《《商业银行数据中心监管指引》》由会员分享,可在线阅读,更多相关《《商业银行数据中心监管指引》(9页珍藏版)》请在金锄头文库上搜索。
1、中国银行业监督管理委员会北京监管局办公室转发中国银监会办公厅关于印发商业银行数据中心监管指引文件的通知(京银监办 201087 号)各政策性银行北京市分行及总行营业部、 国家开发银行在京营业机构、 各国有商 业银行北京市分行、辖内各股份制商业银行、北京银行、北京农村商业银行、辖 内各村镇银行、 各城市商业银行北京分行、 中国邮政储蓄银行北京分行、 辖内各 外资银行、 各金融资产管理公司北京办事处、 辖内各信托公司、 辖内各企业集团 财务公司、金融租赁公司、辖内各汽车金融公司、中国工商银行牡丹卡中心、中 国银行银行卡中心、 中国民生银行信用卡中心、 中国工商银行票据营业部北京分 部、中国工商银行
2、私人银行部北京分部:为加强商业银行数据中心风险控制和管理, 现将中国银监会办公厅关于印 发V商业银行数据中心监管指引 的通知(银监办发 2010114号)转发给你 们,请遵照执行。中国银行业监督管理委员会北京监管局办公室二 0 一 0 年四月二十七日中国银行业监督管理委员会办公厅关于印发 商业银行数据中心监管指引 的通知(银监办发 2010114 号)各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各 省级农村信用联社:为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行, 加强灾难恢复管理,提高业务连续性水平,现将商业银行数据中心监管指引 印发给你们,请遵照执
3、行。请各银监局将本通知转发至辖内相关银行业金融机构。中国银行业监督管理委员会办公厅 二 0 一 0 年四月二十日商业银行数据中心监管指引第一章 总则第一条 为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳 定运行,提高商业银行业务连续性水平, 根据中华人民共和国银行业监督管理 法及中华人民共和国商业银行法制定本指引。第二条 在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮 政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银 行适用本指引。 中国银行业监督管理委员会 (以下简称中国银监会) 监管的其他 金融机构参照本指引执行。第三条 以下术语适用于本指引:
4、(一)本指引所称数据中心包括生产中心和灾难备份中心 (以下简称灾备中 心)。(二)本指引所称生产中心是指商业银行对全行业务、 客户和管理等重要信 息进行集中存储、 处理和维护, 具备专用场所, 为业务运营及管理提供信息科技 支撑服务的组织。(三)本指引所称灾备中心是指商业银行为保障其业务连续性, 在生产中心 故障、停顿或瘫疾后,能够接替生产中心运行,具备专用场所,进行数据处理和 支持重要业务持续运行的组织。(四)本指引所称灾备中心同城模式是指灾备中心与生产中心位于同一地理 区域,一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事 件。灾备中心异地模式是指灾备中心与生产中心处于不同
5、地理区域, 一般距离在 数百公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。(五)本指引所称重要信息系统是指支撑重要业务, 其信息安全和服务质量 关系公民、 法人和组织的权益, 或关系社会秩序、 公共利益乃至国家安全的信息 系统。包括面向客户、 涉及账务处理且时效性要求较高的业务处理类、 渠道类和 涉及客户风险管理等业务的管理类信息系统, 以及支撑系统运行的机房和网络等 基础设施。第四条 信息安全技术信息系统灾难恢复规范( GB/T20988 2007 ) 中的条款通过本指引的引用而成为本指引的条款。第二章 设立与变更第五条 商业银行应于取得金融许可证后两年内,设立生产中心;生
6、产中心 设立后两年内,设立灾备中心。第六条 商业银行数据中心应配置满足业务运营与管理要求的场地、基础设 施、网络、信息系统和人员,并具备支持业务不间断服务的能力。第七条 总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银 行,及省级农村信用联合社应设立异地模式灾备中心, 重要信息系统灾难恢复能 力应达到 信息安全技术信息系统灾难恢复规范 中定义的灾难恢复等级第 5 级(含)以上;其他法人商业银行应设立同城模式灾备中心并实现数据异地备份, 重要信息系统灾难恢复能力应达到 信息安全技术信息系统灾难恢复规范 中定 义的灾难恢复等级第 4 级(含)以上。第八条 商业银行应就数据中心设立,数据中
7、心服务范围、服务职能和场所 变更,以及其他对数据中心持续运行具有较大影响的重大变更事项向中国银监会 或其派出机构报告。第九条 商业银行应在数据中心规划筹建阶段,以及在数据中心正式运营前 至少 20 个工作日,向中国银监会或其派出机构报告。第十条 商业银行变更数据中心场所时应至少提前 2 个月,其他重大变更应 至少提前 10 个工作日向中国银监会或其派出机构报告。第三章 风险管理第十一条 商业银行信息科技风险管理部门应 制定数据中心风险管理策略、 风险识别和评估流程,定期开展风险评估工作,对风险进行分级管理,持续监 督风险管理状况,及时预警,将风险控制在可接受水平。第十二条 商业银行信息科技部门
8、应指导、监督和协调数据中心明确信息系 统运营维护管理策略,建立运营维护管理制度、标准和流程,落实信息科技风 险管理措施。第十三条 商业银行数据中心应建立健全各项管理与内控制度,从技术和管 理等方面实施风险控制措施。第十四条 商业银行数据中心应设立专门管理岗位,监督、检查数据中心各 项规范、制度、标准和流程的执行情况以及风险管理状况。第十五条 商业银行应根据业务影响分析所识别出风险的可能性和损失程度, 决定是否购买商业保险以应对不同类型的灾难,并定期检查其保险策略及范围。 投保资产清单应保存于安全场所,以便索赔时使用。第十六条 商业银行内部审计部门应至少每三年进行一次数据中心内部审计。第十七条
9、商业银行在采取有效信息安全控制措施的前提下,可聘请合格的 外部审计机构定期对数据中心进行审计。第十八条商业银行数据中心应根据内、 外部审计意见,及时制定整改计划并实施整改。第四章 运行环境管理第十九条 商业银行进行数据中心选址时,应进行全面的风险评估,综合考 虑地理位置、 环境、设施等各种因素对数据中心安全运营的潜在影响, 规避选址 不当风险,避免数据中心选址过度集中。第二十条 数据中心选址应满足但不限于以下要求:(一)生产中心与灾备中心的场所应保持合理距离, 避免同时遭受同类风险。(二)应选址于电力供给可靠,交通、通信便捷地区;远离水灾和火灾隐患 区域;远离易燃、易爆场所等危险区域;远离强振
10、源和强噪声源,避开强电磁场 干扰;应避免选址于地震、地质灾害高发区域。第二十一条 数据中心基础设施建设应以满足重要信息系统运行高可用性 和高可靠性要求、保障业务连续性为目标,应满足但不限于以下要求:(一)建筑物结构,如层高、承重、抗震等,应满足专用机房建设要求。(二)应根据使用要求划分功能区域,各功能区域原则上相对独立。(三)应配备不间断电源、 应急发电设施 等以满足信息技术设备连续运行的 要求。(四)通信线路、供电、机房专用空调等基础设施应具备冗余能力,进行 冗余配置,消除单点隐患。(五)机房区域应采用气体消防和自动消防预警系统,内部通道设置、装 饰材料等应满足消防要求,并通过消防验收。(六
11、)应采取防雷接地、防磁、防水、防盗、防鼠虫害等保护措施。(七)应采用环保节能技术,降低能耗,提高效率。第二十二条 数据中心安防与基础设施保障应满足但不限于以下要求:(一)各功能区域应根据使用功能划分安全控制级别, 不同级别区域采用独 立的出入控制设备, 并集中监控, 各区域出入口及重要位置应采用视频监控, 监 控记录保存时间应满足亭件分析、监督审计的需要。(二)应具备机房环境监控系统,对基础设施设备、机房环境状况、安防 系统状况进行 7x24 小时实时监测,监测记录保存时间应满足故障诊断、事后审 计的需要。(三)每年至少开展一次针对基础设施的安全评估, 对基础设施的可用性和 可靠性、运维管理流
12、程以及人员的安全意识等方面进行检查, 及时发现安全隐患 并落实整改。第二十三条 数据中心应来用两家或多家通信运营商线路互为备份。互为备 份的通信线路不得经过同一路由节点。第五章 运营维护管理第二十四条 商业银行应建立满足业务发展要求的数据中心运营维护管理 体系,根据业务需求定义运营维护服务内容, 制定服务标准和评价方法, 建立运 营维护管理持续改进机制。第二十五条 数据中心应建立满足信息科技服务要求的运营管理组织架构。 设立生产调度、信息安全、操作运行维护、质量合规管理等职能相关的部门或 岗位,明确岗位和职责,配备专职人员,提供岗位专业技能培训,确保关键岗位 职责分离,通过职责分工和岗位制约降
13、低数据中心操作风险。第二十六条 数据中心应建立信息科技运行维护服务管理流程,提高整体运 行效率和服务水平,包括:(一)应建立事件和问题管理机制。明确亭件管理流程,定义事件类别、事 件分级响应要求和事件升级、 上报规则,及时受理、响应、审批和交付服务请求, 保障生产服务质量,尽可能降低对业务影响;建立服务台负责受理、跟踪、解答 各类运营问题;建立问题根源分析及跟踪解决机制, 查明运营事件产生的根本原 因,避免事件再次发生。(二)应建立变更管理流程,减少或防止变更对信息科技服务的影响。根据变更对业务影响大小进行变更分级, 对变更影响、变更风险、资源需求和变更批 准进行控制和管理;变更方案应包括应急
14、及回退措施,并经过充分测试和验证; 建立变更管理联动机制,当生产中心发生变更时,应同步分析灾备系统变更需求 并进行相应的变更,评估灾备恢复的有效性;应尽量减少紧急变更。(三)应建立配置管理流程,统一管理、及时更新数据中心基础设施和重要 信息系统配置信息,支持变更风险评估、变更实施、故障事件排查、问题根源分 析等服务管理流程。(四)应对重要信息系统和通信网络的容量和性能需求进行前瞻性规划,分析、调整和优化容量和性能,满足业务发展要求。(五)应统一调度各项运维任务,协调和解决各项运维任务冲突,妥善记录 和保存运维任务调度过程。(六)应制定验收交接标准及流程,规范重要信息系统投产验收管理。加强 版本
15、控制,防范因软件版本、操作文档等不一致产生的风险。(七)应根据商业银行总体风险控制策略及应急管理要求,从基础设施、网 络、信息系统等不同方面分别制定应急预案, 并及时修订应急预案,定期进行演 练,保证其有效性。(八)应集中监控重要信息系统和通信网络运行状态。采用监控管理工具, 实时监控重要信息系统和通信网络的运行状况,通过监测、采集、分析和调优,提升生产系统运行的可靠性、稳定性和可用性。监控记录应满足故障定位、诊断 及事后审计等要求。第二十七条 数据中心应建立信息安全管理规范,保证重要信息的机密性、 完整性和可用性,包括:(一)应设立专门的信息安全管理部门或岗位, 制定安全管理制度和实施计 划,定期对信息安全策略、制度和流程的执行情况进行检查和报告。(二)应建立和落实人员安全管理制度,明确信息安全管理职责;通过安全 教育与培训,提高人员的安全意识和技能;建立重要岗位人员备份制度和监督制 约机制。(三)应加强信息资产管理,识别信息资产并建立责任制,根据信息资产重 要性实施分类控制和分级保护,防范信息资产生成、使用和处置过程中的风险。(四)应建立和落实物理环境安全管理制度,明确安全区域、规范区域访问 管理,减少未授权访问所造成的风险。(五)应建立操作安全管理制度,制定操作规程文档,规范信息系统监控、 日常维护和批处理操作等过程。(六)应建立数据安全管理制度,规范数据的产生、获取、
