《商业银行数据中心管理办法(征求意见稿)》是中国银监会为加强商业银行数据中心建设、运行和维护过程中的风险管理,保障数据中心安全、可靠、稳定运行,提高商业银行信息科技服务的连续性水平而制定的规范性文件。该办法征求意见稿的发布是依据相关法律法规和规范性文件,参照了《商业银行信息科技风险管理指引》和《银行业重要信息系统突发事件应急管理规范》。
该办法适用于法人商业银行及省级农村信用联合社,政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司以及经中国银监会批准设立的其他银行业金融机构可参照执行。
根据该办法的规定,数据中心包括生产中心和灾难备份中心(简称灾备中心)。生产中心是商业银行对全行业务、账户和管理等重要信息进行集中存储、处理和维护,具备专用场所,为业务运营及管理提供信息科技支撑服务的组织。而灾备中心则是商业银行为保障其业务连续性,在生产中心故障、停顿或瘫痪后,能够接替生产中心运行的组织。
灾备中心可以采取同城模式或异地模式。同城模式指的是灾备中心与生产中心位于同一地理区域,可防范建筑物级别和小区域范围的风险,如建筑物火灾、小范围停电、交通或通信系统中断等事件。异地模式则是指灾备中心与生产中心处于不同的地理区域,两个区域一般不会同时面临同一类灾难风险,如地震、台风和洪水等自然灾害。
该办法将重要信息系统定义为支撑银行业金融机构关键业务的信息系统,其信息安全和系统服务安全关系到公民、法人和组织的权益或社会秩序和公共利益,甚至影响国家安全。这些信息系统主要包括面向客户、涉及账务处理且时效性要求较高的业务处理类信息系统,以及涉及客户风险管理等业务的管理类信息系统。
根据《信息安全技术信息系统灾难恢复规范》(GB/T 20988-2007)中的条款,商业银行应制定数据中心风险管理的总体框架,并纳入本行信息科技风险管理的总体框架中。商业银行应在取得经营许可证后2年内设立生产中心,并在生产中心设立后2年内设立灾备中心。同时,商业银行应按照《商业银行数据中心管理办法》的规定,向中国银监会或其派出机构报告数据中心设立或变更的情况,并且在变更数据中心服务范围、服务职能和场所时,需要提前报告并获得审批。
管理办法强调了属地监管原则,要求商业银行在数据中心规划阶段和正式运营前20个工作日内,向中国银监会或其派出机构报告。数据中心的设立和重大变更还需要按照《商业银行数据中心管理办法》规定的要求进行报告。对于设立或变更时的风险状况,中国银监会或其派出机构可向商业银行提示风险,并提出整改意见,商业银行必须及时整改并反馈结果。
整体而言,该办法的提出是为了进一步加强商业银行数据中心的风险管理,确保银行业务的连续性和信息系统安全,规范商业银行数据中心的建设和运维管理,从而提升整个银行业的信息科技服务质量和风险应对能力。
wellovejj2013-05-11很好,是发文
