【法规名称】
【颁布部门】 中国银行业监督管理委员会
【发文字号】 银监办发[2010]114号
【颁布时间】 2010-04-20
【实施时间】 2010-04-20
【效力属性】 有效
【法规编号】 494033 什么是编号?
【正 文】
第2页 商业银行数据中心监管指引
|
[接上页] 第十六条 商业银行内部审计部门应至少每三年进行一次数据中心内部审计。 第十七条 商业银行在采取有效信息安全控制措施的前提下,可聘请合格的外部审计机构定期对数据中心进行审计。第十八条商业银行数据中心应根据内、外部审计意见,及时制定整改计划并实施整改。 第四章 运行环境管理 第十九条 商业银行进行数据中心选址时,应进行全面的风险评估,综合考虑地理位置、环境、设施等各种因素对数据中心安全运营的潜在影响,规避选址不当风险,避免数据中心选址过度集中。 第二十条 数据中心选址应满足但不限于以下要求: (一)生产中心与灾备中心的场所应保持合理距离,避免同时遭受同类风险。 (二)应选址于电力供给可靠,交通、通信便捷地区;远离水灾和火灾隐患区域;远离易燃、易爆场所等危险区域;远离强振源和强噪声源,避开强电磁场干扰;应避免选址于地震、地质灾害高发区域。 第二十一条 数据中心基础设施建设应以满足重要信息系统运行高可用性和高可靠性要求、保障业务连续性为目标,应满足但不限于以下要求: (一)建筑物结构,如层高、承重、抗震等,应满足专用机房建设要求。 (二)应根据使用要求划分功能区域,各功能区域原则上相对独立。 (三)应配备不间断电源、应急发电设施等以满足信息技术设备连续运行的要求。 (四)通信线路、供电、机房专用空调等基础设施应具备冗余能力,进行冗余配置,消除单点隐患。 (五)机房区域应采用气体消防和自动消防预警系统,内部通道设置、装饰材料等应满足消防要求,并通过消防验收。 (六)应采取防雷接地、防磁、防水、防盗、防鼠虫害等保护措施。 (七)应采用环保节能技术,降低能耗,提高效率。 第二十二条 数据中心安防与基础设施保障应满足但不限于以下要求: (一)各功能区域应根据使用功能划分安全控制级别,不同级别区域采用独立的出入控制设备,并集中监控,各区域出入口及重要位置应采用视频监控,监控记录保存时间应满足亭件分析、监督审计的需要。 (二)应具备机房环境监控系统,对基础设施设备、机房环境状况、安防系统状况进行7x24小时实时监测,监测记录保存时间应满足故障诊断、事后审计的需要。 (三)每年至少开展一次针对基础设施的安全评估,对基础设施的可用性和可靠性、运维管理流程以及人员的安全意识等方面进行检查,及时发现安全隐患并落实整改。 第二十三条 数据中心应来用两家或多家通信运营商线路互为备份。互为备份的通信线路不得经过同一路由节点。 第五章 运营维护管理 第二十四条 商业银行应建立满足业务发展要求的数据中心运营维护管理体系,根据业务需求定义运营维护服务内容,制定服务标准和评价方法,建立运营维护管理持续改进机制。 第二十五条 数据中心应建立满足信息科技服务要求的运营管理组织架构。设立生产调度、信.息安全、操作运行维护、质量合规管理等职能相关的部门或岗位,明确岗位和职责,配备专职人员,提供岗位专业技能培训,确保关键岗位职责分离,通过职责分工和岗位制约降低数据中心操作风险。 第二十六条 数据中心应建立信息科技运行维护服务管理流程,提高整体运行效率和服务水平,包括: (一)应建立事件和问题管理机制。明确亭件管理流程,定义事件类别、事件分级响应要求和事件升级、上报规则,及时受理、响应、审批和交付服务请求,保障生产服务质量,尽可能降低对业务影响;建立服务台负责受理、跟踪、解答各类运营问题;建立问题根源分析及跟踪解决机制,查明运营事件产生的根本原因,避免事件再次发生。 (二)应建立变更管理流程,减少或防止变更对信息科技服务的影响。根据变更对业务影响大小进行变更分级,对变更影响、变更风险、资源需求和变更批准进行控制和管理;变更方案应包括应急及回退措施,并经过充分测试和验证;建立变更管理联动机制,当生产中心发生变更时,应同步分析灾备系统变更需求并进行相应的变更,评估灾备恢复的有效性;应尽量减少紧急变更。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!