【法规名称】
【颁布部门】 中国银行业监督管理委员会上海监管局办公室
【发文字号】 沪银监办通[2010]7号
【颁布时间】 2010-01-12
【实施时间】 2010-01-12
【效力属性】 有效
【法规编号】 471861 什么是编号?
【正 文】
第2页 中国银行业监督管理委员会上海监管局办公室关于转发银监会办公厅《银行业金融机构重要信息系统投产及变更管理办法》的通知
|
[接上页] 第十五条 银行业金融机构应对重要信息系统投产及变更过程进行安全审查,采取风险控制措施,有效控制重要信息系统投产及变更风险。 第十六条 银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。 第十七条 银行业金融机构应按照对业务影响最小原则,采取与风险程度相适应的重要信息系统投产及变更策略。 第十八条 银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线,应提前将重要信息系统投产及变更可能对服务的影响告知客户。 第十九条 银行业金融机构应建立充分、完整的测试体系,测试结果应经过信息科技部门和相关业务部门确认,并形成测试和验收报告,确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。 第二十条 银行业金融机构应建立与生产环境相隔离的测试环境,测试环境应模拟生产环境的真实情况。 第二十一条 银行业金融机构应建立完善的版本管理制度,制定严格的审批、控制和操作流程,保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效,遵从系统开发和运行管理制度规范。 第二十二条 银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的,应制定详细的数据迁移计划,并提前进行数据迁移测试和数据有效性、兼容性验证,确保迁移后数据的完整性、安全性和可用性。 第二十三条 银行业金融机构应制定重要信息系统投产及变更应急预案,制定系统回退和应急处置计划和流程,必要时应实施演练。 第二十四条 重要信息系统投产及变更过程中,银行业金融机构应严格执行上线实施方案,加强监督与复核,避免操作失误和非法操作。 第二十五条 银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警,各相关部门协同做好应急准备。 第二十六条 银行业金融机构应制定并落实系统运行管理规程、制度,制定、完善相关业务管理办法、操作规程,明确业务及运行管理职责,组织必要的培训,确保投产及变更实施后业务顺利开展。 第二十七条 银行业金融机构应在重要信息系统投产及变更实施后,组织业务部门、管理部门和信息科技部门对投产及变更的有效性进行验证。 第二十八条 银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案,并适时实施演练。 第二十九条 银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理,确保文档资料的完整性、及时性和有效性,并满足独立审计要求。 第五章 投产及变更报告 第三十条 银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。 第三十一条 银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告,包括但不限于: (一)总体说明:投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。 (二)重要信息系统基本信息,包括:系统名称、业务功能,操作系统、数据库、中间件情况,应用架构、技术架构、数据架构,生产主机备份方案、数据备份方案,运行管理等相关职能部门,是否纳入灾难恢复计划等。 (三)重要信息系统安全策略和措施,包括对账户、交易和客户敏感信息的安全控制措施等。 (四)涉及基础设施的,需提供基础设施基本信息,包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划,以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况,以及区域间、外联网、互联网边界安全措施与网络监控措施等。 (五)采取外包方式的,需提交外包服务机构情况、外包服务内容、外包风险评估报告等。 (六)投产及变更方案,包括投产及变更的组织结构与实施计划、操作步骤等。 (七)风险评估报告,应包括业务影响分析,技术风险分析与评估,控制措施的有效性,以及剩余风险等。 (八)应急预案,包括应急处置组织结构,应急场景,应急处置流程、步骤,应急联系方式与报告路线等,实施演练的应提交演练总结报告。 第三十二条 银行业金融机构应在重要信系统投产及变更实施后1个月内向中国银监会或其派出机构提交总结报告材料,内容包括但不限于:投产及变更方案执行情况、效果,问题发现和处理情况,后续改进措施等。如投产及变更失败,应详细说明失败原因。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!