《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发(2)

发事件同时满足多个级别的定级条件时，按最高级别确定突发事件等级。

（一）特别重大突发事件（Ⅰ级）

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、

丢失、泄露，造成经济秩序混乱或重大经济损失、影响金融稳定的，或对公众利益造成特别严重损害的突发事件；

2.由于重要信息系统服务异常，在业务服务时段导致银行业金融机构两个（含）以上省（自治区、直辖市）业务无法正常开展达3个小时（含）以上，或一个省（自治区、直辖市）业务无法正常开展达6个小时（含）以上的突发事件；

3.业务服务时段以外，重要信息系统出现的故障或事件救治未

果，可能产生上述1至2类的突发事件。

（二）重大突发事件（Ⅱ级）

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、

丢失、泄露，对银行或客户利益造成严重损害的突发事件；

2.由于重要信息系统服务异常，在业务服务时段导致银行金融机

构两个（含）以上省（自治区、直辖市）业务无法正常开展达半个小时（含）以上，或一个省（自治区、直辖市）业务无法正常开展达3个小时（含）以上的突发事件；

3.业务服务时段以外，出现的重要信息系统故障或事件救治未

果，可能产生上述1至2类的突发事件。

（三）较大突发事件（Ⅲ级）

1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、

丢失、泄露，对银行或客户利益造成较大损害的突发事件；

2.由于重要信息系统服务异常，在业务服务时段导致一个省（自

治区、直辖市）业务无法正常开展达半个小时（含）以上的突发事件；

3.业务服务时段以外，出现的重要信息系统故障或事件救治未第十条 重要信息系统突发事件发生后，银行业金融机构应依据

果，可能产生上述1至2类的突发事件。

事件影响范围和影响时间的变化，按照上述定义进行事件级别升级。

第四章 风险防范

第十一条 银行业金融机构应根据业务影响分析确定各项业务的信息系统恢复指标，主要包括：

（一）恢复时间目标（RTO）：业务功能恢复正常的时间要求； （二）恢复点目标（RPO）：业务功能恢复时能够容忍的数据丢失第十二条 银行业金融机构应根据信息系统恢复指标和系统间

量。

的依赖关系，确定各信息系统应急响应恢复优先顺序，并系统化地识别信息技术资源风险，包括基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险等，以确保风险识别的全面性。

第十三条 银行业金融机构应制定全面的风险防范措施，并通过场景模拟、压力测试等手段验证风险防范措施的有效性。在突发事件应急处置后，应评估已有风险防范措施的有效性并加以改进。

第十四条 银行业金融机构应依据风险防范措施对关键信息技术资源进行剩余风险评估，明确剩余风险的监测方法与预警条件，并将其纳入信息系统风险事件监测与预警体系中。

第十五条 银行业金融机构应对关键信息技术资源建立监测指标体系以及相关的日常监测与预警机制，对监测指标的异常波动及时预警，并定期测试与修订监测指标体系以确保其有效性。

第十六条 银行业金融机构应建立关键时点监测与预警机制，在重大业务活动、重大社会活动、信息系统重大变更等关键时点加强风险监控和预警，并及时向企业职能部门进行风险提示，多部门协同做好应急准备。

第十七条 银行业金融机构在系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时，应重新识别、分析、控制风险，并更新剩余风险评估

和风险事件监测与预警。

第十八条 银行业金融机构应与电力、通信等重要基础设施服务商，主机、网络、存储等重要设备服务商，系统集成服务商以及其他外包服务商签定服务水平协议，并对服务商的技术与产品政策、服务水平、服务能力发生变化可能产生的影响及时进行风险评估和预警。

第五章 应急预案与演练

第十九条 银行业金融机构应根据恢复时间目标（RTO）和恢复点目标（RPO），结合风险控制策略，从基础设施、网络、信息系统等不同方面，分类制定本机构应急预案。

第二十条 银行业金融机构编制的信息系统应急预案应包括以下内容：

（一）明确有关各方的分工和责任；

（二）说明重要信息系统的业务影响范围、恢复时间目标、恢复

点目标、以及信息系统包括的系统资源，明确资源的物理位置、设备型号、软件资源、网络配置等关键信息；

（三）明确各类故障的诊断方法和流程；应急场景应至少覆盖电

力故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与信息系统相关的故障；

（四）制定系统恢复流程和应急处置操作手册，尽可能将操作代（五）明确应急恢复过程中的关键状态，并明确不同状态的沟通（六）明确应急相关人员的协调内容和沟通方式；

（七）明确系统重建步骤，确保信息系统恢复正常业务处理能力。 第二十一条 银行业金融机构应将支撑信息系统运行的重要外

码化、自动化，降低应急处置过程中产生的操作风险；

和报告内容及等级；

包服务的应急管理纳入其中，建立重要外包服务的专项应急预案，对

于重要基础设施、重要设备、网络、系统集成以及其他外包服务商的技术与产品政策、服务水平、服务能力制定风险应对措施，外包服务的应急预案应能够保障银行业信息系统恢复时间目标（RTO）和恢复点目标（RPO）的要求。

第二十二条 银行业金融机构应定期对应急预案进行测试和演练，确保其有效性。

第二十三条 当信息系统发生系统上线、系统升级、网络改造、设备更新、配置参数调整等变更时应及时更新应急预案，并适时实施演练。

第二十四条 银行业金融机构应制定年度信息系统应急演练计划，明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。演练计划应涵盖对应急预案各环节的检验，验证应急预案的有效性、应急资源的完备性及应急人员的适应性。应急演练应做到全面演练和专项演练相结合，一般情况下，银行业金融机构每年至少应组织一次全系统范围内的应急演练。

第二十五条 银行业金融机构应严格按照应急演练计划实施应急演练，并注意如下事项：

（一）以应急预案为基础，制定应急演练总体方案，并进行风险（二）应急演练内容应全面完整，涵盖信息系统的各类应急场景； （三）严格控制应急演练引起的信息系统变更风险，避免因演练（四）应急演练应选择在非主要业务时段进行；

（五）应急演练完成后，应保证实施应急预案所需的各项资源恢（六）定期对信息系统应急响应相关人员进行培训。 第二十六条 银行业金融机构应积极配合其他业务相关机构完

再评估，制定相应的保障措施；

导致服务中断；

复正常；

成跨机构或跨行业应急演练。

第二十七条 银行业金融机构在应急演练的过程中，对可能存在

较大风险的演练（如全系统范围的演练），应按属地监管原则，在实施演练前将应急演练计划向银监会或其派出机构报备。

第二十八条 应急演练结束后，银行业金融机构应撰写应急演练情况总结报告，大型或重要的应急演练总结报告应提交董事会和高管层。总结报告包括但不限于：内容和目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论。

第二十九条 银行业金融机构应根据演练总结报告提出的改进措施进行整改，及时修订相应的应急预案，并组织审计部门对整改情况进行监督和检查。

第三十条 对于全系统范围的年度演练或跨机构和跨行业的演练，银行业金融机构应将演练总结报告上报银监会或其派出机构。

第三十一条 银行业金融机构在应急演练过程中，应根据审计、监管部门要求，将应急演练计划、过程记录和结果分析等归档。

第六章 应急响应

第三十二条 银行业金融机构应按照本机构既定的应急预案，做好应急处置，快速有效处置突发事件。

第三十三条 银行业金融机构风险管理部门应在董事会和高管层授权下负责突发事件报告，并指定专人为报告责任人。当报告责任人确定或发生变更时应及时向银监会或其派出机构信息系统应急管理部门报备。

当多个重要信息系统同时受到影响时，按照受影响程序最高原则第三十四条 全国性银行业金融机构总部向银监会信息系统应

报告。

急管理部门报告；全国性银行业金融机构的一级分支机构、地方性银行业金融机构向当地银监会派出机构信息系统应急管理部门报告。

第三十五条 突发事件应急响应流程：

百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，70教育网，提供经典综合文库《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发(2)在线全文阅读。