第八条 商业银行应就数据中心设立,数据中心服务范围、服务职能和场所变更,以及其他对数据中心持续运行具有较大影响的重大变更事项向中国银监会或其派出机构报告。
第九条 商业银行应在数据中心规划筹建阶段,以及在数据中心正式运营前至少20个工作日,向中国银监会或其派出机构报告。
第十条 商业银行变更数据中心场所时应至少提前2个月,其他重大变更应至少提前10个工作日向中国银监会或其派出机构报告。
第三章 风险管理
第十一条 商业银行信息科技风险管理部门应制定数据中心风险管理策略、风险识别和评估流程,定期开展风险评估工作,对风险进行分级管理,持续监督风险管理状况,及时预警,将风险控制在可接受水平。
第十二条 商业银行信息科技部门应指导、监督和协调数据中心明确信息系统运营维护管理策略,建立运营维护管理制度、标准和流程,落实信息科技风险管理措施。
第十三条 商业银行数据中心应建立健全各项管理与内控制度,从技术和管理等方面实施风险控制措施。
第十四条 商业银行数据中心应设立专门管理岗位,监督、检查数据中心各项规范、制度、标准和流程的执行情况以及风险管理状况。
第十五条 商业银行应根据业务影响分析所识别出风险的可能性和损失程度,决定是否购买商业保险以应对不同类型的灾难,并定期检查其保险策略及范围。投保资产清单应保存于安全场所,以便索赔时使用。
第十六条 商业银行内部审计部门应至少每三年进行一次数据中心内部审计。
第十七条 商业银行在采取有效信息安全控制措施的前提下,可聘请合格的外部审计机构定期对数据中心进行审计。第十八条商业银行数据中心应根据内、外部审计意见,及时制定整改计划并实施整改。
第四章 运行环境管理
第十九条 商业银行进行数据中心选址时,应进行全面的风险评估,综合考虑地理位置、环境、设施等各种因素对数据中心安全运营的潜在影响,规避选址不当风险,避免数据中心选址过度集中。
第二十条 数据中心选址应满足但不限于以下要求:
