中国银监会办公厅关于加强大型银行数据中心风险管理的通知
(银监办通〔2007〕196号)
中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行:
近年来,大型银行加大信息科技投入,信息系统建设取得较大进步,数据集中程度和处理水平不断提高。但大型银行数据中心管理仍存在薄弱环节,主要表现在以下方面:一是多数大型银行数据中心尚未对“十七大”期间信息安全保障工作做出安排。二是多数大型银行数据中心灾难备份体系仅局限于纯技术恢复,未将业务部门灾难恢复机制和总体演练包括在内。三是部分大型银行数据中心尚未启动系统日志保存或日志保存期限较短,对业务部门的变更管理、事故管理、问题管理测试不足。四是多数数据中心对于突发业务需求增长及新产品上线缺乏快速应对机制。五是多数数据中心设备供应商技术支持部门设在国外,国内后续维护力量较弱,难以应对突发性灾难事件。部分信息系统服务商甚至对子项目进行转包,银行控制风险难度较大。此外,农业银行数据中心建设实行“边咨询、边设计、边施工、边使用”的模式,存在较大的风险隐患。
为有效管控商业银行信息系统风险,加强数据中心风险管理,现就有关事项通知如下:
一、高度重视信息系统风险管理,认真落实“十七大”安全保障工作部署。各行要从维护国家金融安全和信息安全的高度,认真落实银监会和人民银行部署的关于“十七大”期间信息安全保障工作安排,确保信息系统在“十七大”期间安全、持续、稳健运行。
二、加强业务持续性演练,形成整体应急预案。各行要把业务部门灾难恢复机制和总体演练作为灾难备份的重要组成部分,制定信息系统应急预案,定期演练、评审和修订。建立信息系统、数据备份和业务部门的联动演练机制,保障具体业务操作的及时恢复。
三、加强运行维护风险控制,改善信息系统的评估和测试。各行要按照《
银行业金融机构信息系统风险管理指引》要求,保存包括交易日志和审计日志在内的详细日志信息。启动系统日志或适当延长日志保存期(一年以上)。严格按照流程控制和管理,及时对业务部门出现的变更处理、事故管理、问题管理进行测试。
