2010《上海内部审计导刊》第11期(13)

商业银行数据大集中的完成，为银行业务带来便利的同时，也带来了风险的高度集中，特别是，由于硬件故障、网络故障、电力中断、人为操作失误等问题而导致大面积、较长时间的业务中断，产生了较大的社会影响，其教训引起了各银行以及监管机构的高度重视。为加强商业银行数据中心风险管理，保障数据中心安全、可靠、稳定运行，提高银行业务连续性水平，中国银行业监督管理委员会于2010年4月底发布了《商业银行数据中心监管指引》(以下简称指引)。该指引对数据中心风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理等方面提出了明确要求，如，商业银行应于取得金融许可证后两年内，设立生产中心;生产中心设立后两年内，设立灾备中心;总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行及省级农村信用联合社应设立异地模式灾备中心，重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》中定义的灾难恢复等级第5级(含)以上等等。

该指引是国内第一个数据中心建设和管理方面的行业监管要求和规范性文件，指引的发布和实施不仅有利于促进银行业数据中心管理和灾难恢复、业务连续管理水平的整体提升，保障业务持续高效运营;同时，对保险、证券、能源等其他行业监管机构对数据中心领域的监管和科技风险管控也有很好的借鉴意义。

风险管理

信息科技为银行业提供广阔的业务发展空间和持续创新能力的同时，也带来了诸多风险，如硬件故障、网络故障、电力中断、人为操作失误等。这些风险轻则降低银行的服务水平、阻碍业务的正常运营;重则导致大范围、长时间停业,使银行面临信用危机以及不良社会影响。因此，近年来，监管机构对信息科技风险的重视程度非常高，此次发布的指引将信息科技风险管理放在了首位，其重视程度可见一斑。

其中，指引要求：商业银行信息科技风险管理部门应制定数据中心风险管理策略、风险识别和评估流程，定期开展风险评估工作，对风险进行分级管理，持续监督风险管理状况，及时预警，将风险控制在可接受水平。

商业银行信息科技部门应指导、监督和协调数据中心明确信息系统运营维护管理策略，建立运营维护管理制度、标准和流程，落实信息科技风险管理措施。

商业银行数据中心应建立健全各项管理与内控制度，从技术和管理等方面实施风险控制措施。

商业银行内部审计部门应至少每三年进行一次数据中心内部审计。商业银行在采取有效信息安全控制措施的前提下，可聘请合格的外部审计机构定期对数据中心进行审计。运行环境管理

运行环境选择的成功与否对数据中心的正常运转影响非常大，例如某商业银行将数据中心选在了湖边;再如，个别银行的数据中心距离易燃、易爆场所过于接近，其潜在风险可想而知。因此，指引对数据中心的选址和建筑物提出了明确的要求：