银行业重要信息系统突发事件应急管理规范（试行）

银行业重要信息系统突发事件应急管理规范（试行）第一章总则1.1目的依据为有效防范银行业重要信息系统突发事件风险，规范应急处置流程，最大限度降低突发事件对金融服务连续性、数据安全性的影响，保障存款人及金融消费者合法权益，维护金融秩序稳定，根据《中华人民共和国银行业监督管理法》《中华人民共和国网络安全法》《金融信息系统安全保护条例》《银行业信息科技风险管理指引》等法律法规及监管要求，制定本规范。1.2适用范围本规范适用于在中华人民共和国境内依法设立的政策性银行、商业银行、农村合作银行、农村信用社、村镇银行等银行业存款类金融机构，以及金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、消费金融公司等非银行金融机构（以下统称“银行业金融机构”）。银行业金融机构下属分支机构、外包服务提供商承接银行业重要信息系统运维、开发业务的，其应急管理活动参照本规范执行。1.3术语定义1.3.1重要信息系统：指支撑银行业核心业务开展、涉及公众金融服务或关系金融稳定的信息系统，包括但不限于核心账务系统、支付清算系统、信贷管理系统、柜面服务系统、手机银行系统、网上银行系统、自助设备管理系统、银联交易系统、外汇交易系统、征信查询系统、监管报送系统。重要信息系统的认定标准为：系统服务中断超过30分钟将影响单机构超过10万客户正常业务办理，或导致跨区域支付清算业务停滞，或造成直接经济损失超过100万元的，需纳入重要信息系统名录管理。1.3.2突发事件：指因不可抗力、技术故障、人为操作失误、网络攻击、供应链安全事件等原因，导致重要信息系统部分或全部功能丧失，或数据泄露、篡改、丢失，影响金融服务连续性的意外事件，按照影响范围、持续时间、损失程度分为四级：特别重大突发事件（Ⅰ级）：重要信息系统服务中断超过2小时，影响跨省（自治区、直辖市）范围内超过100万客户正常办理业务，或造成直接经济损失超过1000万元，或引发系统性金融风险、大规模群体性事件的；重大突发事件（Ⅱ级）：重要信息系统服务中断超过1小时，影响跨地市范围内超过30万、不足100万客户正常办理业务，或造成直接经济损失超过500万元、不足1000万元，或引发区域性群体性事件的；较大突发事件（Ⅲ级）：重要信息系统服务中断超过30分钟，影响单地市范围内超过10万、不足30万客户正常办理业务，或造成直接经济损失超过100万元、不足500万元的；一般突发事件（Ⅳ级）：重要信息系统服务中断不足30分钟，影响客户规模不足10万，或造成直接经济损失不足100万元，未引发负面舆情或群体性事件的。1.4工作原则1.4.1预防为先：将风险防控前置，定期开展风险评估、压力测试，从系统架构、运维管理、人员培训等层面降低突发事件发生概率。1.4.2分级负责：按照“法人统管、属地响应、条线联动”的要求，明确总部、分支机构、各业务条线的应急管理职责，落实责任到人。1.4.3快速处置：建立扁平化应急响应机制，优先保障核心业务恢复、优先保障客户资金安全，最大限度缩短服务中断时长。1.4.4合规操作：应急处置过程严格遵守业务规则、数据安全要求，严禁未经审批修改核心数据、开放系统权限，防范次生风险。1.4.5持续优化：定期开展应急演练、处置复盘，动态更新应急预案，不断提升应急管理能力。第二章组织架构与职责2.1应急管理领导机构银行业金融机构应成立由董事长或行长任组长，分管信息科技、业务运营、风险合规、公共关系、法律事务的高管任副组长的应急管理领导小组，作为应急管理最高决策机构，主要职责包括：审定本机构应急管理体系建设规划、应急预案体系、年度应急工作计划；统筹应急资源配置，保障应急资金、人员、技术投入满足处置需求；决定Ⅰ级、Ⅱ级突发事件的响应启动、升级、终止，审批重大处置决策；统一对外发布突发事件相关信息，配合监管部门、公安机关开展调查处置；组织开展应急处置事后评估与问责。2.2应急管理执行机构银行业金融机构应设立应急管理办公室，作为日常办事机构，原则上挂靠信息科技部门，配备不少于3名专职应急管理人员，主要职责包括：组织编制、修订、评审各类应急预案，建立应急预案动态更新机制；统筹开展应急演练，跟踪演练问题整改，评估演练有效性；负责突发事件的监测预警、信息报送，协调各专项处置组开展处置工作；建立应急资源台账，定期维护应急装备、备份系统、通信渠道，保障可用性；组织开展全员应急培训，普及应急处置知识与操作流程。2.3专项处置组职责根据处置需求设立6个专项工作组，明确各组职责边界：技术处置组：由信息科技部门骨干、核心系统厂商技术支持人员组成，负责系统故障排查、漏洞修复、数据恢复、灾备切换等技术操作，及时向应急管理办公室反馈技术处置进展；业务运营组：由运营管理、零售业务、公司业务等部门人员组成，负责业务层面影响评估，制定业务替代方案，指导网点做好客户解释与线下业务分流，统计业务中断期间的交易积压数据；风险合规组：由风险管理、法律合规部门人员组成，负责评估处置过程中的操作风险、合规风险，审核对外告知内容的合法性，留存处置全流程证据材料，防范法律纠纷；舆情应对组：由品牌宣传、公共关系部门人员组成，负责监测网络舆情、媒体报道，按照领导小组统一口径发布信息，及时回应公众关切，引导舆论走向；安全保卫组：由安全保卫部门人员组成，负责维护营业网点现场秩序，配合公安机关开展网络攻击、数据泄露事件的调查取证，保障处置现场人员、设备安全；后勤保障组：由行政、财务部门人员组成，负责应急物资调配、通信保障、交通保障、人员食宿安排，为处置工作提供后勤支持。2.4分支机构职责各分支机构应成立本级应急管理工作小组，主要职责包括：落实总部应急管理要求，结合属地实际制定分支机构应急预案；负责辖区内系统运行监测、风险排查，及时向总部报送突发事件线索；按照总部指令开展属地处置工作，做好网点客户疏导、业务办理，及时上报属地监管部门、地方政府相关情况；配合总部开展应急演练、事后调查等工作。第三章预防与预警3.1风险防控机制3.1.1重要信息系统全生命周期风险管理：系统上线前需通过安全测试、压力测试，峰值处理能力需满足日常业务量的3倍以上；运行期间每季度开展一次风险评估，每年开展一次全面渗透测试，及时发现并整改系统漏洞、配置缺陷。3.1.2运维管理规范：建立7×24小时值班制度，每1小时对重要信息系统的CPU使用率、内存占用率、磁盘IO、网络带宽、交易成功率等核心指标进行巡检；关键运维操作实行“双人复核、双人操作”，留存操作日志不少于6个月。3.1.3数据备份与灾备建设：核心账务系统、支付清算系统需实现“本地双活+异地灾备”架构，数据备份频率不低于每小时1次，备份数据离线存储期限不少于5年；灾备系统切换RPO（恢复点目标）不超过30分钟，RTO（恢复时间目标）：Ⅰ类核心系统不超过1小时，Ⅱ类重要系统不超过2小时。3.1.4供应链风险管理：对核心系统厂商、云服务提供商、网络运营商等第三方服务商开展年度安全评估，签订服务水平协议（SLA），明确应急响应时效要求：故障发生后，核心厂商技术支持人员需在30分钟内响应，2小时内到场或远程接入处置。3.2监测预警体系3.2.1监测指标设置：建立覆盖系统运行、网络安全、业务交易的全维度监测体系，设置异常阈值：系统指标：CPU使用率持续10分钟超过80%、内存占用率持续10分钟超过85%、磁盘剩余空间不足10%；网络指标：丢包率持续5分钟超过5%、网络带宽占用持续10分钟超过90%、出现异常外部访问流量；业务指标：交易成功率低于99%、交易峰值较日常同期增长200%以上、批量交易超时未完成。3.2.2预警分级与发布：根据预警信息的危害程度、发展态势，预警分为四级：红色预警（一级）：预判可能发生Ⅰ级突发事件的，由总部应急管理领导小组发布，启动全机构应急准备；橙色预警（二级）：预判可能发生Ⅱ级突发事件的，由总部应急管理办公室发布，相关业务条线、技术部门进入待命状态；黄色预警（三级）：预判可能发生Ⅲ级突发事件的，由属地分支机构应急工作小组发布，属地相关岗位人员到位开展排查；蓝色预警（四级）：预判可能发生Ⅳ级突发事件的，由系统运维部门发布，运维人员立即开展风险处置。3.2.3预警响应：预警发布后，相关责任部门需在15分钟内响应，采取风险缓释措施，包括但不限于临时扩容系统资源、切断异常访问流量、暂停非核心业务功能，及时跟踪风险变化，若风险消除则解除预警，若风险升级则启动突发事件响应。第四章应急响应与处置4.1事件报送4.1.1初报要求：突发事件发生后，发现人员需第一时间向本级应急管理部门报告，Ⅳ级事件需在30分钟内上报至机构总部应急管理办公室，Ⅲ级及以上事件需在1小时内上报至属地银保监部门、人民银行分支机构，Ⅰ级、Ⅱ级事件需在2小时内上报至银保监会、人民银行总行。初报内容包括：事件发生时间、涉及系统、影响范围、初步判断原因、已采取的措施、联系人及联系方式。4.1.2续报要求：事件处置过程中，Ⅳ级事件每1小时报送一次进展，Ⅲ级事件每30分钟报送一次进展，Ⅱ级、Ⅰ级事件每15分钟报送一次进展；若事件出现重大变化、处置取得关键进展的，随时报送。续报内容包括：事件发展态势、处置措施效果、当前影响情况、下一步工作计划。4.1.3终报要求：事件处置结束、系统服务恢复正常后，需在24小时内报送终报，内容包括：事件根本原因、处置过程、损失情况、责任认定、整改措施。4.1.4报送要求：严禁迟报、漏报、瞒报、谎报突发事件信息，报送内容需客观、准确、真实，不得虚报处置进展。4.2分级响应4.2.1Ⅳ级响应：由机构信息科技部门负责人启动，技术处置组牵头开展处置，业务运营组配合做好业务核查，处置过程无需启动大规模业务替代方案，事件结束后向应急管理办公室报备即可。4.2.2Ⅲ级响应：由分支机构应急工作小组组长启动，各专项组全部到位，优先恢复属地核心业务功能，及时向总部汇报处置进展，必要时申请总部技术支持。4.2.3Ⅱ级响应：由总部应急管理领导小组副组长启动，总部各专项组集中办公，统筹全机构资源开展处置，必要时请求行业应急支援机构、监管部门协调支持，同步开展舆情监测与客户告知工作。4.2.4Ⅰ级响应：由总部应急管理领导小组组长启动，实行“一事一策”专班处置，按照监管部门统一部署开展工作，必要时启动全机构业务替代方案，暂停非必要系统运行，集中资源保障核心账务、支付清算等关键业务恢复。4.3处置流程4.3.1故障定位：技术处置组需在响应启动后30分钟内初步定位故障原因，1小时内明确故障影响范围与严重程度。若为硬件故障，立即切换备用设备；若为软件漏洞，立即回滚至上一稳定版本；若为网络攻击，立即切断攻击链路，留存攻击日志；若为数据故障，立即启动数据恢复流程。4.3.2方案制定：技术处置组联合业务运营组、风险合规组制定处置方案，明确操作步骤、责任人员、风险防控措施，处置方案需经风险合规组审核、领导小组审批后方可实施，涉及核心数据修改、灾备系统切换的，需双人复核操作指令。4.3.3措施实施：按照处置方案开展操作，每一步操作需留存操作记录，若操作后出现异常情况，立即回退至操作前状态，重新评估调整处置方案。处置过程中优先保障客户资金安全，严禁出现账务错乱、数据丢失情况。4.3.4系统验证：系统功能恢复后，技术处置组联合业务运营组开展全流程业务验证，验证内容包括核心交易可用性、数据一致性、系统稳定性，验证用例覆盖率不低于100%，验证通过后方可正式对外恢复服务。4.3.5业务善后：系统恢复服务后，业务运营组及时处理中断期间积压的交易，逐笔核对账务数据，确保账实、账账、账证相符；对受事件影响的客户，按照相关规定做好权益保障，避免引发客户投诉与纠纷。4.4信息发布突发事件的信息发布由应急管理领导小组统一负责，坚持“实事求是、及时准确”的原则，严禁任何部门、个人擅自对外发布事件相关信息。对公众的告知内容需明确服务恢复时间、临时业务办理渠道，及时回应公众疑问；对监管部门的报告需全面、客观，不得隐瞒问题。涉及数据泄露事件的，需按照《个人信息保护法》要求，及时告知受影响用户，并配合监管部门开展调查。第五章应急演练与培训5.1演练计划银行业金融机构需制定年度应急演练计划，明确演练频次、演练内容、参与部门。核心账务系统、支付清算系统每年至少开展2次实战演练，其中灾备切换演练不少于1次；其他重要信息系统每年至少开展1次实战演练或桌面演练；分支机构每半年至少开展1次属地应急演练。5.2演练实施演练前需编制演练方案，明确演练目标、场景、流程、评估标准，做好风险防控措施，避免演练影响生产系统运行。演练场景需覆盖常见突发事件类型，包括但不限于机房断电、网络中断、硬件故障、勒索病毒攻击、数据误删、大规模并发交易故障。演练过程需全程记录，留存演练视频、操作日志等资料。5.3演练评估与整改演练结束后10个工作日内完成演练评估，重点评估预案可行性、处置流程顺畅性、人员操作规范性、资源保障充分性，对演练中暴露的问题建立整改台账，明确整改责任人和整改时限，整改完成后开展“回头看”，确保问题闭环管理。演练评估报告需报送至属地监管部门。5.4应急培训将应急管理培训纳入年度培训计划，每年至少组织1次全员应急培训，覆盖信息科技、业务运营、网点一线等所有相关岗位。培训内容包括应急预案、处置流程、风险防控要点、客户沟通技巧；对技术处置组人员每年至少开展2次专项技术培训，考核通过后方可参与应急处置工作。第六章事后评估与改进6.1事件复盘突发事件处置结束后15个工作日内，由应急管理领导小组牵头开展事件复盘，全面梳理事件发生原因、处置过程、存在的问题，评估处置措施的有效性，明确责任认定。对因人为操作失误、管理疏漏导致事件发生的，按照机构内部问责制度对相关责任人进行处理；对涉及第三方服务商责任的，按照服务协议追究其责任，情节