通知
《中國銀行業監督管理委員會辦公廳關於印發<商業銀行數據中心監管指引>的通知》(銀監辦發﹝2010﹞114號)頒布
細則
總則
第一條 為加強商業銀行數據中心風險管理,保障數據中心安全、可靠、穩定運行,提高商業銀行業務連續性水平,根據《中華人民共和國銀行業監督管理法》及《中華人民共和國商業銀行法》制定本指引。
第二條 在中華人民共和國境內設立的國有商業銀行、股份制商業銀行、郵政儲蓄銀行、城市商業銀行、省級農村信用聯合社、外商獨資銀行、中外合資銀行適用本指引。中國銀行業監督管理委員會(以下簡稱中國銀監會)監管的其他金融機構參照本指引執行。
第三條 以下術語適用於本指引:
(一)本指引所稱數據中心包括生產中心和災難備份中心(以下簡稱災備中心)。
(二)本指引所稱生產中心是指商業銀行對全行業務、客戶和管理等重要信息進行集中存儲、處理和維護,具備專用場所,為業務運營及管理提供信息科技支撐服務的組織。
(三)本指引所稱災備中心是指商業銀行為保障其業務連續性,在生產中心故障、停頓或癱疾後,能夠接替生產中心運行,具備專用場所,進行數據處理和支持重要業務持續運行的組織。
(四)本指引所稱災備中心同城模式是指災備中心與生產中心位於同一地理區域,一般距離數十公里,可防範火災、建築物破壞、電力或通信系統中斷等事件。災備中心異地模式是指災備中心與生產中心處於不同地理區域,一般距離在數百公里以上,不會同時面臨同類區域性災難風險,如地震、颱風和洪水等。
(五)本指引所稱重要信息系統是指支撐重要業務,其信息安全和服務質量關係公民、法人和組織的權益,或關係社會秩序、公共利益乃至國家安全的信息系統。包括面向客戶、涉及賬務處理且時效性要求較高的業務處理類、渠道類和涉及客戶風險管理等業務的管理類信息系統,以及支撐系統運行的機房和網路等基礎設施。
第四條 《信息安全技術信息系統災難恢復規範》(GB/T20988-2007)中的條款通過本指引的引用而成為本指引的條款。
第一章
設立與變更
第五條 商業銀行應於取得金融許可證後兩年內,設立生產中心;生產中心設立後兩年內,設立災備中心。
第六條 商業銀行數據中心應配置滿足業務運營與管理要求的場地、基礎設施、網路、信息系統和人員,並具備支持業務不間斷服務的能力。
第七條 總資產規模一千億元人民幣以上且跨省設立分支機構的法人商業銀行,及省級農村信用聯合社應設立異地模式災備中心,重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規範》中定義的災難恢復等級第5級(含)以上;其他法人商業銀行應設立同城模式災備中心並實現數據異地備份,重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規範》中定義的災難恢復等級第4級(含)以上。
第八條 商業銀行應就數據中心設立,數據中心服務範圍、服務職能和場所變更,以及其他對數據中心持續運行具有較大影響的重大變更事項向中國銀監會或其派出機構報告。
第九條 商業銀行應在數據中心規劃籌建階段,以及在數據中心正式運營前至少20個工作日,向中國銀監會或其派出機構報告。
第十條 商業銀行變更數據中心場所時應至少提前2個月,其他重大變更應至少提前10個工作日向中國銀監會或其派出機構報告。
第二章
風險管理
第十一條 商業銀行信息科技風險管理部門應制定數據中心風險管理策略、風險識別和評估流程,定期開展風險評估工作,對風險進行分級管理,持續監督風險管理狀況,及時預警,將風險控制在可接受水平。
第十二條 商業銀行信息科技部門應指導、監督和協調數據中心明確信息系統運營維護管理策略,建立運營維護管理制度、標準和流程,落實信息科技風險管理措施。
第十三條 商業銀行數據中心應建立健全各項管理與內控制度,從技術和管理等方面實施風險控制措施。
第十四條 商業銀行數據中心應設立專門管理崗位,監督、檢查數據中心各項規範、制度、標準和流程的執行情況以及風險管理狀況。
第十五條 商業銀行應根據業務影響分析所識別出風險的可能性和損失程度,決定是否購買商業保險以應對不同類型的災難,並定期檢查其保險策略及範圍。投保資產清單應保存於安全場所,以便索賠時使用。
第十六條 商業銀行內部審計部門應至少每三年進行一次數據中心內部審計。
第十七條 商業銀行在採取有效信息安全控制措施的前提下,可聘請合格的外部審計機構定期對數據中心進行審計。
第十八條 商業銀行數據中心應根據內、外部審計意見,及時制定整改計畫並實施整改。
第三章
運行環境管理
第十九條 商業銀行進行數據中心選址時,應進行全面的風險評估,綜合考慮地理位置、環境、設施等各種因素對數據中心安全運營的潛在影響,規避選址不當風險,避免數據中心選址過度集中。
第二十條 數據中心選址應滿足但不限於以下要求:
(一)生產中心與災備中心的場所應保持合理距離,避免同時遭受同類風險。
(二)應選址於電力供給可靠,交通、通信便捷地區;遠離水災和火災隱患區域;遠離易燃、易爆場所等危險區域;遠離強振源和強噪聲源,避開強電磁場干擾;應避免選址於地震、地質災害高發區域。
第二十一條 數據中心基礎設施建設應以滿足重要信息系統運行高可用性和高可靠性要求、保障業務連續性為目標,應滿足但不限於以下要求:
(一)建築物結構,如層高、承重、抗震等,應滿足專用機房建設要求。
(二)應根據使用要求劃分功能區域,各功能區域原則上相對獨立。
(三)應配備不間斷電源、應急發電設施等以滿足信息技術設備連續運行的要求。
(四)通信線路、供電、機房專用空調等基礎設施應具備冗餘能力,進行冗餘配置,消除單點隱患。
(五)機房區域應採用氣體消防和自動消防預警系統,內部通道設定、裝飾材料等應滿足消防要求,並通過消防驗收。
(六)應採取防雷接地、防磁、防水、防盜、防鼠蟲害等保護措施。
(七)應採用環保節能技術,降低能耗,提高效率。
第二十二條 數據中心安防與基礎設施保障應滿足但不限於以下要求:
(一)各功能區域應根據使用功能劃分安全控制級別,不同級別區域採用獨立的出入控制設備,並集中監控,各區域出入口及重要位置應採用視頻監控,監控記錄保存時間應滿足事件分析、監督審計的需要。
(二)應具備機房環境監控系統,對基礎設施設備、機房環境狀況、安防系統狀況進行7x24小時實時監測,監測記錄保存時間應滿足故障診斷、事後審計的需要。
(三)每年至少開展一次針對基礎設施的安全評估,對基礎設施的可用性和可靠性、運維管理流程以及人員的安全意識等方面進行檢查,及時發現安全隱患並落實整改。
第二十三條 數據中心應來用兩家或多家通信運營商線路互為備份。互為備份的通信線路不得經過同一路由節點。
第四章
運營維護管理
第二十四條 商業銀行應建立滿足業務發展要求的數據中心運營維護管理體系,根據業務需求定義運營維護服務內容,制定服務標準和評價方法,建立運營維護管理持續改進機制。
第二十五條 數據中心應建立滿足信息科技服務要求的運營管理組織架構。設立生產調度、信。息安全、操作運行維護、質量合規管理等職能相關的部門或崗位,明確崗位和職責,配備專職人員,提供崗位專業技能培訓,確保關鍵崗位職責分離,通過職責分工和崗位制約降低數據中心操作風險。
第二十六條 數據中心應建立信息科技運行維護服務管理流程,提高整體運行效率和服務水平,包括:
(一)應建立事件和問題管理機制。明確事件管理流程,定義事件類別、事件分級回響要求和事件升級、上報規則,及時受理、回響、審批和交付服務請求,保障生產服務質量,儘可能降低對業務影響;建立服務台負責受理、跟蹤、解答各類運營問題;建立問題根源分析及跟蹤解決機制,查明運營事件產生的根本原因,避免事件再次發生。
(二)應建立變更管理流程,減少或防止變更對信息科技服務的影響。根據變更對業務影響大小進行變更分級,對變更影響、變更風險、資源需求和變更批准進行控制和管理;變更方案應包括應急及回退措施,並經過充分測試和驗證;建立變更管理聯動機制,當生產中心發生變更時,應同步分析災備系統變更需求並進行相應的變更,評估災備恢復的有效性;應儘量減少緊急變更。
(三)應建立配置管理流程,統一管理、及時更新數據中心基礎設施和重要信息系統配置信息,支持變更風險評估、變更實施、故障事件排查、問題根源分析等服務管理流程。
(四)應對重要信息系統和通信網路的容量和性能需求進行前瞻性規劃,分析、調整和最佳化容量和性能,滿足業務發展要求。
(五)應統一調度各項運維任務,協調和解決各項運維任務衝突,妥善記錄和保存運維任務調度過程。
(六)應制定驗收交接標準及流程,規範重要信息系統投產驗收管理。加強版本控制,防範因軟體版本、操作文檔等不一致產生的風險。
(七)應根據商業銀行總體風險控制策略及應急管理要求,從基礎設施、網路、信息系統等不同方面分別制定應急預案,並及時修訂應急預案,定期進行演練,保證其有效性。
(八)應集中監控重要信息系統和通信網路運行狀態。採用監控管理工具,實時監控重要信息系統和通信網路的運行狀況,通過監測、採集、分析和調優,提升生產系統運行的可靠性、穩定性和可用性。監控記錄應滿足故障定位、診斷及事後審計等要求。
第二十七條 數據中心應建立信息安全管理規範,保證重要信息的機密性、完整性和可用性,包括:
(一)應設立專門的信息安全管理部門或崗位,制定安全管理制度和實施計畫,定期對信息安全策略、制度和流程的執行情況進行檢查和報告。
(二)應建立和落實人員安全管理制度,明確信息安全管理職責;通過安全教育與培訓,提高人員的安全意識和技能;建立重要崗位人員備份制度和監督制約機制。
(三)應加強信息資產管理,識別信息資產並建立責任制,根據信息資產重要性實施分類控制和分級保護,防範信息資產生成、使用和處置過程中的風險。
(四)應建立和落實物理環境安全管理制度,明確安全區域、規範區域訪問管理,減少未授權訪問所造成的風險。
(五)應建立操作安全管理制度,制定操作規程文檔,規範信息系統監控、日常維護和批處理操作等過程。
(六)應建立數據安全管理制度,規範數據的產生、獲取、存儲、傳輸、分發、備份、恢復和清理的管理,以及存儲介質的台帳、轉儲、抽檢、報廢和銷毀的管理,保證數據的保密、真實、完整和可用。
(七)應建立網路通信與訪問安全策略,隔離不同網路功能區域,採取與其安全級別對應的預防、監測等控制措施,防範對網路的未授權訪問,保證網路通信安全。
(八)應建立基礎設施和重要信息的授權訪問機制,制定訪問控制流程,保留訪問記錄,防止未授權訪問。
第五章
災難恢復管理
第二十八條 商業銀行應將災難恢復管理納入業務連續性管理框架,建立災難恢復管理組織架構,明確災難恢復管理機制和流程。
第二十九條 商業銀行應統籌規劃災難恢復工作,定期進行風險評估和業務影響分析,確定災難恢複目標和恢復等級,明確災難恢復策略、預案並及時更新。
第三十條 商業銀行災難恢復預案應包括但不限於以下內容:災難恢復指揮小組和工作小組人員組成及聯繫方式、匯報路線和溝通協調機制、災難恢復資源分配、基礎設施與信息系統的恢復優先次序、災難恢復與回切流程及時效性要求、對外溝通機制、最終用戶操作指導及第三方技術支持和應急回響服務等內容。
第三十一條 商業銀行應為災難恢復提供充分的資源保障,包括基礎設施、網路通信、運維及技術支持人力資源、技術培訓等。
第三十二條 商業銀行應建立與服務提供商、電力部門、公安部門、當地政府和新聞媒體等單位的外部協作機制,保證災難恢復時能及時獲取外部支持。
第三十三條 商業銀行應建立災難恢復有效性測試驗證機制,測試驗證應定期或在重大變更後進行,內容應包含業務功能的恢復驗證。
第三十四條 商業銀行應每年至少進行一次重要信息系統專項災備切換演練,每三年至少進行一次重要信息系統全面災備切換演練,以真實業務接管為目標,驗證災備系統有效接管生產系統及安全回切的能力。
第三十五條 商業銀行進行全面災備切換和真實業務接管演練前應向中國銀監會或其派出機構報告,並在演練結束後報送演練總結。
第三十六條 商業銀行因災難亭件啟動災難恢復或將災備中心回切至生產中心後,應及時向中國銀監會或其派出機構報告,報告內容包括但不限於:災難亭件發生時間、影響範圍和程度,亭件起因、應急處置措施、災難恢復實施情況和結果、回切方案。
第六章
外包管理
第三十七條 商業銀行董事會對外包負最終管理責任,應推動和完善外包風險管理體系建設,確保商業銀行有效應對外包風險。
第三十八條 商業銀行應根據信息科技戰略規劃制定數據中心外包策略;應制定數據中心服務外包管理制度、流程,建立全面的風險控制機制。
第三十九條 商業銀行應確定外包服務所涉及的信息資產的關鍵性和敏感程度,審慎確定數據中心外包服務範圍。
第四十條 商業銀行應充分識別、分析、評估數據中心外包風險,包括信息安全風險、服務中斷風險、系統失控風險以及聲譽風險、戰略風險等,形成風險評估報告並報董事會和高管層審核。
第四十一條 實施數據中心服務外包時,商業銀行的管理責任不得外包。
第四十二條 數據中心服務外包一般包括:
(一)基礎設施類:外包服務商向商業銀行提供數據中心機房、配套設施或運行設備的服務。
(二)運營維護類:外包服務商向商業銀行提供數據中心信息系統或墓礎設施的日常運行、維護等服務。
第四十三條 商業銀行在選擇數據中心外包服務商時,應充分審查、評估外包服務商的資質、專業能力和服務方案,對外包服務商進行風險評估,考查其服務能力是否足以承擔相應的貴任。評估包括:外包服務商的企業信譽及財務穩定性,外包服務商的信息安全和信息科技服務管理體系,銀行業服務經驗等。提供數據中心基礎設施外包服務的服務商,其運行環境應符合商業銀行要求,並具有完備的安全管理規範。
第四十四條 商業銀行應與數據中心外包服務商簽訂書面契約,在契約中明確重要事項,包括但不限於雙方的權利和義務、外包服務水平、服務的可靠性、服務的可用性、信息安全控制、服務持續性計畫、審計、合規性要求、違約賠償等。
第四十五條 商業銀行應要求外包服務商購買商業保險以保證其有足夠的賠償能力,並告知保險覆蓋範圍。
第四十六條 商業銀行應加強對數據中心外包服務活動的安全管理,包括但不限於:
(一)商業銀行應將數據中心外包服務安全管理納入數據中心的整體安全策略,保障業務、管理和客戶敏感數據信息安全。
(二)商業銀行應按照“必需知道”和“最小授權”原則,嚴格控制外包服務商信息訪問的許可權,要求外包服務商不得對外泄露所接觸的商業銀行信息。
(三)商業銀行應要求外包服務商保留操作痕跡、記錄完整的日誌,相關內容和保存期限應滿足事件分析、安全取證、獨立審計和監督檢查需要。
(四)商業銀行應要求外包服務商遵守商業銀行有關信息科技風險管理制度和流程。
(五)商業銀行應要求外包服務商每年至少開展一次信息安全風險評估並提交評估報告。
(六)商業銀行應要求外包服務商聘請外部機構定期對其進行安全審計並提交審計報告,督促其及時整改發現的問題。
第四十七條 商業銀行應禁止外包服務商轉包並嚴格控制分包,保證外包服務水平。
第四十八條 商業銀行應制定數據中心外包服務應急計畫,制訂供應商替換方案,以應對外包服務商破產、不可抗力或其它潛在問題導致服務中斷或服務水平下降的情形,支持數據中心連續、可靠運行。
第四十九條 商業銀行應建立外包服務考核、評價機制,定期對外包服務活動和外包服務商的服務能力進行審核和評估,確保獲得持續、穩定的外包服務。
第五十條 商業銀行在實施數據中心整體服務外包以及涉及影響業務、管理和客戶敏感數據信息安全的外包前,應向中國銀監會或其派出機構報告。
第五十一條 商業銀行應在外包服務協定條款中明確商業銀行和監管機構有權對協定範圍內的服務活動進行監督檢查,包括外包商的服務職能、責任、系統和設施等內容。
第七章
監督管理
第五十二條 中國銀監會及其派出機構可依法對商業銀行的數據中心實施非現場監管及現場檢查。現場檢查原則上每三年一次。
第五十三條 針對商業銀行數據中心設立、變更、運營過程存在的風險,中國銀監會或其派出機構可向商業銀行提示風險並提出整改意見。商業銀行應及時整改並反饋結果。
第八章
附則
第五十四條 本指引由中國銀監會負責解釋、修訂。
第五十五條 本指引自公布之日起執行。
附屬檔案:《商業銀行數據中心監管指引》報告材料目錄和格式要求
附屬檔案
《商業銀行數據中心監管指引》報告材料目錄和格式要求
一、數據中心規劃報告材料目錄
(一)數據中心建設規劃報告,包括:
1.立項報告和可行性分析報告,包括建設背景、建設目標、風險評估、效益分析、成本投入等。
2.基礎設施規劃方案,包括選址、建築物結構、功能區域劃分、監控、防雷接地及消防等配套設施、機房等級等。
3.信息系統建設規劃方案,包括功能與技術方案規劃、人員配置計畫、系統服務的區域和業務範圍等。災備中心還需提供災難恢複目標、災難恢復等級、災備技術方案規劃及風險評佑報告等。
(二)區域環境及基礎設施風險評估說明,包括風險識別,風險分析和風險控制策略等。
(三)建設及運營模式說明,包括技術支持及運行維護體系等。如採用外包,需提供外包的服務內容和外包風險評估報告;
(四)組織架構規劃。包括擬設立的部門與崗位職責、計畫採用的人員數量等。
(五)建設及投入運營的時間進度計畫和財務預算(基礎設施建設和運維管理費用等)。
(六)中國銀監會或其派出機構要求提供的其它檔案和資料。
二、數據中心設立報告材料目錄
(一)由商業銀行法定代表人簽署的數據中心投產審批檔案,包括數據中心上線申請,數據中心上線審批報告等。
(二)基礎設施情況,包括地址、建築物結構、功能區域劃分、監控、防雷接地及消防等配套設施驗收報告、機房及附屬設施驗收報告等。
(三)信息系統情況,包括系統架構、系統名稱、系統服務的區域和業務範圍、數據備份方案、災備技術方案等。
(四)運營模式說明,包括技術支持及運行維護體系等。如採用外包需說明主要外包管理情況,包括主要外包項目名稱、外包內容(業務類型及範圍等)、外包商基本情況、外包契約(包括安全保密條款、智慧財產權保護條款)、外包服務水平協定和外包風險評估報告等。
(五)組織架構,包括部門設定與崗位職責、人員配備、主要負責人名單等。
(六)管理制度和規範清單及相關說明,包括運行管理流程、安全管理制度、應急管理制度和規範(含應急恢復策略、信息系統備份和恢複方案、應急管理流程及預案、應急演練及培訓計畫等)、災難恢復預案。
(七)中國銀監會或其派出機構要求提供的其它檔案和資料。
三、數據中心重大變更報告材料目錄
(一)變更說明,包括變更原因、目的、內容、時間和影響範圍等。
(二)變更方案,包括變更準備、變更計畫和步驟、變更應急和回退措施。
(三)風險評估報告,包括風險分析,控制措施、變更有效性評估。
(四)中國銀監會或其派出機構要求提供的其它檔案和資料。
四、報告材料格式要求
數據中心規劃、設立及重大變更報告材料應向中國銀監會或其派出機構報送紙質材料和電子文檔。