人民銀行各分行����、營業(yè)管理部�、省會(首府)城市中心支行,各政策性銀行����、國有獨資商業(yè)銀行、股份制商業(yè)銀行:
為加強(qiáng)對銀行數(shù)據(jù)集中工作的指導(dǎo)�����,防范相關(guān)技術(shù)風(fēng)險和管理風(fēng)險�����,現(xiàn)就銀行實施數(shù)據(jù)集中的安全工作提出以下意見:
一���、數(shù)據(jù)集中是我國銀行信息化發(fā)展的重大舉措��,對于我國銀行實現(xiàn)集約化管理���,提高銀行的市場適應(yīng)能力,降低銀行經(jīng)營風(fēng)險具有重要意義��,但對計算機(jī)信息系統(tǒng)的可靠性和安全性也提出了更高的要求����。各銀行必須高度重視對數(shù)據(jù)集中安全工作的領(lǐng)導(dǎo),建立健全計算機(jī)安全管理組織���,落實計算機(jī)安全責(zé)任制��。各銀行計算機(jī)安全管理委員會(領(lǐng)導(dǎo)小組)主任委員(組長)為數(shù)據(jù)集中安全工作的第一責(zé)任人��。
二�����、加強(qiáng)制度建設(shè)��,建立與數(shù)據(jù)集中模式相適應(yīng)的各項管理制度和內(nèi)控機(jī)制����。沒有配套管理制度的數(shù)據(jù)中心和內(nèi)控機(jī)制不完善的業(yè)務(wù)系統(tǒng)不能投入生產(chǎn)運行。
三�����、加強(qiáng)數(shù)據(jù)中心管理人員和技術(shù)人員的安全培訓(xùn)���,提高全員的安全防范意識��。要建立系統(tǒng)管理員����、網(wǎng)絡(luò)管理員��、軟件開發(fā)人員和安全管理人員持證上崗制度�����;要定期對業(yè)務(wù)操作人員進(jìn)行業(yè)務(wù)操作考核��。
四�、各銀行應(yīng)高度重視數(shù)據(jù)集中總體技術(shù)設(shè)計的合理性和安全性�。數(shù)據(jù)集中體系結(jié)構(gòu)的合理性直接關(guān)系到銀行信息系統(tǒng)的整體安全,體系結(jié)構(gòu)的選擇要有利于降低技術(shù)風(fēng)險和管理風(fēng)險?��?傮w技術(shù)方案必須經(jīng)過充分的論證��。各銀行在實施數(shù)據(jù)集中前要將總體技術(shù)方案和論證意見報中國人民銀行備案���。
五、做好適應(yīng)數(shù)據(jù)集中模式的網(wǎng)絡(luò)建設(shè)與改造工作��,提高通信網(wǎng)絡(luò)可用性��。網(wǎng)絡(luò)可靠率(指年無故障運行時間與總運行時間比值)要不低于99995%���,連續(xù)故障時間小于2小時��。要提高網(wǎng)絡(luò)的抗攻擊能力��,嚴(yán)格控制銀行網(wǎng)絡(luò)與國際互聯(lián)網(wǎng)的連接出口數(shù)量�����,對外聯(lián)出口要實施嚴(yán)格的安全監(jiān)控�����。要充分考慮銀行間以及銀行與清算(結(jié)算)機(jī)構(gòu)間的互連��、互通和安全要求���,加強(qiáng)銀行間數(shù)據(jù)交換的安全控制�����,保障銀行與非銀行組織之間的數(shù)據(jù)交換安全�。
六�、數(shù)據(jù)中心是集中模式下銀行信息系統(tǒng)技術(shù)風(fēng)險和管理風(fēng)險最集中的部位。要加強(qiáng)數(shù)據(jù)中心建設(shè)���,完善運行安全管理��,保障數(shù)據(jù)中心和業(yè)務(wù)數(shù)據(jù)的安全����。數(shù)據(jù)中心建設(shè)要遵循國家有關(guān)機(jī)房建設(shè)和管理的規(guī)定�����,達(dá)到國家有關(guān)防震、防磁�、防洪、防火���、防雷、防輻射的安全標(biāo)準(zhǔn)���;要落實分區(qū)制度���,運行、開發(fā)�����、維護(hù)����、培訓(xùn)、生活和業(yè)務(wù)操作區(qū)域要嚴(yán)格分離��。數(shù)據(jù)中心要建立除本銀行和監(jiān)管銀行以外的第二方訪問的安全控制制度�;要認(rèn)真落實雙路供電要求,不間斷電源要能保障4小時供電�,要保障備份發(fā)電機(jī)的有效性��??照{(diào)����、消防系統(tǒng)既要滿足運行要求,也要充分考慮工作人員健康和安全撤離的需要�����;監(jiān)控和報警系統(tǒng)要達(dá)到公安部有關(guān)標(biāo)準(zhǔn)�。要保障數(shù)據(jù)處理中心周邊環(huán)境安全,遠(yuǎn)離加油站�、化工廠等各類危險建筑和重要軍事目標(biāo)。要做好數(shù)據(jù)中心的主機(jī)系統(tǒng)�、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全設(shè)計���,充分考慮系統(tǒng)備份或系統(tǒng)冗余��。主機(jī)系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的操作日志至少保留6個月��,賬務(wù)更改記錄應(yīng)保存3年�����。
七���、要建立數(shù)據(jù)強(qiáng)制備份制度���,數(shù)據(jù)完全備份的時間間隔不超過一個工作日,數(shù)據(jù)完全備份介質(zhì)的循環(huán)周期不能小于7天��。要定期對備份數(shù)據(jù)的有效性進(jìn)行檢查���,檢查時間間隔不超過30天,每次抽檢數(shù)據(jù)量不低于10%.備份數(shù)據(jù)要實行異地保存�。
八、建立強(qiáng)制維護(hù)制度和工作人員強(qiáng)制休假制度���。強(qiáng)制維護(hù)內(nèi)容包括系統(tǒng)維護(hù)���、軟件維護(hù)、數(shù)據(jù)維護(hù)�����、環(huán)境維護(hù)��。操作人員休假期間,其管理的操作賬戶應(yīng)辦理移交或注銷手續(xù)�。
九、新建系統(tǒng)投入運營前要做好第三方(業(yè)主和開發(fā)承建單位之外)測試和驗收工作��。測試內(nèi)容至少包括數(shù)據(jù)一致性測試��、系統(tǒng)可用性測試�、數(shù)據(jù)完整性測試、系統(tǒng)綜合壓力測試和系統(tǒng)健壯性測試等�,并建立相應(yīng)的測試檔案,未經(jīng)第三方測試的新建系統(tǒng)不能通過驗收��,不得技入生產(chǎn)運行�。新建應(yīng)用系統(tǒng)投入生產(chǎn)運行前應(yīng)進(jìn)行不少于1個月的模擬運行和不少于3個月的試運行。
十���、數(shù)據(jù)集中期間新舊系統(tǒng)的切換工作對銀行業(yè)務(wù)的連續(xù)性影響重大�����。要高度重視數(shù)據(jù)集中前后新舊系統(tǒng)的切換工作��,制定詳細(xì)的切換方案和應(yīng)急方案�����,并在模擬系統(tǒng)試驗成功后方可實施�����,以確保業(yè)務(wù)系統(tǒng)平穩(wěn)過渡����。系統(tǒng)切換工作要盡量選擇對銀行客戶影響較小的時間段進(jìn)行。系統(tǒng)切換時間超過一個工作日��,需至少提前5個工作日發(fā)布提示公告�,并提供應(yīng)急服務(wù)途徑��。
十一�����、為保障銀行業(yè)務(wù)的連續(xù)性���,確保銀行穩(wěn)健運行�,實施數(shù)據(jù)集中的銀行必須建立相應(yīng)的災(zāi)難備份中心��。數(shù)據(jù)集中初期的災(zāi)難備份必須能支持信息通過通訊網(wǎng)絡(luò)從生產(chǎn)中心到備份中心的電子傳送���。數(shù)據(jù)集中兩年內(nèi)必須實現(xiàn)備份中心與生產(chǎn)中心相互鏡像��,支持雙向恢復(fù)�����,保證數(shù)據(jù)一致性�。
十二、災(zāi)難備份中心的建設(shè)可采取自建或聯(lián)合共建等方式����,也可以利用本銀行外其他企業(yè)(組織)提供的災(zāi)難備份服務(wù)。向銀行提供災(zāi)難備份服務(wù)的企業(yè)(組織)需獲得中國人民銀行的資質(zhì)認(rèn)可�。
十三、要制訂業(yè)務(wù)連續(xù)性計劃�����,保障業(yè)務(wù)連續(xù)性及有效性���。業(yè)務(wù)連續(xù)性計劃應(yīng)報中國人民銀行備案���。業(yè)務(wù)連續(xù)性計劃要定期演練,每年至少演練一次。
二○○二年八月二十六日
京公網(wǎng)安備 11010802044457號
新用戶掃碼下載
