银行数据安全工作计划实用【范例5篇】

网友 分享 时间:

【请您参阅】下面供您参考的“银行数据安全工作计划实用【范例5篇】”是由阿拉网友精心整理分享的,供您阅读参考之用,希望此例范文对您有所帮助,喜欢就复制下载支持一下小编了!

银行数据安全工作计划【第一篇】

一、加强思想政治工作。加强政治学习和安全教育是做好安全社会治安综合治理工作、在职工中牢固树立“安全第一”思想的重要环节。要通过经常性的学习和教育,使职工自觉履行职责,为构建和谐社会和经济金融安全运行服务。

二、签订《社会治安综合治理及安全管理责任书》。实行安全管理承包责任制,在细化安全事项、明确责任、杜绝相互推委、提高职工参与安全管理主的动性等方面起到了良好的效果。20xx年我支行继续签订《社会治安综合治理及安全管理责任书》,并把安全工作的重点放在抓好落实上,确保全年安全无事故。

三、做好社会治安综合治理工作。1、在我行被县社会治安综合治理委员会列为成员单位,要加强社会治安综合治理工作的规范化;抓好社会治安综合治理队伍建设;进一步健全矛盾纠纷排查调处工作管理机制;抓好安全管理各项规章制度的.落实。2、安排管理好行政值班;3、认真开展法制宣传月活动,有计划、有安排、有资料总结,不走形式,起到良好的宣传效果。力所能及地提供物质条件,宣传、引导广大职工进行有益的文化娱乐活动,从小事做起,踏踏实实地做好社会治安综合治理工作。

四、加强安全检查力度。督促职工对办公区、各股室内部安全事项进行经常性检查,发现隐患,及时处理。节假日前,在各股室自查的基础上,支行安全工作领导小组要进行全面检查,认真地做好节假日的安全管理工作,防患于未然。

五、注重火灾消防工作。对县支行的消防实施进行检查,根据火灾隐患的位置合理配置灭火器具。充装本年度到期的灭火器。

六、努力完成人民银行xx市中心支行和本行交给的其他任务。

20xx年的工作思路是:认真贯彻落实十八大,十八届三中、四中全会的精神,围绕为高陵经济发展这个中心,紧抓特种设备安全,全力开展xx市争创“全国质量强市示范城市”工作、认真落实党风廉政一岗双责制度,认真抓好队伍建设、依法行政建设、名牌战略、计量检定能力建设、基础设施建设工作。全面提升服务高陵经济建设能力,促进高陵质监工作再上一个新台阶。

1、全力开展“xx市争创全国质量强市示范城市”工作,年初将召集五大质量牵头部门,组织召开观摩会议,狠抓质量强市示范点建设,进一步细化工作任务,确保我县顺利通过市质量创建办的考核。

2、继续实施农业标准化战略,邀请农业科技专家教授给我县种植户就种植方面的有关知识进行培训,帮助他们全面掌握新的农业生产技术设施蔬菜标准化栽培关键技术。

3、积极推进我县名牌战略进程。深入辖区企业开展调研工作,发掘、培育、扶持有条件、基础好的企业,积极开展省、市名牌产品以及质量奖的申报工作。力争新增陕西名牌产品1个,西安名牌1-2个。

5、进一步拓展计量,加强人员队伍建设,积极组织检定人员参加培训,争取尽快将新立项目全部开展,扩大检定范围,维护市场公平秩序。

6、不断提升我局执法能力,进一步摸清辖区所有许可证企业底数,并建立质量档案(包括:营业执照复印件、许可证复印件、组织机构复印件、《工业产品生产许可证获证企业质量监管信息》、每年的《自查报告》及对企业开展年审、监督检查和产品质量抽查的情况报告和其他有关记录)。并及时补充完善档案中的相关事宜,不断提升我局行政执法的水平。

7、继续加强对我县特种设备的安全监管,加大日常巡查力度,全面落实巡查办法,建立健全巡查台账,大力清除安全隐患,提高监察效率,确保全年无一起特种设备安全重特大责任事故。

银行数据安全工作计划【第二篇】

随着金融科技快速发展,银行业务已经大幅度地数字化,银行数据的安全就更加重要。银行数据安全问题不仅关系到金融机构的安全,也直接牵涉到客户的资产安全。近年来,各种数据泄露和被黑客攻击的事件层出不穷,让人们对银行数据安全问题更加关注。本文就针对银行数据安全的实际案例,从多方面进行分析,希望广大用户能够更好地保护自己的银行数据。

第二段:数据泄露案例的分析。

银行的数据泄露可以产生的方式非常多。最近,一家银行因为数据库的某个升级漏洞造成了客户信息泄露事件,这漏洞是在升级过程中没有及时发现。出现这种情况,银行首先应该确保在升级前对所有的漏洞进行检查,并及时更新安全措施。

第三段:黑客攻击事件的影响。

银行网络安全极容易被各种有意攻击的人攻击。黑客的攻击导致银行的机密、财务数据和客户个人信息等信息泄露或被修改。因此,银行必须增加安全补丁和网络安全设施来保证数据库的安全。另外,应该教育员工,提高他们的保护意识,避免因员工操作不当导致的安全漏洞。

第四段:APP泄漏事件的反思。

移动支付技术促进了人们的生活,并使得我们越来越依赖于手机或者电脑。然而,现在很多非官方的APP也存在一定质量问题。有些APP安装了后门,使得用户的数据被恶意接应用程序偷渡了。所以银行向我们推荐使用官方APP,而不要轻易安装未经检测的APP并且要及早更新到最新版本。

第五段:总结。

银行数据安全需要我们的深入思考,同时银行也需要不断加强技术设施,制定更好的安全策略来保护客户的隐私和资产安全。客户也要提高对安全问题的认识,注意保护自己的个人信息和银行卡号等隐私数据,避免给不法分子制造麻烦并造成财务损失。只有双方共同努力,银行数据安全才能够更好地得到保障。

银行数据安全工作计划【第三篇】

继续做好镇政府信息系统的运维管理工作,进一步加强日常监测。持续做好系统数据备份工作,增强系统数据的安全和备份数据的可用性。同时,计划开展至少两次系统安全风险测评,定期排查安全漏洞及隐患。

持续做好智慧寮步中心机房日常维护,机房内部环境安全性监测,定期根据实际运行情况形成巡检报告,并及时处理机房设备预警性安全隐患。同时加强对信息系统数据库的硬件支撑防护,确保数据备份及时和稳定。

由镇使用正版软件工作领导小组办公室(设在信息化办)督促镇属单位严格执行软件正版化管理制度及相关规定。持续抓好软件正版化工作的责任落实、软件使用管理、督促检查等工作,并对已建立的软件台账进行动态更新。

继续强化日常管理并做好事项提醒工作,同时做好镇级单位信息、人员账户及通讯录管理。并从严控制用户访问权限,加强对使用人员的信息安全教育。

寮步镇信息化办公室。

2022年1月11日。

银行数据安全工作计划【第四篇】

这一次参加安全保卫培训,感触颇深。从天津宝坻闹市区的一储蓄所的抢劫案,到甘肃天水“”银行抢劫案,都给我们敲响了安全的警钟。

防范风险时刻能不松懈,它时刻和我们的人身安生企业财产安全息息相关。风险防范是银行每时每刻都存在的话题,每个柜员都必须深刻的认识银行存在的风险和防范风险发生的方法。

时刻牢记《邮政金融资金安全监督管理暂行规定》,《邮政金融资金案件责任查究规定》,《邮政金融资金安全检查规定》三个规定。

思想上必须高度重视,执行力必须坚决果断,业务流程必须熟练掌握,风险防范必须牢记心中。这样才能真正达到防范案件风险之目的,才能把我们的各项规章制度和“三个规定”真正运用到实际工作当中去。加强安全防范意识,并不是一句挂在嘴边的空话。看到案例中天水储蓄所平时养成的不良习惯,未随手关闭安全门,给不法分子可乘之机,才造就了这一惨案的发生。有章不循,违规操作,检查不细,无数案件、事故、教训,都反应出不执行规章制度,才导致一不法分子有机会钻空子,从而给自身生命安全,企业资金安全,带来不可挽回的损失。各项规章制度的建立,不是凭空想象出来产物,而是在经历过许许多多实际工作经验教训总结出来的,只有按照各项规章制度办事,我们才有保护自已的权益和维护广大客户的权益能力。

“小区金融自助银行安全防范培训”心得作为一名银行从业人员而言,不光要具备过硬的业务素质,也应具备安全防范的意识和能力。这次培训重点介绍了安全防范的基本概念;安全防范系统的构成;突发事件的处置方法;自助银行安全管理以及安全防范检查的重点工作。培训通过视频案例和现场演示等方式,具体介绍了安全防范的工作细节。通过学习使自己进一步提高了对安全保卫工作重要性的`认识,增强了工作的责任感和紧迫感。这对我今后更好地开展工作有着积极的指导意义。

首先,做好安全保卫工作,“物防”、“技防”是保障,但关键还在于“人防”。因此,要加强教育与培训,增强全员安全防范意识。要经常对员工进行职业道德和安全防范教育,引导员工树立爱岗敬业、乐于奉献的道德情操,提高员工的法纪观念和安全防范意识。要积极做好一线员工的防不法侵害、防治安事故、防安全事故、防突发事件的培训,制定和完善各种突发事件处置预案,开展小区金融从业人员的安全防范技能培训,提高员工识别不法行为和处理突发事件的能力,切实增强全员安全防范意识,努力提升全行安全防范整体水平和综合防范能力。

机制,使防范工作走在各项工作的前面,真正做到未雨绸缪。对各类风险点要心中有数,对外部治安环境形势要有准确的判断。要结合工作实际,根据不同情形制定突发事件应急预案,同时要组织好相关预案的演练工作,使员工真正掌握预案的流程、要点和防范手段,确保应急预案真正发挥作用。

最后,增强工作人员的责任心。小区金融从业者一定要认认真真履行岗位职责,全心全意地做好本职工作。如果没有工作责任心,即使再有学识,再有能力,也无法做好本职工作。所以,要做好安防工作,最重要的就是责任心问题,工作人员必须切实增强责任心,认真履行安全防范工作岗位职责。

银行数据安全工作计划【第五篇】

第一条 为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,提高商业银行业务连续性水平,根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。

第二条 在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本指引执行。

第三条 以下术语适用于本指引:

(一)本指引所称数据中心包括生产中心和灾难备份中心(以下简称灾备中心)。

(二)本指引所称生产中心是指商业银行对全行业务、客户和管理等重要信息进行集中存储、处理和维护,具备专用场所,为业务运营及管理提供信息科技支撑服务的组织。

(三)本指引所称灾备中心是指商业银行为保障其业务连续性,在生产中心故障、停顿或瘫疾后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织。

(四)本指引所称灾备中心同城模式是指灾备中心与生产中心位于同一地理区域,一般距离数十公里,可防范火灾、建筑物破坏、电力或通信系统中断等事件。灾备中心异地模式是指灾备中心与生产中心处于不同地理区域,一般距离在数百公里以上,不会同时面临同类区域性灾难风险,如地震、台风和洪水等。

(五)本指引所称重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且时效性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统,以及支撑系统运行的机房和网络等基础设施。

第四条 《信息安全技术信息系统灾难恢复规范》(gb/t209882015)中的条款通过本指引的引用而成为本指引的条款。

第二章 设立与变更

第五条 商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立后两年内,设立灾备中心。

第六条 商业银行数据中心应配置满足业务运营与管理要求的场地、基础设施、网络、信息系统和人员,并具备支持业务不间断服务的能力。

第七条 总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,及省级农村信用联合社应设立异地模式灾备中心,重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》中定义的灾难恢复等级第5级(含)以上;其他法人商业银行应设立同城模式灾备中心并实现数据异地备份,重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》中定义的灾难恢复等级第4级(含)以上。

第八条 商业银行应就数据中心设立,数据中心服务范围、服务职能和场所变更,以及其他对数据中心持续运行具有较大影响的重大变更事项向中国银监会或其派出机构报告。

第九条 商业银行应在数据中心规划筹建阶段,以及在数据中心正式运营前至少20个工作日,向中国银监会或其派出机构报告。

第十条 商业银行变更数据中心场所时应至少提前2个月,其他重大变更应至少提前10个工作日向中国银监会或其派出机构报告。

第三章 风险管理

第十一条 商业银行信息科技风险管理部门应制定数据中心风险管理策略、风险识别和评估流程,定期开展风险评估工作,对风险进行分级管理,持续监督风险管理状况,及时预警,将风险控制在可接受水平。

第十二条 商业银行信息科技部门应指导、监督和协调数据中心明确信息系统运营维护管理策略,建立运营维护管理制度、标准和流程,落实信息科技风险管理措施。

第十三条 商业银行数据中心应建立健全各项管理与内控制度,从技术和管理等方面实施风险控制措施。

第十四条 商业银行数据中心应设立专门管理岗位,监督、检查数据中心各项规范、制度、标准和流程的执行情况以及风险管理状况。

第十五条 商业银行应根据业务影响分析所识别出风险的可能性和损失程度,决定是否购买商业保险以应对不同类型的灾难,并定期检查其保险策略及范围。投保资产清单应保存于安全场所,以便索赔时使用。

第十六条 商业银行内部审计部门应至少每三年进行一次数据中心内部审计。

第十七条 商业银行在采取有效信息安全控制措施的前提下,可聘请合格的外部审计机构定期对数据中心进行审计。

第十八条 商业银行数据中心应根据内、外部审计意见,及时制定整改计划并实施整改。

第四章 运行环境管理

第十九条 商业银行进行数据中心选址时,应进行全面的风险评估,综合考虑地理位置、环境、设施等各种因素对数据中心安全运营的潜在影响,规避选址不当风险,避免数据中心选址过度集中。

第二十条 数据中心选址应满足但不限于以下要求:

(一)生产中心与灾备中心的场所应保持合理距离,避免同时遭受同类风险。

(二)应选址于电力供给可靠,交通、通信便捷地区;远离水灾和火灾隐患区域;远离易燃、易爆场所等危险区域;远离强振源和强噪声源,避开强电磁场干扰;应避免选址于地震、地质灾害高发区域。

第二十一条 数据中心基础设施建设应以满足重要信息系统运行高可用性和高可靠性要求、保障业务连续性为目标,应满足但不限于以下要求:

(一)建筑物结构,如层高、承重、抗震等,应满足专用机房建设要求。

(二)应根据使用要求划分功能区域,各功能区域原则上相对独立。

(三)应配备不间断电源、应急发电设施等以满足信息技术设备连续运行的要求。

(四)通信线路、供电、机房专用空调等基础设施应具备冗余能力,进行冗余配置,消除单点隐患。

(五)机房区域应采用气体消防和自动消防预警系统,内部通道设置、装饰材料等应满足消防要求,并通过消防验收。

(六)应采取防雷接地、防磁、防水、防盗、防鼠虫害等保护措施。

(七)应采用环保节能技术,降低能耗,提高效率。

第二十二条 数据中心安防与基础设施保障应满足但不限于以下要求:

(一)各功能区域应根据使用功能划分安全控制级别,不同级别区域采用独立的出入控制设备,并集中监控,各区域出入口及重要位置应采用视频监控,监控记录保存时间应满足亭件分析、监督审计的需要。

(二)应具备机房环境监控系统,对基础设施设备、机房环境状况、安防系统状况进行7x24小时实时监测,监测记录保存时间应满足故障诊断、事后审计的需要。

(三)每年至少开展一次针对基础设施的安全评估,对基础设施的可用性和可靠性、运维管理流程以及人员的安全意识等方面进行检查,及时发现安全隐患并落实整改。

第二十三条 数据中心应来用两家或多家通信运营商线路互为备份。互为备份的通信线路不得经过同一路由节点。

第五章 运营维护管理

第二十四条 商业银行应建立满足业务发展要求的数据中心运营维护管理体系,根据业务需求定义运营维护服务内容,制定服务标准和评价方法,建立运营维护管理持续改进机制。

第二十五条 数据中心应建立满足信息科技服务要求的运营管理组织架构。设立生产调度、信。息安全、操作运行维护、质量合规管理等职能相关的部门或岗位,明确岗位和职责,配备专职人员,提供岗位专业技能培训,确保关键岗位职责分离,通过职责分工和岗位制约降低数据中心操作风险。

第二十六条 数据中心应建立信息科技运行维护服务管理流程,提高整体运行效率和服务水平,包括:

(一)应建立事件和问题管理机制。明确亭件管理流程,定义事件类别、事件分级响应要求和事件升级、上报规则,及时受理、响应、审批和交付服务请求,保障生产服务质量,尽可能降低对业务影响;建立服务台负责受理、跟踪、解答各类运营问题;建立问题根源分析及跟踪解决机制,查明运营事件产生的根本原因,避免事件再次发生。

(二)应建立变更管理流程,减少或防止变更对信息科技服务的影响。根据变更对业务影响大小进行变更分级,对变更影响、变更风险、资源需求和变更批准进行控制和管理;变更方案应包括应急及回退措施,并经过充分测试和验证;建立变更管理联动机制,当生产中心发生变更时,应同步分析灾备系统变更需求并进行相应的变更,评估灾备恢复的有效性;应尽量减少紧急变更。

(三)应建立配置管理流程,统一管理、及时更新数据中心基础设施和重要信息系统配置信息,支持变更风险评估、变更实施、故障事件排查、问题根源分析等服务管理流程。

(四)应对重要信息系统和通信网络的容量和性能需求进行前瞻性规划,分析、调整和优化容量和性能,满足业务发展要求。

(五)应统一调度各项运维任务,协调和解决各项运维任务冲突,妥善记录和保存运维任务调度过程。

(六)应制定验收交接标准及流程,规范重要信息系统投产验收管理。加强版本控制,防范因软件版本、操作文档等不一致产生的风险。

(七)应根据商业银行总体风险控制策略及应急管理要求,从基础设施、网络、信息系统等不同方面分别制定应急预案,并及时修订应急预案,定期进行演练,保证其有效性。

(八)应集中监控重要信息系统和通信网络运行状态。采用监控管理工具,实时监控重要信息系统和通信网络的运行状况,通过监测、采集、分析和调优,提升生产系统运行的可靠性、稳定性和可用性。监控记录应满足故障定位、诊断及事后审计等要求。

第二十七条 数据中心应建立信息安全管理规范,保证重要信息的机密性、完整性和可用性,包括:

(一)应设立专门的信息安全管理部门或岗位,制定安全管理制度和实施计划,定期对信息安全策略、制度和流程的执行情况进行检查和报告。

(二)应建立和落实人员安全管理制度,明确信息安全管理职责;通过安全教育与培训,提高人员的安全意识和技能;建立重要岗位人员备份制度和监督制约机制。

(三)应加强信息资产管理,识别信息资产并建立责任制,根据信息资产重要性实施分类控制和分级保护,防范信息资产生成、使用和处置过程中的风险。

(四)应建立和落实物理环境安全管理制度,明确安全区域、规范区域访问管理,减少未授权访问所造成的风险。

(五)应建立操作安全管理制度,制定操作规程文档,规范信息系统监控、日常维护和批处理操作等过程。

(六)应建立数据安全管理制度,规范数据的产生、获取、存储、传输、分发、备份、恢复和清理的管理,以及存储介质的台帐、转储、抽检、报废和销毁的管理,保证数据的保密、真实、完整和可用。

(七)应建立网络通信与访问安全策略,隔离不同网络功能区域,采取与其安全级别对应的预防、监测等控制措施,防范对网络的未授权访问,保证网络通信安全。

(八)应建立基础设施和重要信息的授权访问机制,制定访问控制流程,保留访问记录,防止未授权访问。

第六章 灾难恢复管理

第二十八条 商业银行应将灾难恢复管理纳入业务连续性管理框架,建立灾难恢复管理组织架构,明确灾难恢复管理机制和流程。

第二十九条 商业银行应统筹规划灾难恢复工作,定期进行风险评估和业务影响分析,确定灾难恢复目标和恢复等级,明确灾难恢复策略、预案并及时更新。

第三十条 商业银行灾难恢复预案应包括但不限于以下内容:灾难恢复指挥小组和工作小组人员组成及联系方式、汇报路线和沟通协调机制、灾难恢复资源分配、基础设施与信息系统的恢复优先次序、灾难恢复与回切流程及时效性要求、对外沟通机制、最终用户操作指导及第三方技术支持和应急响应服务等内容。

第三十一条 商业银行应为灾难恢复提供充分的资源保障,包括基础设施、网络通信、运维及技术支持人力资源、技术培训等。

第三十二条 商业银行应建立与服务提供商、电力部门、公安部门、当地政府和新闻媒体等单位的外部协作机制,保证灾难恢复时能及时获取外部支持。

第三十三条 商业银行应建立灾难恢复有效性测试验证机制,测试验证应定期或在重大变更后进行,内容应包含业务功能的恢复验证。

第三十四条 商业银行应每年至少进行一次重要信息系统专项灾备切换演练,每三年至少进行一次重要信息系统全面灾备切换演练,以真实业务接管为目标,验证灾备系统有效接管生产系统及安全回切的能力。

第三十五条 商业银行进行全面灾备切换和真实业务接管演练前应向中国银监会或其派出机构报告,并在演练结束后报送演练总结。

第三十六条 商业银行因灾难亭件启动灾难恢复或将灾备中心回切至生产中心后,应及时向中国银监会或其派出机构报告,报告内容包括但不限于:灾难亭件发生时间、影响范围和程度,亭件起因、应急处置措施、灾难恢复实施情况和结果、回切方案。

第七章 外包管理

第三十七条 商业银行董事会对外包负最终管理责任,应推动和完善外包风险管理体系建设,确保商业银行有效应对外包风险。

第三十八条 商业银行应根据信。息科技战略规划制定数据中心外包策略;应制定数据中心服务外包管理制度、流程,建立全面的风险控制机制。

第三十九条 商业银行应确定外包服务所涉及的`信息资产的关键性和敏感程度,审慎确定数据中心外包服务范围。

第四十条 商业银行应充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和高管层审核。

第四十一条 实施数据中心服务外包时,商业银行的管理责任不得外包。

第四十二条 数据中心服务外包一般包括:

(一)基础设施类:外包服务商向商业银行提供数据中心机房、配套设施或运行设备的服务。

(二)运营维护类:外包服务商向商业银行提供数据中心信息系统或墓础设施的日常运行、维护等服务。

第四十三条 商业银行在选择数据中心外包服务商时,应充分审查、评估外包服务商的资质、专业能力和服务方案,对外包服务商进行风险评估,考查其服务能力是否足以承担相应的贵任。评估包括:外包服务商的企业信誉及财务德定性,外包服务商的信息安全和信息科技服务管理体系,银行业服务经验等。提供数据中心基础设施外包服务的服务商,其运行环境应符合商业银行要求,并具有完备的安全管理规范。

第四十四条 商业银行应与数据中心外包服务商签订书面合同,在合同中明确重要亭项,包括但不限于双方的权利和义务、外包服务水平、服务的可靠性、服务的可用性、信息安全控制、服务持续性计划、审计、合规性要求、违约赔偿等。

第四十五条 商业银行应要求外包服务商购买商业保险以保证其有足够的赔偿能力,并告知保险覆盖范围。

第四十六条 商业银行应加强对数据中心外包服务活动的安全管理,包括但不限于:

(一)商业银行应将数据中心外包服务安全管理纳入数据中心的整体安全策略,保障业务、管理和客户敏感数据信息安全。

(二)商业银行应按照“必需知道”和“最小授权”原则,严格控制外包服务商信息访问的权限,要求外包服务商不得对外泄露所接触的商业银行信息。

(三)商业银行应要求外包服务商保留操作痕迹、记录完整的日志,相关内容和保存期限应满足事件分析、安全取证、独立审计和监督检查需要。

(四)商业银行应要求外包服务商遵守商业银行有关信息科技风险管理制度和流程。

(五)商业银行应要求外包服务商每年至少开展一次信息安全风险评估并提交评估报告。

(六)商业银行应要求外包服务商聘请外部机构定期对其进行安全审计并提交审计报告,督促其及时整改发现的问题。

第四十七条 商业银行应禁止外包服务商转包并严格控制分包,保证外包服务水平。

第四十八条 商业银行应制定数据中心外包服务应急计划,制订供应商替换方案,以应对外包服务商破产、不可抗力或其它潜在问题导致服务中断或服务水平下降的情形,支持数据中心连续、可靠运行。

第四十九条 商业银行应建立外包服务考核、评价机制,定期对外包服务活动和外包服务商的服务能力进行审核和评估,确保获得持续、稳定的外包服务。

第五十条 商业银行在实施数据中心整体服务外包以及涉及影响业务、管理和客户敏感数据信息安全的外包前,应向中国银监会或其派出机构报告。

第五十一条 商业银行应在外包服务协议条款中明确商业银行和监管机构有权对协议范围内的服务活动进行监督检查,包括外包商的服务职能、责任、系统和设施等内容。

第八章 监督管理

第五十二条 中国银监会及其派出机构可依法对商业银行的数据中心实施非现场监管及现场检查。现场检查原则上每三年一次。

第五十三条 针对商业银行数据中心设立、变更、运营过程存在的风险,中国银监会或其派出机构可向商业银行提示风险并提出整改意见。商业银行应及时整改并反馈结果。

48 1497963
");