【法规名称】
【颁布部门】 中国银行业监督管理委员会
【发文字号】 银监办发[2010]114号
【颁布时间】 2010-04-20
【实施时间】 2010-04-20
【效力属性】 有效
【法规编号】 492166 什么是编号?
【正 文】
第4页 中国银行业监督管理委员会办公厅关于印发《商业银行数据中心监管指引》的通知
|
[接上页] 第三十四条 商业银行应每年至少进行一次重要信息系统专项灾备切换演练,每三年至少进行一次重要信息系统全面灾备切换演练,以真实业务接管为目标,验证灾备系统有效接管生产系统及安全回切的能力。 第三十五条 商业银行进行全面灾备切换和真实业务接管演练前应向中国银监会或其派出机构报告,并在演练结束后报送演练总结。 第三十六条 商业银行因灾难亭件启动灾难恢复或将灾备中心回切至生产中心后,应及时向中国银监会或其派出机构报告,报告内容包括但不限于:灾难亭件发生时间、影响范围和程度,亭件起因、应急处置措施、灾难恢复实施情况和结果、回切方案。 第七章 外包管理 第三十七条 商业银行董事会对外包负最终管理责任,应推动和完善外包风险管理体系建设,确保商业银行有效应对外包风险。 第三十八条 商业银行应根据信.息科技战略规划制定数据中心外包策略;应制定数据中心服务外包管理制度、流程,建立全面的风险控制机制。 第三十九条 商业银行应确定外包服务所涉及的信息资产的关键性和敏感程度,审慎确定数据中心外包服务范围。 第四十条 商业银行应充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和高管层审核。 第四十一条 实施数据中心服务外包时,商业银行的管理责任不得外包。 第四十二条 数据中心服务外包一般包括: (一)基础设施类:外包服务商向商业银行提供数据中心机房、配套设施或运行设备的服务。 (二)运营维护类:外包服务商向商业银行提供数据中心信息系统或墓础设施的日常运行、维护等服务。 第四十三条 商业银行在选择数据中心外包服务商时,应充分审查、评估外包服务商的资质、专业能力和服务方案,对外包服务商进行风险评估,考查其服务能力是否足以承担相应的贵任。评估包括:外包服务商的企业信誉及财务德定性,外包服务商的信息安全和信息科技服务管理体系,银行业服务经验等。提供数据中心基础设施外包服务的服务商,其运行环境应符合商业银行要求,并具有完备的安全管理规范。 第四十四条 商业银行应与数据中心外包服务商签订书面合同,在合同中明确重要亭项,包括但不限于双方的权利和义务、外包服务水平、服务的可靠性、服务的可用性、信息安全控制、服务持续性计划、审计、合规性要求、违约赔偿等。 第四十五条 商业银行应要求外包服务商购买商业保险以保证其有足够的赔偿能力,并告知保险覆盖范围。 第四十六条 商业银行应加强对数据中心外包服务活动的安全管理,包括但不限于: (一)商业银行应将数据中心外包服务安全管理纳入数据中心的整体安全策略,保障业务、管理和客户敏感数据信息安全。 (二)商业银行应按照“必需知道”和“最小授权”原则,严格控制外包服务商信息访问的权限,要求外包服务商不得对外泄露所接触的商业银行信息。 (三)商业银行应要求外包服务商保留操作痕迹、记录完整的日志,相关内容和保存期限应满足事件分析、安全取证、独立审计和监督检查需要。 (四)商业银行应要求外包服务商遵守商业银行有关信息科技风险管理制度和流程。 (五)商业银行应要求外包服务商每年至少开展一次信息安全风险评估并提交评估报告。 (六)商业银行应要求外包服务商聘请外部机构定期对其进行安全审计并提交审计报告,督促其及时整改发现的问题。 第四十七条 商业银行应禁止外包服务商转包并严格控制分包,保证外包服务水平。 第四十八条 商业银行应制定数据中心外包服务应急计划,制订供应商替换方案,以应对外包服务商破产、不可抗力或其它潜在问题导致服务中断或服务水平下降的情形,支持数据中心连续、可靠运行。 第四十九条 商业银行应建立外包服务考核、评价机制,定期对外包服务活动和外包服务商的服务能力进行审核和评估,确保获得持续、稳定的外包服务。 第五十条 商业银行在实施数据中心整体服务外包以及涉及影响业务、管理和客户敏感数据信息安全的外包前,应向中国银监会或其派出机构报告。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!