各銀監(jiān)局，各政策性銀行,、國(guó)有商業(yè)銀行,、股份制商業(yè)銀行，郵政儲(chǔ)蓄銀行,，各省級(jí)農(nóng)村信用聯(lián)社：
　　為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)管理,，保障數(shù)據(jù)中心安全、可靠,、穩(wěn)定運(yùn)行,，加強(qiáng)災(zāi)難恢復(fù)管理，提高業(yè)務(wù)連續(xù)性水平,，現(xiàn)將《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》印發(fā)給你們,，請(qǐng)遵照?qǐng)?zhí)行。
　　請(qǐng)各銀監(jiān)局將本通知轉(zhuǎn)發(fā)至轄內(nèi)相關(guān)銀行業(yè)金融機(jī)構(gòu),。
　　中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)辦公廳
　　二○一○年四月二十日???
　　商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引
　　第一章 總則
　　第一條 為加強(qiáng)商業(yè)銀行數(shù)據(jù)中心風(fēng)險(xiǎn)管理,，保障數(shù)據(jù)中心安全、可靠,、穩(wěn)定運(yùn)行,，提高商業(yè)銀行業(yè)務(wù)連續(xù)性水平，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》及《中華人民共和國(guó)商業(yè)銀行法》制定本指引,。
　　第二條 在中華人民共和國(guó)境內(nèi)設(shè)立的國(guó)有商業(yè)銀行,、股份制商業(yè)銀行、郵政儲(chǔ)蓄銀行,、城市商業(yè)銀行,、省級(jí)農(nóng)村信用聯(lián)合社、外商獨(dú)資銀行,、中外合資銀行適用本指引,。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱(chēng)中國(guó)銀監(jiān)會(huì))監(jiān)管的其他金融機(jī)構(gòu)參照本指引執(zhí)行。
　　第三條 以下術(shù)語(yǔ)適用于本指引：
　　(一)本指引所稱(chēng)數(shù)據(jù)中心包括生產(chǎn)中心和災(zāi)難備份中心(以下簡(jiǎn)稱(chēng)災(zāi)備中心),。
　　(二)本指引所稱(chēng)生產(chǎn)中心是指商業(yè)銀行對(duì)全行業(yè)務(wù),、客戶(hù)和管理等重要信息進(jìn)行集中存儲(chǔ)、處理和維護(hù),，具備專(zhuān)用場(chǎng)所,，為業(yè)務(wù)運(yùn)營(yíng)及管理提供信息科技支撐服務(wù)的組織。
　　(三)本指引所稱(chēng)災(zāi)備中心是指商業(yè)銀行為保障其業(yè)務(wù)連續(xù)性,，在生產(chǎn)中心故障,、停頓或癱疾后,，能夠接替生產(chǎn)中心運(yùn)行，具備專(zhuān)用場(chǎng)所,，進(jìn)行數(shù)據(jù)處理和支持重要業(yè)務(wù)持續(xù)運(yùn)行的組織,。
　　(四)本指引所稱(chēng)災(zāi)備中心同城模式是指災(zāi)備中心與生產(chǎn)中心位于同一地理區(qū)域，一般距離數(shù)十公里,，可防范火災(zāi),、建筑物破壞、電力或通信系統(tǒng)中斷等事件,。災(zāi)備中心異地模式是指災(zāi)備中心與生產(chǎn)中心處于不同地理區(qū)域,，一般距離在數(shù)百公里以上，不會(huì)同時(shí)面臨同類(lèi)區(qū)域性災(zāi)難風(fēng)險(xiǎn),，如地震,、臺(tái)風(fēng)和洪水等。
　　(五)本指引所稱(chēng)重要信息系統(tǒng)是指支撐重要業(yè)務(wù),，其信息安全和服務(wù)質(zhì)量關(guān)系公民,、法人和組織的權(quán)益，或關(guān)系社會(huì)秩序,、公共利益乃至國(guó)家安全的信息系統(tǒng),。包括面向客戶(hù)、涉及賬務(wù)處理且時(shí)效性要求較高的業(yè)務(wù)處理類(lèi),、渠道類(lèi)和涉及客戶(hù)風(fēng)險(xiǎn)管理等業(yè)務(wù)的管理類(lèi)信息系統(tǒng),，以及支撐系統(tǒng)運(yùn)行的機(jī)房和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施。
　　第四條 《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988-2007)中的條款通過(guò)本指引的引用而成為本指引的條款,。
　　第二章 設(shè)立與變更
　　第五條 商業(yè)銀行應(yīng)于取得金融許可證后兩年內(nèi),，設(shè)立生產(chǎn)中心;生產(chǎn)中心設(shè)立后兩年內(nèi)，設(shè)立災(zāi)備中心,。
　　第六條 商業(yè)銀行數(shù)據(jù)中心應(yīng)配置滿(mǎn)足業(yè)務(wù)運(yùn)營(yíng)與管理要求的場(chǎng)地,、基礎(chǔ)設(shè)施、網(wǎng)絡(luò),、信息系統(tǒng)和人員,，并具備支持業(yè)務(wù)不間斷服務(wù)的能力。
　　第七條 總資產(chǎn)規(guī)模一千億元人民幣以上且跨省設(shè)立分支機(jī)構(gòu)的法人商業(yè)銀行,，及省級(jí)農(nóng)村信用聯(lián)合社應(yīng)設(shè)立異地模式災(zāi)備中心，重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中定義的災(zāi)難恢復(fù)等級(jí)第5級(jí)(含)以上;其他法人商業(yè)銀行應(yīng)設(shè)立同城模式災(zāi)備中心并實(shí)現(xiàn)數(shù)據(jù)異地備份,，重要信息系統(tǒng)災(zāi)難恢復(fù)能力應(yīng)達(dá)到《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》中定義的災(zāi)難恢復(fù)等級(jí)第4級(jí)(含)以上,。
　　第八條 商業(yè)銀行應(yīng)就數(shù)據(jù)中心設(shè)立，數(shù)據(jù)中心服務(wù)范圍,、服務(wù)職能和場(chǎng)所變更,，以及其他對(duì)數(shù)據(jù)中心持續(xù)運(yùn)行具有較大影響的重大變更事項(xiàng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,。
　　第九條 商業(yè)銀行應(yīng)在數(shù)據(jù)中心規(guī)劃籌建階段，以及在數(shù)據(jù)中心正式運(yùn)營(yíng)前至少20個(gè)工作日,，向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,。
　　第十條 商業(yè)銀行變更數(shù)據(jù)中心場(chǎng)所時(shí)應(yīng)至少提前2個(gè)月，其他重大變更應(yīng)至少提前10個(gè)工作日向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,。
　　第三章 風(fēng)險(xiǎn)管理
　　第十一條 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理部門(mén)應(yīng)制定數(shù)據(jù)中心風(fēng)險(xiǎn)管理策略,、風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估工作,，對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)管理,，持續(xù)監(jiān)督風(fēng)險(xiǎn)管理狀況，及時(shí)預(yù)警,，將風(fēng)險(xiǎn)控制在可接受水平,。
　　第十二條 商業(yè)銀行信息科技部門(mén)應(yīng)指導(dǎo)、監(jiān)督和協(xié)調(diào)數(shù)據(jù)中心明確信息系統(tǒng)運(yùn)營(yíng)維護(hù)管理策略,，建立運(yùn)營(yíng)維護(hù)管理制度,、標(biāo)準(zhǔn)和流程，落實(shí)信息科技風(fēng)險(xiǎn)管理措施,。
　　第十三條 商業(yè)銀行數(shù)據(jù)中心應(yīng)建立健全各項(xiàng)管理與內(nèi)控制度,，從技術(shù)和管理等方面實(shí)施風(fēng)險(xiǎn)控制措施。
　　第十四條 商業(yè)銀行數(shù)據(jù)中心應(yīng)設(shè)立專(zhuān)門(mén)管理崗位,，監(jiān)督,、檢查數(shù)據(jù)中心各項(xiàng)規(guī)范、制度,、標(biāo)準(zhǔn)和流程的執(zhí)行情況以及風(fēng)險(xiǎn)管理狀況,。
　　第十五條 商業(yè)銀行應(yīng)根據(jù)業(yè)務(wù)影響分析所識(shí)別出風(fēng)險(xiǎn)的可能性和損失程度，決定是否購(gòu)買(mǎi)商業(yè)保險(xiǎn)以應(yīng)對(duì)不同類(lèi)型的災(zāi)難,，并定期檢查其保險(xiǎn)策略及范圍,。投保資產(chǎn)清單應(yīng)保存于安全場(chǎng)所，以便索賠時(shí)使用,。
　　第十六條 商業(yè)銀行內(nèi)部審計(jì)部門(mén)應(yīng)至少每三年進(jìn)行一次數(shù)據(jù)中心內(nèi)部審計(jì),。
　　第十七條 商業(yè)銀行在采取有效信息安全控制措施的前提下，可聘請(qǐng)合格的外部審計(jì)機(jī)構(gòu)定期對(duì)數(shù)據(jù)中心進(jìn)行審計(jì),。
　　第十八條 商業(yè)銀行數(shù)據(jù)中心應(yīng)根據(jù)內(nèi),、外部審計(jì)意見(jiàn)，及時(shí)制定整改計(jì)劃并實(shí)施整改,。
　　第四章 運(yùn)行環(huán)境管理
　　第十九條 商業(yè)銀行進(jìn)行數(shù)據(jù)中心選址時(shí),，應(yīng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，綜合考慮地理位置、環(huán)境,、設(shè)施等各種因素對(duì)數(shù)據(jù)中心安全運(yùn)營(yíng)的潛在影響,，規(guī)避選址不當(dāng)風(fēng)險(xiǎn)，避免數(shù)據(jù)中心選址過(guò)度集中,。
　　第二十條 數(shù)據(jù)中心選址應(yīng)滿(mǎn)足但不限于以下要求：
　　(一)生產(chǎn)中心與災(zāi)備中心的場(chǎng)所應(yīng)保持合理距離,，避免同時(shí)遭受同類(lèi)風(fēng)險(xiǎn)。
　　(二)應(yīng)選址于電力供給可靠,，交通,、通信便捷地區(qū);遠(yuǎn)離水災(zāi)和火災(zāi)隱患區(qū)域;遠(yuǎn)離易燃、易爆場(chǎng)所等危險(xiǎn)區(qū)域;遠(yuǎn)離強(qiáng)振源和強(qiáng)噪聲源,，避開(kāi)強(qiáng)電磁場(chǎng)干擾;應(yīng)避免選址于地震,、地質(zhì)災(zāi)害高發(fā)區(qū)域。
　　第二十一條 數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)應(yīng)以滿(mǎn)足重要信息系統(tǒng)運(yùn)行高可用性和高可靠性要求,、保障業(yè)務(wù)連續(xù)性為目標(biāo),，應(yīng)滿(mǎn)足但不限于以下要求：
　　(一)建筑物結(jié)構(gòu)，如層高,、承重,、抗震等，應(yīng)滿(mǎn)足專(zhuān)用機(jī)房建設(shè)要求,。
　　(二)應(yīng)根據(jù)使用要求劃分功能區(qū)域,，各功能區(qū)域原則上相對(duì)獨(dú)立。
　　(三)應(yīng)配備不間斷電源,、應(yīng)急發(fā)電設(shè)施等以滿(mǎn)足信息技術(shù)設(shè)備連續(xù)運(yùn)行的要求,。
　　(四)通信線(xiàn)路、供電,、機(jī)房專(zhuān)用空調(diào)等基礎(chǔ)設(shè)施應(yīng)具備冗余能力,，進(jìn)行冗余配置，消除單點(diǎn)隱患,。
　　(五)機(jī)房區(qū)域應(yīng)采用氣體消防和自動(dòng)消防預(yù)警系統(tǒng),，內(nèi)部通道設(shè)置、裝飾材料等應(yīng)滿(mǎn)足消防要求,，并通過(guò)消防驗(yàn)收,。
　　(六)應(yīng)采取防雷接地、防磁,、防水,、防盜、防鼠蟲(chóng)害等保護(hù)措施,。
　　(七)應(yīng)采用環(huán)保節(jié)能技術(shù),，降低能耗,，提高效率。
　　第二十二條 數(shù)據(jù)中心安防與基礎(chǔ)設(shè)施保障應(yīng)滿(mǎn)足但不限于以下要求：
　　(一)各功能區(qū)域應(yīng)根據(jù)使用功能劃分安全控制級(jí)別,，不同級(jí)別區(qū)域采用獨(dú)立的出入控制設(shè)備，并集中監(jiān)控,，各區(qū)域出入口及重要位置應(yīng)采用視頻監(jiān)控,，監(jiān)控記錄保存時(shí)間應(yīng)滿(mǎn)足亭件分析、監(jiān)督審計(jì)的需要,。
　　(二)應(yīng)具備機(jī)房環(huán)境監(jiān)控系統(tǒng),，對(duì)基礎(chǔ)設(shè)施設(shè)備、機(jī)房環(huán)境狀況,、安防系統(tǒng)狀況進(jìn)行7x24小時(shí)實(shí)時(shí)監(jiān)測(cè),，監(jiān)測(cè)記錄保存時(shí)間應(yīng)滿(mǎn)足故障診斷、事后審計(jì)的需要,。
　　(三)每年至少開(kāi)展一次針對(duì)基礎(chǔ)設(shè)施的安全評(píng)估,，對(duì)基礎(chǔ)設(shè)施的可用性和可靠性、運(yùn)維管理流程以及人員的安全意識(shí)等方面進(jìn)行檢查,，及時(shí)發(fā)現(xiàn)安全隱患并落實(shí)整改,。
　　第二十三條 數(shù)據(jù)中心應(yīng)來(lái)用兩家或多家通信運(yùn)營(yíng)商線(xiàn)路互為備份?；閭浞莸耐ㄐ啪€(xiàn)路不得經(jīng)過(guò)同一路由節(jié)點(diǎn),。
　　第五章 運(yùn)營(yíng)維護(hù)管理
　　第二十四條 商業(yè)銀行應(yīng)建立滿(mǎn)足業(yè)務(wù)發(fā)展要求的數(shù)據(jù)中心運(yùn)營(yíng)維護(hù)管理體系，根據(jù)業(yè)務(wù)需求定義運(yùn)營(yíng)維護(hù)服務(wù)內(nèi)容,，制定服務(wù)標(biāo)準(zhǔn)和評(píng)價(jià)方法,，建立運(yùn)營(yíng)維護(hù)管理持續(xù)改進(jìn)機(jī)制。
　　第二十五條 數(shù)據(jù)中心應(yīng)建立滿(mǎn)足信息科技服務(wù)要求的運(yùn)營(yíng)管理組織架構(gòu),。設(shè)立生產(chǎn)調(diào)度,、信.息安全、操作運(yùn)行維護(hù),、質(zhì)量合規(guī)管理等職能相關(guān)的部門(mén)或崗位,，明確崗位和職責(zé)，配備專(zhuān)職人員,，提供崗位專(zhuān)業(yè)技能培訓(xùn),，確保關(guān)鍵崗位職責(zé)分離，通過(guò)職責(zé)分工和崗位制約降低數(shù)據(jù)中心操作風(fēng)險(xiǎn),。
　　第二十六條 數(shù)據(jù)中心應(yīng)建立信息科技運(yùn)行維護(hù)服務(wù)管理流程,，提高整體運(yùn)行效率和服務(wù)水平，包括：
　　(一)應(yīng)建立事件和問(wèn)題管理機(jī)制,。明確亭件管理流程,，定義事件類(lèi)別、事件分級(jí)響應(yīng)要求和事件升級(jí)、上報(bào)規(guī)則,，及時(shí)受理,、響應(yīng)、審批和交付服務(wù)請(qǐng)求,，保障生產(chǎn)服務(wù)質(zhì)量,，盡可能降低對(duì)業(yè)務(wù)影響;建立服務(wù)臺(tái)負(fù)責(zé)受理、跟蹤,、解答各類(lèi)運(yùn)營(yíng)問(wèn)題;建立問(wèn)題根源分析及跟蹤解決機(jī)制,，查明運(yùn)營(yíng)事件產(chǎn)生的根本原因，避免事件再次發(fā)生,。
　　(二)應(yīng)建立變更管理流程,，減少或防止變更對(duì)信息科技服務(wù)的影響。根據(jù)變更對(duì)業(yè)務(wù)影響大小進(jìn)行變更分級(jí),，對(duì)變更影響,、變更風(fēng)險(xiǎn)、資源需求和變更批準(zhǔn)進(jìn)行控制和管理;變更方案應(yīng)包括應(yīng)急及回退措施,，并經(jīng)過(guò)充分測(cè)試和驗(yàn)證;建立變更管理聯(lián)動(dòng)機(jī)制,，當(dāng)生產(chǎn)中心發(fā)生變更時(shí)，應(yīng)同步分析災(zāi)備系統(tǒng)變更需求并進(jìn)行相應(yīng)的變更,，評(píng)估災(zāi)備恢復(fù)的有效性;應(yīng)盡量減少緊急變更,。
　　(三)應(yīng)建立配置管理流程，統(tǒng)一管理,、及時(shí)更新數(shù)據(jù)中心基礎(chǔ)設(shè)施和重要信息系統(tǒng)配置信息,，支持變更風(fēng)險(xiǎn)評(píng)估、變更實(shí)施,、故障事件排查,、問(wèn)題根源分析等服務(wù)管理流程。
　　(四)應(yīng)對(duì)重要信息系統(tǒng)和通信網(wǎng)絡(luò)的容量和性能需求進(jìn)行前瞻性規(guī)劃,，分析,、調(diào)整和優(yōu)化容量和性能，滿(mǎn)足業(yè)務(wù)發(fā)展要求,。
　　(五)應(yīng)統(tǒng)一調(diào)度各項(xiàng)運(yùn)維任務(wù),，協(xié)調(diào)和解決各項(xiàng)運(yùn)維任務(wù)沖突，妥善記錄和保存運(yùn)維任務(wù)調(diào)度過(guò)程,。
　　(六)應(yīng)制定驗(yàn)收交接標(biāo)準(zhǔn)及流程,，規(guī)范重要信息系統(tǒng)投產(chǎn)驗(yàn)收管理。加強(qiáng)版本控制,，防范因軟件版本,、操作文檔等不一致產(chǎn)生的風(fēng)險(xiǎn),。
　　(七)應(yīng)根據(jù)商業(yè)銀行總體風(fēng)險(xiǎn)控制策略及應(yīng)急管理要求，從基礎(chǔ)設(shè)施,、網(wǎng)絡(luò),、信息系統(tǒng)等不同方面分別制定應(yīng)急預(yù)案，并及時(shí)修訂應(yīng)急預(yù)案,，定期進(jìn)行演練,，保證其有效性。
　　(八)應(yīng)集中監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)運(yùn)行狀態(tài),。采用監(jiān)控管理工具，實(shí)時(shí)監(jiān)控重要信息系統(tǒng)和通信網(wǎng)絡(luò)的運(yùn)行狀況,，通過(guò)監(jiān)測(cè),、采集、分析和調(diào)優(yōu),，提升生產(chǎn)系統(tǒng)運(yùn)行的可靠性,、穩(wěn)定性和可用性。監(jiān)控記錄應(yīng)滿(mǎn)足故障定位,、診斷及事后審計(jì)等要求,。
　　第二十七條 數(shù)據(jù)中心應(yīng)建立信息安全管理規(guī)范，保證重要信息的機(jī)密性,、完整性和可用性,，包括：
　　(一)應(yīng)設(shè)立專(zhuān)門(mén)的信息安全管理部門(mén)或崗位，制定安全管理制度和實(shí)施計(jì)劃,，定期對(duì)信息安全策略,、制度和流程的執(zhí)行情況進(jìn)行檢查和報(bào)告。
　　(二)應(yīng)建立和落實(shí)人員安全管理制度,，明確信息安全管理職責(zé);通過(guò)安全教育與培訓(xùn),，提高人員的安全意識(shí)和技能;建立重要崗位人員備份制度和監(jiān)督制約機(jī)制。
　　(三)應(yīng)加強(qiáng)信息資產(chǎn)管理,，識(shí)別信息資產(chǎn)并建立責(zé)任制,，根據(jù)信息資產(chǎn)重要性實(shí)施分類(lèi)控制和分級(jí)保護(hù)，防范信息資產(chǎn)生成,、使用和處置過(guò)程中的風(fēng)險(xiǎn),。
　　(四)應(yīng)建立和落實(shí)物理環(huán)境安全管理制度，明確安全區(qū)域,、規(guī)范區(qū)域訪(fǎng)問(wèn)管理,，減少未授權(quán)訪(fǎng)問(wèn)所造成的風(fēng)險(xiǎn)。
　　(五)應(yīng)建立操作安全管理制度,，制定操作規(guī)程文檔,，規(guī)范信息系統(tǒng)監(jiān)控,、日常維護(hù)和批處理操作等過(guò)程。
　　(六)應(yīng)建立數(shù)據(jù)安全管理制度,，規(guī)范數(shù)據(jù)的產(chǎn)生,、獲取、存儲(chǔ),、傳輸,、分發(fā)、備份,、恢復(fù)和清理的管理,，以及存儲(chǔ)介質(zhì)的臺(tái)帳、轉(zhuǎn)儲(chǔ),、抽檢,、報(bào)廢和銷(xiāo)毀的管理，保證數(shù)據(jù)的保密,、真實(shí),、完整和可用。
　　(七)應(yīng)建立網(wǎng)絡(luò)通信與訪(fǎng)問(wèn)安全策略,，隔離不同網(wǎng)絡(luò)功能區(qū)域,，采取與其安全級(jí)別對(duì)應(yīng)的預(yù)防、監(jiān)測(cè)等控制措施,，防范對(duì)網(wǎng)絡(luò)的未授權(quán)訪(fǎng)問(wèn),，保證網(wǎng)絡(luò)通信安全。
　　(八)應(yīng)建立基礎(chǔ)設(shè)施和重要信息的授權(quán)訪(fǎng)問(wèn)機(jī)制,，制定訪(fǎng)問(wèn)控制流程,，保留訪(fǎng)問(wèn)記錄，防止未授權(quán)訪(fǎng)問(wèn),。
　　第六章 災(zāi)難恢復(fù)管理
　　第二十八條 商業(yè)銀行應(yīng)將災(zāi)難恢復(fù)管理納入業(yè)務(wù)連續(xù)性管理框架,，建立災(zāi)難恢復(fù)管理組織架構(gòu)，明確災(zāi)難恢復(fù)管理機(jī)制和流程,。
　　第二十九條 商業(yè)銀行應(yīng)統(tǒng)籌規(guī)劃災(zāi)難恢復(fù)工作,，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)影響分析，確定災(zāi)難恢復(fù)目標(biāo)和恢復(fù)等級(jí),，明確災(zāi)難恢復(fù)策略,、預(yù)案并及時(shí)更新。
　　第三十條 商業(yè)銀行災(zāi)難恢復(fù)預(yù)案應(yīng)包括但不限于以下內(nèi)容：災(zāi)難恢復(fù)指揮小組和工作小組人員組成及聯(lián)系方式,、匯報(bào)路線(xiàn)和溝通協(xié)調(diào)機(jī)制,、災(zāi)難恢復(fù)資源分配、基礎(chǔ)設(shè)施與信息系統(tǒng)的恢復(fù)優(yōu)先次序,、災(zāi)難恢復(fù)與回切流程及時(shí)效性要求,、對(duì)外溝通機(jī)制,、最終用戶(hù)操作指導(dǎo)及第三方技術(shù)支持和應(yīng)急響應(yīng)服務(wù)等內(nèi)容。
　　第三十一條 商業(yè)銀行應(yīng)為災(zāi)難恢復(fù)提供充分的資源保障,，包括基礎(chǔ)設(shè)施,、網(wǎng)絡(luò)通信、運(yùn)維及技術(shù)支持人力資源,、技術(shù)培訓(xùn)等,。
　　第三十二條 商業(yè)銀行應(yīng)建立與服務(wù)提供商、電力部門(mén),、公安部門(mén),、當(dāng)?shù)卣托侣劽襟w等單位的外部協(xié)作機(jī)制，保證災(zāi)難恢復(fù)時(shí)能及時(shí)獲取外部支持,。
　　第三十三條 商業(yè)銀行應(yīng)建立災(zāi)難恢復(fù)有效性測(cè)試驗(yàn)證機(jī)制,，測(cè)試驗(yàn)證應(yīng)定期或在重大變更后進(jìn)行，內(nèi)容應(yīng)包含業(yè)務(wù)功能的恢復(fù)驗(yàn)證,。
　　第三十四條 商業(yè)銀行應(yīng)每年至少進(jìn)行一次重要信息系統(tǒng)專(zhuān)項(xiàng)災(zāi)備切換演練，每三年至少進(jìn)行一次重要信息系統(tǒng)全面災(zāi)備切換演練,，以真實(shí)業(yè)務(wù)接管為目標(biāo),，驗(yàn)證災(zāi)備系統(tǒng)有效接管生產(chǎn)系統(tǒng)及安全回切的能力。
　　第三十五條 商業(yè)銀行進(jìn)行全面災(zāi)備切換和真實(shí)業(yè)務(wù)接管演練前應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,，并在演練結(jié)束后報(bào)送演練總結(jié),。
　　第三十六條 商業(yè)銀行因?yàn)?zāi)難亭件啟動(dòng)災(zāi)難恢復(fù)或?qū)?zāi)備中心回切至生產(chǎn)中心后，應(yīng)及時(shí)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告,，報(bào)告內(nèi)容包括但不限于：災(zāi)難亭件發(fā)生時(shí)間,、影響范圍和程度，亭件起因,、應(yīng)急處置措施,、災(zāi)難恢復(fù)實(shí)施情況和結(jié)果、回切方案,。
　　第七章 外包管理
　　第三十七條 商業(yè)銀行董事會(huì)對(duì)外包負(fù)最終管理責(zé)任,，應(yīng)推動(dòng)和完善外包風(fēng)險(xiǎn)管理體系建設(shè)，確保商業(yè)銀行有效應(yīng)對(duì)外包風(fēng)險(xiǎn),。
　　第三十八條 商業(yè)銀行應(yīng)根據(jù)信.息科技戰(zhàn)略規(guī)劃制定數(shù)據(jù)中心外包策略;應(yīng)制定數(shù)據(jù)中心服務(wù)外包管理制度,、流程，建立全面的風(fēng)險(xiǎn)控制機(jī)制,。
　　第三十九條 商業(yè)銀行應(yīng)確定外包服務(wù)所涉及的信息資產(chǎn)的關(guān)鍵性和敏感程度,，審慎確定數(shù)據(jù)中心外包服務(wù)范圍。
　　第四十條 商業(yè)銀行應(yīng)充分識(shí)別,、分析,、評(píng)估數(shù)據(jù)中心外包風(fēng)險(xiǎn),，包括信息安全風(fēng)險(xiǎn)、服務(wù)中斷風(fēng)險(xiǎn),、系統(tǒng)失控風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn),、戰(zhàn)略風(fēng)險(xiǎn)等，形成風(fēng)險(xiǎn)評(píng)估報(bào)告并報(bào)董事會(huì)和高管層審核,。
　　第四十一條 實(shí)施數(shù)據(jù)中心服務(wù)外包時(shí),，商業(yè)銀行的管理責(zé)任不得外包。
　　第四十二條 數(shù)據(jù)中心服務(wù)外包一般包括：
　　(一)基礎(chǔ)設(shè)施類(lèi)：外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心機(jī)房,、配套設(shè)施或運(yùn)行設(shè)備的服務(wù),。
　　(二)運(yùn)營(yíng)維護(hù)類(lèi)：外包服務(wù)商向商業(yè)銀行提供數(shù)據(jù)中心信息系統(tǒng)或墓礎(chǔ)設(shè)施的日常運(yùn)行、維護(hù)等服務(wù),。
　　第四十三條 商業(yè)銀行在選擇數(shù)據(jù)中心外包服務(wù)商時(shí),，應(yīng)充分審查、評(píng)估外包服務(wù)商的資質(zhì),、專(zhuān)業(yè)能力和服務(wù)方案,，對(duì)外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，考查其服務(wù)能力是否足以承擔(dān)相應(yīng)的貴任,。評(píng)估包括：外包服務(wù)商的企業(yè)信譽(yù)及財(cái)務(wù)德定性,，外包服務(wù)商的信息安全和信息科技服務(wù)管理體系，銀行業(yè)服務(wù)經(jīng)驗(yàn)等,。提供數(shù)據(jù)中心基礎(chǔ)設(shè)施外包服務(wù)的服務(wù)商,，其運(yùn)行環(huán)境應(yīng)符合商業(yè)銀行要求，并具有完備的安全管理規(guī)范,。
　　第四十四條 商業(yè)銀行應(yīng)與數(shù)據(jù)中心外包服務(wù)商簽訂書(shū)面合同,，在合同中明確重要亭項(xiàng)，包括但不限于雙方的權(quán)利和義務(wù),、外包服務(wù)水平,、服務(wù)的可靠性、服務(wù)的可用性,、信息安全控制,、服務(wù)持續(xù)性計(jì)劃、審計(jì),、合規(guī)性要求,、違約賠償?shù)取?br /> 　　第四十五條 商業(yè)銀行應(yīng)要求外包服務(wù)商購(gòu)買(mǎi)商業(yè)保險(xiǎn)以保證其有足夠的賠償能力，并告知保險(xiǎn)覆蓋范圍,。
　　第四十六條 商業(yè)銀行應(yīng)加強(qiáng)對(duì)數(shù)據(jù)中心外包服務(wù)活動(dòng)的安全管理,，包括但不限于：
　　(一)商業(yè)銀行應(yīng)將數(shù)據(jù)中心外包服務(wù)安全管理納入數(shù)據(jù)中心的整體安全策略，保障業(yè)務(wù),、管理和客戶(hù)敏感數(shù)據(jù)信息安全,。
　　(二)商業(yè)銀行應(yīng)按照“必需知道”和“最小授權(quán)”原則,，嚴(yán)格控制外包服務(wù)商信息訪(fǎng)問(wèn)的權(quán)限，要求外包服務(wù)商不得對(duì)外泄露所接觸的商業(yè)銀行信息,。
　　(三)商業(yè)銀行應(yīng)要求外包服務(wù)商保留操作痕跡,、記錄完整的日志，相關(guān)內(nèi)容和保存期限應(yīng)滿(mǎn)足事件分析,、安全取證,、獨(dú)立審計(jì)和監(jiān)督檢查需要。
　　(四)商業(yè)銀行應(yīng)要求外包服務(wù)商遵守商業(yè)銀行有關(guān)信息科技風(fēng)險(xiǎn)管理制度和流程,。
　　(五)商業(yè)銀行應(yīng)要求外包服務(wù)商每年至少開(kāi)展一次信息安全風(fēng)險(xiǎn)評(píng)估并提交評(píng)估報(bào)告,。
　　(六)商業(yè)銀行應(yīng)要求外包服務(wù)商聘請(qǐng)外部機(jī)構(gòu)定期對(duì)其進(jìn)行安全審計(jì)并提交審計(jì)報(bào)告，督促其及時(shí)整改發(fā)現(xiàn)的問(wèn)題,。
　　第四十七條 商業(yè)銀行應(yīng)禁止外包服務(wù)商轉(zhuǎn)包并嚴(yán)格控制分包,，保證外包服務(wù)水平。
　　第四十八條 商業(yè)銀行應(yīng)制定數(shù)據(jù)中心外包服務(wù)應(yīng)急計(jì)劃,，制訂供應(yīng)商替換方案,，以應(yīng)對(duì)外包服務(wù)商破產(chǎn)、不可抗力或其它潛在問(wèn)題導(dǎo)致服務(wù)中斷或服務(wù)水平下降的情形,，支持?jǐn)?shù)據(jù)中心連續(xù),、可靠運(yùn)行。
　　第四十九條 商業(yè)銀行應(yīng)建立外包服務(wù)考核,、評(píng)價(jià)機(jī)制，定期對(duì)外包服務(wù)活動(dòng)和外包服務(wù)商的服務(wù)能力進(jìn)行審核和評(píng)估,，確保獲得持續(xù),、穩(wěn)定的外包服務(wù)。
　　第五十條 商業(yè)銀行在實(shí)施數(shù)據(jù)中心整體服務(wù)外包以及涉及影響業(yè)務(wù),、管理和客戶(hù)敏感數(shù)據(jù)信息安全的外包前,，應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告。
　　第五十一條 商業(yè)銀行應(yīng)在外包服務(wù)協(xié)議條款中明確商業(yè)銀行和監(jiān)管機(jī)構(gòu)有權(quán)對(duì)協(xié)議范圍內(nèi)的服務(wù)活動(dòng)進(jìn)行監(jiān)督檢查,，包括外包商的服務(wù)職能,、責(zé)任、系統(tǒng)和設(shè)施等內(nèi)容,。
　　第八章 監(jiān)督管理
　　第五十二條 中國(guó)銀監(jiān)會(huì)及其派出機(jī)構(gòu)可依法對(duì)商業(yè)銀行的數(shù)據(jù)中心實(shí)施非現(xiàn)場(chǎng)監(jiān)管及現(xiàn)場(chǎng)檢查?，F(xiàn)場(chǎng)檢查原則上每三年一次。
　　第五十三條 針對(duì)商業(yè)銀行數(shù)據(jù)中心設(shè)立,、變更,、運(yùn)營(yíng)過(guò)程存在的風(fēng)險(xiǎn)，中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)可向商業(yè)銀行提示風(fēng)險(xiǎn)并提出整改意見(jiàn),。商業(yè)銀行應(yīng)及時(shí)整改并反饋結(jié)果,。
　　第九章 附則
　　第五十四條 本指引由中國(guó)銀監(jiān)會(huì)負(fù)責(zé)解釋,、修訂。
　　第五十五條 本指引自公布之日起執(zhí)行,。
　　附件：《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》報(bào)告材料目錄和格式要求
　　附件：
　　《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》報(bào)告材料目錄和格式要求
　　一,、數(shù)據(jù)中心規(guī)劃報(bào)告材料目錄
　　(一)數(shù)據(jù)中心建設(shè)規(guī)劃報(bào)告，包括：
　　1.立項(xiàng)報(bào)告和可行性分析報(bào)告,，包括建設(shè)背景,、建設(shè)目標(biāo)、風(fēng)險(xiǎn)評(píng)估,、效益分析,、成本投入等。
　　2.基礎(chǔ)設(shè)施規(guī)劃方案,，包括選址,、建筑物結(jié)構(gòu)、功能區(qū)域劃分,、監(jiān)控,、防雷接地及消防等配套設(shè)施、機(jī)房等級(jí)等,。
　　3.信息系統(tǒng)建設(shè)規(guī)劃方案,，包括功能與技術(shù)方案規(guī)劃、人員配置計(jì)劃,、系統(tǒng)服務(wù)的區(qū)域和業(yè)務(wù)范圍等,。災(zāi)備中心還需提供災(zāi)難恢復(fù)目標(biāo)、災(zāi)難恢復(fù)等級(jí),、災(zāi)備技術(shù)方案規(guī)劃及風(fēng)險(xiǎn)評(píng)佑報(bào)告等,。
　　(二)區(qū)域環(huán)境及基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估說(shuō)明，包括風(fēng)險(xiǎn)識(shí)別,，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)控制策略等,。
　　(三)建設(shè)及運(yùn)營(yíng)模式說(shuō)明，包括技術(shù)支持及運(yùn)行維護(hù)體系等,。如采用外包,，需提供外包的服務(wù)內(nèi)容和外包風(fēng)險(xiǎn)評(píng)估報(bào)告;
　　(四)組織架構(gòu)規(guī)劃。包括擬設(shè)立的部門(mén)與崗位職責(zé),、計(jì)劃采用的人員數(shù)量等,。
　　(五)建設(shè)及投入運(yùn)營(yíng)的時(shí)間進(jìn)度計(jì)劃和財(cái)務(wù)預(yù)算(基礎(chǔ)設(shè)施建設(shè)和運(yùn)維管理費(fèi)用等)。
　　(六)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料,。
　　二,、數(shù)據(jù)中心設(shè)立報(bào)告材料目錄
　　(一)由商業(yè)銀行法定代表人簽署的數(shù)據(jù)中心投產(chǎn)審批文件，包括數(shù)據(jù)中心上線(xiàn)申請(qǐng)，數(shù)據(jù)中心上線(xiàn)審批報(bào)告等,。
　　(二)基礎(chǔ)設(shè)施情況,，包括地址、建筑物結(jié)構(gòu),、功能區(qū)域劃分,、監(jiān)控、防雷接地及消防等配套設(shè)施驗(yàn)收?qǐng)?bào)告,、機(jī)房及附屬設(shè)施驗(yàn)收?qǐng)?bào)告等,。
　　(三)信息系統(tǒng)情況，包括系統(tǒng)架構(gòu),、系統(tǒng)名稱(chēng),、系統(tǒng)服務(wù)的區(qū)域和業(yè)務(wù)范圍、數(shù)據(jù)備份方案,、災(zāi)備技術(shù)方案等,。
　　(四)運(yùn)營(yíng)模式說(shuō)明，包括技術(shù)支持及運(yùn)行維護(hù)體系等,。如采用外包需說(shuō)明主要外包管理情況,，包括主要外包項(xiàng)目名稱(chēng)、外包內(nèi)容(業(yè)務(wù)類(lèi)型及范圍等),、外包商基本情況,、外包合同(包括安全保密條款、知識(shí)產(chǎn)權(quán)保護(hù)條款),、外包服務(wù)水平協(xié)議和外包風(fēng)險(xiǎn)評(píng)估報(bào)告等,。
　　(五)組織架構(gòu)，包括部門(mén)設(shè)置與崗位職責(zé),、人員配備,、主要負(fù)責(zé)人名單等。
　　(六)管理制度和規(guī)范清單及相關(guān)說(shuō)明,，包括運(yùn)行管理流程,、安全管理制度,、應(yīng)急管理制度和規(guī)范(含應(yīng)急恢復(fù)策略,、信息系統(tǒng)備份和恢復(fù)方案、應(yīng)急管理流程及預(yù)案,、應(yīng)急演練及培訓(xùn)計(jì)劃等),、災(zāi)難恢復(fù)預(yù)案。
　　(七)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料,。
　　三,、數(shù)據(jù)中心重大變更報(bào)告材料目錄
　　(一)變更說(shuō)明，包括變更原因、目的,、內(nèi)容,、時(shí)間和影響范圍等。
　　(二)變更方案,，包括變更準(zhǔn)備,、變更計(jì)劃和步驟、變更應(yīng)急和回退措施,。
　　(三)風(fēng)險(xiǎn)評(píng)估報(bào)告,，包括風(fēng)險(xiǎn)分析，控制措施,、變更有效性評(píng)估,。
　　(四)中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)要求提供的其它文件和資料。
　　四,、報(bào)告材料格式要求
　　數(shù)據(jù)中心規(guī)劃,、設(shè)立及重大變更報(bào)告材料應(yīng)向中國(guó)銀監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)送紙質(zhì)材料和電子文檔。