第一篇：重要信息系統(tǒng)重要信息系統(tǒng)和重點網(wǎng)站檢查內(nèi)容

附件2 重要信息系統(tǒng)和重點網(wǎng)站安全檢查內(nèi)容

重點檢查各單位、各部門網(wǎng)絡(luò)安全工作的基本情況以及重要信息系統(tǒng)和重點網(wǎng)站的安全保護(hù)情況，查找問題、隱患并督促整改。主要包括：

（一）重要信息系統(tǒng)行業(yè)主管部門。重要信息系統(tǒng)行業(yè)主管部門對全行業(yè)網(wǎng)絡(luò)安全工作的組織領(lǐng)導(dǎo)和責(zé)任制落實情況；制定全行業(yè)網(wǎng)絡(luò)安全政策和技術(shù)標(biāo)準(zhǔn)規(guī)范情況；全行業(yè)網(wǎng)絡(luò)安全頂層設(shè)計、統(tǒng)籌規(guī)劃情況；全行業(yè)信息系統(tǒng)的底數(shù)掌握情況和網(wǎng)絡(luò)安全保護(hù)狀況；全行業(yè)信息安全等級保護(hù)、安全監(jiān)測、網(wǎng)絡(luò)安全信息通報、重要數(shù)據(jù)保護(hù)、災(zāi)難備份、應(yīng)急演練等重點工作的部署和開展情況；全行業(yè)網(wǎng)絡(luò)安全機構(gòu)、隊伍建設(shè)、網(wǎng)絡(luò)安全宣傳培訓(xùn)等情況。

（二）重要信息系統(tǒng)運營使用單位。重要信息系統(tǒng)運營使用單位網(wǎng)絡(luò)安全責(zé)任部門和責(zé)任人落實情況，以及網(wǎng)絡(luò)安全責(zé)任追究制度的建立情況；單位開展信息安全等級保護(hù)工作情況，以及網(wǎng)絡(luò)安全監(jiān)測、通報預(yù)警、技術(shù)檢測、風(fēng)險評估、數(shù)據(jù)保護(hù)、容災(zāi)備份、應(yīng)急演練等重點工作開展情況；單位網(wǎng)絡(luò)安全經(jīng)費保障和人員安全管理、崗位培訓(xùn)等情況；新系統(tǒng)規(guī)劃、建設(shè)情況，新系統(tǒng)安全保護(hù)等級定級備案情況，新系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運行”安全保護(hù)措施落實情況，安全建設(shè)方案制定與實施情況。

（三）重要信息系統(tǒng)。重要信息系統(tǒng)設(shè)備和資產(chǎn)情況；信息系統(tǒng)建設(shè)投入和安全經(jīng)費投入情況；安全保護(hù)計劃和落實情況；信息系統(tǒng)開展等級測評和建設(shè)整改工作完成情況；信息系統(tǒng)網(wǎng)絡(luò)安全管理制度和技術(shù)防范措施的建設(shè)和落實情況；信息系統(tǒng)重要數(shù)據(jù)的存儲、應(yīng)用、流轉(zhuǎn)和安全保護(hù)情況；網(wǎng)絡(luò)安全事件（事故）的發(fā)生、報告和應(yīng)急處置情況；信息系統(tǒng)使用國外信息技術(shù)產(chǎn)品、服務(wù)情況和安全可控措施的落實情況；信息系統(tǒng)核心網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器等軟硬件產(chǎn)品國產(chǎn)化替代工程計劃和進(jìn)展情況；信息系統(tǒng)和重要數(shù)據(jù)的運行維護(hù)單位、服務(wù)外包情況等。

（四）政府部門、企事業(yè)單位、非政府組織網(wǎng)站和大型互聯(lián)網(wǎng)網(wǎng)站。政府部門、企事業(yè)單位、非政府組織網(wǎng)站以及大型互聯(lián)網(wǎng)網(wǎng)站落實國家信息安全等級保護(hù)制度，開展信息系統(tǒng)定級備案、等級測評和安全建設(shè)整改、安全自查等重要工作的落實情況；網(wǎng)站開辦單位、運行維護(hù)單位的安全保護(hù)責(zé)任單位、責(zé)任人等安全責(zé)任的落實情況；網(wǎng)站安全管理制度以及防入侵、防攻擊、防篡改等技術(shù)防護(hù)措施的落實情況；網(wǎng)站安全監(jiān)測預(yù)警、備份恢復(fù)、應(yīng)急處置等措施落實情況；網(wǎng)站安全事件（事故）處置情況。大型互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)資源的采集、存儲、傳輸、應(yīng)用和安全保護(hù)情況，利用互聯(lián)網(wǎng)數(shù)據(jù)資源從事大數(shù)據(jù)分析挖掘、增值服務(wù)情況等。

第二篇：重要信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法

卡卡農(nóng)村卡卡銀行股份有限公司

重要信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法（試行）

（征求意見稿)

第一章 總 則

第一條 為了規(guī)范卡卡農(nóng)村卡卡銀行股份有限公司（以下簡稱“本行”）重要信息系統(tǒng)的突發(fā)事件應(yīng)急管理，最大限度地減少突發(fā)事件的影響，維護(hù)國家金融穩(wěn)定，確保本行穩(wěn)定健康發(fā)展，特制定本辦法。

第二條 本辦法依據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、中國銀行業(yè)監(jiān)督管理委員會《銀行業(yè)突發(fā)事件應(yīng)急預(yù)案》、《重大突發(fā)事件報告制度》、《金融違法行為處罰辦法》、《銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范（試行）》等法律、法規(guī)和規(guī)范性文件及相關(guān)行業(yè)管理規(guī)定制定。

第三條 應(yīng)對本行重要信息系統(tǒng)突發(fā)事件的工作原則包括：(一)健全機制。建立統(tǒng)一指揮、協(xié)調(diào)有序的應(yīng)急管理機制，主動開展應(yīng)急管理工作，定期演練和評價應(yīng)急預(yù)案，持續(xù)改進(jìn)本行的應(yīng)急預(yù)案和相關(guān)協(xié)調(diào)機制。

(二)明確職責(zé)。明確本行各部門在應(yīng)急管理工作中的職責(zé)，以保障業(yè)務(wù)連續(xù)性為目標(biāo)，以落實和完善應(yīng)急預(yù)案為基礎(chǔ)，全面加強信息系統(tǒng)應(yīng)急管理工作，并制定有效的問責(zé)制度。

(三)預(yù)防為主。建立和完善突發(fā)事件風(fēng)險防范體系，對可能導(dǎo)致突發(fā)事件的風(fēng)險進(jìn)行有效地識別、分析和控制，并對風(fēng)險指標(biāo)動態(tài)、持續(xù)監(jiān)測,減少重大突發(fā)事件發(fā)生的可能性。

(四)處臵高效。加強應(yīng)急處臵隊伍建設(shè)，提供充分的資源保障，確保突發(fā)事件發(fā)生時反應(yīng)快速、報告及時、措施得力、操作準(zhǔn)確，降低突發(fā)事件可能造成的損失。

第四條 本辦法適用于處臵本行發(fā)生的，有可能影響某一區(qū)域經(jīng)濟(jì)秩序穩(wěn)定的重要信息系統(tǒng)突發(fā)性事件。

第五條 以下術(shù)語適用于本辦法:(一)本辦法所稱重要信息系統(tǒng)是指本行支撐關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)安全關(guān)系公民、法人和組織的權(quán)益或社會秩序和公共利益，甚至影響國家安全的信息系統(tǒng)。主要包括面向客戶、涉及賬務(wù)處理且時效性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的管理類信息系統(tǒng)，支撐上述系統(tǒng)運行的前臵機、客戶端、機房、網(wǎng)絡(luò)等基礎(chǔ)設(shè)施也應(yīng)作為重要信息系統(tǒng)的一部分。

(二)本辦法所稱業(yè)務(wù)服務(wù)時段是指本行重要信息系統(tǒng)所承載業(yè)務(wù)對客戶提供服務(wù)的時間。

(三)本辦法所稱突發(fā)事件是指本行重要信息系統(tǒng)以及為之提供支持服務(wù)的電力、通訊等系統(tǒng)突然發(fā)生的，影響業(yè)務(wù)持續(xù)開展，需要采取應(yīng)急處臵措施應(yīng)對的事件。

(四)本辦法所稱信息系統(tǒng)應(yīng)急管理是指貫穿于整個信息系統(tǒng)生命周期中，通過風(fēng)險防范、應(yīng)急響應(yīng)、應(yīng)急保障以確保信息系統(tǒng)能夠滿足業(yè)務(wù)發(fā)展戰(zhàn)略對業(yè)務(wù)連續(xù)性要求的管理。

(五)本辦法所稱業(yè)務(wù)影響分析是指分析業(yè)務(wù)功能及其相關(guān)信息系統(tǒng)資源、評估特定信息系統(tǒng)突發(fā)事件對各種業(yè)務(wù)功能影響的過程。

(六)本辦法所稱剩余風(fēng)險是指采取了風(fēng)險控制措施后仍不能

被完全消除的信息系統(tǒng)風(fēng)險。

(七)根據(jù)各類風(fēng)險的特點，將本行信息系統(tǒng)分為基礎(chǔ)設(shè)施類風(fēng)險、主機和硬件設(shè)備類風(fēng)險、系統(tǒng)類風(fēng)險、應(yīng)用類風(fēng)險、網(wǎng)絡(luò)類風(fēng)險。

第二章 組織指揮體系及職責(zé)

第六條 總行統(tǒng)計信息部是本行信息系統(tǒng)應(yīng)急處理日常管理機構(gòu)，其應(yīng)急管理職責(zé)是:(一)根據(jù)全省統(tǒng)一布臵，管理、指導(dǎo)本行信息系統(tǒng)應(yīng)急處臵工作;(二)向行領(lǐng)導(dǎo)和省卡卡報告本行信息系統(tǒng)突發(fā)事件,并按相關(guān)規(guī)定和程序向相關(guān)監(jiān)管部門報告;(三)通報、發(fā)布本行信息系統(tǒng)應(yīng)急處理情況;(四)發(fā)布信息系統(tǒng)突發(fā)事件預(yù)警信息,并組織、指導(dǎo)本行相關(guān)機構(gòu)采取應(yīng)對措施;(五)組織、管理、監(jiān)督、檢查本行系統(tǒng)應(yīng)急演練;(六)建立本行各級應(yīng)急管理組織機構(gòu)通訊聯(lián)絡(luò)方式。第七條 本行設(shè)立應(yīng)急管理組織機構(gòu)，負(fù)責(zé)信息系統(tǒng)突發(fā)事件應(yīng)急管理工作。

(一)董事會和高級管理層對本行應(yīng)急管理政策及其實施效果負(fù)有最終的責(zé)任。董事會和高級管理層領(lǐng)導(dǎo)監(jiān)督本行信息系統(tǒng)應(yīng)急管理體系建設(shè)，制定落實應(yīng)急管理的分級授權(quán)制度和問責(zé)制度，研究確定應(yīng)急處臵重大決策和指導(dǎo)意見，為應(yīng)急管理工作配臵充分的資源，定期聽取風(fēng)險狀況分析、信息系統(tǒng)重大突發(fā)事件、現(xiàn)有應(yīng)急管理政策重大修改等匯報,負(fù)責(zé)信息系統(tǒng)突發(fā)事件信息披露等。

務(wù)無法正常開展達(dá)6個小時(含)以上的突發(fā)事件;3.業(yè)務(wù)服務(wù)時段以外，重要信息系統(tǒng)出現(xiàn)的故障或事件救治未果，可能產(chǎn)生上述1至2類的突發(fā)事件。

(二)重大突發(fā)事件(II級)1.由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對銀行或客戶利益造成嚴(yán)重?fù)p害的突發(fā)事件;2.由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時段導(dǎo)致本地區(qū)業(yè)務(wù)無法正常開展達(dá)3個小時(含)以上的突發(fā)事件;3.業(yè)務(wù)服務(wù)時段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類的突發(fā)事件。

(三)較大突發(fā)事件(III級)1.由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對銀行或客戶利益造成較大損害的突發(fā)事件;2.由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時段導(dǎo)致本地區(qū)業(yè)務(wù)無法正常開展達(dá)3個小時以下的突發(fā)事件;3.業(yè)務(wù)服務(wù)時段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類的突發(fā)事件。

(四)重要信息系統(tǒng)突發(fā)事件發(fā)生后，依據(jù)事件影響范圍和影響時間的變化，按照上述定義進(jìn)行事件級別升級。

第四章 風(fēng)險防范

第十一條 本行各項信息系統(tǒng)恢復(fù)指標(biāo)執(zhí)行全省統(tǒng)一確定的信息系統(tǒng)各項業(yè)務(wù)恢復(fù)指標(biāo)，主要包括:(一)恢復(fù)時間目標(biāo)(RTO)列表（業(yè)務(wù)功能恢復(fù)正常的時間要求）：

綜合業(yè)務(wù)系統(tǒng):2小時;

(二)應(yīng)急演練內(nèi)容應(yīng)全面完整，涵蓋信息系統(tǒng)的各類應(yīng)急場景;(三)嚴(yán)格控制應(yīng)急演練引起的信息系統(tǒng)變更風(fēng)險，避免因演練導(dǎo)致服務(wù)中斷;(四)應(yīng)急演練應(yīng)選擇在非主要業(yè)務(wù)時段進(jìn)行;(五)應(yīng)急演練完成后，應(yīng)保證實施應(yīng)急預(yù)案所需的各項恢復(fù)正常;(六)定期對信息系統(tǒng)應(yīng)急響應(yīng)相關(guān)人員進(jìn)行培訓(xùn)。第二十一條 應(yīng)積極配合其他業(yè)務(wù)相關(guān)機構(gòu)完成跨機構(gòu)或跨行業(yè)應(yīng)急演練。

第二十二條 本行在應(yīng)急演練的過程中，對可能存在較大風(fēng)險的演練(如全系統(tǒng)范圍的演練)，根據(jù)相關(guān)文件要求在實施演練前將應(yīng)急演練計劃向銀監(jiān)會或其派出機構(gòu)報備。

第二十三條 應(yīng)急演練結(jié)束后，應(yīng)撰寫應(yīng)急演練情況總結(jié)報告，大型或重要的應(yīng)急演練總結(jié)報告應(yīng)提交董事會和高級管理層?？偨Y(jié)報告包括但不限于:內(nèi)容和目的、總體方案、參與人員、準(zhǔn)備工作、主要過程和關(guān)鍵時間點記錄、存在的問題、后續(xù)改進(jìn)措施及實施計劃、演練結(jié)論。

第二十四條 應(yīng)根據(jù)演練總結(jié)報告提出的改進(jìn)措施進(jìn)行整改，及時修訂相應(yīng)的應(yīng)急預(yù)案，并組織審計部門對整改情況進(jìn)行監(jiān)督和檢查。

第二十五條 對于全系統(tǒng)范圍的演練或跨機構(gòu)和跨行業(yè)的演練，應(yīng)按省卡卡統(tǒng)一布臵開展。

第二十六條 應(yīng)急演練結(jié)束后，應(yīng)將應(yīng)急演練計劃、過程記錄和結(jié)果分析等歸檔。

第六章 應(yīng)急響應(yīng)

第二十七條 按照本辦法做好應(yīng)急處臵，快速有效處臵突發(fā)事件。

第二十八條 發(fā)生突發(fā)事件后按以下流程進(jìn)行事件報告。

（一）發(fā)生、發(fā)現(xiàn)風(fēng)險事件的支行應(yīng)在事件發(fā)生后，立即向統(tǒng)計信息部報告，統(tǒng)計信息部在組織緊急處理的同時應(yīng)立刻向分管的行領(lǐng)導(dǎo)報告。

（二）本行根據(jù)事件發(fā)生的情況，初步判斷風(fēng)險事件的等級，采取相應(yīng)的應(yīng)急措施，同時根據(jù)等級要求向省卡卡科技服務(wù)中心報告。

（三）根據(jù)省卡卡對應(yīng)急事件的分級處理，按全省統(tǒng)一布臵分等級啟動相應(yīng)的應(yīng)急流程。同時根據(jù)確定的風(fēng)險等級處理上報監(jiān)管部門。

（四）突發(fā)應(yīng)急事件處理結(jié)束后，應(yīng)對本次事件進(jìn)行匯總、總結(jié)并報省卡卡。

（五）在風(fēng)險事件應(yīng)急處理中應(yīng)嚴(yán)格按事件發(fā)生的等級，在逐級上報的同時,按全省統(tǒng)一布臵立即采取相應(yīng)的應(yīng)急處理。

（六）風(fēng)險管理機構(gòu)應(yīng)在董事會和高級管理層授權(quán)下負(fù)責(zé)突發(fā)事件報告，并指定專人為報告責(zé)任人。當(dāng)報告責(zé)任人確定或發(fā)生變更時應(yīng)及時向銀監(jiān)會或其派出機構(gòu)信息系統(tǒng)應(yīng)急管理部門報備。

（七）當(dāng)多個重要信息系統(tǒng)同時受到影響時，按照受影響程度最高原則報告。

第二十九條 突發(fā)事件應(yīng)急響應(yīng)流程:(一)應(yīng)急執(zhí)行小組應(yīng)根據(jù)既定的應(yīng)急預(yù)案，啟動應(yīng)急操作，并及時報告應(yīng)急領(lǐng)導(dǎo)小組。應(yīng)急處臵應(yīng)集中于建立臨時業(yè)務(wù)處理能力、修復(fù)原系統(tǒng)損害、在原系統(tǒng)或新設(shè)施中恢復(fù)運行業(yè)務(wù)能力等應(yīng)急措施;(二)對于應(yīng)急預(yù)案沒有覆蓋的突發(fā)事件，應(yīng)立即報告應(yīng)急領(lǐng)導(dǎo)小組進(jìn)行應(yīng)急決策；

(三)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)立即啟動本行應(yīng)急組織，組織協(xié)調(diào)機構(gòu)內(nèi)部進(jìn)行應(yīng)急處臵，并負(fù)責(zé)向監(jiān)管部門報告應(yīng)急響應(yīng)情況;(四)支持保障小組做好各項應(yīng)急保障工作，為應(yīng)急處臵提供場地、交通、通訊及其他后勤保障;(五)各支行應(yīng)在重要信息系統(tǒng)突發(fā)事件發(fā)生后60分鐘之內(nèi)將突發(fā)事件相關(guān)情況上報銀監(jiān)會派出機構(gòu)信息系統(tǒng)應(yīng)急管理部門，并在事件發(fā)生后12小時內(nèi)提交正式書面報告;(六)對造成經(jīng)濟(jì)秩序混亂或重大經(jīng)濟(jì)損失、影響金融穩(wěn)定的，或?qū)︺y行、客戶、公眾的利益造成損害的突發(fā)事件，要立即上報;(七)本行應(yīng)將應(yīng)急處臵重大進(jìn)展情況及時上報銀監(jiān)派出機構(gòu)，直至應(yīng)急結(jié)束。I級突發(fā)事件發(fā)生后，本行應(yīng)每2小時將應(yīng)急處臵進(jìn)展情況上報，直至應(yīng)急結(jié)束。

第三十條 應(yīng)急處臵報告應(yīng)準(zhǔn)確評估事故等級，在省卡卡審核后，上報銀監(jiān)部門。書面報告內(nèi)容應(yīng)包括突發(fā)事件時間、地點、現(xiàn)象、影響的業(yè)務(wù)范圍、原因分析、后果的初步判斷、已采取的措施、后續(xù)擬采取方案的建議、事件報告單位、聯(lián)系人及聯(lián)系方式、其他與本突發(fā)事件有關(guān)的內(nèi)容。

第三十一條 應(yīng)急處臵中所有相關(guān)的信息和處理過程應(yīng)進(jìn)行嚴(yán)格記錄，外部供應(yīng)商的處理過程應(yīng)有專門記錄文件，如果涉及到保險理賠，中間過程和場景可用攝像設(shè)備進(jìn)行記錄。所有過程

資料應(yīng)由專人存檔保管。

第三十二條 應(yīng)急處臵過程中出現(xiàn)異常或應(yīng)急預(yù)案、決策方案失效，應(yīng)急領(lǐng)導(dǎo)小組要立即報告信息風(fēng)險管理部門和省卡卡，并按規(guī)定上報銀監(jiān)會派出機構(gòu)信息系統(tǒng)應(yīng)急管理部門。

第三十三條 重要信息系統(tǒng)突發(fā)事件發(fā)生后，應(yīng)將相關(guān)信息及時通報給受影響的外部機構(gòu)及重要客戶，并將相關(guān)信息準(zhǔn)確通報給相關(guān)設(shè)備及服務(wù)提供商、電信、電力等外部組織，以獲得應(yīng)急響應(yīng)支持。

第三十四條 重要信息系統(tǒng)突發(fā)事件發(fā)生后，應(yīng)急領(lǐng)導(dǎo)小組根據(jù)突發(fā)事件的嚴(yán)重程度，嚴(yán)格按照行業(yè)、機構(gòu)的相關(guān)規(guī)定和要求對外發(fā)布信息，向新聞媒體發(fā)布相關(guān)信息。機構(gòu)內(nèi)其它部門或者個人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表個人看法。

第三十五條 重要信息系統(tǒng)恢復(fù)正常服務(wù)即為應(yīng)急結(jié)束。第三十六條 應(yīng)急結(jié)束后，應(yīng)針對應(yīng)急工作進(jìn)行評估和總結(jié)，上報省卡卡并根據(jù)文件要求報銀監(jiān)會或其派出機構(gòu)信息系統(tǒng)應(yīng)急管理部門?？偨Y(jié)報告應(yīng)包括信息系統(tǒng)突發(fā)事件評估、處臵工作總結(jié)以及癥結(jié)分析和相應(yīng)建議等內(nèi)容。

(一)突發(fā)事件評估應(yīng)包括現(xiàn)象、影響范圍、處理時間和過程以及造成的損失;(二)處臵工作總結(jié)應(yīng)評價應(yīng)急預(yù)案的可用性，分析處臵工作 中存在的問題，總結(jié)處臵工作的整體過程;(三)癥結(jié)分析和相應(yīng)建議應(yīng)分析突發(fā)事件的深層次原因，反映存在的困難和問題，并提出改進(jìn)措施、計劃及相關(guān)建議。

第三十七條 應(yīng)建立長效的人員保障機制，確保人員能夠勝任應(yīng)急處臵工作。在人員保障方面應(yīng)達(dá)到以下要求:

(一)確保應(yīng)急處臵人員具備應(yīng)急工作必要的技術(shù)資質(zhì)，定期組織人員培訓(xùn)以滿足應(yīng)急處臵的要求，并通過應(yīng)急演練，保證應(yīng)急處臵人員的熟練度;(二)確保主、備崗機制的落實;(三)確保主、備崗人員定期進(jìn)行互換;(四)避免一人兼過多的崗位。

第三十八條 應(yīng)建立有效的物質(zhì)保障機制，確保在應(yīng)急響應(yīng)過程中不會因物質(zhì)缺乏而導(dǎo)致應(yīng)急處臵中斷或延長應(yīng)急處臵時間。在物質(zhì)保障方面應(yīng)達(dá)到以下要求:(一)儲備一定數(shù)量應(yīng)急設(shè)備或物資，并確保物資供應(yīng)渠道暢通;(二)建立應(yīng)急響應(yīng)專項資金預(yù)算管理與審批制度，確保應(yīng)急響應(yīng)過程中及時進(jìn)行應(yīng)急物資采購。

第三十九條 應(yīng)建立有效的技術(shù)保障機制，確保在應(yīng)急響應(yīng)過程中不會因技術(shù)能力缺乏而導(dǎo)致應(yīng)急處臵中斷或延長應(yīng)急處臵時間。在技術(shù)保障方面應(yīng)達(dá)到以下要求:(一)建立應(yīng)急事件預(yù)警平臺，確保及時發(fā)現(xiàn)應(yīng)急事件，并及時通知有關(guān)人員啟動應(yīng)急響應(yīng);(二)明確相關(guān)廠商的技術(shù)支持服務(wù)水平，確保應(yīng)急處臵過程 中相關(guān)廠商能夠提供及時有效的技術(shù)支持。

第四十條 應(yīng)采取必要的通訊保障措施，確保應(yīng)急響應(yīng)通訊及時有效。在通訊保障方面應(yīng)達(dá)到以下要求:(一)適時更新各級應(yīng)急管理機構(gòu)聯(lián)絡(luò)人和聯(lián)絡(luò)方式;(二)建立多種通訊渠道，避免單一通訊風(fēng)險，并明確各通訊渠道使用的優(yōu)先順序。

第七章 持續(xù)改進(jìn)

第四十一條 應(yīng)每年開展一次對突發(fā)事件風(fēng)險防范措施的全面評估和審計活動，包括評估風(fēng)險識別、分析和控制措施的有效性、應(yīng)急預(yù)案的完備性、應(yīng)急演練的全面性和及時性等，檢驗防范措施的有效性，并及時發(fā)現(xiàn)新的風(fēng)險，改進(jìn)風(fēng)險控制措施，進(jìn)一步完善應(yīng)急預(yù)案，形成風(fēng)險防范措施的持續(xù)改進(jìn)。

第四十二條 應(yīng)每年開展一次對應(yīng)急響應(yīng)工作的全面評估和審計活動。評估范圍包括應(yīng)急響應(yīng)的有效性、投入資源的充分性、突發(fā)事件報告的及時性等,確保應(yīng)急響應(yīng)持續(xù)有效。

第四十三條 應(yīng)對應(yīng)急管理的策略、機制、方法、流程等不斷完善，對應(yīng)急管理過程中發(fā)現(xiàn)的問題適時整改。

第四十四條 應(yīng)將應(yīng)急管理納入到全面風(fēng)險管理體系中，建立應(yīng)急管理的長效機制，保證應(yīng)急管理工作的持續(xù)性和有效性。

第八章 附 則

第四十五條 本辦法由本行負(fù)責(zé)解釋、修訂。第四十六條 本辦法自發(fā)文之日起執(zhí)行。

二0一三年八月五日

第三篇：信息系統(tǒng)審計重點

信息系統(tǒng)審計

電子計算機在數(shù)據(jù)處理的發(fā)展過程可分為三個階段：數(shù)據(jù)的單項處理階段、數(shù)據(jù)的綜合處理階段、數(shù)據(jù)的系統(tǒng)處理階段。

數(shù)據(jù)處理電算化以后，對傳統(tǒng)的審計產(chǎn)生了巨大的影響，主要表現(xiàn)在：

1、對審計線索的影響~~~~

2、對審計方法和技術(shù)的影響~~~~~~

3、對審計人員的影響~~~~~

4、對審計準(zhǔn)則的影響~~~~~~ 信息系統(tǒng)審計的定義：信息系統(tǒng)審計是根據(jù)公認(rèn)的標(biāo)準(zhǔn)和指導(dǎo)規(guī)范，對信息系統(tǒng)從規(guī)劃、實施到運行維護(hù)各個環(huán)節(jié)進(jìn)行審查評價，對信息系統(tǒng)及其業(yè)務(wù)應(yīng)用的完整性、有效性、效率性、安全性等進(jìn)行檢測、評估和控制的過程，以確認(rèn)預(yù)訂的業(yè)務(wù)目標(biāo)得以實現(xiàn)，并提出一系列改進(jìn)建議的管理活動。

信息系統(tǒng)的主體：有勝任能力的信息系統(tǒng)獨立審計機構(gòu)或人員 信息系統(tǒng)審計的對象：被審計的信息系統(tǒng)

信息系統(tǒng)審計工作的核心：客觀地收集和評估證據(jù)

信息系統(tǒng)審計的目的是評估并提供反饋、保證及建議。關(guān)注之處被分為三類：可用性、保密性、完整性。

信息系統(tǒng)審計的特點：審計范圍的廣泛性、審計線索的隱蔽性、易逝性、審計取證的動態(tài)性、審計技術(shù)的復(fù)雜性。（真是為一道簡答題。在P6，詳細(xì)看一下各段內(nèi)容，概括下再答題）信息系統(tǒng)審計目標(biāo)：

1、保護(hù)資產(chǎn)的完整性

2、保證數(shù)據(jù)的準(zhǔn)確性

3、提高系統(tǒng)的有效性

4、提高系統(tǒng)的效率性

5、保證信息系統(tǒng)的合規(guī)性與合法性

信息系統(tǒng)的主要內(nèi)容：內(nèi)部控制系統(tǒng)審計（分為一般控制系統(tǒng)、應(yīng)用控制系統(tǒng)，對信息系統(tǒng)的內(nèi)部控制系統(tǒng)進(jìn)行審計的目的是在內(nèi)部控制審計的基礎(chǔ)上對信息系統(tǒng)的處理結(jié)果進(jìn)行審計、加強內(nèi)部控制，完善內(nèi)部控制系統(tǒng)）系統(tǒng)開發(fā)審計(信息系統(tǒng)開發(fā)審計是對信息系統(tǒng)開發(fā)過程進(jìn)行的審計，審計目的一是要檢查開發(fā)的方法、程序是否科學(xué)，是否含有恰當(dāng)?shù)目刂疲欢且獧z查開發(fā)過程中產(chǎn)生的系統(tǒng)文檔資料是否規(guī)范。)應(yīng)用程序?qū)徲嫞▽彶閼?yīng)用程序有兩個目的，意識測試應(yīng)用控制系統(tǒng)的符合性，二是通過檢查程序運算和邏輯的正確性達(dá)到實質(zhì)性測試目的）數(shù)據(jù)文件審計（審計目的一是對數(shù)據(jù)文件進(jìn)行實質(zhì)性測試，二是通過數(shù)據(jù)文件的審計，測試一般控制或應(yīng)用控制的符合性，但主要是為了實質(zhì)性測試）（這是道簡答題，在P8各個小概括下）

信息系統(tǒng)審計的基本方法：繞過信息系統(tǒng)審計、通過信息系統(tǒng)審計 信息系統(tǒng)審計的步驟（大題P11）：

準(zhǔn)備階段：明確審計任務(wù)，組成信息系統(tǒng)審計小組，了解被審計系統(tǒng)的基本情況，指定信息系統(tǒng)審計方案，發(fā)出審計通知書 實施階段：對被審計系統(tǒng)的內(nèi)部控制制度進(jìn)行健全性調(diào)查和符合性測試，對賬表單證或數(shù)據(jù)文件的實質(zhì)性審查

終結(jié)階段：整理歸納審計資料，撰寫審計報告，發(fā)出審計結(jié)論和決定，審計資料的歸檔和管理

國際信息系統(tǒng)審計準(zhǔn)則：由信息系統(tǒng)審計與控制協(xié)會（ISACA）頒布和實施的。ISACA是國際上唯一的信息系統(tǒng)審計專業(yè)組織，通過制定和頒布信息系統(tǒng)審計標(biāo)準(zhǔn)、指南和程序來規(guī)范審計師的工作，它由三個層次構(gòu)成： 審計標(biāo)準(zhǔn)（審計標(biāo)準(zhǔn)是整個信息系統(tǒng)準(zhǔn)則體系的總綱，是制定審計指南和作業(yè)程序的基礎(chǔ)和依據(jù)）審計指南（審計指南為審計標(biāo)準(zhǔn)的應(yīng)用提供了指引，信息系統(tǒng)審計師在審計過程中應(yīng)考慮如何應(yīng)用指南以實現(xiàn)審計標(biāo)準(zhǔn)的要求，在應(yīng)用過程中靈活運用專業(yè)判斷并糾正任何偏離準(zhǔn)則的行為）

作業(yè)程序（作業(yè)程序提供了信息系統(tǒng)審計師在審計過程中可能遇到的審計程序的示例）信息系統(tǒng)審計師應(yīng)具備的素質(zhì)（大題P18-19）

應(yīng)具備的理論知識:傳統(tǒng)審計理論、信息系統(tǒng)管理理論、計算機科學(xué)、行為科學(xué)理論

應(yīng)具有的實踐技能：參加過不同類別的工作培訓(xùn)、參與專業(yè)的機構(gòu)或廠商組織的研討會，動態(tài)掌握信息技術(shù)的新發(fā)展對審計實踐的影響、具有理解信息處理活動的各種技術(shù)、理解并熟悉操作環(huán)境，評估內(nèi)部控制的有效性、理解現(xiàn)有與未來系統(tǒng)的技術(shù)復(fù)雜性，以及它們對各級操作與決策的影響、能使用技術(shù)的方法去識別系統(tǒng)的完整性、要參與評估與使用信息技術(shù)相關(guān)的有效性、效率、風(fēng)險等、能夠提供審計集成服務(wù)并為審計員工提供指導(dǎo)，與財務(wù)審計師一起對公司財務(wù)狀況做出說明、具備系統(tǒng)開發(fā)方法論、安全控制設(shè)計、實施后評估等、掌握網(wǎng)絡(luò)相關(guān)的安全實踐、信息安全服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃、異步傳輸模式等通信技術(shù)。IT治理定義：德勒定義：IT治理是一個含義廣泛的概念，包括信息系統(tǒng)、技術(shù)、通信、商業(yè)、所有利益相關(guān)者、合法性和其他問題。其主要任務(wù)是保持IT與業(yè)務(wù)目標(biāo)一致，推動業(yè)務(wù)發(fā)展，促使收益最大化，合理利用IT資源，IT相關(guān)風(fēng)險的適當(dāng)管理。

IT治理必須與企業(yè)戰(zhàn)略目標(biāo)一致，IT對于企業(yè)非常關(guān)鍵，也是戰(zhàn)略規(guī)劃的組成，影響戰(zhàn)略競爭；IT治理和其他治理主體一樣，是管理執(zhí)行人員和利益相關(guān)者的責(zé)任（以董事會為代表）；IT治理保護(hù)利益相關(guān)者的權(quán)益，使風(fēng)險透明化，指導(dǎo)和控制IT投資、機遇、利益、風(fēng)險；IT治理包括管理層、組織結(jié)構(gòu)、過程，以確保IT維護(hù)和拓展組織戰(zhàn)略目標(biāo)；應(yīng)該合理利用企業(yè)的信息資源，有效的集成與協(xié)調(diào)；確保IT及時按照目標(biāo)交付，有合適的功能和期望的收益，是一個一致性和價值傳遞的基本構(gòu)建模塊，有明確的期望值和衡量手段；引導(dǎo)IT戰(zhàn)略平衡系統(tǒng)的投資，支持企業(yè)，變革企業(yè)，或者創(chuàng)建一個信息基礎(chǔ)架構(gòu)，保證業(yè)務(wù)增長，并在一個新的領(lǐng)域競爭。

IT治理和IT管理的關(guān)系：IT管理是在既定的IT治理模式下，管理層為實現(xiàn)公司的目標(biāo)二采取的行動，IT治理規(guī)定了整個企業(yè)IT運作的基本框架，IT管理則是在這個既定的框架下駕馭企業(yè)奔向目標(biāo)。缺乏良好IT治理模式的公司，即使有很好的IT管理體系，就想一座地基不牢固的大廈；同時，沒有公司IT管理體系的流暢，單純的治理模式也只能是一個美好的藍(lán)圖，而缺乏實際的內(nèi)容。

公司治理和IT治理：公司治理，驅(qū)動和調(diào)整IT治理。同時，IT能夠提供關(guān)鍵的輸入，形成戰(zhàn)略計劃的一個重要組成部分，即IT影響企業(yè)的戰(zhàn)略競爭機遇。IT治理標(biāo)準(zhǔn)：ITIL、COBIT BS7799 PRINCE2 IT治理成熟度模型：不存在、初始級、可重復(fù)級、已定義級、已管理級、已優(yōu)化級（主要內(nèi)容及其作用在P47-48）

信息系統(tǒng)內(nèi)部控制：是一個單位在信息系統(tǒng)環(huán)境下，為了保證業(yè)務(wù)活動的有效進(jìn)行，保護(hù)資產(chǎn)的安全與完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊、確保信息系統(tǒng)提供信息的真實、合法、完整，而制定和實施的一系列政策與程序措施。凡是與信息系統(tǒng)的建立、運作維護(hù)、管理和業(yè)務(wù)處理有關(guān)的部門、人員和活動，都屬于信息系統(tǒng)內(nèi)部控制的對象，可分為一般控制和應(yīng)用控制。

信息系統(tǒng)一般控制是應(yīng)用于一個單位信息系統(tǒng)全部或較大范圍的內(nèi)部控制，其基本目標(biāo)為保證數(shù)據(jù)安全、保護(hù)計算機應(yīng)用程序、防止系統(tǒng)被非法侵入、保證在意外中斷情況下的繼續(xù)運行等。

信息系統(tǒng)應(yīng)用控制是用于對具體應(yīng)用系統(tǒng)的控制，一個應(yīng)用系統(tǒng)一般由多個相關(guān)計算機程序組成，有些應(yīng)用系統(tǒng)可能是復(fù)雜的綜合系統(tǒng)，牽涉到多個計算機程序和組織單元，與此相對應(yīng)，應(yīng)用控制包括包含在計算機編碼中的日?？刂萍芭c用戶活動相關(guān)的政策和流程。良好的一般控制是應(yīng)用控制的基礎(chǔ)，可以為應(yīng)用控制的有效性提供有力的保障，某些應(yīng)用控制的有效性取決于計算機整體環(huán)境控制的有效性。當(dāng)計算機整體環(huán)境控制薄弱時，應(yīng)用控制就無法真正提供合理保障。如果一般控制審計結(jié)果很差，應(yīng)用控制審計結(jié)果很差，應(yīng)用控制審計就沒有進(jìn)行的必要。

審計邏輯訪問安全策略：知所必需原則

審查離職員工的訪問控制：請辭、聘用合同期滿和非自愿離職 數(shù)據(jù)庫加密：一般采用公開密鑰加密方法 系統(tǒng)訪問控制及其審計：系統(tǒng)訪問就是利用計算機資源達(dá)到一定目的的能力，對計算機化的信息資源的訪問可以基于邏輯方式，也可以基于物理方式。物理訪問控制可以限制人員進(jìn)出敏感區(qū)域。對計算機信息的物理訪問與邏輯訪問應(yīng)當(dāng)建立在“知所必需”的基礎(chǔ)上，按照最小授權(quán)原則和職責(zé)分離原則來分配系統(tǒng)訪問權(quán)限，并把這些訪問規(guī)則與訪問授權(quán)通過正式書面文件記錄下來，作為信息安全的重要文件加以妥善管理。身份識別與驗證（簡答題P65-66）：邏輯訪問控制中的身份識別與驗證是一種提供用戶身份證明的過程，在這個過程中，用戶向系統(tǒng)提交有效的身份證明，系統(tǒng)驗證這個身份證明后向用戶授予訪問系統(tǒng)的能力。可分為三類：“只有你知道的事情”“只有你擁有的東西”“只有你具有的特征” 例子：賬號與口令、令牌設(shè)備、生物測定技術(shù)與行為測定技術(shù)。邏輯訪問授權(quán)：一般情況下邏輯訪問控制基于最小授權(quán)原則，支隊因工作需要訪問信息系統(tǒng)的人員進(jìn)行必要的授權(quán)。當(dāng)用戶在組織變換工作角色時，在賦予他們新訪問權(quán)限時，一般沒有及時取消舊的訪問權(quán)限，這就會產(chǎn)生訪問控制上的風(fēng)險。所以當(dāng)員工職位有變動時，信息系統(tǒng)審計師就要及時審核訪問控制列表是否做了有效變更。災(zāi)難恢復(fù)控制及其審計：信息系統(tǒng)的災(zāi)難恢復(fù)和業(yè)務(wù)持續(xù)計劃是組織中總的業(yè)務(wù)持續(xù)計劃和災(zāi)難恢復(fù)計劃的重要組成部分?；謴?fù)策略與恢復(fù)類型：熱站、溫站、冷站、冗余信息處理設(shè)施、移動站點、組織間互惠協(xié)議。BCP中多個計劃文件：業(yè)務(wù)持續(xù)性計劃（BCP）、業(yè)務(wù)恢復(fù)計劃（BRP）、連續(xù)作業(yè)計劃（COOP）連續(xù)支持計劃、IT應(yīng)急計劃、危機通信計劃、事件響應(yīng)事件、災(zāi)難恢復(fù)計劃（DRP）、場所緊急計劃（OEP）

異地備份：完全備份、增量備份、差分備份

災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計劃的審計：主要任務(wù)是理解與評價組織的業(yè)務(wù)連續(xù)性策略，及其組織業(yè)務(wù)目標(biāo)的符合性；參考相應(yīng)的標(biāo)準(zhǔn)和法律法規(guī)，評估該計劃的充分性和時效性；審核信息系統(tǒng)及終端用戶對計劃所做的測試的結(jié)果，驗證計劃的有效性；審核異地存儲設(shè)施機器內(nèi)容、安全和環(huán)境控制，以評估異地存儲站點的適當(dāng)性；通過審核應(yīng)急措施、員工培訓(xùn)、測試結(jié)果，評估信息系統(tǒng)及其終端用戶在緊急情況下的有效反應(yīng)能力；確認(rèn)組織對業(yè)務(wù)持續(xù)性計劃的維護(hù)措施存在并有效。

應(yīng)用控制概念：應(yīng)用控制是為適應(yīng)各種數(shù)據(jù)處理的特殊控制要求，保證數(shù)據(jù)處理完整、準(zhǔn)確地完成而建立的內(nèi)部控制。應(yīng)用控制涉及各種類型的業(yè)務(wù)，每種業(yè)務(wù)及其數(shù)據(jù)處理尤其特殊流程的要求，這決定了具體的應(yīng)用控制的設(shè)計需結(jié)合具體的業(yè)務(wù)。單另一方面。由于數(shù)據(jù)處理過程一般都是由輸入、處理和輸出三個階段構(gòu)成，從這一共性出發(fā)，可將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制。應(yīng)用控制也是由手工控制和程序化控制構(gòu)成，但以程序化控制為主。

軟件維護(hù)的種類：糾錯行為化、適應(yīng)性維護(hù)、完善性維護(hù)、預(yù)防性維護(hù) 服務(wù)管理：面向IT基礎(chǔ)設(shè)施管理的服務(wù)支持、面向業(yè)務(wù)管理的服務(wù)提供

IT服務(wù)提供流程主要面對付費的機構(gòu)和個人客戶，負(fù)責(zé)為客戶提供高質(zhì)量、低成本的IT服務(wù)。任務(wù)：根據(jù)組織的業(yè)務(wù)需求，對服務(wù)能力、持續(xù)性、可用性等服務(wù)級別目標(biāo)進(jìn)行規(guī)劃和設(shè)計，同時還必須考慮到這些服務(wù)目標(biāo)所需要耗費的成本。主要包括服務(wù)水平管理、IT服務(wù)財務(wù)管理、能力管理、IT服務(wù)持續(xù)性管理和可用性管理5個服務(wù)管理流程。

IT服務(wù)的服務(wù)支持主要面向終端用戶，負(fù)責(zé)確保IT服務(wù)的穩(wěn)定性與靈活性，用于確保終端用戶得到適當(dāng)?shù)姆?wù)，以支持組織的業(yè)務(wù)功能。服務(wù)支持流程包括體現(xiàn)服務(wù)接觸和溝通的服務(wù)臺職能和5個運作層次的流程，即配置管理、事務(wù)管理、問題管理、變更管理、發(fā)布管理。應(yīng)用程序?qū)徲嫷膬?nèi)容：

審查程序控制是否健全有效：程序中輸入控制的審計、程序中處理控制的審計、程序中輸出控制的審計。

審查程序的合法性P168 簡單論述

審查程序編碼的正確性：目標(biāo)和任務(wù)不明確、系統(tǒng)設(shè)計差錯、程序設(shè)計說明書錯誤、程序語法或邏輯錯誤

審查程序的有效性：在具體編寫程序前應(yīng)簡化算術(shù)表達(dá)式及邏輯表達(dá)式、細(xì)心的分析多層嵌套循環(huán)，以確定能否把一些語句或表達(dá)式轉(zhuǎn)移到循環(huán)體制外、盡量避免采用多維數(shù)組、盡量避免采用指針及復(fù)雜的表、采用“快”的算法；不要把不同的數(shù)據(jù)類型混在一起；只要可能就采用整形數(shù)的算法運算和布爾表達(dá)式。應(yīng)用程序?qū)徲嫹椒ǎ簩?yīng)用程序進(jìn)行審計，往往是計算機輔助審計方法與手工審計方法的結(jié)合。

檢測數(shù)據(jù)法：是指審計人員把一批預(yù)先設(shè)計好的監(jiān)測數(shù)據(jù)，利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當(dāng)、有效的一種方法。

平行模擬法：是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審計程序相同處理和控制的模擬程序，用這種程序處理當(dāng)期的實際數(shù)據(jù)，并以處理的結(jié)果與被審計程序的處理結(jié)果進(jìn)行比較，以評價被審程序的處理和控制功能是否可靠的一種方法 嵌入審計程序法：是指被審計信息系統(tǒng)的設(shè)計和開發(fā)階段，在被審的應(yīng)用程序中嵌入為執(zhí)行特定的審計功能而設(shè)計的程序段，這些程序段可以用來收集審計人員感興趣的資料，并且建立一個審計控制文件，用來存儲這些資料，審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。

程序追蹤法：是一種對給定的業(yè)務(wù)，跟蹤被審程序處理步驟的審查技術(shù)。一般可由追蹤軟件來完成，也可利用某些高級語言或數(shù)據(jù)庫管理系統(tǒng)中的跟蹤指令被審查程序的處理。

第四篇：銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法范文

中國銀監(jiān)會辦公廳關(guān)于印發(fā)

《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》的通

知

銀監(jiān)辦發(fā)[2009]437號

各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行，郵政儲蓄銀行，各省級農(nóng)村信用聯(lián)社：

為加強銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險管理，保障銀行業(yè)金融機構(gòu)重要信息系統(tǒng)安全穩(wěn)定運行，現(xiàn)將《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》印發(fā)給你們，請遵照執(zhí)行。請各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)各銀行業(yè)金融機構(gòu)。

2009年12月29日

銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變

更管理辦法

第一章 總 則

第一條為加強銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》制定本辦法。

第二條在中華人民共和國境內(nèi)設(shè)立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城巿商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社、城巿信用社、外商獨資銀行、中外合資銀行適用本辦法。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機構(gòu)參照本辦法執(zhí)行。

第三條本辦法所稱的重要信息系統(tǒng)是指支撐重要業(yè)務(wù)，其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和其他組織的權(quán)益，或關(guān)系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且實時性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第四條本辦法所稱的重要信息系統(tǒng)投產(chǎn)及變更主要指：(一）重要信息系統(tǒng)投產(chǎn)。

(二）支撐重要信息系統(tǒng)運行的機房和網(wǎng)絡(luò)基礎(chǔ)設(shè)施投產(chǎn)。

(三）影響全轄或一個（含）以上分行系統(tǒng)服務(wù)、重要業(yè)務(wù)中斷時間3小時（含）以上的重要信息系統(tǒng)以及支持其運行的基礎(chǔ)設(shè)施變更，包括機房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。(四）其他對銀行重要業(yè)務(wù)運營及重要信息系統(tǒng)的可用性、完整性、安全性具有較大潛在影響的投產(chǎn)及變更。

第二章 組織管理

第五條銀行業(yè)金融機構(gòu)應(yīng)健全I(xiàn)T治理結(jié)構(gòu)，落實重要信息系統(tǒng)投產(chǎn)及變更管理責(zé)任。

第六條銀行業(yè)金融機構(gòu)高級管理層應(yīng)統(tǒng)籌管理重要信息系統(tǒng)建設(shè)，聽取重大項目投產(chǎn)或變更的風(fēng)險評估匯報，對風(fēng)險控制過程進(jìn)行監(jiān)督。

第七條銀行業(yè)金融機構(gòu)信息科技部門應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更管理機制、制度與流程，承擔(dān)技術(shù)管理工作，協(xié)調(diào)業(yè)務(wù)、管理部門開展重要信息系統(tǒng)投產(chǎn)及變更工作，保障信息科技資源投入。

第八條銀行業(yè)金融機構(gòu)業(yè)務(wù)、管理部門應(yīng)配合信息科技部門開展投產(chǎn)及變更工作，開展業(yè)務(wù)影響分析，制定業(yè)務(wù)管理辦法，組織用戶測試，保證業(yè)務(wù)資源投入。

第九條銀行業(yè)金融機構(gòu)內(nèi)部審計部門應(yīng)開展重要信息系統(tǒng)投產(chǎn)及變更審計工作，針對問題發(fā)現(xiàn)提出整改意見。

第三章 風(fēng)險評估

第十條銀行業(yè)金融機構(gòu)應(yīng)充分識別、分析、評估重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險，包括系統(tǒng)功能缺陷、客戶信息泄露、業(yè)務(wù)中斷、交易緩慢或其他因素可能造成的操作風(fēng)險、法律風(fēng)險和聲譽風(fēng)險，并形成風(fēng)險評估報告。第十一條銀行業(yè)金融機構(gòu)在采取有效信息安全控制措施的前提下，可委托外部專家或具備相應(yīng)資質(zhì)的外部專業(yè)機構(gòu)進(jìn)行重要信息系統(tǒng)投產(chǎn)及變更的風(fēng)險評估工作。

第十二條銀行業(yè)金融機構(gòu)董事會及高級管理層應(yīng)審核重大項目的風(fēng)險評估報告。

第十三條銀行業(yè)金融機構(gòu)應(yīng)針對風(fēng)險評估中發(fā)現(xiàn)的薄弱環(huán)節(jié)制定整改方案，明確整改時間。不具備整改條件的應(yīng)采取風(fēng)險緩釋措施。

第四章 投產(chǎn)及變更控制

第十四條銀行業(yè)金融機構(gòu)應(yīng)統(tǒng)一組織協(xié)調(diào)重要信息系統(tǒng)投產(chǎn)及變更工作，制定投產(chǎn)及變更規(guī)劃，編制實施計劃和方案，確定實施策略和步驟，明確崗位職責(zé)，確保關(guān)鍵崗位職責(zé)分離。

第十五條銀行業(yè)金融機構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程進(jìn)行安全審查，采取風(fēng)險控制措施，有效控制重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險。

第十六條銀行業(yè)金融機構(gòu)應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更內(nèi)容評審和審批、授權(quán)機制。

第十七條銀行業(yè)金融機構(gòu)應(yīng)按照對業(yè)務(wù)影響最小原則，采取與風(fēng)險程度相適應(yīng)的重要信息系統(tǒng)投產(chǎn)及變更策略。

第十八條銀行業(yè)金融機構(gòu)應(yīng)合理避開業(yè)務(wù)高峰期和敏感時段安排重要信息系統(tǒng)上線，應(yīng)提前將重要信息系統(tǒng)投產(chǎn)及變更可能對服務(wù)的影響告知客戶。第十九條銀行業(yè)金融機構(gòu)應(yīng)建立充分、完整的測試體系，測試結(jié)果應(yīng)經(jīng)過信息科技部門和相關(guān)業(yè)務(wù)部門確認(rèn)，并形成測試和驗收報告，確保系統(tǒng)上線后的正常穩(wěn)定運行以及系統(tǒng)功能與業(yè)務(wù)目標(biāo)的一致性。

第二十條銀行業(yè)金融機構(gòu)應(yīng)建立與生產(chǎn)環(huán)境相隔離的測試環(huán)境，測試環(huán)境應(yīng)模擬生產(chǎn)環(huán)境的真實情況。

第二十一條銀行業(yè)金融機構(gòu)應(yīng)建立完善的版本管理制度，制定嚴(yán)格的審批、控制和操作流程，保存完整的日志記錄。擬投產(chǎn)及變更的重要信息系統(tǒng)應(yīng)保證版本完整、準(zhǔn)確、有效，遵從系統(tǒng)開發(fā)和運行管理制度規(guī)范。

第二十二條銀行業(yè)金融機構(gòu)應(yīng)加強重要信息系統(tǒng)投產(chǎn)及變更過程中的數(shù)據(jù)管理與質(zhì)量控制；測試環(huán)境中使用的敏感生產(chǎn)數(shù)據(jù)應(yīng)進(jìn)行脫敏、變形處理；需要歷史數(shù)據(jù)遷移的，應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計劃，并提前進(jìn)行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗證，確保遷移后數(shù)據(jù)的完整性、安全性和可用性。

第二十三條銀行業(yè)金融機構(gòu)應(yīng)制定重要信息系統(tǒng)投產(chǎn)及變更應(yīng)急預(yù)案，制定系統(tǒng)回退和應(yīng)急處置計劃和流程，必要時應(yīng)實施演練。

第二十四條重要信息系統(tǒng)投產(chǎn)及變更過程中，銀行業(yè)金融機構(gòu)應(yīng)嚴(yán)格執(zhí)行上線實施方案，加強監(jiān)督與復(fù)核，避免操作失誤和非法操作。

第二十五條銀行業(yè)金融機構(gòu)應(yīng)加強重要信息系統(tǒng)投產(chǎn)及變更過程的風(fēng)險監(jiān)控和預(yù)警，各相關(guān)部門協(xié)同做好應(yīng)急準(zhǔn)備。

第二十六條銀行業(yè)金融機構(gòu)應(yīng)制定并落實系統(tǒng)運行管理規(guī)程、制度，制定、完善相關(guān)業(yè)務(wù)管理辦法、操作規(guī)程，明確業(yè)務(wù)及運行管理職責(zé)，組織必要的培訓(xùn)，確保投產(chǎn)及變更實施后業(yè)務(wù)順利開展。第二十七條銀行業(yè)金融機構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實施后，組織業(yè)務(wù)部門、管理部門和信息科技部門對投產(chǎn)及變更的有效性進(jìn)行驗證。

第二十八條銀行業(yè)金融機構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實施后及時更新各項相關(guān)應(yīng)急預(yù)案，并適時實施演練。

第二十九條銀行業(yè)金融機構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程產(chǎn)生的各類文檔資料進(jìn)行管理，確保文檔資料的完整性、及時性和有效性，并滿足獨立審計要求。

第五章 投產(chǎn)及變更報告

第三十條銀行業(yè)金融機構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項向中國銀監(jiān)會或其派出機構(gòu)報告。

第三十一條銀行業(yè)金融機構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)前至少20個工作日、變更前至少10個工作日向中國銀監(jiān)會或其派出機構(gòu)報告，包括但不限于：(一）總體說明：投產(chǎn)及變更目的、內(nèi)容、計劃起止時間、業(yè)務(wù)影響范圍、聯(lián)系人及聯(lián)系方式等。

(二）重要信息系統(tǒng)基本信息，包括：系統(tǒng)名稱，業(yè)務(wù)功能，操作系統(tǒng)、數(shù)據(jù)庫、中間件情況，應(yīng)用架構(gòu)、技術(shù)架構(gòu)、數(shù)據(jù)架構(gòu)，生產(chǎn)主機備份方案、數(shù)據(jù)備份方案，運行管理等相關(guān)職能部門，是否納入災(zāi)難恢復(fù)計劃等。

(三）

重要信息系統(tǒng)信息安全策略和措施，包括對賬戶、交易和客戶敏感信息的安全控制措施等。(四）涉及基礎(chǔ)設(shè)施的，需提供基礎(chǔ)設(shè)施基本信息，包括機房和網(wǎng)絡(luò)方案。機房方案包括等級標(biāo)準(zhǔn)、地址、供配電系統(tǒng)、消防、空調(diào)、弱電系統(tǒng)、機房加固、機房空間規(guī)劃，以及機房驗收報告等；網(wǎng)絡(luò)方案包括網(wǎng)絡(luò)架構(gòu)分區(qū)、核心網(wǎng)絡(luò)備份情況，以及區(qū)域間、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)邊界安全措施與網(wǎng)絡(luò)監(jiān)控措施等。

(五）采取外包方式的，需提交外包服務(wù)機構(gòu)情況、外包服務(wù)內(nèi)容、外包風(fēng)險評估報告等。

(六）投產(chǎn)及變更方案，包括投產(chǎn)及變更的組織結(jié)構(gòu)與實施計劃、操作步驟等。

(七）風(fēng)險評估報告，應(yīng)包括業(yè)務(wù)影響分析，技術(shù)風(fēng)險分析與評估，控制措施的有效性，以及剩余風(fēng)險等。

(八）應(yīng)急預(yù)案，包括應(yīng)急處置組織結(jié)構(gòu)，應(yīng)急場景，應(yīng)急處置流程、步驟，應(yīng)急聯(lián)系方式與報告路線等，實施演練的應(yīng)提交演練總結(jié)報告。

第三十二條銀行業(yè)金融機構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實施后1個月內(nèi)向中國銀監(jiān)會或其派出機構(gòu)提交總結(jié)報告材料，內(nèi)容包括但不限于：投產(chǎn)及變更方案執(zhí)行情況、效果，問題發(fā)現(xiàn)和處理情況，后續(xù)改進(jìn)措施等。如投產(chǎn)及變更失敗，應(yīng)詳細(xì)說明失敗原因。

第三十三條銀行業(yè)金融機構(gòu)應(yīng)按照屬地監(jiān)管原則提交報告材料，報送路線如下：

(一）銀行業(yè)金融機構(gòu)法人組織實施投產(chǎn)及變更的，由該法人機構(gòu)統(tǒng)一向中國銀監(jiān)會或其派出機構(gòu)提交報告材料。

(二）銀行業(yè)金融機構(gòu)分行組織實施投產(chǎn)及變更的，由分行向 所在地中國銀監(jiān)會派出機構(gòu)提交報告材料。

第三十四條重要信息系統(tǒng)投產(chǎn)及變更如失敗需重新安排的，銀行業(yè)金融機構(gòu)應(yīng)再次向中國銀監(jiān)會或其派出機構(gòu)報告。第三十五條銀行業(yè)金融機構(gòu)數(shù)據(jù)中心機房設(shè)立、場所變更，應(yīng)按照中國銀監(jiān)會有關(guān)數(shù)據(jù)中心管理規(guī)范報告。

第六章 監(jiān)督管理

第三十六條針對銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險，中國銀監(jiān)會及其派出機構(gòu)可以采取風(fēng)險提示、約見談話、監(jiān)管質(zhì)詢等措施。

第三十七條中國銀監(jiān)會及其派出機構(gòu)可依法對銀行業(yè)金融機構(gòu)的重要信息系統(tǒng)投產(chǎn)及變更實施現(xiàn)場檢查。

第三十八條銀行業(yè)金融機構(gòu)違反本辦法有關(guān)規(guī)定的，中國銀監(jiān)會及其派出機構(gòu)將依法追究相關(guān)責(zé)任。

第七章 附 則

第三十九條本辦法由中國銀監(jiān)會負(fù)責(zé)解釋和修訂。第四十條本辦法自公布之日起執(zhí)行。

第五篇：銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法

中國銀監(jiān)會辦公廳關(guān)于印發(fā)《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》的通知各銀監(jiān)局，各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行，郵政儲蓄銀行，各省級農(nóng)村信用聯(lián)社：

為加強銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險管理，保障銀行業(yè)金融機構(gòu)重要信息系統(tǒng)安全穩(wěn)定運行，現(xiàn)將《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》印發(fā)給你們，請遵照執(zhí)行。請各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)各銀行業(yè)金融機構(gòu)。

中國銀行業(yè)監(jiān)督管理委員會

二00九年十二月二十九日

銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法

第一章 總則

第一條 為加強銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險管理，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》制定本辦法。

第二條 在中華人民共和國境內(nèi)設(shè)立的政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城市商業(yè)銀行、農(nóng)村商業(yè)銀行、農(nóng)村合作銀行、農(nóng)村信用社、城市信用社、外商獨資銀行、中外合資銀行適用本辦法。中國銀行業(yè)監(jiān)督管理委員會（以下簡稱中國銀監(jiān)會）監(jiān)管的其他金融機構(gòu)參照本辦法執(zhí)行。

第三條 本辦法所稱的重要信息系統(tǒng)是指支撐重要業(yè)務(wù)，其信息安全和服務(wù)質(zhì)量關(guān)系公民、法人和其他組織的權(quán)益，或關(guān)系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務(wù)處理且實時性要求較高的業(yè)務(wù)處理類、渠道類和涉及客戶風(fēng)險管理等業(yè)務(wù)的管理類信息系統(tǒng)，以及支撐系統(tǒng)運行的機房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。

第四條 本辦法所稱的重要信息系統(tǒng)投產(chǎn)及變更主要指：

（一）重要信息系統(tǒng)投產(chǎn)。

（二）支撐重要信息系統(tǒng)運行的機房和網(wǎng)絡(luò)基礎(chǔ)設(shè)施投產(chǎn)。

（三）影響全轄或一個（含）以上分行系統(tǒng)服務(wù)、重要業(yè)務(wù)中斷時間3小時（含）以上的重要信息系統(tǒng)以及支持其運行的基礎(chǔ)設(shè)施變更，包括機房場地遷移、網(wǎng)絡(luò)及核心業(yè)務(wù)系統(tǒng)應(yīng)用架構(gòu)變更、核心業(yè)務(wù)系統(tǒng)版本變更等。

（四）其他對銀行重要業(yè)務(wù)運營及重要信息系統(tǒng)的可用性、完整性、安全性具有較大潛在影響的投產(chǎn)及變更。

第二章 組織管理

第五條 銀行業(yè)金融機構(gòu)應(yīng)健全I(xiàn)T治理結(jié)構(gòu)，落實重要信息系統(tǒng)投產(chǎn)及變更管理責(zé)任。

第六條 銀行業(yè)金融機構(gòu)高級管理層應(yīng)統(tǒng)籌管理重要信息系統(tǒng)建設(shè)，聽取重大項目投產(chǎn)或變更的風(fēng)險評估匯報，對風(fēng)險控制過程進(jìn)行監(jiān)督。

第七條 銀行業(yè)金融機構(gòu)信息科技部門應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更管理機制、制度與流程，承擔(dān)技術(shù)管理工作，協(xié)調(diào)業(yè)務(wù)、管理部門開展重要信息系統(tǒng)投產(chǎn)及變更工作，保障信息科技資源投入。

第八條 銀行業(yè)金融機構(gòu)業(yè)務(wù)、管理部門應(yīng)配合信息科技部門開展投產(chǎn)及變更工作，開展業(yè)務(wù)影響分析，制定業(yè)務(wù)管理辦法，組織用戶測試，保證業(yè)務(wù)資源投入。

第九條 銀行業(yè)金融機構(gòu)內(nèi)部審計部門應(yīng)開展重要信息系統(tǒng)投產(chǎn)及變更審計工作，針對問題發(fā)現(xiàn)提出整改意見。

第三章 風(fēng)險評估

第十條 銀行業(yè)金融機構(gòu)應(yīng)充分識別、分析、評估重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險，包括系統(tǒng)功能缺陷、客戶信息泄露、業(yè)務(wù)中斷、交易緩慢或其他因素可能造成的操作風(fēng)險、法律風(fēng)險和聲譽風(fēng)險，并形成風(fēng)險評估報告。

第十一條 銀行業(yè)金融機構(gòu)在采取有效信息安全控制措施的前提下，可委托外部專家或具備相應(yīng)資質(zhì)的外部專業(yè)機構(gòu)進(jìn)行重要信息系統(tǒng)投產(chǎn)及變更的風(fēng)險評估工作。

第十二條 銀行業(yè)金融機構(gòu)董事會及高級管理層應(yīng)審慎重大項目的風(fēng)險評估報告。

第十三條 銀行業(yè)金融機構(gòu)應(yīng)針對風(fēng)險評估中發(fā)現(xiàn)的薄弱環(huán)節(jié)制定整改方案，明確整改時間。不具備整改條件的應(yīng)采取風(fēng)險緩釋措施。

第四章 投產(chǎn)及變更控制

第十四條 銀行業(yè)金融機構(gòu)應(yīng)統(tǒng)一組織協(xié)調(diào)重要信息系統(tǒng)投產(chǎn)及變更工作，制定投產(chǎn)及變更規(guī)則，編制實施計劃和方案，確定實施策略和步驟，明確崗位職責(zé)，確保關(guān)鍵崗位職責(zé)分離。

第十五條 銀行業(yè)金融機構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程進(jìn)行安全審查，采取風(fēng)險控制措施，有效控制重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險。

第十六條 銀行金融機構(gòu)應(yīng)建立重要信息系統(tǒng)投產(chǎn)及變更內(nèi)容評審和審批、授權(quán)機制。

第十七條 銀行業(yè)金融機構(gòu)應(yīng)按照對業(yè)務(wù)影響最小原則，采取與風(fēng)險程度相適應(yīng)的重要信息系統(tǒng)投產(chǎn)及變更策略。

第十八條 銀行業(yè)金融機構(gòu)應(yīng)合理避開業(yè)務(wù)高峰期和敏感時段安排重要信息系統(tǒng)上線，應(yīng)提前將重要信息系統(tǒng)投產(chǎn)及變更可能對服務(wù)的影響告知客戶。

第十九條 銀行業(yè)金融機構(gòu)應(yīng)建立充分、完整的測試體系，測試結(jié)果應(yīng)經(jīng)過信息科技部門和相關(guān)業(yè)務(wù)部門確認(rèn)，并形成測試和驗收報告，確保系統(tǒng)上線后的正常穩(wěn)定運行以及系統(tǒng)功能與業(yè)務(wù)目標(biāo)的一致性。

第二十條 銀行業(yè)金融機構(gòu)應(yīng)建立與生產(chǎn)環(huán)境相隔離的測試環(huán)境，測試環(huán)境應(yīng)模擬生產(chǎn)環(huán)境的真實情況。

第二十一條 銀行業(yè)金融機構(gòu)應(yīng)建立完善的版本管理制度，制定嚴(yán)格的審批、控制和操作流程，保存完整的日志記錄。擬投產(chǎn)及變更的重要信息系統(tǒng)應(yīng)保證版本完整、準(zhǔn)確、有效，遵從系統(tǒng)開發(fā)和運行管理制度規(guī)范。

第二十二條 銀行業(yè)金融機構(gòu)應(yīng)加強重要信息系統(tǒng)投產(chǎn)及變更過程中的數(shù)據(jù)管理與質(zhì)量控制；測試環(huán)境中使用的敏感生產(chǎn)數(shù)據(jù)應(yīng)進(jìn)行脫敏、變形處理；需要歷史數(shù)據(jù)遷移的，應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計劃，并提前進(jìn)行數(shù)據(jù)遷移測試和數(shù)據(jù)有效性、兼容性驗證，確保遷移后數(shù)據(jù)的完整性、安全性和可用性。

第二十三條 銀行業(yè)金融機構(gòu)應(yīng)制定重要信息系統(tǒng)投產(chǎn)及變更應(yīng)急預(yù)案，制定系統(tǒng)回退和應(yīng)急處置計劃和流程，必要時應(yīng)實施演練。

第二十四條 重要信息系統(tǒng)投產(chǎn)及變更過程中，銀行業(yè)金融機構(gòu)應(yīng)嚴(yán)格執(zhí)行上線實施方案，加強監(jiān)督與復(fù)核，避免操作失誤和非法操作。

第二十五條 銀行業(yè)金融機構(gòu)應(yīng)加強重要信息系統(tǒng)投產(chǎn)及變更過程的風(fēng)險監(jiān)控和預(yù)警，各相關(guān)部門協(xié)同做好應(yīng)急準(zhǔn)備。

第二十六條 銀行業(yè)金融機構(gòu)應(yīng)制定并落實系統(tǒng)運行管理規(guī)程、制度，制定、完善相關(guān)業(yè)務(wù)管理辦法、操作規(guī)程，明確業(yè)務(wù)及運行管理職責(zé)，組織必要的培訓(xùn)，確保投產(chǎn)及變更實施后業(yè)務(wù)順利開展。

第二十七條 銀行業(yè)金融機構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實施后，組織業(yè)務(wù)部門、管理部門和信息科技部門對投產(chǎn)及變更的有效性進(jìn)行驗證。

第二十八條 銀行業(yè)金融機構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)及變更實施后及時更新各項相關(guān)應(yīng)急預(yù)案，并適時實施演練。

第二十九條 銀行業(yè)金融機構(gòu)應(yīng)對重要信息系統(tǒng)投產(chǎn)及變更過程產(chǎn)生的各類文檔資料進(jìn)行管理，確保文檔資料的完整性、及時性和有效性，并滿足獨立審計要求。

第五章 投產(chǎn)及變更報告

第三十條 銀行業(yè)金融機構(gòu)應(yīng)就重要信息系統(tǒng)投產(chǎn)及變更事項向中國銀監(jiān)會或其派出機構(gòu)報告。

第三十一條 銀行業(yè)金融機構(gòu)應(yīng)在重要信息系統(tǒng)投產(chǎn)前至少20個工作日、變更前至少10個工作日向中國銀監(jiān)會或其派出機構(gòu)報告，包括但不限于：

（一）總體說明：投產(chǎn)及變更目的、內(nèi)容、計劃起止時間、業(yè)務(wù)影響范圍、聯(lián)系人及聯(lián)系方式等。

（二）重要信息系統(tǒng)基本信息，包括：系統(tǒng)名稱、業(yè)務(wù)功能，操作系統(tǒng)、數(shù)據(jù)庫、中間件情況，應(yīng)用架構(gòu)、技術(shù)架構(gòu)、數(shù)據(jù)架構(gòu)，生產(chǎn)主機備份方案、數(shù)據(jù)備份方案，運行管理等相關(guān)職能部門，是否納入災(zāi)難恢復(fù)計劃等。

（三）重要信息系統(tǒng)安全策略和措施，包括對賬戶、交易和客戶敏感信息的安全控制措施等。

（四）涉及基礎(chǔ)設(shè)施的，需提供基礎(chǔ)設(shè)施基本信息，包括機房和網(wǎng)絡(luò)方案。機房方案包括等級標(biāo)準(zhǔn)、地址、供配電系統(tǒng)、消防、空調(diào)、弱電系統(tǒng)、機房加固、機房空間規(guī)劃，以及機房驗收報告等；網(wǎng)絡(luò)方案包括網(wǎng)絡(luò)架構(gòu)分區(qū)、核心網(wǎng)絡(luò)備份情況，以及區(qū)域間、外聯(lián)網(wǎng)、互聯(lián)網(wǎng)邊界安全措施與網(wǎng)絡(luò)監(jiān)控措施等。

（五）采取外包方式的，需提交外包服務(wù)機構(gòu)情況、外包服務(wù)內(nèi)容、外包風(fēng)險評估報告等。

（六）投產(chǎn)及變更方案，包括投產(chǎn)及變更的組織結(jié)構(gòu)與實施計劃、操作步驟等。

（七）風(fēng)險評估報告，應(yīng)包括業(yè)務(wù)影響分析，技術(shù)風(fēng)險分析與評估，控制措施的有效性，以及剩余風(fēng)險等。

（八）應(yīng)急預(yù)案，包括應(yīng)急處置組織結(jié)構(gòu)，應(yīng)急場景，應(yīng)急處置流程、步驟，應(yīng)急聯(lián)系方式與報告路線等，實施演練的應(yīng)提交演練總結(jié)報告。

第三十二條 銀行業(yè)金融機構(gòu)應(yīng)在重要信系統(tǒng)投產(chǎn)及變更實施后1個月內(nèi)向中國銀監(jiān)會或其派出機構(gòu)提交總結(jié)報告材料，內(nèi)容包括但不限于：投產(chǎn)及變更方案執(zhí)行情況、效果，問題發(fā)現(xiàn)和處理情況，后續(xù)改進(jìn)措施等。如投產(chǎn)及變更失敗，應(yīng)詳細(xì)說明失敗原因。

第三十三條 銀行業(yè)金融機構(gòu)應(yīng)按照屬地監(jiān)管原則提交報告材料，報送路線如下：

（一）銀行業(yè)金融機構(gòu)法人組織實施投產(chǎn)及變更的，由該法人機構(gòu)統(tǒng)一向中國銀監(jiān)會或其派出機構(gòu)提交報告材料。

（二）銀行業(yè)金融機構(gòu)分行組織實施投產(chǎn)及變更的，由分行向所在地中國銀監(jiān)會派出機

構(gòu)提交報告材料。

第三十四條 重要信息系統(tǒng)投產(chǎn)及變更如失敗需要重新安排的，銀行業(yè)金融機構(gòu)應(yīng)再次向中國銀監(jiān)會或其派出機構(gòu)報告。

第三十五條 銀行業(yè)金融機構(gòu)數(shù)據(jù)中心機房設(shè)立、場所變更，應(yīng)按照中國銀監(jiān)會有關(guān)數(shù)據(jù)中心管理規(guī)范報告。

第六章 監(jiān)督管理

第三十六條 針對銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更風(fēng)險，中國銀監(jiān)會及其派出機構(gòu)可以采取風(fēng)險提示、約見談話、監(jiān)管質(zhì)詢等措施。

第三十七條 中國銀監(jiān)會及其派出機構(gòu)可依法對銀行業(yè)金融的重要信息系統(tǒng)投產(chǎn)及變更實施現(xiàn)場檢查。

第三十八條 銀行業(yè)金融機構(gòu)違反本辦法有關(guān)規(guī)定的，中國銀監(jiān)會及其派出機構(gòu)將依法追究相關(guān)責(zé)任。

第七章 附則

第三十九條 本辦法由中國銀監(jiān)會負(fù)責(zé)解釋和修訂。

第四十條 本辦法自公布之日起執(zhí)行。