《商业银行数据中心监管指引》由会员分享,可在线阅读,更多相关《商业银行数据中心监管指引(21页珍藏版)》请在金锄头文库上搜索。
1、细心整理商业银行数据中心监管指引第一章总那么第一条为加强商业银行数据中心风险管理,保障数据中心平安、牢靠、稳定运行,提高商业银行业务连续性水平,依据中华人民共和国银行业监视管理法及中华人民共和国商业银行法制定本指引。其次条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。中国银行业监视管理委员会以下简称中国银监会监管的其他金融机构参照本指引执行。第三条以下术语适用于本指引:一本指引所称数据中心包括生产中心和灾难备份中心以下简称灾备中心。二本指引所称生产中心是指商业银行对全行业务、客户和管理等重要信息进展
2、集中存储、处理和维护,具备专用场所,为业务运营及管理供应信息科技支撑效劳的组织。三本指引所称灾备中心是指商业银行为保障其业务连续性,在生产中心故障、停顿或瘫疾后,能够接替生产中心运行,具备专用场所,进展数据处理和支持重要业务持续运行的组织。四本指引所称灾备中心同城模式是指灾备中心与生产中心位于同一地理区域,一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事务。灾备中心异地模式是指灾备中心与生产中心处于不同地理区域,一般距离在数百公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。五本指引所称重要信息系统是指支撑重要业务,其信息平安和效劳质量关系公民、法人和组织的权益,
3、或关系社会秩序、公共利益乃至国家平安的信息系统。包括面对客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等根底设施。第四条 信息平安技术信息系统灾难复原标准GB/T209882007中的条款通过本指引的引用而成为本指引的条款。其次章设立与变更第五条商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立后两年内,设立灾备中心。第六条商业银行数据中心应配置满足业务运营与管理要求的场地、根底设施、网络、信息系统和人员,并具备支持业务不连续效劳的实力。第七条总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,
4、及省级农村信用联合社应设立异地模式灾备中心,重要信息系统灾难复原实力应到达 信息平安技术信息系统灾难复原标准 中定义的灾难复原等级第5级含以上;其他法人商业银行应设立同城模式灾备中心并实现数据异地备份,重要信息系统灾难复原实力应到达信息平安技术信息系统灾难复原标准中定义的灾难复原等级第4级含以上。第八条商业银行应就数据中心设立,数据中心效劳范围、效劳职能和场所变更,以及其他对数据中心持续运行具有较大影响的重大变更事项向中国银监会或其派出机构报告。第九条商业银行应在数据中心规划筹建阶段,以及在数据中心正式运营前至少20个工作日,向中国银监会或其派出机构报告。第十条商业银行变更数据中心场所时应至少
5、提前2个月,其他重大变更应至少提前10个工作日向中国银监会或其派出机构报告。第三章风险管理第十一条商业银行信息科技风险管理部门应制定数据中心风险管理策略、风险识别和评估流程,定期开展风险评估工作,对风险进展分级管理,持续监视风险管理状况,刚好预警,将风险限制在可承受水平。第十二条商业银行信息科技部门应指导、监视和协调数据中心明确信息系统运营维护管理策略,建立运营维护管理制度、标准和流程,落实信息科技风险管理措施。第十三条商业银行数据中心应建立健全各项管理与内限制度,从技术和管理等方面实施风险限制措施。第十四条商业银行数据中心应设立特地管理岗位,监视、检查数据中心各项标准、制度、标准和流程的执行
6、状况以及风险管理状况。第十五条商业银行应依据业务影响分析所识别出风险的可能性和损失程度,确定是否购置商业保险以应对不同类型的灾难,并定期检查其保险策略及范围。投保资产清单应保存于平安场所,以便索赔时运用。第十六条商业银行内部审计部门应至少每三年进展一次数据中心内部审计。第十七条商业银行在接受有效信息平安限制措施的前提下,可聘请合格的外部审计机构定期对数据中心进展审计。第十八条商业银行数据中心应依据内、外部审计看法,刚好制定整改准备并实施整改。第四章运行环境管理第十九条商业银行进展数据中心选址时,应进展全面的风险评估,综合考虑地理位置、环境、设施等各种因素对数据中心平安运营的潜在影响,躲避选址不
7、当风险,幸免数据中心选址过度集中。其次十条数据中心选址应满足但不限于以下要求:一生产中心与灾备中心的场所应保持合理距离,幸免同时遭受同类风险。二应选址于电力供应牢靠,交通、通信便捷地区;远离水灾和火灾隐患区域;远离易燃、易爆场所等紧急区域;远离强振源和强噪声源,避开强电磁场干扰;应幸免选址于地震、地质灾难高发区域。其次十一条数据中心根底设施建立应以满足重要信息系统运行高可用性和高牢靠性要求、保障业务连续性为目标,应满足但不限于以下要求:一建筑物构造,如层高、承重、抗震等,应满足专用机房建立要求。二应依据运用要求划分功能区域,各功能区域原那么上相对独立。三应配备不连续电源、应急发电设施等以满足信
8、息技术设备连续运行的要求。四通信线路、供电、机房专用空调等根底设施应具备冗余实力,进展冗余配置,消退单点隐患。五机房区域应接受气体消防和自动消防预警系统,内部通道设置、装饰材料等应满足消防要求,并通过消防验收。六应接受防雷接地、防磁、防水、防盗、防鼠虫害等爱惜措施。七应接受环保节能技术,降低能耗,提高效率。其次十二条数据中心安防与根底设施保障应满足但不限于以下要求:一各功能区域应依据运用功能划分平安限制级别,不同级别区域接受独立的出入限制设备,并集中监控,各区域出入口及重要位置应接受视频监控,监控记录保存时间应满足亭件分析、监视审计的须要。二应具备机房环境监控系统,对根底设施设备、机房环境状况
9、、安防系统状况进展7x24小时实时监测,监测记录保存时间应满足故障诊断、事后审计的须要。三每年至少开展一次针对根底设施的平安评估,对根底设施的可用性和牢靠性、运维管理流程以及人员的平安意识等方面进展检查,刚好发觉平安隐患并落实整改。其次十三条数据中心应来用两家或多家通信运营商线路互为备份。互为备份的通信线路不得经过同一路由节点。第五章运营维护管理其次十四条商业银行应建立满足业务开展要求的数据中心运营维护管理体系,依据业务需求定义运营维护效劳内容,制定效劳标准和评价方法,建立运营维护管理持续改良机制。其次十五条 数据中心应建立满足信息科技效劳要求的运营管理组织架构。设立生产调度、信息平安、操作运
10、行维护、质量合规管理等职能相关的部门或岗位,明确岗位和职责,配备专职人员,供应岗位专业技能培训,确保关键岗位职责分别,通过职责分工和岗位制约降低数据中心操作风险。其次十六条数据中心应建立信息科技运行维护效劳管理流程,提高整体运行效率和效劳水平,包括:一应建立事务和问题管理机制。明确亭件管理流程,定义事务类别、事务分级响应要求和事务升级、上报规那么,刚好受理、响应、审批和交付效劳请求,保障生产效劳质量,尽可能降低对业务影响;建立效劳台负责受理、跟踪、解答各类运营问题;建立问题根源分析及跟踪解决机制,查明运营事务产生的根本缘由,幸免事务再次发生。二应建立变更管理流程,削减或防止变更对信息科技效劳的
11、影响。依据变更对业务影响大小进展变更分级,对变更影响、变更风险、资源需求和变更批准进展限制和管理;变更方案应包括应急及回退措施,并经过充分测试和验证;建立变更管理联动机制,当生产中心发生变更时,应同步分析灾备系统变更需求并进展相应的变更,评估灾备复原的有效性;应尽量削减紧急变更。三应建立配置管理流程,统一管理、刚好更新数据中心根底设施和重要信息系统配置信息,支持变更风险评估、变更实施、故障事务排查、问题根源分析等效劳管理流程。四应对重要信息系统和通信网络的容量和性能需求进展前瞻性规划,分析、调整和优化容量和性能,满足业务开展要求。五应统一调度各项运维任务,协调和解决各项运维任务冲突,妥当记录和
12、保存运维任务调度过程。六应制定验收交接标准及流程,标准重要信息系统投产验收管理。加强版本限制,防范因软件版本、操作文档等不相同产生的风险。七应依据商业银行总体风险限制策略及应急管理要求,从根底设施、网络、信息系统等不同方面分别制定应急预案,并刚好修订应急预案,定期进展演练,保证其有效性。八应集中监控重要信息系统和通信网络运行状态。接受监控管理工具,实时监控重要信息系统和通信网络的运行状况,通过监测、采集、分析和调优,提升生产系统运行的牢靠性、稳定性和可用性。监控记录应满足故障定位、诊断及事后审计等要求。其次十七条 数据中心应建立信息平安管理标准,保证重要信息的机密性、完整性和可用性,包括:一应
13、设立特地的信息平安管理部门或岗位,制定平安管理制度和实施准备,定期对信息平安策略、制度和流程的执行状况进展检查和报告。二应建立和落实人员平安管理制度,明确信息平安管理职责;通过平安教化与培训,提高人员的平安意识和技能;建立重要岗位人员备份制度和监视制约机制。三应加强信息资产管理,识别信息资产并建立责任制,依据信息资产重要性实施分类限制和分级爱惜,防范信息资产生成、运用和处置过程中的风险。四应建立和落实物理环境平安管理制度,明确平安区域、标准区域访问管理,削减未授权访问所造成的风险。五应建立操作平安管理制度,制定操作规程文档,标准信息系统监控、日常维护和批处理操作等过程。六应建立数据平安管理制度
14、,标准数据的产生、获得、存储、传输、分发、备份、复原和清理的管理,以及存储介质的台帐、转储、抽检、报废和销毁的管理,保证数据的保密、真实、完整和可用。七应建立网络通信与访问平安策略,隔离不同网络功能区域,接受与其平安级别对应的预防、监测等限制措施,防范对网络的未授权访问,保证网络通信平安。八应建立根底设施和重要信息的授权访问机制,制定访问限制流程,保存访问记录,防止未授权访问。第六章灾难复原管理其次十八条商业银行应将灾难复原管理纳入业务连续性管理框架,建立灾难复原管理组织架构,明确灾难复原管理机制和流程。其次十九条商业银行应统筹规划灾难复原工作,定期进展风险评估和业务影响分析,确定灾难复原目标
15、和复原等级,明确灾难复原策略、预案并刚好更新。第三十条商业银行灾难复原预案应包括但不限于以下内容:灾难复原指挥小组和工作小组人员组成及联系方式、汇报路途和沟通协调机制、灾难复原资源支配、根底设施与信息系统的复原优先次序、灾难复原与回切流程刚好效性要求、对外沟通机制、最终用户操作指导及第三方技术支持和应急响应效劳等内容。第三十一条 商业银行应为灾难复原供应充分的资源保障,包括根底设施、网络通信、运维及技术支持人力资源、技术培训等。第三十二条 商业银行应建立与效劳供应商、电力部门、公安部门、当地政府和新闻媒体等单位的外部协作机制,保证灾难复原时能刚好获得外部支持。第三十三条商业银行应建立灾难复原有效性测试验证机制,测试验证应定期
