中国银行业监督管理委员会

中国银监会办公厅关于加强2011年春节期间银行业信息科技安全保障工作的通知

银监办发〔2011〕24号


各银监局，各国有商业银行、股份制商业银行，邮政储蓄银行，各省级农村信用联社：

为加强信息科技风险防范，采取切实措施全力保障春节期间信息系统安全、持续、稳定运行，确保银行业务的及时、有效、连续开展，现将有关事项通知如下：

一、提高认识，加强信息科技保障组织领导

春节是中国的传统节日，春节前后是居民消费高峰和返乡、旅游人群集中进行银行卡交易的时段，对银行业务提出了高强度、大规模的需求，对银行信息科技保障是一次全面、综合的考验。银行业金融机构应深刻认识到信息科技风险以及与信息系统相关的操作风险可能对银行业务运营产生的重要影响，以及由此引发的声誉风险，从总行层面加强组织领导，统筹部署春节期间的信息科技保障工作，严格落实责任制。

二、采取有效措施，加强信息系统安全保障

一是加强运行维护、监控和预警。银行业金融机构要加强信息科技运行维护人员保障，明确工作流程、岗位责任；认真做好核心业务系统、电子银行、自助设备、银行卡等面向公众服务的重要信息系统软、硬件的健康检查；强化入侵检测和安全防护措施；加强对信息系统以及基础设施的运行维护和监控，提高监控频度和力度，强化重要系统、重点区域、关键设施的监控，特别是加强对系统交易量、主机性能、网络性能等关键参数异常变动的监控，完善预警机制，设定科学合理的预警阀值，明确预警流程，提升预警的及时性和有效性，力争对信息科技风险隐患早发现、早排除，确保信息科技服务连续性和安全性。

二是加强重要信息系统的容量管理和变更管理。各银行业金融机构要认真总结分析以往业务交易量的变动特征，加强系统容量规划，做好压力测试，采取有效措施应对负载高峰，提高重要信息系统的可用性和可靠性。要加强变更控制，合理安排信息系统变更和上线，做好相关的风险评估和测试工作。

三是加强应急管理，提升应急处置有效性。银行业金融机构要对现有的应急组织管理机制进行深入检查，明确应急管理的岗位、责任、流程和报告路径；对各专项应急预案进行全面梳理，并及时更新和修订，确保预案的全面性和可操作性；要加强应急演练，特别是要开展覆盖全行范围、各相关业务部门、信息科技部门的综合演练，完善各部门间的应急协调机制，提升全体人员的应急处置能力；要加强与相关外部机构的应急协作与联动，建立与服务供应商的快速联络相应机制，有效提升应急响应速度。

四是加强跨行、跨机构沟通与协调。春节前后属于消费高峰时段，银行卡交易、跨行交易量大幅增加，银行业金融机构要加强银行间、与关联机构间、以及与商户间的沟通和协调力度，建立有效的事件处置机制，明确各方责任与义务，理顺信息共享与联络渠道，提升对跨行、跨机构信息系统突发事件的响应能力。

三、加强监管，严格执行信息科技重大事件责任追究制度

2010年以来，银行业金融机构发生数起信息科技重大突发事件，导致银行业务中断，对银行声誉造成了不同程度的影响。银监会向银行业多次发布风险提示，推动全行业防范类似风险、提升整体风险管控能力。各银行业金融机构要认真研究分析以往各个案例，认真总结经验教训，真正做到举一反三，以前车之鉴查找类似风险，采取有效措施排除隐患，不能重复出现他行已发生的问题；在发生突发事件时，必须严格按照《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发〔2008〕53号）的相关规定，及时上报监管部门并妥善开展应急响应工作。

银监会各派出机构应采取切实有效的监管措施，加强信息科技非现场监管和现场检查，密切监控、评估和提示信息科技风险，督促、指导辖内银行业金融机构做好信息科技风险防范工作；要进一步完善突发事件报告和处理机制，进一步建立和完善与银监会间、与其他派出机构间、与银行业金融机构间的协调机制，全面提升信息科技风险防控和突发事件处置能力。

银监会将进一步加强对信息系统重大突发事件的查处与责任追究力度，并采取相应监管措施。对于因保障不力导致发生重大信息安全事件并造成较大社会影响的，忽视监管部门风险提示，风险排查、预防措施不到位、同类问题屡查屡犯的，以及瞒报、谎报、迟报、漏报信息系统突发事件的机构，将从严查处，追究相关领导和责任人的责任，同时降低该机构评价等级。

二○一一年一月二十六日