各銀監(jiān)局,各政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行,郵政儲蓄銀行,各省級農村信用聯(lián)社:
  為加強商業(yè)銀行數據中心風險管理,保障數據中心安全、可靠、穩(wěn)定運行,加強災難恢復管理,提高業(yè)務連續(xù)性水平,現將《商業(yè)銀行數據中心監(jiān)管指引》印發(fā)給你們,請遵照執(zhí)行。
  請各銀監(jiān)局將本通知轉發(fā)至轄內相關銀行業(yè)金融機構。
  中國銀行業(yè)監(jiān)督管理委員會辦公廳
  二○一○年四月二十日???
  商業(yè)銀行數據中心監(jiān)管指引
  第一章 總則
  第一條 為加強商業(yè)銀行數據中心風險管理,保障數據中心安全、可靠、穩(wěn)定運行,提高商業(yè)銀行業(yè)務連續(xù)性水平,根據《中華人民共和國銀行業(yè)監(jiān)督管理法》及《中華人民共和國商業(yè)銀行法》制定本指引。
  第二條 在中華人民共和國境內設立的國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、城市商業(yè)銀行、省級農村信用聯(lián)合社、外商獨資銀行、中外合資銀行適用本指引。中國銀行業(yè)監(jiān)督管理委員會(以下簡稱中國銀監(jiān)會)監(jiān)管的其他金融機構參照本指引執(zhí)行。
  第三條 以下術語適用于本指引:
  (一)本指引所稱數據中心包括生產中心和災難備份中心(以下簡稱災備中心)。
  (二)本指引所稱生產中心是指商業(yè)銀行對全行業(yè)務、客戶和管理等重要信息進行集中存儲、處理和維護,具備專用場所,為業(yè)務運營及管理提供信息科技支撐服務的組織。
  (三)本指引所稱災備中心是指商業(yè)銀行為保障其業(yè)務連續(xù)性,在生產中心故障、停頓或癱疾后,能夠接替生產中心運行,具備專用場所,進行數據處理和支持重要業(yè)務持續(xù)運行的組織。
  (四)本指引所稱災備中心同城模式是指災備中心與生產中心位于同一地理區(qū)域,一般距離數十公里,可防范火災、建筑物破壞、電力或通信系統(tǒng)中斷等事件。災備中心異地模式是指災備中心與生產中心處于不同地理區(qū)域,一般距離在數百公里以上,不會同時面臨同類區(qū)域性災難風險,如地震、臺風和洪水等。
  (五)本指引所稱重要信息系統(tǒng)是指支撐重要業(yè)務,其信息安全和服務質量關系公民、法人和組織的權益,或關系社會秩序、公共利益乃至國家安全的信息系統(tǒng)。包括面向客戶、涉及賬務處理且時效性要求較高的業(yè)務處理類、渠道類和涉及客戶風險管理等業(yè)務的管理類信息系統(tǒng),以及支撐系統(tǒng)運行的機房和網絡等基礎設施。
  第四條 《信息安全技術信息系統(tǒng)災難恢復規(guī)范》(GB/T20988-2007)中的條款通過本指引的引用而成為本指引的條款。
  第二章 設立與變更
  第五條 商業(yè)銀行應于取得金融許可證后兩年內,設立生產中心;生產中心設立后兩年內,設立災備中心。
  第六條 商業(yè)銀行數據中心應配置滿足業(yè)務運營與管理要求的場地、基礎設施、網絡、信息系統(tǒng)和人員,并具備支持業(yè)務不間斷服務的能力。
  第七條 總資產規(guī)模一千億元人民幣以上且跨省設立分支機構的法人商業(yè)銀行,及省級農村信用聯(lián)合社應設立異地模式災備中心,重要信息系統(tǒng)災難恢復能力應達到《信息安全技術信息系統(tǒng)災難恢復規(guī)范》中定義的災難恢復等級第5級(含)以上;其他法人商業(yè)銀行應設立同城模式災備中心并實現數據異地備份,重要信息系統(tǒng)災難恢復能力應達到《信息安全技術信息系統(tǒng)災難恢復規(guī)范》中定義的災難恢復等級第4級(含)以上。
  第八條 商業(yè)銀行應就數據中心設立,數據中心服務范圍、服務職能和場所變更,以及其他對數據中心持續(xù)運行具有較大影響的重大變更事項向中國銀監(jiān)會或其派出機構報告。
  第九條 商業(yè)銀行應在數據中心規(guī)劃籌建階段,以及在數據中心正式運營前至少20個工作日,向中國銀監(jiān)會或其派出機構報告。
  第十條 商業(yè)銀行變更數據中心場所時應至少提前2個月,其他重大變更應至少提前10個工作日向中國銀監(jiān)會或其派出機構報告。
  第三章 風險管理
  第十一條 商業(yè)銀行信息科技風險管理部門應制定數據中心風險管理策略、風險識別和評估流程,定期開展風險評估工作,對風險進行分級管理,持續(xù)監(jiān)督風險管理狀況,及時預警,將風險控制在可接受水平。
  第十二條 商業(yè)銀行信息科技部門應指導、監(jiān)督和協(xié)調數據中心明確信息系統(tǒng)運營維護管理策略,建立運營維護管理制度、標準和流程,落實信息科技風險管理措施。
  第十三條 商業(yè)銀行數據中心應建立健全各項管理與內控制度,從技術和管理等方面實施風險控制措施。
  第十四條 商業(yè)銀行數據中心應設立專門管理崗位,監(jiān)督、檢查數據中心各項規(guī)范、制度、標準和流程的執(zhí)行情況以及風險管理狀況。
  第十五條 商業(yè)銀行應根據業(yè)務影響分析所識別出風險的可能性和損失程度,決定是否購買商業(yè)保險以應對不同類型的災難,并定期檢查其保險策略及范圍。投保資產清單應保存于安全場所,以便索賠時使用。
  第十六條 商業(yè)銀行內部審計部門應至少每三年進行一次數據中心內部審計。
  第十七條 商業(yè)銀行在采取有效信息安全控制措施的前提下,可聘請合格的外部審計機構定期對數據中心進行審計。
  第十八條 商業(yè)銀行數據中心應根據內、外部審計意見,及時制定整改計劃并實施整改。
  第四章 運行環(huán)境管理
  第十九條 商業(yè)銀行進行數據中心選址時,應進行全面的風險評估,綜合考慮地理位置、環(huán)境、設施等各種因素對數據中心安全運營的潛在影響,規(guī)避選址不當風險,避免數據中心選址過度集中。
  第二十條 數據中心選址應滿足但不限于以下要求:
  (一)生產中心與災備中心的場所應保持合理距離,避免同時遭受同類風險。
  (二)應選址于電力供給可靠,交通、通信便捷地區(qū);遠離水災和火災隱患區(qū)域;遠離易燃、易爆場所等危險區(qū)域;遠離強振源和強噪聲源,避開強電磁場干擾;應避免選址于地震、地質災害高發(fā)區(qū)域。
  第二十一條 數據中心基礎設施建設應以滿足重要信息系統(tǒng)運行高可用性和高可靠性要求、保障業(yè)務連續(xù)性為目標,應滿足但不限于以下要求:
  (一)建筑物結構,如層高、承重、抗震等,應滿足專用機房建設要求。
  (二)應根據使用要求劃分功能區(qū)域,各功能區(qū)域原則上相對獨立。
  (三)應配備不間斷電源、應急發(fā)電設施等以滿足信息技術設備連續(xù)運行的要求。
  (四)通信線路、供電、機房專用空調等基礎設施應具備冗余能力,進行冗余配置,消除單點隱患。
  (五)機房區(qū)域應采用氣體消防和自動消防預警系統(tǒng),內部通道設置、裝飾材料等應滿足消防要求,并通過消防驗收。
  (六)應采取防雷接地、防磁、防水、防盜、防鼠蟲害等保護措施。
  (七)應采用環(huán)保節(jié)能技術,降低能耗,提高效率。
  第二十二條 數據中心安防與基礎設施保障應滿足但不限于以下要求:
  (一)各功能區(qū)域應根據使用功能劃分安全控制級別,不同級別區(qū)域采用獨立的出入控制設備,并集中監(jiān)控,各區(qū)域出入口及重要位置應采用視頻監(jiān)控,監(jiān)控記錄保存時間應滿足亭件分析、監(jiān)督審計的需要。
  (二)應具備機房環(huán)境監(jiān)控系統(tǒng),對基礎設施設備、機房環(huán)境狀況、安防系統(tǒng)狀況進行7x24小時實時監(jiān)測,監(jiān)測記錄保存時間應滿足故障診斷、事后審計的需要。
  (三)每年至少開展一次針對基礎設施的安全評估,對基礎設施的可用性和可靠性、運維管理流程以及人員的安全意識等方面進行檢查,及時發(fā)現安全隱患并落實整改。
  第二十三條 數據中心應來用兩家或多家通信運營商線路互為備份。互為備份的通信線路不得經過同一路由節(jié)點。
  第五章 運營維護管理
  第二十四條 商業(yè)銀行應建立滿足業(yè)務發(fā)展要求的數據中心運營維護管理體系,根據業(yè)務需求定義運營維護服務內容,制定服務標準和評價方法,建立運營維護管理持續(xù)改進機制。
  第二十五條 數據中心應建立滿足信息科技服務要求的運營管理組織架構。設立生產調度、信.息安全、操作運行維護、質量合規(guī)管理等職能相關的部門或崗位,明確崗位和職責,配備專職人員,提供崗位專業(yè)技能培訓,確保關鍵崗位職責分離,通過職責分工和崗位制約降低數據中心操作風險。
  第二十六條 數據中心應建立信息科技運行維護服務管理流程,提高整體運行效率和服務水平,包括:
  (一)應建立事件和問題管理機制。明確亭件管理流程,定義事件類別、事件分級響應要求和事件升級、上報規(guī)則,及時受理、響應、審批和交付服務請求,保障生產服務質量,盡可能降低對業(yè)務影響;建立服務臺負責受理、跟蹤、解答各類運營問題;建立問題根源分析及跟蹤解決機制,查明運營事件產生的根本原因,避免事件再次發(fā)生。
  (二)應建立變更管理流程,減少或防止變更對信息科技服務的影響。根據變更對業(yè)務影響大小進行變更分級,對變更影響、變更風險、資源需求和變更批準進行控制和管理;變更方案應包括應急及回退措施,并經過充分測試和驗證;建立變更管理聯(lián)動機制,當生產中心發(fā)生變更時,應同步分析災備系統(tǒng)變更需求并進行相應的變更,評估災備恢復的有效性;應盡量減少緊急變更。
  (三)應建立配置管理流程,統(tǒng)一管理、及時更新數據中心基礎設施和重要信息系統(tǒng)配置信息,支持變更風險評估、變更實施、故障事件排查、問題根源分析等服務管理流程。
  (四)應對重要信息系統(tǒng)和通信網絡的容量和性能需求進行前瞻性規(guī)劃,分析、調整和優(yōu)化容量和性能,滿足業(yè)務發(fā)展要求。
  (五)應統(tǒng)一調度各項運維任務,協(xié)調和解決各項運維任務沖突,妥善記錄和保存運維任務調度過程。
  (六)應制定驗收交接標準及流程,規(guī)范重要信息系統(tǒng)投產驗收管理。加強版本控制,防范因軟件版本、操作文檔等不一致產生的風險。
  (七)應根據商業(yè)銀行總體風險控制策略及應急管理要求,從基礎設施、網絡、信息系統(tǒng)等不同方面分別制定應急預案,并及時修訂應急預案,定期進行演練,保證其有效性。
  (八)應集中監(jiān)控重要信息系統(tǒng)和通信網絡運行狀態(tài)。采用監(jiān)控管理工具,實時監(jiān)控重要信息系統(tǒng)和通信網絡的運行狀況,通過監(jiān)測、采集、分析和調優(yōu),提升生產系統(tǒng)運行的可靠性、穩(wěn)定性和可用性。監(jiān)控記錄應滿足故障定位、診斷及事后審計等要求。
  第二十七條 數據中心應建立信息安全管理規(guī)范,保證重要信息的機密性、完整性和可用性,包括:
  (一)應設立專門的信息安全管理部門或崗位,制定安全管理制度和實施計劃,定期對信息安全策略、制度和流程的執(zhí)行情況進行檢查和報告。
  (二)應建立和落實人員安全管理制度,明確信息安全管理職責;通過安全教育與培訓,提高人員的安全意識和技能;建立重要崗位人員備份制度和監(jiān)督制約機制。
  (三)應加強信息資產管理,識別信息資產并建立責任制,根據信息資產重要性實施分類控制和分級保護,防范信息資產生成、使用和處置過程中的風險。
  (四)應建立和落實物理環(huán)境安全管理制度,明確安全區(qū)域、規(guī)范區(qū)域訪問管理,減少未授權訪問所造成的風險。
  (五)應建立操作安全管理制度,制定操作規(guī)程文檔,規(guī)范信息系統(tǒng)監(jiān)控、日常維護和批處理操作等過程。
  (六)應建立數據安全管理制度,規(guī)范數據的產生、獲取、存儲、傳輸、分發(fā)、備份、恢復和清理的管理,以及存儲介質的臺帳、轉儲、抽檢、報廢和銷毀的管理,保證數據的保密、真實、完整和可用。
  (七)應建立網絡通信與訪問安全策略,隔離不同網絡功能區(qū)域,采取與其安全級別對應的預防、監(jiān)測等控制措施,防范對網絡的未授權訪問,保證網絡通信安全。
  (八)應建立基礎設施和重要信息的授權訪問機制,制定訪問控制流程,保留訪問記錄,防止未授權訪問。
  第六章 災難恢復管理
  第二十八條 商業(yè)銀行應將災難恢復管理納入業(yè)務連續(xù)性管理框架,建立災難恢復管理組織架構,明確災難恢復管理機制和流程。
  第二十九條 商業(yè)銀行應統(tǒng)籌規(guī)劃災難恢復工作,定期進行風險評估和業(yè)務影響分析,確定災難恢復目標和恢復等級,明確災難恢復策略、預案并及時更新。
  第三十條 商業(yè)銀行災難恢復預案應包括但不限于以下內容:災難恢復指揮小組和工作小組人員組成及聯(lián)系方式、匯報路線和溝通協(xié)調機制、災難恢復資源分配、基礎設施與信息系統(tǒng)的恢復優(yōu)先次序、災難恢復與回切流程及時效性要求、對外溝通機制、最終用戶操作指導及第三方技術支持和應急響應服務等內容。
  第三十一條 商業(yè)銀行應為災難恢復提供充分的資源保障,包括基礎設施、網絡通信、運維及技術支持人力資源、技術培訓等。
  第三十二條 商業(yè)銀行應建立與服務提供商、電力部門、公安部門、當地政府和新聞媒體等單位的外部協(xié)作機制,保證災難恢復時能及時獲取外部支持。
  第三十三條 商業(yè)銀行應建立災難恢復有效性測試驗證機制,測試驗證應定期或在重大變更后進行,內容應包含業(yè)務功能的恢復驗證。
  第三十四條 商業(yè)銀行應每年至少進行一次重要信息系統(tǒng)專項災備切換演練,每三年至少進行一次重要信息系統(tǒng)全面災備切換演練,以真實業(yè)務接管為目標,驗證災備系統(tǒng)有效接管生產系統(tǒng)及安全回切的能力。
  第三十五條 商業(yè)銀行進行全面災備切換和真實業(yè)務接管演練前應向中國銀監(jiān)會或其派出機構報告,并在演練結束后報送演練總結。
  第三十六條 商業(yè)銀行因災難亭件啟動災難恢復或將災備中心回切至生產中心后,應及時向中國銀監(jiān)會或其派出機構報告,報告內容包括但不限于:災難亭件發(fā)生時間、影響范圍和程度,亭件起因、應急處置措施、災難恢復實施情況和結果、回切方案。
  第七章 外包管理
  第三十七條 商業(yè)銀行董事會對外包負最終管理責任,應推動和完善外包風險管理體系建設,確保商業(yè)銀行有效應對外包風險。
  第三十八條 商業(yè)銀行應根據信.息科技戰(zhàn)略規(guī)劃制定數據中心外包策略;應制定數據中心服務外包管理制度、流程,建立全面的風險控制機制。
  第三十九條 商業(yè)銀行應確定外包服務所涉及的信息資產的關鍵性和敏感程度,審慎確定數據中心外包服務范圍。
  第四十條 商業(yè)銀行應充分識別、分析、評估數據中心外包風險,包括信息安全風險、服務中斷風險、系統(tǒng)失控風險以及聲譽風險、戰(zhàn)略風險等,形成風險評估報告并報董事會和高管層審核。
  第四十一條 實施數據中心服務外包時,商業(yè)銀行的管理責任不得外包。
  第四十二條 數據中心服務外包一般包括:
  (一)基礎設施類:外包服務商向商業(yè)銀行提供數據中心機房、配套設施或運行設備的服務。
  (二)運營維護類:外包服務商向商業(yè)銀行提供數據中心信息系統(tǒng)或墓礎設施的日常運行、維護等服務。
  第四十三條 商業(yè)銀行在選擇數據中心外包服務商時,應充分審查、評估外包服務商的資質、專業(yè)能力和服務方案,對外包服務商進行風險評估,考查其服務能力是否足以承擔相應的貴任。評估包括:外包服務商的企業(yè)信譽及財務德定性,外包服務商的信息安全和信息科技服務管理體系,銀行業(yè)服務經驗等。提供數據中心基礎設施外包服務的服務商,其運行環(huán)境應符合商業(yè)銀行要求,并具有完備的安全管理規(guī)范。
  第四十四條 商業(yè)銀行應與數據中心外包服務商簽訂書面合同,在合同中明確重要亭項,包括但不限于雙方的權利和義務、外包服務水平、服務的可靠性、服務的可用性、信息安全控制、服務持續(xù)性計劃、審計、合規(guī)性要求、違約賠償等。
  第四十五條 商業(yè)銀行應要求外包服務商購買商業(yè)保險以保證其有足夠的賠償能力,并告知保險覆蓋范圍。
  第四十六條 商業(yè)銀行應加強對數據中心外包服務活動的安全管理,包括但不限于:
  (一)商業(yè)銀行應將數據中心外包服務安全管理納入數據中心的整體安全策略,保障業(yè)務、管理和客戶敏感數據信息安全。
  (二)商業(yè)銀行應按照“必需知道”和“最小授權”原則,嚴格控制外包服務商信息訪問的權限,要求外包服務商不得對外泄露所接觸的商業(yè)銀行信息。
  (三)商業(yè)銀行應要求外包服務商保留操作痕跡、記錄完整的日志,相關內容和保存期限應滿足事件分析、安全取證、獨立審計和監(jiān)督檢查需要。
  (四)商業(yè)銀行應要求外包服務商遵守商業(yè)銀行有關信息科技風險管理制度和流程。
  (五)商業(yè)銀行應要求外包服務商每年至少開展一次信息安全風險評估并提交評估報告。
  (六)商業(yè)銀行應要求外包服務商聘請外部機構定期對其進行安全審計并提交審計報告,督促其及時整改發(fā)現的問題。
  第四十七條 商業(yè)銀行應禁止外包服務商轉包并嚴格控制分包,保證外包服務水平。
  第四十八條 商業(yè)銀行應制定數據中心外包服務應急計劃,制訂供應商替換方案,以應對外包服務商破產、不可抗力或其它潛在問題導致服務中斷或服務水平下降的情形,支持數據中心連續(xù)、可靠運行。
  第四十九條 商業(yè)銀行應建立外包服務考核、評價機制,定期對外包服務活動和外包服務商的服務能力進行審核和評估,確保獲得持續(xù)、穩(wěn)定的外包服務。
  第五十條 商業(yè)銀行在實施數據中心整體服務外包以及涉及影響業(yè)務、管理和客戶敏感數據信息安全的外包前,應向中國銀監(jiān)會或其派出機構報告。
  第五十一條 商業(yè)銀行應在外包服務協(xié)議條款中明確商業(yè)銀行和監(jiān)管機構有權對協(xié)議范圍內的服務活動進行監(jiān)督檢查,包括外包商的服務職能、責任、系統(tǒng)和設施等內容。
  第八章 監(jiān)督管理
  第五十二條 中國銀監(jiān)會及其派出機構可依法對商業(yè)銀行的數據中心實施非現場監(jiān)管及現場檢查。現場檢查原則上每三年一次。
  第五十三條 針對商業(yè)銀行數據中心設立、變更、運營過程存在的風險,中國銀監(jiān)會或其派出機構可向商業(yè)銀行提示風險并提出整改意見。商業(yè)銀行應及時整改并反饋結果。
  第九章 附則
  第五十四條 本指引由中國銀監(jiān)會負責解釋、修訂。
  第五十五條 本指引自公布之日起執(zhí)行。
  附件:《商業(yè)銀行數據中心監(jiān)管指引》報告材料目錄和格式要求
  附件:
  《商業(yè)銀行數據中心監(jiān)管指引》報告材料目錄和格式要求
  一、數據中心規(guī)劃報告材料目錄
  (一)數據中心建設規(guī)劃報告,包括:
  1.立項報告和可行性分析報告,包括建設背景、建設目標、風險評估、效益分析、成本投入等。
  2.基礎設施規(guī)劃方案,包括選址、建筑物結構、功能區(qū)域劃分、監(jiān)控、防雷接地及消防等配套設施、機房等級等。
  3.信息系統(tǒng)建設規(guī)劃方案,包括功能與技術方案規(guī)劃、人員配置計劃、系統(tǒng)服務的區(qū)域和業(yè)務范圍等。災備中心還需提供災難恢復目標、災難恢復等級、災備技術方案規(guī)劃及風險評佑報告等。
  (二)區(qū)域環(huán)境及基礎設施風險評估說明,包括風險識別,風險分析和風險控制策略等。
  (三)建設及運營模式說明,包括技術支持及運行維護體系等。如采用外包,需提供外包的服務內容和外包風險評估報告;
  (四)組織架構規(guī)劃。包括擬設立的部門與崗位職責、計劃采用的人員數量等。
  (五)建設及投入運營的時間進度計劃和財務預算(基礎設施建設和運維管理費用等)。
  (六)中國銀監(jiān)會或其派出機構要求提供的其它文件和資料。
  二、數據中心設立報告材料目錄
  (一)由商業(yè)銀行法定代表人簽署的數據中心投產審批文件,包括數據中心上線申請,數據中心上線審批報告等。
  (二)基礎設施情況,包括地址、建筑物結構、功能區(qū)域劃分、監(jiān)控、防雷接地及消防等配套設施驗收報告、機房及附屬設施驗收報告等。
  (三)信息系統(tǒng)情況,包括系統(tǒng)架構、系統(tǒng)名稱、系統(tǒng)服務的區(qū)域和業(yè)務范圍、數據備份方案、災備技術方案等。
  (四)運營模式說明,包括技術支持及運行維護體系等。如采用外包需說明主要外包管理情況,包括主要外包項目名稱、外包內容(業(yè)務類型及范圍等)、外包商基本情況、外包合同(包括安全保密條款、知識產權保護條款)、外包服務水平協(xié)議和外包風險評估報告等。
  (五)組織架構,包括部門設置與崗位職責、人員配備、主要負責人名單等。
  (六)管理制度和規(guī)范清單及相關說明,包括運行管理流程、安全管理制度、應急管理制度和規(guī)范(含應急恢復策略、信息系統(tǒng)備份和恢復方案、應急管理流程及預案、應急演練及培訓計劃等)、災難恢復預案。
  (七)中國銀監(jiān)會或其派出機構要求提供的其它文件和資料。
  三、數據中心重大變更報告材料目錄
  (一)變更說明,包括變更原因、目的、內容、時間和影響范圍等。
  (二)變更方案,包括變更準備、變更計劃和步驟、變更應急和回退措施。
  (三)風險評估報告,包括風險分析,控制措施、變更有效性評估。
  (四)中國銀監(jiān)會或其派出機構要求提供的其它文件和資料。
  四、報告材料格式要求
  數據中心規(guī)劃、設立及重大變更報告材料應向中國銀監(jiān)會或其派出機構報送紙質材料和電子文檔。