第六章 信息科技運(yùn)行
第三十九條 商業(yè)銀行在選擇數(shù)據(jù)中心的地理位置時(shí),應(yīng)充分考慮環(huán)境威脅(如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路),采取物理控制措施,監(jiān)控對(duì)信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況,并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運(yùn)行。
第四十條 商業(yè)銀行應(yīng)嚴(yán)格控制第三方人員(如服務(wù)供應(yīng)商)進(jìn)入安全區(qū)域,如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn),其活動(dòng)也應(yīng)受到監(jiān)控;針對(duì)長(zhǎng)期或臨時(shí)聘用的技術(shù)人員和承包商,尤其是從事敏感性技術(shù)相關(guān)工作的人員,應(yīng)制定嚴(yán)格的審查程序,包括身份驗(yàn)證和背景調(diào)查。
第四十一條 商業(yè)銀行應(yīng)將信息科技運(yùn)行與系統(tǒng)開(kāi)發(fā)和維護(hù)分離,確保信息科技部門(mén)內(nèi)部的崗位制約;對(duì)數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。
第四十二條 商業(yè)銀行應(yīng)按照有關(guān)法律法規(guī)要求保存交易記錄,采取必要的程序和技術(shù),確保存檔數(shù)據(jù)的完整性,滿(mǎn)足安全保存和可恢復(fù)要求。
第四十三條 商業(yè)銀行應(yīng)制定詳盡的信息科技運(yùn)行操作說(shuō)明。如在信息科技運(yùn)行手冊(cè)中說(shuō)明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟,以及生產(chǎn)與開(kāi)發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求(即備份的頻率、范圍和保留周期)。
第四十四條 商業(yè)銀行應(yīng)建立事故管理及處置機(jī)制,及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故,逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生,并進(jìn)行記錄、分析和跟蹤,直到完成徹底的處置和根本原因分析。商業(yè)銀行應(yīng)建立服務(wù)臺(tái),為用戶(hù)提供相關(guān)技術(shù)問(wèn)題的在線(xiàn)支持,并將問(wèn)題提交給相關(guān)信息科技部門(mén)進(jìn)行調(diào)查和解決。
第四十五條 商業(yè)銀行應(yīng)建立服務(wù)水平管理相關(guān)的制度和流程,對(duì)信息科技運(yùn)行服務(wù)水平進(jìn)行考核。
第四十六條 商業(yè)銀行應(yīng)建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序,及時(shí)、完整地報(bào)告例外情況;該程序應(yīng)提供預(yù)警功能,在例外情況對(duì)系統(tǒng)性能造成影響前對(duì)其進(jìn)行識(shí)別和修正。
第四十七條 商業(yè)銀行應(yīng)制定容量規(guī)劃,以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長(zhǎng)。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。
第四十八條 商業(yè)銀行應(yīng)及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí),以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性,并完整保存記錄(包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性維護(hù)記錄),以確保有效維護(hù)設(shè)備和設(shè)施。
第四十九條 商業(yè)銀行應(yīng)制定有效的變更管理流程,以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志,由信息科技部門(mén)和業(yè)務(wù)部門(mén)共同審核簽字,并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來(lái)的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過(guò)正常的驗(yàn)收測(cè)試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。
第七章 業(yè)務(wù)連續(xù)性管理
第五十條 商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃,以確保在出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí),系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù);定期對(duì)規(guī)劃進(jìn)行更新和演練,以保證其有效性。
第五十一條 商業(yè)銀行應(yīng)評(píng)估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響,包括評(píng)估可能由下述原因?qū)е碌钠茐模邯?/span>
(一) 內(nèi)外部資源的故障或缺失(如人員、系統(tǒng)或其他資產(chǎn))。
(二) 信息丟失或受損。
(三) 外部事件(如戰(zhàn)爭(zhēng)、地震或臺(tái)風(fēng)等)。
第五十二條 商業(yè)銀行應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的可能性,并通過(guò)應(yīng)急安排和保險(xiǎn)等方式降低影響。
第五十三條 商業(yè)銀行應(yīng)建立維持其運(yùn)營(yíng)連續(xù)性策略的文檔,并制定對(duì)策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。其中包括:
(一)規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長(zhǎng)期中斷所造成影響的措施,包括但不限于:
1.資源需求(如人員、系統(tǒng)和其他資產(chǎn))以及獲取資源的方式。
2.運(yùn)行恢復(fù)的優(yōu)先順序。
3.與內(nèi)部各部門(mén)及外部相關(guān)各方(尤其是監(jiān)管機(jī)構(gòu)、客戶(hù)和媒體等)的溝通安排。
(二)更新實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃的流程及相關(guān)聯(lián)系信息。
(三)驗(yàn)證受中斷影響的信息完整性的步驟。
(四)當(dāng)商業(yè)銀行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí),對(duì)本條(一)到(三)進(jìn)行審核并升級(jí)。
第五十四條 商業(yè)銀行的業(yè)務(wù)連續(xù)性計(jì)劃和年度應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門(mén)或信息科技管理委員會(huì)確認(rèn)。
|
