié)調(diào)和解決各項(xiàng)運(yùn)維任務(wù)沖突,妥善記錄和保存運(yùn)維任務(wù)調(diào)度過(guò)程。
(六)應(yīng)制定驗(yàn)收交接標(biāo)準(zhǔn)及流程,規(guī)范重要信息系統(tǒng)投產(chǎn)驗(yàn)收管理。加強(qiáng)版本控制,防范因軟件版本、操作文檔等不一致產(chǎn)生的風(fēng)險(xiǎn)。
(七)應(yīng)根據(jù)商業(yè)銀行總體風(fēng)險(xiǎn)控制策略及應(yīng)急管理要求,從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)等不同方面分別制定應(yīng)急預(yù)案,并及時(shí)修訂應(yīng)急預(yù)案,定期進(jìn)行演練,保證其有效性。
(八)應(yīng)集中監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)運(yùn)行狀態(tài)。采用監(jiān)控管理工具,實(shí)時(shí)監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)的運(yùn)行狀況,通過(guò)監(jiān)測(cè)、采集、分析和調(diào)優(yōu),提升生產(chǎn)系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和可用性。監(jiān)控記錄應(yīng)滿足故障定位、診斷及事后審計(jì)等要求。
第二十七條 數(shù)據(jù)中心應(yīng)建立信息安全管理規(guī)范,保證重要信息的機(jī)密性、完整性和可用性,包括:
(一)應(yīng)設(shè)立專門的信息安全管理部門或崗位,制定安全管理制度和實(shí)施計(jì)劃,定期對(duì)信息安全策略、制度和流程的執(zhí)行情況進(jìn)行檢查和報(bào)告。
(二)應(yīng)建立和落實(shí)人員安全管理制度,明確信息安全管理職責(zé);通過(guò)安全教育與培訓(xùn),提高人員的安全意識(shí)和技能;建立重要崗位人員備份制度和監(jiān)督制約機(jī)制。
(三)應(yīng)加強(qiáng)信息資產(chǎn)管理,識(shí)別信息資產(chǎn)并建立責(zé)任制,根據(jù)信息資產(chǎn)重要性實(shí)施分類控制和分級(jí)保護(hù),防范信息資產(chǎn)生成、使用和處置過(guò)程中的風(fēng)險(xiǎn)。
(四)應(yīng)建立和落實(shí)物理環(huán)境安全管理制度,明確安全區(qū)域、規(guī)范區(qū)域訪問(wèn)管理,減少未授權(quán)訪問(wèn)所造成的風(fēng)險(xiǎn)。
(五)應(yīng)建立操作安全管理制度,制定操作規(guī)程文檔,規(guī)范信息系統(tǒng)監(jiān)控、日常維護(hù)和批處理操作等過(guò)程。
(六)應(yīng)建立數(shù)據(jù)安全管理制度,規(guī)范數(shù)據(jù)的產(chǎn)生、獲取、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)和清理的管理,以及存儲(chǔ)介質(zhì)的臺(tái)帳、轉(zhuǎn)儲(chǔ)、抽檢、報(bào)廢和銷毀的管理,保證數(shù)據(jù)的保密、真實(shí)、完整和可用。
(七)應(yīng)建立網(wǎng)絡(luò)通信與訪問(wèn)安全策略,隔離不同網(wǎng)絡(luò)功能區(qū)域,采取與其安全級(jí)別對(duì)應(yīng)的預(yù)防、監(jiān)測(cè)等控制措施,防范對(duì)網(wǎng)絡(luò)的未授權(quán)訪問(wèn),保證網(wǎng)絡(luò)通信安全。
(八)應(yīng)建立基礎(chǔ)設(shè)施和重要信息的授權(quán)訪問(wèn)機(jī)制,制定訪問(wèn)控制流程,保留訪問(wèn)記錄,防止未授權(quán)訪問(wèn)。
第六章 災(zāi)難恢復(fù)管理
第二十八條 商業(yè)銀行應(yīng)將災(zāi)難恢復(fù)管理納入業(yè)務(wù)連續(xù)性管理框架,建立災(zāi)第二十九條 商業(yè)銀行應(yīng)統(tǒng)籌規(guī)劃災(zāi)難恢復(fù)工作,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)第三十條 商業(yè)銀行災(zāi)難恢復(fù)預(yù)案應(yīng)包括但不限于以下內(nèi)容:災(zāi)難恢復(fù)指揮難恢復(fù)管理組織架構(gòu),明確災(zāi)難恢復(fù)管理機(jī)制和流程。
影響分析,確定災(zāi)難恢復(fù)目標(biāo)和恢復(fù)等級(jí),明確災(zāi)難恢復(fù)策略、預(yù)案并及時(shí)更新。
小組和工作小組人員組成及聯(lián)系方式、匯報(bào)路線和溝通協(xié)調(diào)機(jī)制、災(zāi)難恢復(fù)資源分配、基礎(chǔ)設(shè)施與信息系統(tǒng)的恢復(fù)優(yōu)先次序、災(zāi)難恢復(fù)與回切流程及時(shí)效性要求、對(duì)外溝通機(jī)制、最終用戶操作指導(dǎo)及第三方技術(shù)支持和應(yīng)急響應(yīng)服務(wù)等內(nèi)容。
第三十一條 商業(yè)銀行應(yīng)為災(zāi)難恢復(fù)提供充分的資源保障,包括基礎(chǔ)設(shè)施、第三十二條 商業(yè)銀行應(yīng)建立與服務(wù)提供商、電力部門、公安部門、當(dāng)?shù)卣谌龡l 商業(yè)銀行應(yīng)建立災(zāi)難恢復(fù)有效性測(cè)試驗(yàn)證機(jī)制,測(cè)試驗(yàn)證應(yīng)定第三十四條 商業(yè)銀行應(yīng)每年至少進(jìn)行一次重要信息系統(tǒng)專項(xiàng)災(zāi)備切換演網(wǎng)絡(luò)通信、運(yùn)維及技術(shù)支持人力資源、技術(shù)培訓(xùn)等。
府和新聞媒體等單位的外部協(xié)作機(jī)制,保證災(zāi)難恢復(fù)時(shí)能及時(shí)獲取外部支持。
期或在重大變更后進(jìn)行,內(nèi)容應(yīng)包含業(yè)務(wù)功能的恢復(fù)驗(yàn)證。
練,每三年至少進(jìn)行一次重要信息系統(tǒng)全面災(zāi)備切換演練,以真實(shí)業(yè)務(wù)接管為目標(biāo),驗(yàn)證災(zāi)備系統(tǒng)有效接管生產(chǎn)系統(tǒng)及安全回切的能力。
第三十五條 商業(yè)銀行進(jìn)行全面災(zāi)備切換和真實(shí)業(yè)務(wù)接管演練前應(yīng)向中國(guó)第三十六條 商業(yè)銀行因?yàn)?zāi)難亭件啟動(dòng)災(zāi)難恢復(fù)或?qū)?zāi)備中心回切至生產(chǎn)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,并在演練結(jié)束后報(bào)送演練總結(jié)。
中心后,應(yīng)及時(shí)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,報(bào)告內(nèi)容包括但不限于:災(zāi)難亭件發(fā)生時(shí)間、影響范圍和程度,亭件起因、應(yīng)急處置措施、災(zāi)難恢復(fù)實(shí)施情況和結(jié)果、回切方案。
第七章 外包管理
第三十七條 商業(yè)銀行董事會(huì)對(duì)外包負(fù)最終管理責(zé)任,應(yīng)推動(dòng)和完善外包風(fēng)險(xiǎn)管理體系建設(shè),確保商業(yè)銀行有效應(yīng)對(duì)外包風(fēng)險(xiǎn)。第三十八條 商業(yè)銀行應(yīng)根據(jù)信息科技戰(zhàn)略規(guī)劃制定數(shù)據(jù)中心外包策略;應(yīng)第三十九條 商業(yè)銀行應(yīng)確定外包服務(wù)所涉及的信息資產(chǎn)的關(guān)鍵性和敏感第四十條 商業(yè)銀行應(yīng)充分識(shí)別、分析、評(píng)估數(shù)據(jù)中心外包風(fēng)險(xiǎn),包括信息制定數(shù)據(jù)中心服務(wù)外包管理制度、流程,建立全面的風(fēng)險(xiǎn)控制機(jī)制。
程度,審慎確定數(shù)據(jù)中心外包服務(wù)范圍。
安全風(fēng)險(xiǎn)、服務(wù)中斷風(fēng)險(xiǎn)、系統(tǒng)失控風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)等,形成風(fēng)險(xiǎn)評(píng)估報(bào)告并報(bào)董事會(huì)和高管層審核。
第四十一條 實(shí)施數(shù)據(jù)中心服務(wù)外包時(shí),商業(yè)銀行的管理責(zé)任不得外包。第四十二條 數(shù)據(jù)中心服務(wù)外包一般包括:
(一)基礎(chǔ)設(shè)施類:外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心機(jī)房、配套設(shè)施或運(yùn)行設(shè)備的服務(wù)。
(二)運(yùn)營(yíng)維護(hù)類:外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心信息系統(tǒng)或墓礎(chǔ)設(shè)施的日常運(yùn)行、維護(hù)等服務(wù)。
第四十三條 商業(yè)銀行在選擇數(shù)據(jù)中心外包服務(wù)商時(shí),應(yīng)充分審查、評(píng)估外包服務(wù)商的資質(zhì)、專業(yè)能力和服務(wù)方案,對(duì)外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估,考查其服務(wù)能力是否足以承擔(dān)相應(yīng)的貴任。評(píng)估包括:外包服務(wù)商的企業(yè)信譽(yù)及財(cái)務(wù)德定性,外包服務(wù)商的信息安全和信息科技服務(wù)管理體系,銀行業(yè)服務(wù)經(jīng)驗(yàn)等。提供數(shù)據(jù)中心基礎(chǔ)設(shè)施外包服務(wù)的服務(wù)商,其運(yùn)行環(huán)境應(yīng)符合商業(yè)銀行要求,并具有完備的安全管理規(guī)范。
第四十四條 商業(yè)銀行應(yīng)與數(shù)據(jù)中心外包服務(wù)商簽訂書面合同,在合同中明確重要亭項(xiàng),包括但不限于雙方的權(quán)利和義務(wù)、外包服務(wù)水平、服務(wù)的可靠性、服務(wù)的可用性、信息安全控制、服務(wù)持續(xù)性計(jì)劃、審計(jì)、合規(guī)性要求、違約賠償?shù)取?/p>
第四十五條 商業(yè)銀行應(yīng)要求外包服務(wù)商購(gòu)買商業(yè)保險(xiǎn)以保證其有足夠的第四十六條 商業(yè)銀行應(yīng)加強(qiáng)對(duì)數(shù)據(jù)中心外包服務(wù)活動(dòng)的安全管理,包括但賠償能力,并告知保險(xiǎn)覆蓋范圍。
不限于:
(一)商業(yè)銀行應(yīng)將數(shù)據(jù)中心外包服務(wù)安全管理納入數(shù)據(jù)中心的整體安全策略,保障業(yè)務(wù)、管理和客戶敏感數(shù)據(jù)信息安全。
(二)商業(yè)銀行應(yīng)按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格控制外包服務(wù)商信息訪問(wèn)的權(quán)限,要求外包服務(wù)商不得對(duì)外泄露所接觸的商業(yè)銀行信息。
(三)商業(yè)銀行應(yīng)要求外包服務(wù)商保留操作痕跡、記錄完整的日志,相關(guān)內(nèi)容和保存期限應(yīng)滿足事件分析、安全取證、獨(dú)立審計(jì)和監(jiān)督檢查需要。
(四)商業(yè)銀行應(yīng)要求外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)管理制度和流程。
(五)商業(yè)銀行應(yīng)要求外包服務(wù)商每年至少開展一次信息安全風(fēng)險(xiǎn)評(píng)估并提交評(píng)估報(bào)告。
(六)商業(yè)銀行應(yīng)要求外包服務(wù)商聘請(qǐng)外部機(jī)構(gòu)定期對(duì)其進(jìn)行安全審計(jì)并提交審計(jì)報(bào)告,督促其及時(shí)整改發(fā)現(xiàn)的問(wèn)題。
第四十七條 商業(yè)銀行應(yīng)禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包,保證外包服第四十八條 商業(yè)銀行應(yīng)制定數(shù)據(jù)中心外包服務(wù)應(yīng)急計(jì)劃,制訂供應(yīng)商替換務(wù)水平。
方案,以應(yīng)對(duì)外包服務(wù)商破產(chǎn)、不可抗力或其它潛在問(wèn)題導(dǎo)致服務(wù)中斷或服務(wù)水平下降的情形,支持?jǐn)?shù)據(jù)中心連續(xù)、可靠運(yùn)行。
第四十九條 商業(yè)銀行應(yīng)建立外包服務(wù)考核、評(píng)價(jià)機(jī)制,定期對(duì)外包服務(wù)活第五十條 商業(yè)銀行在實(shí)施數(shù)據(jù)中心整體服務(wù)外包以及涉及影響業(yè)務(wù)、管理第五十一條 商業(yè)銀行應(yīng)在外包服務(wù)協(xié)議條款中明確商業(yè)銀行和監(jiān)管機(jī)構(gòu)動(dòng)和外包服務(wù)商的服務(wù)能力進(jìn)行審核和評(píng)估,確保獲得持續(xù)、穩(wěn)定的外包服務(wù)。
和客戶敏感數(shù)據(jù)信息安全的外包前,應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
有權(quán)對(duì)協(xié)議范圍內(nèi)的服務(wù)活動(dòng)進(jìn)行監(jiān)督檢查,包括外包商的服務(wù)職能、責(zé)任、系統(tǒng)和設(shè)施等內(nèi)容。
第八章 監(jiān)督管理
第五十二條 中國(guó)銀監(jiān)會(huì)及其派出機(jī)構(gòu)可依法對(duì)商業(yè)銀行的數(shù)據(jù)中心實(shí)施第五十三條 針對(duì)商業(yè)銀行數(shù)據(jù)中心設(shè)立、變更、運(yùn)營(yíng)過(guò)程存在的風(fēng)險(xiǎn),中非現(xiàn)場(chǎng)監(jiān)管及現(xiàn)場(chǎng)檢查。現(xiàn)場(chǎng)檢查原則上每三年一次。
國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)可向商業(yè)銀行提示風(fēng)險(xiǎn)并提出整改意見。商業(yè)銀行應(yīng)及時(shí)整改并反饋結(jié)果。
第九章 附則
第五十四條 本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。第五十五條 本指引自公布之日起執(zhí)行。
附件:
《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 報(bào)告材料目錄和格式要求
一、數(shù)據(jù)中心規(guī)劃報(bào)告材料目錄
(一)數(shù)據(jù)中心建設(shè)規(guī)劃報(bào)告,包括: .立項(xiàng)報(bào)告和可行性分析報(bào)告,包括建設(shè)背景、建設(shè)目標(biāo)、風(fēng)險(xiǎn)評(píng)估、效益分析、成本投入等。.基礎(chǔ)設(shè)施規(guī)劃方案,包括選址、建筑物結(jié)構(gòu)、功能區(qū)域劃分、監(jiān)控、防雷接地及消防等配套設(shè)施、機(jī)房等級(jí)等。.信息系統(tǒng)建設(shè)規(guī)劃方案,包括功能與技術(shù)方案規(guī)劃、人員配置計(jì)劃、系統(tǒng)服務(wù)的區(qū)域和業(yè)務(wù)范圍等。災(zāi)備中心還需提供災(zāi)難恢復(fù)目標(biāo)、災(zāi)難恢復(fù)等級(jí)、災(zāi)備技術(shù)方案規(guī)劃及風(fēng)險(xiǎn)評(píng)估報(bào)告等。
(二)區(qū)域環(huán)境及基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估說(shuō)明,包括風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)控制策略等。
(三)建設(shè)及運(yùn)營(yíng)模式說(shuō)明,包括技術(shù)支持及運(yùn)行維護(hù)體系等。如采用外包,需提供外包的服務(wù)內(nèi)容和外包風(fēng)險(xiǎn)評(píng)估報(bào)告;
(四)組織架構(gòu)規(guī)劃。包括擬設(shè)立的部門與崗位職責(zé)、計(jì)劃采用的人員數(shù)量等。
(五)建設(shè)及投入運(yùn)營(yíng)的時(shí)間進(jìn)度計(jì)劃和財(cái)務(wù)預(yù)算(基礎(chǔ)設(shè)施建設(shè)和運(yùn)維管理費(fèi)用等)。
(六)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
二、數(shù)據(jù)中心設(shè)立報(bào)告材料目錄
(一)由商業(yè)銀行法定代表人簽署的數(shù)據(jù)中心投產(chǎn)審批文件,包括數(shù)據(jù)中心上線申請(qǐng),數(shù)據(jù)中心上線審批報(bào)告等。
(二)基礎(chǔ)設(shè)施情況,包括地址、建筑物結(jié)構(gòu)、功能區(qū)域劃分、監(jiān)控、防雷接地及消防等配套設(shè)施驗(yàn)收?qǐng)?bào)告、機(jī)房及附屬設(shè)施驗(yàn)收?qǐng)?bào)告等。
(三)信息系統(tǒng)情況,包括系統(tǒng)架構(gòu)、系統(tǒng)名稱、系統(tǒng)服務(wù)的區(qū)域和業(yè)務(wù)范圍、數(shù)據(jù)備份方案、災(zāi)備技術(shù)方案等。
(四)運(yùn)營(yíng)模式說(shuō)明,包括技術(shù)支持及運(yùn)行維護(hù)體系等。如采用外包需說(shuō)明主要外包管理情況,包括主要外包項(xiàng)目名稱、外包內(nèi)容(業(yè)務(wù)類型及范圍等)、外包商基本情況、外包合同(包括安全保密條款、知識(shí)產(chǎn)權(quán)保護(hù)條款)、外包服務(wù)水平協(xié)議和外包風(fēng)險(xiǎn)評(píng)估報(bào)告等。
(五)組織架構(gòu),包括部門設(shè)置與崗位職責(zé)、人員配備、主要負(fù)責(zé)人名單等。
(六)管理制度和規(guī)范清單及相關(guān)說(shuō)明,包括運(yùn)行管理流程、安全管理制度、應(yīng)急管理制度和規(guī)范(含應(yīng)急恢復(fù)策略、信息系統(tǒng)備份和恢復(fù)方案、應(yīng)急管理流程及預(yù)案、應(yīng)急演練及培訓(xùn)計(jì)劃等)、災(zāi)難恢復(fù)預(yù)案。
(七)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
三、數(shù)據(jù)中心重大變更報(bào)告材料目錄
(一)變更說(shuō)明,包括變更原因、目的、內(nèi)容、時(shí)間和影響范圍等。
(二)變更方案,包括變更準(zhǔn)備、變更計(jì)劃和步驟、變更應(yīng)急和回退措施。
(三)風(fēng)險(xiǎn)評(píng)估報(bào)告,包括風(fēng)險(xiǎn)分析,控制措施、變更有效性評(píng)估。
(四)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
四、報(bào)告材料格式要求
數(shù)據(jù)中心規(guī)劃、設(shè)立及重大變更報(bào)告材料應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)送紙質(zhì)材料和電子文檔。
發(fā)布部門:北京市其他機(jī)構(gòu) 發(fā)布日期:2010年04月27日 實(shí)施日期:2010年04月27日(地方法規(guī))
第三篇:商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引
商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引
第一章 總則
第一條 為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)管理,保障數(shù)據(jù)中心安全、可靠、穩(wěn)定運(yùn)行,提高商業(yè)銀行業(yè)務(wù)連續(xù)性水平,根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》及《中華人民共和國(guó)商業(yè)銀行法》制定本指引。
第二條 在中華人民共和國(guó)境內(nèi)設(shè)立的國(guó)有商業(yè)銀行、股份制商業(yè)銀行、郵政儲(chǔ)蓄銀行、城市商業(yè)銀行、省級(jí)農(nóng)村信用聯(lián)合社、外商獨(dú)資銀行、中外合資銀行適用本指引。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì))監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。
第三條 以下術(shù)語(yǔ)適用于本指引:
(一)本指引所稱數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心(以下簡(jiǎn)稱災(zāi)備中心)。
(二)本指引所稱生產(chǎn)中心是指商業(yè)銀行對(duì)全行業(yè)務(wù)、客戶和管理等重要信息進(jìn)行集中存儲(chǔ)、處理和維護(hù),具備專用場(chǎng)所,為業(yè)務(wù)運(yùn)營(yíng)及管理提供信息科技支撐服務(wù)的組織。
(三)本指引所稱災(zāi)備中心是指商業(yè)銀行為保障其業(yè)務(wù)連續(xù)性,在生產(chǎn)中心故障、停頓或癱疾后,能夠接替生產(chǎn)中心運(yùn)行,具備專用場(chǎng)所,進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織。
(四)本指引所稱災(zāi)備中心同城模式是指災(zāi)備中心與生產(chǎn)中心位于同一地理區(qū)域,一般距離數(shù)十公里,可防范火災(zāi)、建筑物破壞、電力或通信系統(tǒng)中斷等事件。災(zāi)備中心異地模式是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域,一般距離在數(shù)百公里以上,不會(huì)同時(shí)面臨同類區(qū)域性災(zāi)難風(fēng)險(xiǎn),如地震、臺(tái)風(fēng)和洪水等。
(五)本指引所稱重要信息系統(tǒng)是指支撐重要業(yè)務(wù),其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和組織的權(quán)益,或關(guān)系社會(huì)秩序、公共利益乃至國(guó)家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且時(shí)效性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類信息系統(tǒng),以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
第四條 《 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988-2007)中的條款通過(guò)本指引的引用而成為本指引的條款。
第二章 設(shè)立與變更
第五條 商業(yè)銀行應(yīng)于取得金融許可證后兩年內(nèi),設(shè)立生產(chǎn)中心;生產(chǎn)中心設(shè)立后兩年內(nèi),設(shè)立災(zāi)備中心。
第六條 商業(yè)銀行數(shù)據(jù)中心應(yīng)配臵滿足業(yè)務(wù)運(yùn)營(yíng)與管理要求的場(chǎng)地、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)和人員,并具備支持業(yè)務(wù)不間斷服務(wù)的能力。
第七條 總資產(chǎn)規(guī)模一千億元人民幣以上且跨省設(shè)立分支機(jī)構(gòu)的法人商業(yè)銀行,及省級(jí)農(nóng)村信用聯(lián)合社應(yīng)設(shè)立異地模式災(zāi)備中心,重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到《 信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》 中定義的災(zāi)難恢復(fù)等級(jí)第5級(jí)(含)以上;其他法人商業(yè)銀行應(yīng)設(shè)立同城模式災(zāi)備中心并實(shí)現(xiàn)數(shù)據(jù)異地備份,重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中定義的災(zāi)難恢復(fù)等級(jí)第4級(jí)(含)以上。
第八條 商業(yè)銀行應(yīng)就數(shù)據(jù)中心設(shè)立,數(shù)據(jù)中心服務(wù)范圍、服務(wù)職能和場(chǎng)所變更,以及其他對(duì)數(shù)據(jù)中心持續(xù)運(yùn)行具有較大影響的重大變更事項(xiàng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
第九條 商業(yè)銀行應(yīng)在數(shù)據(jù)中心規(guī)劃籌建階段,以及在數(shù)據(jù)中心正式運(yùn)營(yíng)前至少20個(gè)工作日,向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
第十條 商業(yè)銀行變更數(shù)據(jù)中心場(chǎng)所時(shí)應(yīng)至少提前2個(gè)月,其他重大變更應(yīng)至少提前10個(gè)工作日向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
第三章 風(fēng)險(xiǎn)管理
第十一條 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理部門應(yīng)制定數(shù)據(jù)中心風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)識(shí)別和評(píng)估流程,定期開展風(fēng)險(xiǎn)評(píng)估工作,對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)管理,持續(xù)監(jiān)督風(fēng)險(xiǎn)管理狀況,及時(shí)預(yù)警,將風(fēng)險(xiǎn)控制在可接受水平。
第十二條 商業(yè)銀行信息科技部門應(yīng)指導(dǎo)、監(jiān)督和協(xié)調(diào)數(shù)據(jù)中心明確信息系統(tǒng)運(yùn)營(yíng)維護(hù)管理策略,建立運(yùn)營(yíng)維護(hù)管理制度、標(biāo)準(zhǔn)和流程,落實(shí)信息科技風(fēng)險(xiǎn)管理措施。
第十三條 商業(yè)銀行數(shù)據(jù)中心應(yīng)建立健全各項(xiàng)管理與內(nèi)控制度,從技術(shù)和管理等方面實(shí)施風(fēng)險(xiǎn)控制措施。
第十四條 商業(yè)銀行數(shù)據(jù)中心應(yīng)設(shè)立專門管理崗位,監(jiān)督、檢查數(shù)據(jù)中心各項(xiàng)規(guī)范、制度、標(biāo)準(zhǔn)和流程的執(zhí)行情況以及風(fēng)險(xiǎn)管理狀況。
第十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)影響分析所識(shí)別出風(fēng)險(xiǎn)的可能性和損失程度,決定是否購(gòu)買商業(yè)保險(xiǎn)以應(yīng)對(duì)不同類型的災(zāi)難,并定期檢查其保險(xiǎn)策略及范圍。投保資產(chǎn)清單應(yīng)保存于安全場(chǎng)所,以便索賠時(shí)使用。
第十六條 商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)至少每三年進(jìn)行一次數(shù)據(jù)中心內(nèi)部審計(jì)。
第十七條 商業(yè)銀行在采取有效信息安全控制措施的前提下,可聘請(qǐng)合格的外部審計(jì)機(jī)構(gòu)定期對(duì)數(shù)據(jù)中心進(jìn)行審計(jì)。第十八條商業(yè)銀行數(shù)據(jù)中心應(yīng)根據(jù)內(nèi)、外部審計(jì)意見,及時(shí)制定整改計(jì)劃并實(shí)施整改。
第四章 運(yùn)行環(huán)境管理
第十九條 商業(yè)銀行進(jìn)行數(shù)據(jù)中心選址時(shí),應(yīng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估,綜合考慮地理位臵、環(huán)境、設(shè)施等各種因素對(duì)數(shù)據(jù)中心安全運(yùn)營(yíng)的潛在影響,規(guī)避選址不當(dāng)風(fēng)險(xiǎn),避免數(shù)據(jù)中心選址過(guò)度集中。
第二十條 數(shù)據(jù)中心選址應(yīng)滿足但不限于以下要求:
(一)生產(chǎn)中心與災(zāi)備中心的場(chǎng)所應(yīng)保持合理距離,避免同時(shí)遭受同類風(fēng)險(xiǎn)。
(二)應(yīng)選址于電力供給可靠,交通、通信便捷地區(qū);遠(yuǎn)離水災(zāi)和火災(zāi)隱患區(qū)域;遠(yuǎn)離易燃、易爆場(chǎng)所等危險(xiǎn)區(qū)域;遠(yuǎn)離強(qiáng)振源和強(qiáng)噪聲源,避開強(qiáng)電磁場(chǎng)干擾;應(yīng)避免選址于地震、地質(zhì)災(zāi)害高發(fā)區(qū)域。
第二十一條 數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)應(yīng)以滿足重要信息系統(tǒng)運(yùn)行高可用性和高可靠性要求、保障業(yè)務(wù)連續(xù)性為目標(biāo),應(yīng)滿足但不限于以下要求:
(一)建筑物結(jié)構(gòu),如層高、承重、抗震等,應(yīng)滿足專用機(jī)房建設(shè)要求。
(二)應(yīng)根據(jù)使用要求劃分功能區(qū)域,各功能區(qū)域原則上相對(duì)獨(dú)立。
(三)應(yīng)配備不間斷電源、應(yīng)急發(fā)電設(shè)施等以滿足信息技術(shù)設(shè)備連續(xù)運(yùn)行的要求。
(四)通信線路、供電、機(jī)房專用空調(diào)等基礎(chǔ)設(shè)施應(yīng)具備冗余能力,進(jìn)行冗余配臵,消除單點(diǎn)隱患。
(五)機(jī)房區(qū)域應(yīng)采用氣體消防和自動(dòng)消防預(yù)警系統(tǒng),內(nèi)部通道設(shè)臵、裝飾材料等應(yīng)滿足消防要求,并通過(guò)消防驗(yàn)收。
(六)應(yīng)采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護(hù)措施。
(七)應(yīng)采用環(huán)保節(jié)能技術(shù),降低能耗,提高效率。
第二十二條 數(shù)據(jù)中心安防與基礎(chǔ)設(shè)施保障應(yīng)滿足但不限于以下要求:
(一)各功能區(qū)域應(yīng)根據(jù)使用功能劃分安全控制級(jí)別,不同級(jí)別區(qū)域采用獨(dú)立的出入控制設(shè)備,并集中監(jiān)控,各區(qū)域出入口及重要位臵應(yīng)采用視頻監(jiān)控,監(jiān)控記錄保存時(shí)間應(yīng)滿足亭件分析、監(jiān)督審計(jì)的需要。
(二)應(yīng)具備機(jī)房環(huán)境監(jiān)控系統(tǒng),對(duì)基礎(chǔ)設(shè)施設(shè)備、機(jī)房環(huán)境狀況、安防系統(tǒng)狀況進(jìn)行7x24小時(shí)實(shí)時(shí)監(jiān)測(cè),監(jiān)測(cè)記錄保存時(shí)間應(yīng)滿足故障診斷、事后審計(jì)的需要。
(三)每年至少開展一次針對(duì)基礎(chǔ)設(shè)施的安全評(píng)估,對(duì)基礎(chǔ)設(shè)施的可用性和可靠性、運(yùn)維管理流程以及人員的安全意識(shí)等方面進(jìn)行檢查,及時(shí)發(fā)現(xiàn)安全隱患并落實(shí)整改。
第二十三條 數(shù)據(jù)中心應(yīng)來(lái)用兩家或多家通信運(yùn)營(yíng)商線路互為備份。互為備份的通信線路不得經(jīng)過(guò)同一路由節(jié)點(diǎn)。
第五章 運(yùn)營(yíng)維護(hù)管理
第二十四條 商業(yè)銀行應(yīng)建立滿足業(yè)務(wù)發(fā)展要求的數(shù)據(jù)中心運(yùn)營(yíng)維護(hù)管理體系,根據(jù)業(yè)務(wù)需求定義運(yùn)營(yíng)維護(hù)服務(wù)內(nèi)容,制定服務(wù)標(biāo)準(zhǔn)和評(píng)價(jià)方法,建立運(yùn)營(yíng)維護(hù)管理持續(xù)改進(jìn)機(jī)制。
第二十五條 數(shù)據(jù)中心應(yīng)建立滿足信息科技服務(wù)要求的運(yùn)營(yíng)管理組織架構(gòu)。設(shè)立生產(chǎn)調(diào)度、信.息安全、操作運(yùn)行維護(hù)、質(zhì)量合規(guī)管理等職能相關(guān)的部門或崗位,明確崗位和職責(zé),配備專職人員,提供崗位專業(yè)技能培訓(xùn),確保關(guān)鍵崗位職責(zé)分離,通過(guò)職責(zé)分工和崗位制約降低數(shù)據(jù)中心操作風(fēng)險(xiǎn)。
第二十六條 數(shù)據(jù)中心應(yīng)建立信息科技運(yùn)行維護(hù)服務(wù)管理流程,提高整體運(yùn)行效率和服務(wù)水平,包括:
(一)應(yīng)建立事件和問(wèn)題管理機(jī)制。明確亭件管理流程,定義事件類別、事件分級(jí)響應(yīng)要求和事件升級(jí)、上報(bào)規(guī)則,及時(shí)受理、響應(yīng)、審批和交付服務(wù)請(qǐng)求,保障生產(chǎn)服務(wù)質(zhì)量,盡可能降低對(duì)業(yè)務(wù)影響;建立服務(wù)臺(tái)負(fù)責(zé)受理、跟蹤、解答各類運(yùn)營(yíng)問(wèn)題;建立問(wèn)題根源分析及跟蹤解決機(jī)制,查明運(yùn)營(yíng)事件產(chǎn)生的根本原因,避免事件再次發(fā)生。
(二)應(yīng)建立變更管理流程,減少或防止變更對(duì)信息科技服務(wù)的影響。根據(jù)變更對(duì)業(yè)務(wù)影響大小進(jìn)行變更分級(jí),對(duì)變更影響、變更風(fēng)險(xiǎn)、資源需求和變更批準(zhǔn)進(jìn)行控制和管理;變更方案應(yīng)包括應(yīng)急及回退措施,并經(jīng)過(guò)充分測(cè)試和驗(yàn)證;建立變更管理聯(lián)動(dòng)機(jī)制,當(dāng)生產(chǎn)中心發(fā)生變更時(shí),應(yīng)同步分析災(zāi)備系統(tǒng)變更需求并進(jìn)行相應(yīng)的變更,評(píng)估災(zāi)備恢復(fù)的有效性;應(yīng)盡量減少緊急變更。
(三)應(yīng)建立配臵管理流程,統(tǒng)一管理、及時(shí)更新數(shù)據(jù)中心基礎(chǔ)設(shè)施和重要信息系統(tǒng)配臵信息,支持變更風(fēng)險(xiǎn)評(píng)估、變更實(shí)施、故障事件排查、問(wèn)題根源分析等服務(wù)管理流程。
(四)應(yīng)對(duì)重要信息系統(tǒng)和通信網(wǎng)絡(luò)的容量和性能需求進(jìn)行前瞻性規(guī)劃,分析、調(diào)整和優(yōu)化容量和性能,滿足業(yè)務(wù)發(fā)展要求。
(五)應(yīng)統(tǒng)一調(diào)度各項(xiàng)運(yùn)維任務(wù),協(xié)調(diào)和解決各項(xiàng)運(yùn)維任務(wù)沖突,妥善記錄和保存運(yùn)維任務(wù)調(diào)度過(guò)程。
(六)應(yīng)制定驗(yàn)收交接標(biāo)準(zhǔn)及流程,規(guī)范重要信息系統(tǒng)投產(chǎn)驗(yàn)收管理。加強(qiáng)版本控制,防范因軟件版本、操作文檔等不一致產(chǎn)生的風(fēng)險(xiǎn)。
(七)應(yīng)根據(jù)商業(yè)銀行總體風(fēng)險(xiǎn)控制策略及應(yīng)急管理要求,從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)等不同方面分別制定應(yīng)急預(yù)案,并及時(shí)修訂應(yīng)急預(yù)案,定期進(jìn)行演練,保證其有效性。
(八)應(yīng)集中監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)運(yùn)行狀態(tài)。采用監(jiān)控管理工具,實(shí)時(shí)監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)的運(yùn)行狀況,通過(guò)監(jiān)測(cè)、采集、分析和調(diào)優(yōu),提升生產(chǎn)系統(tǒng)運(yùn)行的可靠性、穩(wěn)定性和可用性。監(jiān)控記錄應(yīng)滿足故障定位、診斷及事后審計(jì)等要求。
第二十七條 數(shù)據(jù)中心應(yīng)建立信息安全管理規(guī)范,保證重要信息的機(jī)密性、完整性和可用性,包括:
(一)應(yīng)設(shè)立專門的信息安全管理部門或崗位,制定安全管理制度和實(shí)施計(jì)劃,定期對(duì)信息安全策略、制度和流程的執(zhí)行情況進(jìn)行檢查和報(bào)告。
(二)應(yīng)建立和落實(shí)人員安全管理制度,明確信息安全管理職責(zé);通過(guò)安全教育與培訓(xùn),提高人員的安全意識(shí)和技能;建立重要崗位人員備份制度和監(jiān)督制約機(jī)制。
(三)應(yīng)加強(qiáng)信息資產(chǎn)管理,識(shí)別信息資產(chǎn)并建立責(zé)任制,根據(jù)信息資產(chǎn)重要性實(shí)施分類控制和分級(jí)保護(hù),防范信息資產(chǎn)生成、使用和處臵過(guò)程中的風(fēng)險(xiǎn)。
(四)應(yīng)建立和落實(shí)物理環(huán)境安全管理制度,明確安全區(qū)域、規(guī)范區(qū)域訪問(wèn)管理,減少未授權(quán)訪問(wèn)所造成的風(fēng)險(xiǎn)。
(五)應(yīng)建立操作安全管理制度,制定操作規(guī)程文檔,規(guī)范信息系統(tǒng)監(jiān)控、日常維護(hù)和批處理操作等過(guò)程。
(六)應(yīng)建立數(shù)據(jù)安全管理制度,規(guī)范數(shù)據(jù)的產(chǎn)生、獲取、存儲(chǔ)、傳輸、分發(fā)、備份、恢復(fù)和清理的管理,以及存儲(chǔ)介質(zhì)的臺(tái)帳、轉(zhuǎn)儲(chǔ)、抽檢、報(bào)廢和銷毀的管理,保證數(shù)據(jù)的保密、真實(shí)、完整和可用。
(七)應(yīng)建立網(wǎng)絡(luò)通信與訪問(wèn)安全策略,隔離不同網(wǎng)絡(luò)功能區(qū)域,采取與其安全級(jí)別對(duì)應(yīng)的預(yù)防、監(jiān)測(cè)等控制措施,防范對(duì)網(wǎng)絡(luò)的未授權(quán)訪問(wèn),保證網(wǎng)絡(luò)通信安全。
(八)應(yīng)建立基礎(chǔ)設(shè)施和重要信息的授權(quán)訪問(wèn)機(jī)制,制定訪問(wèn)控制流程,保留訪問(wèn)記錄,防止未授權(quán)訪問(wèn)。
第六章 災(zāi)難恢復(fù)管理
第二十八條 商業(yè)銀行應(yīng)將災(zāi)難恢復(fù)管理納入業(yè)務(wù)連續(xù)性管理框架,建立災(zāi)難恢復(fù)管理組織架構(gòu),明確災(zāi)難恢復(fù)管理機(jī)制和流程。
第二十九條 商業(yè)銀行應(yīng)統(tǒng)籌規(guī)劃災(zāi)難恢復(fù)工作,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析,確定災(zāi)難恢復(fù)目標(biāo)和恢復(fù)等級(jí),明確災(zāi)難恢復(fù)策略、預(yù)案并及時(shí)更新。
第三十條 商業(yè)銀行災(zāi)難恢復(fù)預(yù)案應(yīng)包括但不限于以下內(nèi)容:災(zāi)難恢復(fù)指揮小組和工作小組人員組成及聯(lián)系方式、匯報(bào)路線和溝通協(xié)調(diào)機(jī)制、災(zāi)難恢復(fù)資源分配、基礎(chǔ)設(shè)施與信息系統(tǒng)的恢復(fù)優(yōu)先次序、災(zāi)難恢復(fù)與回切流程及時(shí)效性要求、對(duì)外溝通機(jī)制、最終用戶操作指導(dǎo)及第三方技術(shù)支持和應(yīng)急響應(yīng)服務(wù)等內(nèi)容。
第三十一條 商業(yè)銀行應(yīng)為災(zāi)難恢復(fù)提供充分的資源保障,包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)通信、運(yùn)維及技術(shù)支持人力資源、技術(shù)培訓(xùn)等。
第三十二條 商業(yè)銀行應(yīng)建立與服務(wù)提供商、電力部門、公安部門、當(dāng)?shù)卣托侣劽襟w等單位的外部協(xié)作機(jī)制,保證災(zāi)難恢復(fù)時(shí)能及時(shí)獲取外部支持。
第三十三條 商業(yè)銀行應(yīng)建立災(zāi)難恢復(fù)有效性測(cè)試驗(yàn)證機(jī)制,測(cè)試驗(yàn)證應(yīng)定期或在重大變更后進(jìn)行,內(nèi)容應(yīng)包含業(yè)務(wù)功能的恢復(fù)驗(yàn)證。
第三十四條 商業(yè)銀行應(yīng)每年至少進(jìn)行一次重要信息系統(tǒng)專項(xiàng)災(zāi)備切換演練,每三年至少進(jìn)行一次重要信息系統(tǒng)全面災(zāi)備切換演練,以真實(shí)業(yè)務(wù)接管為目標(biāo),驗(yàn)證災(zāi)備系統(tǒng)有效接管生產(chǎn)系統(tǒng)及安全回切的能力。
第三十五條 商業(yè)銀行進(jìn)行全面災(zāi)備切換和真實(shí)業(yè)務(wù)接管演練前應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,并在演練結(jié)束后報(bào)送演練總結(jié)。
第三十六條 商業(yè)銀行因?yàn)?zāi)難亭件啟動(dòng)災(zāi)難恢復(fù)或?qū)?zāi)備中心回切至生產(chǎn)中心后,應(yīng)及時(shí)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,報(bào)告內(nèi)容包括但不限于:災(zāi)難亭件發(fā)生時(shí)間、影響范圍和程度,亭件起因、應(yīng)急處臵措施、災(zāi)難恢復(fù)實(shí)施情況和結(jié)果、回切方案。
第七章 外包管理
第三十七條 商業(yè)銀行董事會(huì)對(duì)外包負(fù)最終管理責(zé)任,應(yīng)推動(dòng)和完善外包風(fēng)險(xiǎn)管理體系建設(shè),確保商業(yè)銀行有效應(yīng)對(duì)外包風(fēng)險(xiǎn)。
第三十八條 商業(yè)銀行應(yīng)根據(jù)信.息科技戰(zhàn)略規(guī)劃制定數(shù)據(jù)中心外包策略;應(yīng)制定數(shù)據(jù)中心服務(wù)外包管理制度、流程,建立全面的風(fēng)險(xiǎn)控制機(jī)制。
第三十九條 商業(yè)銀行應(yīng)確定外包服務(wù)所涉及的信息資產(chǎn)的關(guān)鍵性和敏感程度,審慎確定數(shù)據(jù)中心外包服務(wù)范圍。
第四十條 商業(yè)銀行應(yīng)充分識(shí)別、分析、評(píng)估數(shù)據(jù)中心外包風(fēng)險(xiǎn),包括信息安全風(fēng)險(xiǎn)、服務(wù)中斷風(fēng)險(xiǎn)、系統(tǒng)失控風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)等,形成風(fēng)險(xiǎn)評(píng)估報(bào)告并報(bào)董事會(huì)和高管層審核。
第四十一條 實(shí)施數(shù)據(jù)中心服務(wù)外包時(shí),商業(yè)銀行的管理責(zé)任不得外包。
第四十二條 數(shù)據(jù)中心服務(wù)外包一般包括:
(一)基礎(chǔ)設(shè)施類:外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心機(jī)房、配套設(shè)施或運(yùn)行設(shè)備的服務(wù)。
(二)運(yùn)營(yíng)維護(hù)類:外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心信息系統(tǒng)或墓礎(chǔ)設(shè)施的日常運(yùn)行、維護(hù)等服務(wù)。
第四十三條 商業(yè)銀行在選擇數(shù)據(jù)中心外包服務(wù)商時(shí),應(yīng)充分審查、評(píng)估外包服務(wù)商的資質(zhì)、專業(yè)能力和服務(wù)方案,對(duì)外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估,考查其服務(wù)能力是否足以承擔(dān)相應(yīng)的貴任。評(píng)估包括:外包服務(wù)商的企業(yè)信譽(yù)及財(cái)務(wù)德定性,外包服務(wù)商的信息安全和信息科技服務(wù)管理體系,銀行業(yè)服務(wù)經(jīng)驗(yàn)等。提供數(shù)據(jù)中心基礎(chǔ)設(shè)施外包服務(wù)的服務(wù)商,其運(yùn)行環(huán)境應(yīng)符合商業(yè)銀行要求,并具有完備的安全管理規(guī)范。
第四十四條 商業(yè)銀行應(yīng)與數(shù)據(jù)中心外包服務(wù)商簽訂書面合同,在合同中明確重要亭項(xiàng),包括但不限于雙方的權(quán)利和義務(wù)、外包服務(wù)水平、服務(wù)的可靠性、服務(wù)的可用性、信息安全控制、服務(wù)持續(xù)性計(jì)劃、審計(jì)、合規(guī)性要求、違約賠償?shù)取?/p>
第四十五條 商業(yè)銀行應(yīng)要求外包服務(wù)商購(gòu)買商業(yè)保險(xiǎn)以保證其有足夠的賠償能力,并告知保險(xiǎn)覆蓋范圍。
第四十六條 商業(yè)銀行應(yīng)加強(qiáng)對(duì)數(shù)據(jù)中心外包服務(wù)活動(dòng)的安全管理,包括但不限于:
(一)商業(yè)銀行應(yīng)將數(shù)據(jù)中心外包服務(wù)安全管理納入數(shù)據(jù)中心的整體安全策略,保障業(yè)務(wù)、管理和客戶敏感數(shù)據(jù)信息安全。
(二)商業(yè)銀行應(yīng)按照“必需知道”和“最小授權(quán)”原則,嚴(yán)格控制外包服務(wù)商信息訪問(wèn)的權(quán)限,要求外包服務(wù)商不得對(duì)外泄露所接觸的商業(yè)銀行信息。
(三)商業(yè)銀行應(yīng)要求外包服務(wù)商保留操作痕跡、記錄完整的日志,相關(guān)內(nèi)容和保存期限應(yīng)滿足事件分析、安全取證、獨(dú)立審計(jì)和監(jiān)督檢查需要。
(四)商業(yè)銀行應(yīng)要求外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)管理制度和流程。
(五)商業(yè)銀行應(yīng)要求外包服務(wù)商每年至少開展一次信息安全風(fēng)險(xiǎn)評(píng)估并提交評(píng)估報(bào)告。
(六)商業(yè)銀行應(yīng)要求外包服務(wù)商聘請(qǐng)外部機(jī)構(gòu)定期對(duì)其進(jìn)行安全審計(jì)并提交審計(jì)報(bào)告,督促其及時(shí)整改發(fā)現(xiàn)的問(wèn)題。
第四十七條 商業(yè)銀行應(yīng)禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包,保證外包服務(wù)水平。
第四十八條 商業(yè)銀行應(yīng)制定數(shù)據(jù)中心外包服務(wù)應(yīng)急計(jì)劃,制訂供應(yīng)商替換方案,以應(yīng)對(duì)外包服務(wù)商破產(chǎn)、不可抗力或其它潛在問(wèn)題導(dǎo)致服務(wù)中斷或服務(wù)水平下降的情形,支持?jǐn)?shù)據(jù)中心連續(xù)、可靠運(yùn)行。
第四十九條 商業(yè)銀行應(yīng)建立外包服務(wù)考核、評(píng)價(jià)機(jī)制,定期對(duì)外包服務(wù)活動(dòng)和外包服務(wù)商的服務(wù)能力進(jìn)行審核和評(píng)估,確保獲得持續(xù)、穩(wěn)定的外包服務(wù)。
第五十條 商業(yè)銀行在實(shí)施數(shù)據(jù)中心整體服務(wù)外包以及涉及影響業(yè)務(wù)、管理和客戶敏感數(shù)據(jù)信息安全的外包前,應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
第五十一條 商業(yè)銀行應(yīng)在外包服務(wù)協(xié)議條款中明確商業(yè)銀行和監(jiān)管機(jī)構(gòu)有權(quán)對(duì)協(xié)議范圍內(nèi)的服務(wù)活動(dòng)進(jìn)行監(jiān)督檢查,包括外包商的服務(wù)職能、責(zé)任、系統(tǒng)和設(shè)施等內(nèi)容。
第八章 監(jiān)督管理
第五十二條 中國(guó)銀監(jiān)會(huì)及其派出機(jī)構(gòu)可依法對(duì)商業(yè)銀行的數(shù)據(jù)中心實(shí)施非現(xiàn)場(chǎng)監(jiān)管及現(xiàn)場(chǎng)檢查。現(xiàn)場(chǎng)檢查原則上每三年一次。
第五十三條 針對(duì)商業(yè)銀行數(shù)據(jù)中心設(shè)立、變更、運(yùn)營(yíng)過(guò)程存在的風(fēng)險(xiǎn),中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)可向商業(yè)銀行提示風(fēng)險(xiǎn)并提出整改意見。商業(yè)銀行應(yīng)及時(shí)整改并反饋結(jié)果。
第九章 附則
第五十四條 本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋、修訂。
第五十五條 本指引自公布之日起執(zhí)行。
附件:《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 報(bào)告材料目錄和格式要求
附件:
《 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》 報(bào)告材料目錄和格式要求
一、數(shù)據(jù)中心規(guī)劃報(bào)告材料目錄
(一)數(shù)據(jù)中心建設(shè)規(guī)劃報(bào)告,包括: .立項(xiàng)報(bào)告和可行性分析報(bào)告,包括建設(shè)背景、建設(shè)目標(biāo)、風(fēng)險(xiǎn)評(píng)估、效益分析、成本投入等。.基礎(chǔ)設(shè)施規(guī)劃方案,包括選址、建筑物結(jié)構(gòu)、功能區(qū)域劃分、監(jiān)控、防雷接地及消防等配套設(shè)施、機(jī)房等級(jí)等。
.信息系統(tǒng)建設(shè)規(guī)劃方案,包括功能與技術(shù)方案規(guī)劃、人員配臵計(jì)劃、系統(tǒng)服務(wù)的區(qū)域和業(yè)務(wù)范圍等。災(zāi)備中心還需提供災(zāi)難恢復(fù)目標(biāo)、災(zāi)難恢復(fù)等級(jí)、災(zāi)備技術(shù)方案規(guī)劃及風(fēng)險(xiǎn)評(píng)佑報(bào)告等。
(二)區(qū)域環(huán)境及基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估說(shuō)明,包括風(fēng)險(xiǎn)識(shí)別,風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)控制策略等。
(三)建設(shè)及運(yùn)營(yíng)模式說(shuō)明,包括技術(shù)支持及運(yùn)行維護(hù)體系等。如采用外包,需提供外包的服務(wù)內(nèi)容和外包風(fēng)險(xiǎn)評(píng)估報(bào)告;
(四)組織架構(gòu)規(guī)劃。包括擬設(shè)立的部門與崗位職責(zé)、計(jì)劃采用的人員數(shù)量等。
(五)建設(shè)及投入運(yùn)營(yíng)的時(shí)間進(jìn)度計(jì)劃和財(cái)務(wù)預(yù)算(基礎(chǔ)設(shè)施建設(shè)和運(yùn)維管理費(fèi)用等)。
(六)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
二、數(shù)據(jù)中心設(shè)立報(bào)告材料目錄
(一)由商業(yè)銀行法定代表人簽署的數(shù)據(jù)中心投產(chǎn)審批文件,包括數(shù)據(jù)中心上線申請(qǐng),數(shù)據(jù)中心上線審批報(bào)告等。
(二)基礎(chǔ)設(shè)施情況,包括地址、建筑物結(jié)構(gòu)、功能區(qū)域劃分、監(jiān)控、防雷接地及消防等配套設(shè)施驗(yàn)收?qǐng)?bào)告、機(jī)房及附屬設(shè)施驗(yàn)收?qǐng)?bào)告等。
(三)信息系統(tǒng)情況,包括系統(tǒng)架構(gòu)、系統(tǒng)名稱、系統(tǒng)服務(wù)的區(qū)域和業(yè)務(wù)范圍、數(shù)據(jù)備份方案、災(zāi)備技術(shù)方案等。
(四)運(yùn)營(yíng)模式說(shuō)明,包括技術(shù)支持及運(yùn)行維護(hù)體系等。如采用外包需說(shuō)明主要外包管理情況,包括主要外包項(xiàng)目名稱、外包內(nèi)容(業(yè)務(wù)類型及范圍等)、外包商基本情況、外包合同(包括安全保密條款、知識(shí)產(chǎn)權(quán)保護(hù)條款)、外包服務(wù)水平協(xié)議和外包風(fēng)險(xiǎn)評(píng)估報(bào)告等。
(五)組織架構(gòu),包括部門設(shè)臵與崗位職責(zé)、人員配備、主要負(fù)責(zé)人名單等。
(六)管理制度和規(guī)范清單及相關(guān)說(shuō)明,包括運(yùn)行管理流程、安全管理制度、應(yīng)急管理制度和規(guī)范(含應(yīng)急恢復(fù)策略、信息系統(tǒng)備份和恢復(fù)方案、應(yīng)急管理流程及預(yù)案、應(yīng)急演練及培訓(xùn)計(jì)劃等)、災(zāi)難恢復(fù)預(yù)案。
(七)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
三、數(shù)據(jù)中心重大變更報(bào)告材料目錄
(一)變更說(shuō)明,包括變更原因、目的、內(nèi)容、時(shí)間和影響范圍等。
(二)變更方案,包括變更準(zhǔn)備、變更計(jì)劃和步驟、變更應(yīng)急和回退措施。
(三)風(fēng)險(xiǎn)評(píng)估報(bào)告,包括風(fēng)險(xiǎn)分析,控制措施、變更有效性評(píng)估。
(四)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
四、報(bào)告材料格式要求
數(shù)據(jù)中心規(guī)劃、設(shè)立及重大變更報(bào)告材料應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)送紙質(zhì)材料和電子文檔。
第四篇:國(guó)有商業(yè)銀行公司治理及相關(guān)監(jiān)管指引(銀監(jiān)發(fā)[2006]22號(hào))
【發(fā)布單位】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì) 【發(fā)布文號(hào)】銀監(jiān)發(fā)[2006]22號(hào) 【發(fā)布日期】2006-04-18 【生效日期】2006-04-24 【失效日期】 【所屬類別】政策參考
【文件來(lái)源】中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)
國(guó)有商業(yè)銀行公司治理及相關(guān)監(jiān)管指引
(銀監(jiān)發(fā)[2006]22號(hào))
中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、交通銀行:
為加強(qiáng)國(guó)有商業(yè)銀行公司治理改革、確保股份制改造真正取得實(shí)效,我會(huì)修訂了《國(guó)有商業(yè)銀行公司治理及相關(guān)監(jiān)管指引》。現(xiàn)將指引印發(fā)你們,請(qǐng)參照?qǐng)?zhí)行。
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)
二○○六年四月十八日
國(guó)有商業(yè)銀行公司治理及相關(guān)監(jiān)管指引
第一章 總則
第一條第一條 為確保國(guó)有商業(yè)銀行公司治理取得實(shí)效,依據(jù)《 中華人民共和國(guó)公司法》、《 中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《 中華人民共和國(guó)商業(yè)銀行法》等法律法規(guī),制定本指引。
第二條第二條 公司治理改革的總體目標(biāo)是:以改革管理體制、完善治理結(jié)構(gòu)、轉(zhuǎn)換經(jīng)營(yíng)機(jī)制、提高經(jīng)營(yíng)績(jī)效為中心,將國(guó)有商業(yè)銀行逐步建設(shè)成為資本充足、內(nèi)控嚴(yán)密、運(yùn)營(yíng)安全、服務(wù)和效益良好、具有國(guó)際競(jìng)爭(zhēng)力的現(xiàn)代化股份制商業(yè)銀行。
第三條第三條 國(guó)有商業(yè)銀行應(yīng)通過(guò)股份制改革,提高經(jīng)營(yíng)管理水平,增強(qiáng)財(cái)務(wù)實(shí)力,在國(guó)際通行的財(cái)務(wù)指標(biāo)方面,達(dá)到并保持國(guó)際排名前100家大銀行中等以上的水平。
第四條第四條 完善公司治理是改革的核心和關(guān)鍵。國(guó)有商業(yè)銀行應(yīng)通過(guò)建立健全公司治理機(jī)制,提升核心競(jìng)爭(zhēng)力,促進(jìn)可持續(xù)健康發(fā)展。
第二章 公司治理
第五條第五條 國(guó)有商業(yè)銀行應(yīng)根據(jù)現(xiàn)代金融企業(yè)制度的要求,建立規(guī)范的股東大會(huì)、董事會(huì)、監(jiān)事會(huì)和高級(jí)管理層制度,建立科學(xué)的權(quán)力制衡、責(zé)任約束和利益激勵(lì)機(jī)制。
(一)國(guó)有商業(yè)銀行應(yīng)根據(jù)《中華人民共和國(guó)公司法》等法律法規(guī)的規(guī)定,設(shè)立股東大會(huì)、董事會(huì)、監(jiān)事會(huì)和高級(jí)管理層,制定體現(xiàn)現(xiàn)代金融企業(yè)制度要求的銀行章程,明確股東大會(huì)、董事會(huì)、監(jiān)事會(huì)與高級(jí)管理層,以及董事、監(jiān)事、高級(jí)管理人員的職責(zé)權(quán)限,實(shí)現(xiàn)權(quán)、責(zé)、利的有機(jī)結(jié)合,建立科學(xué)高效的決策、執(zhí)行和監(jiān)督機(jī)制,確保各方獨(dú)立運(yùn)作、有效制衡。
(二)股東大會(huì)是國(guó)有商業(yè)銀行的權(quán)力機(jī)構(gòu)。國(guó)有商業(yè)銀行股東應(yīng)當(dāng)通過(guò)股東大會(huì)合法行使權(quán)利,遵守法律法規(guī)和銀行章程的規(guī)定,不得干預(yù)董事會(huì)和高級(jí)管理層履行職責(zé);股東濫用股東權(quán)利給銀行或者其他股東造成損失的,應(yīng)當(dāng)依法承擔(dān)賠償責(zé)任。
(三)國(guó)有商業(yè)銀行董事會(huì)對(duì)股東大會(huì)負(fù)責(zé)。董事會(huì)應(yīng)設(shè)立專門委員會(huì),并制定各專門委員會(huì)議事規(guī)則及工作細(xì)則。各專門委員會(huì)根據(jù)董事會(huì)的授權(quán)履行職責(zé),向董事會(huì)提供專業(yè)意見。各專門委員會(huì)有權(quán)直接與高級(jí)管理人員及其他工作人員進(jìn)行交流,獲得足夠的銀行經(jīng)營(yíng)管理信息。
國(guó)有商業(yè)銀行董事會(huì)原則上應(yīng)設(shè)立戰(zhàn)略規(guī)劃委員會(huì)、薪酬與提名委員會(huì)、審計(jì)(稽核)委員會(huì)、風(fēng)險(xiǎn)管理委員會(huì)和關(guān)聯(lián)交易控制委員會(huì)等專門委員會(huì)。各專門委員會(huì)成員不得少于3人。其中,薪酬與提名委員會(huì)、審計(jì)(稽核)委員會(huì)、關(guān)聯(lián)交易控制委員會(huì)的主席原則上由獨(dú)立董事?lián)危恍匠昱c提名委員會(huì)、審計(jì)(稽核)委員會(huì)、關(guān)聯(lián)交易控制委員會(huì)成員中的獨(dú)立董事人數(shù)應(yīng)占其所在委員會(huì)成員總數(shù)的半數(shù)以上。
(四)國(guó)有商業(yè)銀行高級(jí)管理層對(duì)董事會(huì)負(fù)責(zé),接受監(jiān)事會(huì)監(jiān)督。高級(jí)管理層依法在其職權(quán)范圍內(nèi)獨(dú)立履行職責(zé)。
(五)監(jiān)事會(huì)是國(guó)有商業(yè)銀行的監(jiān)督機(jī)構(gòu),對(duì)股東大會(huì)負(fù)責(zé)。監(jiān)事會(huì)負(fù)責(zé)對(duì)董事、高級(jí)管理人員履行職責(zé)的行為進(jìn)行監(jiān)督,對(duì)違反法律法規(guī)、銀行章程或者股東大會(huì)決議的董事、高級(jí)管理人員提出罷免的建議;當(dāng)董事、高級(jí)管理人員的行為損害銀行的利益時(shí),要求董事、高級(jí)管理人員加以糾正;對(duì)銀行經(jīng)營(yíng)決策、風(fēng)險(xiǎn)管理和內(nèi)部控制等經(jīng)營(yíng)管理行為進(jìn)行監(jiān)督。
(六)國(guó)有商業(yè)銀行應(yīng)制定詳細(xì)的股東大會(huì)、董事會(huì)、監(jiān)事會(huì)的議事、決事規(guī)則,以及高級(jí)管理層的工作細(xì)則和規(guī)程,明確組織機(jī)構(gòu)之間的職責(zé)邊界,建立明晰的匯報(bào)路線和信息溝通機(jī)制。
(七)國(guó)有商業(yè)銀行應(yīng)建立董事、監(jiān)事及高級(jí)管理人員的忠實(shí)和勤勉盡責(zé)履職制度。董事應(yīng)以個(gè)人身份承擔(dān)相應(yīng)的法律責(zé)任,忠實(shí)履行受托人職責(zé)和看管職責(zé);監(jiān)事應(yīng)嚴(yán)格履行監(jiān)督職責(zé),對(duì)銀行運(yùn)營(yíng)情況以及董事、高級(jí)管理人員和其他工作人員的盡職行為進(jìn)行監(jiān)督;高級(jí)管理人員應(yīng)具備良好的職業(yè)素質(zhì)和操守,對(duì)銀行進(jìn)行專業(yè)化的管理運(yùn)作。
(八)國(guó)有商業(yè)銀行應(yīng)建立完備的董事、監(jiān)事及高級(jí)管理人員的提名、聘任、辭職以及解聘制度,并依照有關(guān)規(guī)定履行相應(yīng)程序。國(guó)有商業(yè)銀行應(yīng)建立健全董事、監(jiān)事及高級(jí)管理人員市場(chǎng)化的績(jī)效評(píng)價(jià)方法和激勵(lì)約束機(jī)制,建立健全常規(guī)化、多層次的問(wèn)責(zé)制度。
(九)國(guó)有商業(yè)銀行應(yīng)充分尊重董事、監(jiān)事的意見和建議,保證董事、監(jiān)事能夠獨(dú)立開展工作,充分發(fā)揮其在公司治理中的作用。股權(quán)董事應(yīng)在公司治理中積極發(fā)揮作用,推動(dòng)國(guó)有商業(yè)銀行完善公司治理,加強(qiáng)風(fēng)險(xiǎn)控制及內(nèi)部管理。
(十)國(guó)有商業(yè)銀行應(yīng)規(guī)范關(guān)聯(lián)交易。關(guān)聯(lián)交易應(yīng)遵循誠(chéng)實(shí)信用及公允的原則,依法合規(guī)進(jìn)行,并全面、客觀、真實(shí)地披露。
第六條第六條 國(guó)有商業(yè)銀行應(yīng)建立多元化的股權(quán)結(jié)構(gòu),引進(jìn)戰(zhàn)略投資者應(yīng)立足于提升銀行自身公司治理及經(jīng)營(yíng)管理水平。
國(guó)有商業(yè)銀行引進(jìn)戰(zhàn)略投資者應(yīng)遵循長(zhǎng)期持股、優(yōu)化治理、業(yè)務(wù)合作和競(jìng)爭(zhēng)回避的原則, 并堅(jiān)持以下五項(xiàng)標(biāo)準(zhǔn):
(一)戰(zhàn)略投資者的持股比例原則上不低于5%。
(二)從交割之日起,戰(zhàn)略投資者的股權(quán)持有期應(yīng)當(dāng)在3年以上。
(三)戰(zhàn)略投資者原則上應(yīng)當(dāng)向銀行派出董事,同時(shí)鼓勵(lì)有經(jīng)驗(yàn)的戰(zhàn)略投資者派出高級(jí)管理人才,直接傳播管理經(jīng)驗(yàn)。
(四)戰(zhàn)略投資者應(yīng)當(dāng)有豐富的金融業(yè)管理背景,同時(shí)要有成熟的金融業(yè)管理經(jīng)驗(yàn)、技術(shù)和良好的合作意愿。
(五)商業(yè)銀行性質(zhì)的戰(zhàn)略投資者,投資國(guó)有商業(yè)銀行不宜超過(guò)兩家。
第七條第七條 國(guó)有商業(yè)銀行應(yīng)從自身實(shí)際出發(fā),制定清晰明確的中長(zhǎng)期發(fā)展戰(zhàn)略,實(shí)現(xiàn)銀行價(jià)值最大化。
(一)國(guó)有商業(yè)銀行應(yīng)有準(zhǔn)確的市場(chǎng)定位,制定和實(shí)施品牌戰(zhàn)略,發(fā)揮比較競(jìng)爭(zhēng)優(yōu)勢(shì),通過(guò)差異化競(jìng)爭(zhēng)策略,增強(qiáng)市場(chǎng)對(duì)銀行品牌價(jià)值的認(rèn)同。
(二)國(guó)有商業(yè)銀行應(yīng)有中長(zhǎng)期發(fā)展規(guī)劃,分步推進(jìn)實(shí)施。
(三)國(guó)有商業(yè)銀行在完成上市以后,應(yīng)當(dāng)密切關(guān)注可能影響市值變動(dòng)的各種因素,建立爭(zhēng)取市值最大化的經(jīng)營(yíng)理念。
第八條第八條 國(guó)有商業(yè)銀行應(yīng)加強(qiáng)風(fēng)險(xiǎn)管理和合規(guī)建設(shè),建立科學(xué)的決策體系、內(nèi)部控制機(jī)制和風(fēng)險(xiǎn)管理體制。
(一)國(guó)有商業(yè)銀行應(yīng)建立和完善包括信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)等在內(nèi)的風(fēng)險(xiǎn)管理體系,有效地識(shí)別、計(jì)量、監(jiān)測(cè)、控制各類風(fēng)險(xiǎn)。
(二)國(guó)有商業(yè)銀行應(yīng)建立規(guī)范的內(nèi)部控制監(jiān)督體系,具體包括:董事會(huì)或監(jiān)事會(huì)實(shí)施的監(jiān)督;不參與各業(yè)務(wù)領(lǐng)域具體經(jīng)營(yíng)的人員實(shí)施的監(jiān)督;業(yè)務(wù)流程內(nèi)實(shí)施的監(jiān)督;獨(dú)立的風(fēng)險(xiǎn)管理部門、合規(guī)部門和審計(jì)部門等實(shí)施的監(jiān)督。
(三)國(guó)有商業(yè)銀行應(yīng)運(yùn)用國(guó)際先進(jìn)的風(fēng)險(xiǎn)管理技術(shù),提高內(nèi)控管理水平,實(shí)現(xiàn)風(fēng)險(xiǎn)管理定性與定量的有效結(jié)合。
(四)國(guó)有商業(yè)銀行應(yīng)建立和完善合規(guī)風(fēng)險(xiǎn)管理框架,明確董事會(huì)和高級(jí)管理層在合規(guī)風(fēng)險(xiǎn)管理中的具體職責(zé)。
第九條第九條 國(guó)有商業(yè)銀行應(yīng)按照集約化經(jīng)營(yíng)原則,整合業(yè)務(wù)流程和管理流程,優(yōu)化組織結(jié)構(gòu),完善資源配置,提高業(yè)務(wù)運(yùn)作效率。
(一)國(guó)有商業(yè)銀行應(yīng)根據(jù)自身實(shí)際和客戶需求,逐步建立起風(fēng)險(xiǎn)管理、審計(jì)稽核等業(yè)務(wù)垂直化的管理體系,逐步實(shí)行以產(chǎn)品單元、業(yè)務(wù)線為流程的事業(yè)部管理制度。
(二)國(guó)有商業(yè)銀行應(yīng)逐步實(shí)現(xiàn)機(jī)構(gòu)扁平化和營(yíng)運(yùn)集中管理,減少管理層次,調(diào)整機(jī)構(gòu)布局,提高經(jīng)營(yíng)效率。
(三)國(guó)有商業(yè)銀行應(yīng)建立科學(xué)、全面的評(píng)價(jià)制度,在內(nèi)部各部門間建立良好的協(xié)調(diào)和溝通機(jī)制,強(qiáng)化業(yè)務(wù)間的協(xié)作關(guān)系,形成完整的流程管理和控制。
第十條第十條 國(guó)有商業(yè)銀行應(yīng)按照現(xiàn)代金融企業(yè)和大型上市銀行的標(biāo)準(zhǔn)和要求,實(shí)施審慎的財(cái)務(wù)會(huì)計(jì)制度和市場(chǎng)化的信息披露制度。
(一)國(guó)有商業(yè)銀行應(yīng)實(shí)施審慎的會(huì)計(jì)制度,完善會(huì)計(jì)核算體系。國(guó)有商業(yè)銀行應(yīng)在嚴(yán)格實(shí)施國(guó)內(nèi)金融企業(yè)會(huì)計(jì)制度的基礎(chǔ)上,積極嘗試與國(guó)際會(huì)計(jì)準(zhǔn)則接軌。
(二)國(guó)有商業(yè)銀行應(yīng)重視管理會(huì)計(jì)建設(shè),加強(qiáng)財(cái)務(wù)管理,創(chuàng)建以全面預(yù)算管理為手段,以全面成本管理為主要內(nèi)容,財(cái)務(wù)信息及時(shí)、準(zhǔn)確、順暢的財(cái)務(wù)運(yùn)行機(jī)制。
(三)國(guó)有商業(yè)銀行應(yīng)加強(qiáng)信息披露工作,建立完善的信息披露制度和體系,發(fā)揮市場(chǎng)的監(jiān)督約束作用,真實(shí)、全面、準(zhǔn)確地披露財(cái)務(wù)信息及其他信息,提高銀行經(jīng)營(yíng)管理的透明度。
第十一條第十一條 國(guó)有商業(yè)銀行應(yīng)加強(qiáng)信息科技建設(shè),全面提升綜合管理與服務(wù)功能。
(一)國(guó)有商業(yè)銀行應(yīng)制定明確的中長(zhǎng)期信息科技發(fā)展規(guī)劃,明確信息科技建設(shè)的總體目標(biāo)和具體措施,注意跟蹤金融科技發(fā)展動(dòng)向,不斷提高信息科技水平。
(二)國(guó)有商業(yè)銀行應(yīng)進(jìn)一步完善信息科技系統(tǒng),實(shí)現(xiàn)數(shù)據(jù)大集中,構(gòu)建先進(jìn)的信息科技平臺(tái),全面提升綜合管理與服務(wù)功能。
第十二條第十二條 國(guó)有商業(yè)銀行應(yīng)根據(jù)現(xiàn)代金融企業(yè)人力資源管理的要求,建立市場(chǎng)化的人力資源管理體制和激勵(lì)約束機(jī)制。
(一)國(guó)有商業(yè)銀行應(yīng)綜合考慮承受能力等因素,兼顧公平與效率的原則,積極穩(wěn)妥地推進(jìn)人力資源制度改革。
(二)國(guó)有商業(yè)銀行應(yīng)引入競(jìng)爭(zhēng)性機(jī)制,建立優(yōu)勝劣汰、能上能下、能進(jìn)能出的市場(chǎng)化用人制度,取消行政級(jí)別,實(shí)行以聘任為主的任免制度。
(三)國(guó)有商業(yè)銀行應(yīng)適應(yīng)市場(chǎng)化需要,改革薪酬模式,建立健全業(yè)績(jī)指標(biāo)體系并嚴(yán)格評(píng)估程序。
第十三條第十三條 國(guó)有商業(yè)銀行應(yīng)落實(shí)金融人才戰(zhàn)略,有針對(duì)性地加大培訓(xùn)力度和做好關(guān)鍵崗位人才引進(jìn)工作,同時(shí)注重人力資源的有效使用和合理配置,發(fā)揮現(xiàn)有人力資源的積極性和創(chuàng)造性。
(一)國(guó)有商業(yè)銀行應(yīng)重視培訓(xùn)體系建設(shè),建立健全以崗位資格培訓(xùn)、履崗能力培訓(xùn)和員工職業(yè)生涯發(fā)展培訓(xùn)為主要內(nèi)容的全員崗位培訓(xùn)體系。
(二)國(guó)有商業(yè)銀行應(yīng)重視中高級(jí)經(jīng)營(yíng)管理人才隊(duì)伍的培養(yǎng),改善人力資源來(lái)源結(jié)構(gòu),通過(guò)市場(chǎng)化方式引進(jìn)重點(diǎn)崗位稀缺人才,并做好相關(guān)資格審查及報(bào)批工作。
第十四條第十四條 國(guó)有商業(yè)銀行應(yīng)發(fā)揮中介機(jī)構(gòu)的專業(yè)優(yōu)勢(shì),穩(wěn)步推進(jìn)股份制改革。
(一)國(guó)有商業(yè)銀行應(yīng)充分發(fā)揮財(cái)務(wù)顧問(wèn)、會(huì)計(jì)師事務(wù)所、律師事務(wù)所、管理顧問(wèn)等中介機(jī)構(gòu)的專業(yè)技術(shù)優(yōu)勢(shì),借鑒國(guó)際銀行業(yè)公司治理的最新經(jīng)驗(yàn),推進(jìn)股份制改革向縱深發(fā)展。
(二)國(guó)有商業(yè)銀行應(yīng)建立對(duì)中介機(jī)構(gòu)工作的后評(píng)價(jià)機(jī)制,并及時(shí)向監(jiān)管部門報(bào)告。
第三章 評(píng)估與監(jiān)測(cè)指標(biāo)
第十五條第十五條 中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱中國(guó)銀監(jiān)會(huì))對(duì)國(guó)有商業(yè)銀行股份制改革按照三大類七項(xiàng)指標(biāo)進(jìn)行評(píng)估,具體包括經(jīng)營(yíng)績(jī)效類、資產(chǎn)質(zhì)量類和審慎經(jīng)營(yíng)類。經(jīng)營(yíng)績(jī)效類指標(biāo)包括總資產(chǎn)凈回報(bào)率、股本凈回報(bào)率、成本收入比;資產(chǎn)質(zhì)量類指標(biāo)指不良貸款比例;審慎經(jīng)營(yíng)類指標(biāo)包括資本充足率、大額風(fēng)險(xiǎn)集中度和不良貸款撥備覆蓋率。中國(guó)銀監(jiān)會(huì)對(duì)國(guó)有商業(yè)銀行股份制改革情況進(jìn)行監(jiān)測(cè)。
第十六條第十六條 國(guó)有商業(yè)銀行總資產(chǎn)凈回報(bào)率在財(cái)務(wù)重組完成次應(yīng)達(dá)到0.6%,三年內(nèi)達(dá)到國(guó)際良好水準(zhǔn)。
總資產(chǎn)凈回報(bào)率的計(jì)算公式為:(略)
第十七條第十七條 國(guó)有商業(yè)銀行股本凈回報(bào)率在財(cái)務(wù)重組完成次應(yīng)達(dá)到11%,之后逐年提高到13%以上。
股本凈回報(bào)率的計(jì)算公式為:(略)
第十八條第十八條 國(guó)有商業(yè)銀行從財(cái)務(wù)重組次年起成本收入比應(yīng)控制在35%~45%之間。
成本收入比的計(jì)算公式為:(略)
第十九條第十九條 國(guó)有商業(yè)銀行應(yīng)嚴(yán)格按照五級(jí)分類標(biāo)準(zhǔn)對(duì)信貸類資產(chǎn)進(jìn)行分類,并按五級(jí)分類口徑對(duì)信貸類資產(chǎn)的質(zhì)量進(jìn)行評(píng)估,財(cái)務(wù)重組后應(yīng)將不良貸款比例持續(xù)控制在5%以下。
不良貸款比例根據(jù)貸款五級(jí)分類口徑測(cè)算,計(jì)算公式為:(略)
第二十條第二十條 國(guó)有商業(yè)銀行應(yīng)嚴(yán)格按照《商業(yè)銀行資本充足率管理辦法》等有關(guān)規(guī)定進(jìn)行資本管理,財(cái)務(wù)重組后資本充足率應(yīng)持續(xù)保持在8%以上。
資本充足率根據(jù)《商業(yè)銀行資本充足率管理辦法》等有關(guān)規(guī)定測(cè)算,計(jì)算公式為:(略)
第二十一條第二十一條 國(guó)有商業(yè)銀行應(yīng)嚴(yán)格控制對(duì)同一借款人授信的集中風(fēng)險(xiǎn),對(duì)同一借款人的貸款余額與本行資本余額的比例不得超過(guò)10%。
大額風(fēng)險(xiǎn)集中度的計(jì)算公式為:(略)
第二十二條第二十二條 國(guó)有商業(yè)銀行在財(cái)務(wù)重組完成當(dāng)年不良貸款撥備覆蓋率應(yīng)不低于60%,之后在確保財(cái)務(wù)穩(wěn)健的前提下逐年提高該比例,爭(zhēng)取在五年內(nèi)達(dá)到100%。
不良貸款撥備覆蓋率的計(jì)算公式為:(略)
第二十三條第二十三條 中國(guó)銀監(jiān)會(huì)對(duì)國(guó)有商業(yè)銀行股份制改革過(guò)程中的經(jīng)營(yíng)情況進(jìn)行監(jiān)測(cè),建立監(jiān)測(cè)指標(biāo)體系。國(guó)有商業(yè)銀行應(yīng)建立相應(yīng)的風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制,積極配合實(shí)施風(fēng)險(xiǎn)監(jiān)測(cè)。
國(guó)有商業(yè)銀行監(jiān)測(cè)指標(biāo)及監(jiān)測(cè)口徑如下:
(一)一級(jí)資本。監(jiān)測(cè)口徑包括期末余額和增長(zhǎng)比例。
(二)資產(chǎn)規(guī)模。監(jiān)測(cè)口徑包括期末余額、全球排名和增長(zhǎng)比例。
(三)資本―資產(chǎn)比例。監(jiān)測(cè)口徑包括本期期末余額、上期期末余額、本期期末排名和上期期末排名。
(四)稅前利潤(rùn)。監(jiān)測(cè)口徑包括期末余額和增長(zhǎng)比例。
(五)真實(shí)利潤(rùn)增長(zhǎng)。監(jiān)測(cè)口徑包括本期期末增長(zhǎng)比例、上期余額期末增長(zhǎng)比例和本期全球排名。
第四章 檢查與報(bào)告
第二十四條第二十四條 國(guó)有商業(yè)銀行應(yīng)按照改革目標(biāo)和任務(wù)要求,細(xì)化公司治理方案,分層次落實(shí)責(zé)任。國(guó)有商業(yè)銀行應(yīng)實(shí)行嚴(yán)格的目標(biāo)管理,通過(guò)嚴(yán)格的考評(píng)驗(yàn)收對(duì)每個(gè)階段的工作作出評(píng)價(jià),并及時(shí)向中國(guó)銀監(jiān)會(huì)報(bào)告。
第二十五條第二十五條 中國(guó)銀監(jiān)會(huì)對(duì)國(guó)有商業(yè)銀行股份制改革情況進(jìn)行評(píng)估和監(jiān)測(cè),并形成評(píng)估監(jiān)測(cè)報(bào)告上報(bào)國(guó)務(wù)院。
第二十六條第二十六條 中國(guó)銀監(jiān)會(huì)根據(jù)評(píng)估監(jiān)測(cè)情況對(duì)國(guó)有商業(yè)銀行股份制改革工作進(jìn)行及時(shí)督導(dǎo),并對(duì)其公司治理情況和各項(xiàng)評(píng)估及監(jiān)測(cè)指標(biāo)以適當(dāng)方式予以披露。
第五章 附則
第二十七條第二十七條 本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋。
第二十八條第二十八條 本指引自2006年4月24日起施行,2004年3月11日發(fā)布的《中國(guó)銀行、中國(guó)建設(shè)銀行公司治理與監(jiān)管指引》同時(shí)廢止。
本內(nèi)容來(lái)源于政府官方網(wǎng)站,如需引用,請(qǐng)以正式文件為準(zhǔn)。
第五篇:銀監(jiān)辦發(fā)【2011】206號(hào)
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)辦公廳關(guān)于銀行承兌匯票業(yè)務(wù)案件風(fēng)險(xiǎn)提示的通知
(銀監(jiān)辦發(fā)[2011]206號(hào))各銀監(jiān)局,各政策性銀行、國(guó)有商業(yè)銀行、股份制商業(yè)銀行,郵政儲(chǔ)蓄銀行:
近期,不法分子利用銀行承兌匯票進(jìn)行欺詐活動(dòng)及偽造變?cè)煦y行承兌匯票的案件有明顯反彈趨勢(shì),山西、江蘇、河南、深圳等地相繼出現(xiàn)了與銀行承兌匯票有關(guān)的案件風(fēng)險(xiǎn)。為進(jìn)一步強(qiáng)化銀行承兌匯票業(yè)務(wù)的管理,防范案件風(fēng)險(xiǎn),現(xiàn)作如下風(fēng)險(xiǎn)提示:
一、各銀行業(yè)金融機(jī)構(gòu)要充分認(rèn)識(shí)并高度重視銀行票據(jù)業(yè)務(wù)中存在的風(fēng)險(xiǎn)隱患,強(qiáng)化制度執(zhí)行,規(guī)范操作流程,加強(qiáng)監(jiān)督檢查,落實(shí)責(zé)任制,審慎經(jīng)營(yíng),切實(shí)防范操作風(fēng)險(xiǎn)。
二、加強(qiáng)對(duì)承兌申請(qǐng)人和貼現(xiàn)申請(qǐng)人的資信調(diào)查,實(shí)現(xiàn)風(fēng)險(xiǎn)關(guān)口前移。銀行業(yè)金融機(jī)構(gòu)要堅(jiān)決按照“了解你的客戶”、“了解你客戶的業(yè)務(wù)”的原則,加強(qiáng)客戶授信調(diào)查工作,嚴(yán)格審核票據(jù)申請(qǐng)人資格、貿(mào)易背景的真實(shí)性及背書流轉(zhuǎn)過(guò)程合理性,嚴(yán)防持票人惡意串通套取銀行信用。
三、加強(qiáng)對(duì)保證金來(lái)源真實(shí)性、合規(guī)性的審核和管理,不得降低業(yè)務(wù)標(biāo)準(zhǔn)。辦理業(yè)務(wù)過(guò)程中,必須確保承兌保證金比例適當(dāng)且及時(shí)足額到位,不得以貸款或貼現(xiàn)資金繳存保證金,不得挪用或提前支取保證金,不得將保證金賬戶與其他賬戶串用;保證金未覆蓋部分所要求的抵押、質(zhì)押或第三方保證必須嚴(yán)格落實(shí)。
四、加強(qiáng)對(duì)貼現(xiàn)資金劃付和使用情況的管理。銀行業(yè)金融機(jī)構(gòu)要加強(qiáng)貼現(xiàn)資金使用情況的追蹤檢查,對(duì)與企業(yè)經(jīng)營(yíng)范圍或合同約定不符合的資金流轉(zhuǎn)行為要采取嚴(yán)格的控制措施,嚴(yán)禁貼現(xiàn)資金直接轉(zhuǎn)回出票人賬戶;杜絕隨身攜帶票據(jù)和印章,憑傳真和電話指揮劃款,事后補(bǔ)辦貼現(xiàn)資料和劃款憑證的情況,嚴(yán)禁機(jī)構(gòu)異地辦理票據(jù)業(yè)務(wù)。
五、加強(qiáng)票據(jù)審驗(yàn)和查詢查復(fù)環(huán)節(jié)管理。銀行業(yè)金融機(jī)構(gòu)要確保票據(jù)審驗(yàn)人員的上崗資格和專業(yè)能力,嚴(yán)禁以票據(jù)查詢代替審驗(yàn),避免出現(xiàn)單人驗(yàn)票情況;規(guī)范查詢方式和程序,對(duì)大額銀行承兌匯票必須堅(jiān)持雙人實(shí)地查詢。
六、加強(qiáng)重要空白憑證和業(yè)務(wù)印章管理。銀行業(yè)金融機(jī)構(gòu)要加強(qiáng)對(duì)重要空白憑證和業(yè)務(wù)印章的管理,嚴(yán)格執(zhí)行出入庫(kù)、領(lǐng)用、登記、交接、作廢和銷毀制度,堅(jiān)持印、押、證分管原則,禁止出現(xiàn)“一人多崗”、“審貼不分”的情況,尤其要防范內(nèi)外勾結(jié)、偽造和變?cè)炱睋?jù)、“假作廢,真盜用”、“大頭小尾”等重大風(fēng)險(xiǎn)。
七、進(jìn)一步加強(qiáng)員工管理,提高從業(yè)人員專業(yè)技能。銀行業(yè)金融機(jī)構(gòu)要加強(qiáng)對(duì)銀行承兌匯票業(yè)務(wù)從業(yè)人員的業(yè)務(wù)培訓(xùn),全面提高從業(yè)人員對(duì)銀行承兌匯票真?zhèn)渭百Q(mào)易背景資料的識(shí)別技能;加強(qiáng)員工職業(yè)道德素質(zhì)考核要求,嚴(yán)禁銀行員工作為中間人介紹票據(jù)貼現(xiàn)業(yè)務(wù)從事資金掮客活動(dòng)。
八、嚴(yán)肅查處銀行承兌匯票業(yè)務(wù)中的違法違規(guī)行為。監(jiān)管部門要督促銀行業(yè)金融機(jī)構(gòu)組織力量查處已發(fā)票據(jù)案件,厘清責(zé)任,嚴(yán)肅處理有關(guān)責(zé)任人員,絕不姑息;對(duì)嚴(yán)重違規(guī)的機(jī)構(gòu)視情況可停辦其票據(jù)業(yè)務(wù),對(duì)管理不力、屢查屢犯的銀行業(yè)金融機(jī)構(gòu),除對(duì)直接責(zé)任人進(jìn)行嚴(yán)肅處理外,還要追究有關(guān)領(lǐng)導(dǎo)的責(zé)任。對(duì)涉嫌犯罪的,要及時(shí)移送司法部門。
九、銀行承兌匯票業(yè)務(wù)是違規(guī)操作頻發(fā)乃至誘發(fā)大量案件的重點(diǎn)風(fēng)險(xiǎn)領(lǐng)域,銀監(jiān)會(huì)曾就此多次做出風(fēng)險(xiǎn)提示,提出監(jiān)管要求。鑒于目前的風(fēng)險(xiǎn)態(tài)勢(shì),銀監(jiān)會(huì)將結(jié)合深化“銀行業(yè)內(nèi)控和案防制度執(zhí)行年”活動(dòng),進(jìn)一步加大對(duì)票據(jù)業(yè)務(wù)的監(jiān)管和檢查力度。各銀行業(yè)金融機(jī)構(gòu)
必須切實(shí)加大管理力度,做到令行禁止。銀監(jiān)會(huì)和各銀監(jiān)局將依據(jù)檢查結(jié)果和案件風(fēng)險(xiǎn)程度,對(duì)違規(guī)操作行為甚至誘發(fā)案件的機(jī)構(gòu)和人員給予嚴(yán)厲處罰和問(wèn)責(zé)。
請(qǐng)各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)銀行業(yè)金融機(jī)構(gòu)。
中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)辦公廳
二〇一一年六月二十四日
點(diǎn)擊咨詢 