农村信用社联合社信息科技外包管理办法(试行).doc

农村信用社联合社信息科技外包管理办法(试行)第一章 总则 第一条 为了 规范 省农村信用 社联合社( 以下简称“省联社”) 的外包活动， 保障省联社信息系 统安全持续稳定运行， 依据银监会颁布的商业银行信息科技风险管理指引 和银行业金融机构外包风险管理指引 ， 以及国家有关法律法规， 制定本办法。 第二条 本办法中的信息科技外包( 以下简称“外包”) 是指省联社将某些信息系统项目 委托给服务提供商进行处理的行为。 第三条 外包应以满足需求、 保证质量、 提高效率、 风险可控、 成本可控为基本原则。 第四条 省联社信息科技的战略管理、 核心管理以及内部审计等职能不宜外包。 第二章组织架构及职责 第五条 省联社外包管理的组织架构包括理事会、 高级管理层及外包管理部门， 其中外包管理部门主要包括省联社银信金融服务中心信息技术部( 以下简称“信息技术部”)、 稽核审计中心、合规部等部门。 第六条 省联社理事会的职责主要包括以下方面: ( 一) 审议批准信息科技外包的战略发展规划; ( 二) 审议批准外包的风险管理制度; ( 三) 审议批准外包范围及相关安排; ( 四) 审阅本机构外包活动相关报告; ( 五) 安排内部审计， 确保审计范围涵盖所有的外包活动。 第七条 省联社高级管理层的职责主要包括以下方面: ( 一) 制定外包战略发展规划;( 二) 制定外包风险管理的政策、 操作流程和内控制度; ( 三) 确定外包业务的范围及相关安排; ( 四) 确定外包管理部门职责， 并对其行为进行有效监督。 第八条 信息技术部的职责主要包括以下方面: ( 一) 执行外包风险管理的政策、 操作流程和内控制度; ( 二) 根据省联社信息科技建设规划或外包服务需求， 结合省联社信息科技的建设情况， 确立外包项目 的范围和内容、 制定 外包年度计划及外包阶段性计划; ( 三) 负责外包活动的日 常管理， 包括尽职调查、 合同签署以及外包服务技术指标的制定等; ( 四) 负责形成外包项目 情况汇总报告， 提交省联社合规部和稽核审计中心; ( 五) 根据省联社稽核审计中心或合规部对外包项目 评估、审计以及提出的风险管理意见对信息科技外包项目 实施优化和改进; ( 六) 在发现外包服务提供商的业务活动存在缺陷时， 采取及时有效的措施; ( 七) 高级管理层确定的其他职责。 第九条 稽核审计中心的职责主要包括以下方面: ( 一) 负责内部审计， 确保审计范围涵盖所有的信息科技外包活动。 ( 二) 高级管理层确定的其他职责。 第十条 合规部的职责主要包括以下方面: ( 一) 负责外包合同的审查与修改; ( 二) 负责外包风险状况的监督及风险管理; ( 三) 向高级管理层提出有关外包活动发展和风险管控的意见和建议; ( 四) 根据信息技术部提交的外包项目 情况报告， 及时发现信息科技外包风险， 并进行风险提示。 ( 五) 定期向高级管理层和监管部门提交外包风险评估报告; ( 六) 高级管理层确定的其他职责。 第三章 外包服务商资质评审 第十一条 外包服务提供商的资质评审由信息技术部负责统一组织， 原则上每年评审一次， 特殊情况可根据实际需要安排评审。 第十二条 参加资质评审的外包服务商必须满足省联社招标文件中要求的资质， 不符合资质要求的外包服务商不准参与外包服务， 并严格按照 省农村信用社联合社电子设备项目 采购管理办法 规定的流程确定外包服务商。 第十三条 开展外包服务商资质评审前必须对服务提供商进行尽职调查， 并形成尽职调查报告。 对外包服务商的尽职调查主要包括以下内容: ( 一) 管理能力和行业地位; ( 二) 财务稳健性; ( 三) 经营声誉和企业文化; ( 四) 技术实力和服务质量; ( 五) 突发事件应对能力; ( 六) 对银行业的熟悉程度; ( 七) 对其他银行业金融机构提供服务的情况; ( 八) 省联社认为重要的其他事项。 如果外包活动涉及多个服务提供商时， 应当对这些服务提供商进行关联关系 的调查。 第四章 外包合同 第十四条 省联社开展信息科技外包活动时与外包服务商签订书面合同或协议， 明确双方的权利义务。 合同或协议应当包括但不限于以下内容: ( 一) 外包服务的范围和标准; ( 二) 外包服务的保密性和安全性的安排; ( 三) 外包服务的业务连续性的安排以及外包服务商提供专属资源的承诺; ( 四) 外包服务的审计和检查; ( 五) 外包争端的解决机制; ( 六) 合同或协议变更或终止的过渡安排; ( 七) 担保和损失赔偿以及违约责任。 第十五条 签订外包合同时外包服务提供商须承诺以下事项: ( 一) 定期通报外包活动的有关事项; ( 二) 及时通报外包活动的突发性事件; ( 三) 配合省联社接受银行业监督管理机构的检查; ( 四) 保障客户 信息的安全性， 当 客户 信息不安全或客户 权利受到影响时， 省联社有权随时终止外包合同; ( 五) 遵守省联社有关信息科技风险管理制度和流程; ( 六) 第三方供应商出现问题时， 保证软硬件持续可用的相关措施; ( 七) 不得以省联社的名 义开展活动; ( 八) 省联社认为应当 承诺的其他事项。 第十六条 对于数据中心的重要基础设施、 重要信息系统的维护服务外包， 签订外包合同时， 外包服务商须保证购买商业保险以保证其有足够的赔偿能力， 并告知保险覆盖范围。 第十七条 省联社所有信息科技外包合同须由合规部审核通过、 省联社高级管理层批准后方可实施。 第五章 风险管理 第十八条 外包管理部门要切实加强信息科技相关外包管理工作， 确保 省农村合作金融机构的客户 资料等敏感信息的安全， 应采取包括但不限于以下风险管控措施: ( 一) 实现我省农村合作金融机构客户 资料与 外包服务商其他客户 资料的有效隔离; ( 二) 按照“必需知道” 和“最小授权” 原则 对外包服务商相关人员 授权， 对使用 环境中的系 统权限、 文件读写权限等必须严格控制， 不得授予与 工作无关的其他权限; ( 三) 要求外包服务商保证其相关人员 遵守保密规定及省联社信息科技风险的相关管理制度; ( 四) 将涉及我省农村合作金融机构客户 资料的外包作为重要外包; ( 五) 严格禁止外包服务商对外转包， 采取足够措施确保相关信息的安全; ( 六) 确保在中止外包协议时收回或销毁外包服务商保存的所有客户 资料。 第十九条 关注外包服务商分包风险， 若外包活动存在分包情况的， 须在合同中明确以下事项: ( 一) 服务提供商分包的规则; ( 二) 分包服务提供商应当严格遵守主服务提供商与省联社确定的外包合同或协议中的相关条款; ( 三) 主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责; ( 四) 不得将外包活动的主要业务分包; ( 五) 不得将外包活动转包或变相转包。 第二十条 信息技术部负责制定和建立外包突发事件应急预案和机制， 以应对外包服务商在服务中可能出 现的重大缺失。尤其是需要考虑外包服务商的重大资源损失， 重大财物损失和重要人员 的变动， 以及外包合同或协议的意外终止等情况。 通过采取替代方案、 寻求合同项下的保险安排等措施， 确保业务活动的正常经营。 第二十一条 合规部负 责对外包活动进行全面风险评估， 稽核审计中心负责对外包活动进行审计。 第二十二条 省联社在开展外包活动时如遇到对 省农村合作金融机构业务经营、 客户 信息安全、 声誉等产生重大影响事件，应及时向监管部门报告。 省联社在实施重要外包(如数据中心和信息科技基础设施等) 应格外谨慎， 在准备实施重要外包时应以书面材料正式报告监管部门。 第六章 外包人员管理 第二十三条 外包服务商需要明确一名 项目 经理( 或项目 负责人) 负责协调项目 相关重要事项。 第二十四条 省联社对于外包人员 的管理方式以管理外包服务商项目 经理为主， 也可以根据实际需要直接管理和调配外包 人员 。 第二十五条 外包人员 在省联社服务期间， 应严格遵守省联社作息考勤制度以及其他工作规范。 第二十六条 信息技术部负 责对外包人员 使用环境和权限配置管理， 对使用 环境中的系 统权限、 文件读写权限必须严格控制， 以满足工作需要为前提， 遵循权限最小化原则 ， 不得授予与工作无关的权限。 第二十七条 对于向外包人员 提供省联社内部资料必须严格审核， 严禁未经授权提供。 第二十八条 信息技术部如发现外包人员 违反有关规定和规章制度， 须立即制止并纠 正， 多次违反情节严重的， 有权停止其省联社的一切活动， 并通知其所在的外包服务商。 造成损失的，由外包服务商负 责赔偿。 第二十九条 信息技术部对其使用的外包人员 的工作饱满度负责， 应及时制订和适时调整外包人员 工作计划， 经常检查、督促外包人员 工作。 第三十条 对由于工作调整无须再使用 的外包人员 ， 信息技术部应及时确认其使用 省联社的资源已全部退还。 第七章 外包交付物验收 第三十一条 外包人员 应按时交付服务工作成果， 信息技术部应及时组织人员 进行验收。 第三十二条 开发类外包人员 的交付物必须经过在测试环境下的严格测试， 验收合格后才可以投产试用。 第三十三条 对于外包交付物验收不合格的， 应要求外包服务商重新提供产品， 并重新组织验收， 直到验收通过， 并纳入外包服务商考核评价过程。 第三十四条 由于外包服务商原因导致未按计划完成或完成项目 质量不高， 并造成一定影响的， 作为不良合作记录登记，对未完成服务由外包服务商继续完成， 并不再追加任何费用 。 第八章 外包交付物管理第三十五条 对于外包人员 提交的源代码， 须经信息技术部人员 审核编译。 所产生的执行程序， 须经省联社相关人员 测试通过后， 按规定流程投入生产系统。 第三十六条 对于外包开发人员 提交的关键代码( 涉及业务系统核心处理流程、 记账或有关安全加密、 认证的代码等)， 信息技术部须对源代码进行重点抽查， 并记录抽查结果， 存档保留。 第三十七条 对于外包测试人员 提交的测试方案和测试案例， 信息技术部须组织人员 进行复核确认; 外包测试人员 编写的 测试脚本和测试用程序必须满足项目 测试性能要求。 第三十八条 外包咨询人员 应及时对省联社的咨询要求做出响应， 按时协助解决问题， 或提供符合要求的咨询建议或报告。 第三十九条 外包维护人员 必须及时响应业务需求， 并按省联社统一形象和服务方式的要求提供服务。 第九章 外包评价与审计 第四十条 信息技术部负责制定对外包服务商考核评价的量化指标， 根据量化的考核指标, 原则上每年进行一次对外包服务商的服务水平和服务质量的总体评价, 并将评价结果提交高级管理层。 第四十一条 考核评价结果将做为外包服务商资质评审的重要依据。 外包服务商如存在考核不合格的情况， 未来两年内不得参与 省联社信息科技外包服务。 第四十二条 稽核审计中心负责定期对信息科技外包活动进行审计。 第十三章 附 则 第四十三条 本办法由省联社负 责制定、 修改和解释。 第四十四条 本办法自 发布之日 起执行。信用社(银行) 重要信息系统突发事件应急管理办法 第一章 总 则 第一条 为规范全省农村信用社重要信息系统的突发事件应急管理， 提高应对突发事件的综合管理水平和应急处置能力， 有效防范信息系统风险， 根据商业银行信息科技风险管理指引、银行业重要信息系统突发事件应急管理规范(试行)， 特制定本办法。 第二条 工作原则: (一) 健全机制。 建立统一指挥、 协调有序的应急管理机制， 主动开展应急管理工作， 定期演练和评价应急预案， 持续改进本机构的应急预案和相关协调机制。 (二) 明确职责。 明确本机构各部门在应急管理工作中的职责，以保障业务连续性为目标， 落实和完善应急预案为基础， 全面加强信息系统应急管理工作， 并制定有效的问责制度。 (三) 预防为主。 建立和完善信息系统突发事件风险防范体系，对可能导致突发事件的风险进行有效地识别、 分析和控制， 并对风险指标动态、 持续监测， 减少重大突发事件发生的可能性。 (四) 处置高效。 加强应急处置队伍建设， 提供充分的资源保障，确保突发事件发生时反应快速、 报告及时、 措施得力、 操作准确， 降低突发事件可能造成的损失。 第三条 以下术语适用于本办法。 (一) 重要信息系统是指甘肃省农村信用社支撑关键业务， 其信息安全和系统服务安全关系客户、 法人和组织的权益或社会秩序和公 共利益， 甚至影响*的信息系统。 具体包括核心综合业务系统、 核心综合业务系统外围的各子系统， 支撑上述系统运行的前置机、 客户端、机房、 网络等基础设施， 以及核心综合业务系统外围保障系统， 如机房漏水、 机房防盗治安、 机房火灾扑救、 机房停电、 机房空调故障等。 (二) 业务服务时段是指甘肃省农村信用社重要信息系统所承载业务对客户提供服务的时间。 (三) 突发事件是指甘肃省农村信用社重要信息系统以及为之提供支持服务的电力、 通讯等系统突然发生的， 影响业务持续开展， 需要采取应急处置措施应对的事件。 (四) 信息系统应急管理是指贯穿于整个信息系统生命周期中，通过风险防范、 应急响应、 应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。 (五) 业务影响分析是指分析业务功能及其相关信息系统资源、评估特定信息系统突发事件对各种业务功能的影响的过程。 (六) 剩余风险是指采取了风险控制措施后仍不能被完全消除的信息系统风险。 第二章 组织机构及职责 第四条 根据应急工作要求， 成立甘肃省农村信用社(以下简称省联社) 重要信息系统突发事件应急领导小组(以下简称领导小组)、重要信息系统突发事件应急协调小组(以下简称协调小组)、 重要信息系统突发事件应急执行小组(以下简称执行小组)， 协调小组和执行小组应对领导小组负责。 (一) 领导小组 组 长: 雷志强 副组长: 职 责: 1. 审定重要信息系统环境设施突发事件应急管理办法; 2. 负责重要信息系统突发事件的应急指挥、 组织协调和过程控制; 3. 宣布重大应急响应状态的降级或解除; 4. 明确新闻发布人， 授权其在应急过程中统一对外发布信息; 5. 负责决策应急处置重大事宜。 包括中断关键运行业务、 向银监会及其派出机构信息系统应急管理部门报告、 向下级机关通报和对外(有业务往来的部门及机构) 披露有关情况和信息等。 (二) 协调保障小组 组 长: 王永佳 副组长: 康欣 成 员: 张忠林、 张禧、 杨子江、 苏月梅、 尹进亮、 巩若冰、 肖如强、 陈国庆、 宋小宁 职 责: 1. 提供应急所需人力和物力等资源保障; 2. 做好对受影响客户的解释工作; 3. 做好秩序维护、 安全保障、 法律咨询和支援等工作; 4. 建立与电力、 通讯、 公 安和消防等相关外部机构的应急协调和应急联动; 5. 其他为降低事件负面影响或损失提供的应急支持保障等。 (三) 执行小组 组 长: * 副组长: * 成 员: 科技信息部全体人员 职 责: 1. 实施信息系统突发事件的具体应急处置工作; 2. 对信息系统突发事件业务影响情况进行分析和评估; 3. 收集分析信息系统突发事件应急处置过程中的数据信息和日志; 4. 向应急领导小组报告事态发展情况和应急处置进展情况; 5. 组织协调应急预案的测试、 培训和演练。 第三章 突发事件分级 第五条 突法事件按照其严重程度、 可控性和影响范围等因素分级。 当突发事件同时满足多个级别的定级条件时， 按最高级别确定突发事件等级。 (一) 特别重大突发事件( 级) 1. 由于核心综合业务系统服务中断或重要数据损毁、 丢失、 泄露， 造成经济秩序混乱或重大经济损失、 影响金融稳定的， 或对客户利益造成特别严重损害的突发事件; 2. 由于核心综合业务系统服务异常， 在业务服务时段导致全省业务无法正常开展达 6 个小时(含) 以上的突发事件; 3. 业务服务时段以外， 核心综合业务系统出现的故障或事件救治未果， 可能产生上述 1 至 2 类的突发事件。 (二) 重大突发事件( 级) 1. 由于核心综合业务系统服务中断或重要数据损毁、 丢失、 泄露， 对我社或客户利益造成严重损害的突发事件; 2. 由于核心综合业务系统服务异常， 在业务服务时段导致全省业务无法正常开展达 3 个小时(含) 以上的突发事件; 3. 业务服务时段以外， 出现的核心综合业务系统故障或事件救治未果， 可能产生上述 1 至 2 类的突发事件。 (三) 较大突发事件(级) 1. 由于核心综合业务系统服务中断或重要数据损毁、 丢失、 泄露， 对我社或客户利益造成较大损害的突发事件; 2. 由于核心综合业务系统服务异常， 在业务服务时段导致全省业务无法正常开展达半个小时(含) 以上的突发事件; 3. 业务服务时段以外， 出现的核心综合业务系统故障或事件救治未果， 可能产生上述 1 至 2 类的突发事件。 第四章 风险防范 第六条 执行小组根据业务影响分析确定各项业务的信息系统恢复指标， 主要包括: (一) 恢复时间目标(RTO): 业务功能恢复正常的时间要 求; (二) 恢复点目标(RPO): 业务功能恢复时能够容忍的数据丢失量。 第七条 执行小组根据信息系统恢复指标和系统间的依赖关系， 确定各信息系统应急响应恢复优先顺序， 并系统化地识别信息技术资源风险， 包括基础设施类风险、 主机和硬件设备类风险、 系统类风险、 应用类风险、 网络类风险等， 以确保风险识别的全面性。 第八条 执行小组制定全面的风险防范措施， 并通过场景模拟、 压力测试等手段验证风险防范措施的有效性。 在突发事件应急处置后， 应评估已有风险防范措施的有效性并加以改进。 第九条 执行小组依据风险防范措施对关键信息技术资源进行剩余风险评估， 明确剩余风险的监测方法与预警条件， 并将其纳入信息系统风险事件监测与预警体系中。 第十条 执行小组对关键信息技术资源建立监测指标体系以及相关的日常监测与预警机制， 对监测指标的异常波动及时预警，并定期测试与修订监测指标体系以确保其有效性。 第十一条 执行小组应建立关键时点监测与预警机制， 在重大业务活动、 重大社会活动、 信息系统重大变更等关键时点加强风险监控和预警， 并及时向协调小组进行风险提示报告， 多部门协同做好应急准备。 第十二条 执行小组在系统上线、 系统升级、 网络改造、 设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生 重大变化时， 应重新识别、 分析、 控制风险， 并更新剩余风险评估和风险事件监测与预警。 第十三条 协调小组应与电力、 通信等重要基础设施服务商， 主机、 网络、 存储等重要设备服务商， 系统集成服务商以及其他外包服务商签定服务水平协议， 并对服务商的技术与产品政策、 服务水平、 服务能力发生变化可能产生的影响及时进行风险评估和预警。 第五章 应急预案与演练 第十四条 执行小组根据恢复时间目标(RTO) 和恢复点目标(RPO)， 结合风险控制策略， 从基础设施、 网络、 信息系统等不同方面， 分类制定应急预案。 第十五条 信息系统应急预案应包括以下内容: (一) 明确有关各方的分工和责任; (二) 说明重要信息系统的业务影响范围、 恢复时间目标、恢复点目标、 以及信息系统包括的系统资源， 明确资源的物理位置、设备型号、 软件资源、 网络配置等关键信息; (三) 明确各类故障的诊断方法和流程; 应急场景应至少覆盖电力故障、 火情水灾、 治安、 病毒爆发、 网络攻击、 人为破坏、 不可抗力、 计算机硬件故障、 操作系统故障、 系统漏洞、 应用系统故障以及其他各类与信息系统相关的故障; (四) 制定系统恢复流程和应急处置操作手册， 尽可能将操作代码化、 自动化， 降低应急处置过程中产生的操作风险; (五) 明确应急恢复过程中的关键状态， 并明确不同状态的 沟通和报告内容及等级; (六) 明确应急相关人员的协调内容和沟通方式; (七) 明确系统重建步骤， 确保信息系统恢复正常业务处理能力。 第十六条 执行小组会同相关业务部门定期对应急预案进行测试和演练， 确保其有效性。 第十七条 当信息系统发生系统上线、 系统升级、 网络改造、设备更新、 配置参数调整等变更时应及时更新应急预案， 执行小组应适时组织演练。 第十八条 执行小组制定年度信息系统应急演练计划， 明确演练的时间、 内容、 依据、 目的、 负责人和相关配合机构等要素。 演练计划应涵盖对应急预案各环节的检验， 验证应急预案的有效性、 应急资源的完备性及应急人员的适应性。 应急演练应做到全面演练和专项演练相结合， 一般情况下， 每年至少应组织一次全系统范围内的应急演练。 第十九条 严格按照应急演练计划实施应急演练， 并注意如下事项: (一) 以应急预案为基础， 制定应急演练总体方案， 并进行风险再评估， 制定相应的保障措施; (二) 应急演练内容应全面完整， 涵盖信息系统的各类应急场景; (三) 严格控制应急演练引起的信息系统变更风险， 避免因 演练导致服务中断; (四) 应急演练应选择在非主要业务时段进行; (五) 应急演练完成后， 应保证实施应急预案所需的各项资源恢复正常; (六) 定期对信息系统应急响应相关人员进行培训。 第二十条 协调小组在应急演练的过程中， 对可能存在较大风险的演练(如全系统范围的演练)， 应按属地监管原则， 在实施演练前将应急演练计划向银监会或其派出机构报备。 第二十一条 应急演练结束后， 执行小组应撰写应急演练情况总结报告， 大型或重要的应急演练总结报告应提交领导小组。 总结报告必须包括: 内容和目的、 总体方案、 参与人员、 准备工作、 主要过程和关键时间点记录、 存在的问题、 后续改进措施及实施计划、 演练结论。 第二十二条 执行小组根据演练总结报告提出的改进措施进行整改， 及时修订相应的应急预案。 第二十三条 对于全省系统范围内的年度演练， 执行小组应将演练总结报告上报银监会或其派出机构。 第二十四条 在应急演练过程中， 应根据稽核审计部、 风险管理部、 合规监察部的要求， 将应急演练计划、 过程记录和结果分析等归档。 第六章 应急响应 第二十五条 按照本办法， 做好应急处置， 快速有效处置突发事 件。 第二十六条 协调小组应在领导小组授权下负责突发事件报告， 并指定专人为报告责任人。 当报告责任人确定或发生变更时应及时向银监会或其派出机构信息系统应急管理部门报备。 当多个重要信息系统同时受到影响时， 按照受影响程序最高原则报告。 第二十七条 突发事件应急响应流程: (一) 执行小组事先报告领导小组， 再根据既定的应急预案，启动应急操作。 应急处置应集中于建立临时业务处理能力、 修复原系统损害、 在原系统或新设施中恢复运行业务能力等应急措施; (二) 对于应急预案没有覆盖的突发事件， 应立即报告领导小组进行应急决策; (三) 领导小组应立即启动应急组织， 组织协调机构内部进行应急处置， 并负责向监管部门报告应急响应情况; (四) 协调小组做好各项应急保障工作， 为应急处置提供场地、 交通、 通讯及其他后勤保障; (五) 领导小组应在重要信息系统突发事件后 60 分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门， 并在事件发生后 12 小时内提交正式书面报告; (六) 对造成经济秩序混乱或重大经济损失、 影响金融稳定的， 或对银行、 客户、 公众的利益造成损害的突发事件， 协调小组要立即上报; (七) 领导小组应将应急处置重大进展情况及时上报银监会或其派出机构， 直至应急结束。 级突发事件发生后， 领导小组应每2 小时将应急处置进展情况上报， 直至应急结束。 第二十八条 上报银监会或其派出机构的局面报告内容应包括突发事件时间、 地点、 现象、 影响的业务范围、 原因分析、 后果的初步判断、 已采取的措施， 后续拟采取方案的建议、 事件报告单位、联系人及联系方式、 其他与本突发事件有关的内容， 并在报告中重点明确需要银监会协调的事项。 第二十九条 应急处置中所有相关的信息和处理过程应进行严格记录， 外部供应商的处理过程应有专门记录文件， 如果涉及到理赔事宜， 中间过程和场景可用摄像设备进行记录。 所有过程资料应由专人存档保管。 第三十条 应急处置过程中出现异常或应急预案、 决策方案失效， 领导小组要立即上报银监会或其派出机构信息系统应急管理部门。 第三十一条 重要信息系统突发事件发生后， 协调小组应将相关信息及时通报给受影响的外部机构及重要客户， 并将相关信息准确通报给相关设备及服务提供商、 电信、 电力等外部组织， 以获得应急响应支持。 第三十二条 重要信息系统突发事件发生后， 根据突发事件的严重程度， 领导小组应严格按照行业、 机构的相关规定和要求对外发布信息， 机构内其它任何部门