第三十五条 商业银行进行全面灾备切换和真实业务接管演练前应向中国银监会或其派出机构报告,并在演练结束后报送演练总结。
第三十六条 商业银行因灾难亭件启动灾难恢复或将灾备中心回切至生产中心后,应及时向中国银监会或其派出机构报告,报告内容包括但不限于:灾难亭件发生时间、影响范围和程度,亭件起因、应急处置措施、灾难恢复实施情况和结果、回切方案。
第七章 外包管理
第三十七条 商业银行董事会对外包负最终管理责任,应推动和完善外包风险管理体系建设,确保商业银行有效应对外包风险。
第三十八条 商业银行应根据信.息科技战略规划制定数据中心外包策略;应制定数据中心服务外包管理制度、流程,建立全面的风险控制机制。
第三十九条 商业银行应确定外包服务所涉及的信息资产的关键性和敏感程度,审慎确定数据中心外包服务范围。
第四十条 商业银行应充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和高管层审核。
第四十一条 实施数据中心服务外包时,商业银行的管理责任不得外包。
第四十二条 数据中心服务外包一般包括:
(一)基础设施类:外包服务商向商业银行提供数据中心机房、配套设施或运行设备的服务。
(二)运营维护类:外包服务商向商业银行提供数据中心信息系统或墓础设施的日常运行、维护等服务。
第四十三条 商业银行在选择数据中心外包服务商时,应充分审查、评估外包服务商的资质、专业能力和服务方案,对外包服务商进行风险评估,考查其服务能力是否足以承担相应的贵任。评估包括:外包服务商的企业信誉及财务德定性,外包服务商的信息安全和信息科技服务管理体系,银行业服务经验等。提供数据中心基础设施外包服务的服务商,其运行环境应符合商业银行要求,并具有完备的安全管理规范。
第四十四条 商业银行应与数据中心外包服务商签订书面合同,在合同中明确重要亭项,包括但不限于双方的权利和义务、外包服务水平、服务的可靠性、服务的可用性、信息安全控制、服务持续性计划、审计、合规性要求、违约赔偿等。
第四十五条 商业银行应要求外包服务商购买商业保险以保证其有足够的赔偿能力,并告知保险覆盖范围。
