银行业重要信息系统突发事件应急管理规范（试行）

银行业重要信息系统突发事件应急管理规范（试行）1总则1.1目的依据为规范银行业金融机构重要信息系统突发事件应急管理，防范系统性信息科技风险，保障银行业金融业务连续运营，保护存款人和金融消费者合法权益，维护金融市场稳定，根据《中华人民共和国银行业监督管理法》《中华人民共和国网络安全法》《中华人民共和国金融稳定法》《国家网络安全事件应急预案》等法律法规及监管规定，制定本规范。1.2适用范围本规范适用于在中华人民共和国境内设立的商业银行、政策性银行、村镇银行、农村信用社、城市信用社、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司等银行业金融机构（以下统称“机构”）；国家金融监督管理总局、中国人民银行及其派出机构、银行业自律组织开展银行业重要信息系统突发事件应急监督指导工作，适用本规范。1.3基本原则（1）以人为本，生命优先：发生伴随人身安全风险的信息系统突发事件（如机房火灾、建筑坍塌等），优先保障人员生命安全，再开展故障抢险与业务恢复工作；（2）预防为主，防救结合：常态化开展风险排查、预案演练，从源头化解信息科技风险，提前储备应急资源，提升突发事件响应与处置能力；（3）统一指挥，分级负责：建立“法人机构统一指挥、属地协同响应、层级分级负责”的应急管理体系，法人机构对全集团应急处置工作负主体责任；（4）业务连续，最小影响：优先恢复存款支取、支付清算等民生类核心业务，最大程度缩小影响范围、缩短影响时长，降低对公众利益和金融稳定的负面影响；（5）多方协同，联动处置：落实地方政府应急管理要求，联动监管机构、行业自律组织、电力通信部门、公安机关、第三方专业服务商建立协同处置机制，共享应急资源。2重要信息系统与突发事件分级分类2.1重要信息系统定义本规范所称重要信息系统，指支撑机构核心业务运营、涉及客户信息安全、影响金融稳定的信息系统，包括但不限于以下类别：（1）核心业务系统：存款、贷款、支付结算、银行卡、网上银行、手机银行、第三方支付接口等支撑核心交易处理的系统；（2）关键基础设施类系统：数据中心、灾备中心的供电制冷系统、网络通信系统、环境监控系统等基础支撑系统；（3）监管对接类系统：向金融监管部门报送数据、对接监管业务的各类信息系统；（4）数据安全类系统：存储、处理10万条以上个人客户信息或1万条以上企业客户敏感信息的信息系统，支撑身份验证、权限管理的核心安全系统；（5）其他重要系统：同业清算、跨境支付、信贷征信对接、核心风控等对机构运营、金融稳定有重大影响的系统。2.2突发事件分级根据突发事件影响范围、影响时长、危害程度，分为四级，符合任一情形即可认定对应级别：（1）特别重大突发事件（Ⅰ级）：①全国性或跨省区5家及以上银行业金融机构全国性核心业务系统中断超过2小时；②单家法人机构核心业务系统全面中断超过4小时，影响覆盖全国范围1000万以上客户；③造成1亿元以上直接经济损失，或引发系统性挤兑风险、影响全国金融市场稳定；④造成100万条以上个人客户信息泄露、1万条以上企业敏感信息泄露，引发全国性重大公众舆情或系统性风险；⑤因信息系统相关故障引发人员死亡3人及以上，或重伤10人及以上。（2）重大突发事件（Ⅱ级）：①单家法人机构核心业务系统全面中断超过2小时、不满4小时，影响覆盖500万以上1000万以下客户；②省内2家及以上5家以下银行业金融机构核心业务系统同时中断超过2小时；③造成1000万元以上1亿元以下直接经济损失，引发区域挤兑风险或省级范围负面舆情；④造成10万条以上100万条以下个人客户信息泄露、1000条以上1万条以下企业敏感信息泄露；⑤因信息系统相关故障引发人员死亡1-2人，或重伤3-9人。（3）较大突发事件（Ⅲ级）：①单家法人机构单个省级分行核心业务系统中断超过2小时，或总行核心业务系统局部功能中断超过4小时；②单家机构核心业务系统全面中断超过30分钟、不满2小时，影响覆盖100万以上500万以下客户；③造成100万元以上1000万元以下直接经济损失，引发市级范围负面舆情；④造成1万条以上10万条以下个人客户信息泄露、100条以上1000条以下企业敏感信息泄露；⑤因信息系统相关故障引发重伤1-2人。（4）一般突发事件（Ⅳ级）：①单家机构单网点或单非核心业务系统局部功能中断超过1小时、不满4小时；②核心业务系统全面中断不超过30分钟，影响覆盖客户低于100万；③造成100万元以下直接经济损失，无大范围负面舆情；④造成1万条以下个人客户信息泄露、100条以下企业敏感信息泄露。2.3突发事件分类根据诱因不同，分为六类：（1）基础设施类：电力中断、通信主干线路中断、机房环境故障（火灾、水灾、制冷失效、地震洪水等自然灾害）；（2）系统故障类：硬件损坏、软件漏洞、系统宕机、数据损坏丢失；（3）网络安全类：黑客攻击、勒索病毒感染、DDoS攻击、数据泄露、钓鱼诈骗、仿冒站点；（4）人为操作类：操作失误、违规操作、内部恶意破坏；（5）第三方依存类：云服务商、外包服务商、支付清算机构、接口服务商等第三方系统故障或服务中断，引发机构重要信息系统无法正常运行；（6）其他类：公共卫生事件、社会安全事件等引发的信息系统突发事件。3组织架构与职责3.1法人机构内部组织与职责（1）应急管理领导小组：由法人机构董事长或行长（总经理）担任组长，分管信息科技、风险管理、业务运营、合规、公关的高级管理人员担任副组长，成员包括信息科技、风险管理、业务管理、合规、办公室（公关）、人力、财务、安全保卫等部门负责人。主要职责：①审批应急管理战略、制度体系、总体应急预案；②指挥Ⅰ级、Ⅱ级突发事件处置，决策重大应急处置措施；③统筹应急资源保障，审批应急管理年度预算；④牵头事件调查、问责与持续改进工作。（2）应急管理办公室：作为日常办事机构，可设在信息科技部门或风险管理部门，由分管信息科技的高级管理人员兼任办公室主任。主要职责：①制定修订各类专项应急预案，组织开展风险排查、应急演练；②接收、上报突发事件信息，按权限启动对应级别的应急响应；③协调内部各部门开展应急处置，对接外部监管与第三方机构；④汇总处置进展，向应急管理领导小组汇报；⑤组织开展事后恢复、复盘改进工作。（3）专项应急工作组：根据突发事件类型设立专项工作组，明确职责：①技术处置组：由信息科技人员组成，负责故障定位、系统恢复、漏洞修复、数据恢复等技术工作；②业务运营组：由各业务部门人员组成，负责调整服务模式、引导客户分流、保障核心业务人工接续、做好客户沟通解释；③舆情公关组：由办公室、品牌公关部门人员组成，负责舆情监测、对外信息发布、回应公众关切、对接媒体，防范负面舆情扩散；④安全保卫组：由安全保卫部门人员组成，负责现场人员疏散、现场安全管控、防范次生安全事件；⑤法律合规组：由合规、法律部门人员组成，负责处置客户纠纷、配合监管调查、落实合规要求；⑥外联协调组：负责对接电力、通信、公安、消防、监管机构、地方政府、第三方服务商，协调外部资源开展处置。（4）分支机构应急组织：各分支机构设立本级应急小组，在法人机构统一指挥下，负责本辖区突发事件的先期处置、客户服务、现场管控等工作。3.2外部监管与行业组织职责（1）国家金融监督管理总局及其派出机构：负责统筹指导辖内银行业应急管理工作，督促机构落实本规范要求，汇总上报突发事件信息，协调跨机构、跨区域突发事件处置，开展监督检查与问责。（2）中国人民银行：负责协调支付清算、征信等基础金融设施相关的银行业信息系统突发事件处置，督促落实支付业务连续性要求。（3）中国银行业协会：负责行业应急经验交流、共享应急资源，组织行业联合应急演练，推动行业整体应急能力提升。4预防与预警4.1常态化风险预防（1）架构冗余设计：重要信息系统必须落实冗余设计要求，核心业务系统必须满足“两地三中心”架构标准，全国性经营机构核心业务系统恢复点目标（RPO）不超过5分钟，恢复时间目标（RTO）不超过30分钟；区域性经营机构核心业务系统RPO不超过15分钟，RTO不超过1小时。（2）日常运维管控：建立724小时值班监控制度，核心系统核心运行指标监控覆盖率达到100%，对CPU、内存、存储、网络带宽、交易成功率等指标设置分级告警阈值，实现告警自动推送；每月开展1次重要信息系统风险排查，每季度开展1次基础设施风险排查，对排查出的风险建立台账，明确整改责任与时限，一般风险7个工作日内完成整改，高危重大风险24小时内启动整改，年度风险整改完成率不低于98%。（3）第三方风险管控：建立云服务商、外包服务商、支付服务商等第三方机构的年度风险评估机制，每年至少开展1次第三方应急能力评估，核心业务依托第三方服务的，必须要求第三方机构建立双活冗余架构，明确服务中断后的应急响应时限与故障赔偿责任。（4）安全漏洞管理：每季度至少开展1次重要信息系统漏洞扫描与渗透测试，高危漏洞必须在48小时内完成修复，中低危漏洞必须在15个工作日内完成修复，留存修复验证记录。4.2预警分级与发布按照风险发生可能性与影响程度，分为四级预警：（1）一级红色预警：可能发生特别重大突发事件，已出现明确风险前兆，如已监测到大规模勒索病毒入侵、主干通信线路中断不可避免，由应急管理领导小组发布，启动全机构预警。（2）二级橙色预警：可能发生重大突发事件，由应急管理办公室发布，启动相关业务与技术部门预警。（3）三级黄色预警：可能发生较大突发事件，由信息科技部门发布，启动相关技术条线预警。（4）四级蓝色预警：可能发生一般突发事件，由系统运维团队发布，做好处置准备。4.3预警响应措施（1）红色预警：核心应急处置人员全员到位，启动灾备中心预切换准备，通知各业务部门做好客户服务准备，提前向属地监管机构报备风险情况，盘点应急物资保障情况。（2）橙色预警：相关处置人员到位，开展风险排查，采取临时管控措施如关闭可疑端口、限制可疑访问，通知业务部门做好应急准备，向监管机构报送预警信息。（3）黄色、蓝色预警：技术人员开展核实排查，及时消除风险隐患，留存完整排查处置记录。5应急处置5.1信息报告（1）报告时限：发生Ⅰ级、Ⅱ级突发事件，机构必须在事件发生后1小时内口头上报属地国家金融监督管理总局派出机构及属地人民银行分支机构，2小时内报送书面报告；发生Ⅲ级突发事件，必须在4小时内上报属地监管机构；发生Ⅳ级突发事件，必须在24小时内上报属地监管机构，严禁迟报、漏报、瞒报。（2）包括事件发生时间、地点、影响范围、受影响业务、已采取的处置措施、当前状态、可能引发的风险、需要协调的资源等，Ⅰ级、Ⅱ级突发事件处置期间每1小时更新1次处置进展，每日至少报送2次书面进展，处置完成后24小时内报送总结报告。5.2分级响应（1）Ⅰ级响应：由应急管理领导小组组长总指挥，启动集团级全响应，全机构相关人员全员到位，第一时间协调外部资源，及时向国家金融管理部门、地方政府报告，对外发布公告，优先保障存款支取、支付清算等核心业务，必要时立即启动灾备中心切换。（2）Ⅱ级响应：由应急管理领导小组副组长总指挥，启动部门级全响应，相关部门人员到位，1小时内完成监管上报，协调省级相关部门资源，保障核心业务运营，及时发布官方公告。（3）Ⅲ级响应：由应急管理办公室主任总指挥，启动区域/部门级响应，技术与业务处置人员到位，4小时内完成监管上报，开展故障处置，引导客户分流办理业务。（4）Ⅳ级响应：由事发机构负责人总指挥，开展现场处置，24小时内完成监管上报，及时恢复系统运行，做好客户解释工作。5.3核心处置流程（1）先期处置：突发事件发生后，事发单位第一时间切断风险源防止扩散，如发现勒索病毒立即断开受感染服务器网络，发生机房火灾立即启动消防、疏散人员，同时第一时间上报本级应急管理机构。（2）故障恢复：遵循“先恢复、后根因，先核心、后边缘”的原则，技术处置组优先定位核心故障，采取切换灾备系统、启用冗余设备、临时调整业务架构等措施恢复核心业务，核心业务中断超过30分钟未恢复的，必须启动灾备切换流程。（3）业务接续：系统恢复前，业务运营组及时调整服务模式，开放线下人工窗口办理存取款、转账等紧急业务，通过短信、网点公告、官方公众号等渠道告知客户，引导客户合理安排业务办理。（4）舆情管控：Ⅰ级、Ⅱ级突发事件必须在4小时内发布首次官方公告，24小时内发布处置进展，及时回应公众关切，处置不实信息，必要时联合公安机关打击造谣传谣行为，防范舆情升级。（5）协同处置：涉及第三方引发的突发事件，第一时间对接第三方机构协同处置，涉及网络攻击、数据泄露的立即向公安机关报案，配合开展调查。5.4应急结束：突发事件得到控制，系统恢复正常运行，风险完全消除后，由启动响应的应急指挥机构宣布应急结束。6事后恢复与持续改进6.1系统验证与恢复：应急结束后，分三个阶段完成恢复：一是核心业务验证，逐步恢复全量业务运行，对系统性能、数据一致性进行验证，核心业务数据一致性验证通过率必须达到100%，确认系统稳定后全面恢复正常服务；二是现场恢复，清理故障现场，修复受损基础设施，排查次生风险，恢复基础设施正常运行状态；三是客户权益补救，对泄露信息的受影响客户，及时履行告知义务，采取密码修改、账户监控等补救措施，保护客户合法权益。6.2调查与评估：应急结束后5个工作日内，成立由应急管理领导小组牵头的调查组，开展事件调查与处置评估：一是调查事件发生原因、触发因素、处置流程，明确责任主体，形成完整的事件调查报告；二是评估应急处置效果，梳理预案、架构、资源、人员等方面存在的不足，核定事件造成的经济损失与社会影响。6.3整改与优化：针对调查发现的问题，制定整改方案，明确整改责任与时限，一般问题1个月内完成整改，重大问题3个月内完成整改，整改完成后组织验证，确保风险彻底化解；对相关责任人员依法依规追责，因违规操作、失职渎职导致事件发生或扩大的，严肃问责，涉嫌犯罪的移送司法机关；修订完善应急预案与处置流程，补充应急资源，针对暴露的短板开展专项培训。6.4常态化应急演练：机构每半年至少开展1次重要信息系统专项应急演练，每年至少开展1次全机构全流程实战化演练，核心业务系统灾备切换演练每年至少开展1次，每次演练参演人员覆盖率不低于应参演人数的90%，演练后完成复盘评估，修订完善预案，演练相关记录留存不少于3年。7资源保障与监督管理7.1资源保障（1）人员保障：建立分层级的应急处置队伍，法人机构核心应急队伍人数不低于信息科技人员总数的15%，各分支机构配备专职应急联络员