财经\会计\审计 信息

年第 11期，第14页，共56页

商业银行进行数据中心选址时，应进行全面的风险评估，综合考虑地理位置、环境、设施等各种因素对数据中心安全运营的潜在影响，规避选址不当风险，避免数据中心选址过度集中。

数据中心选址应满足：生产中心与灾备中心的场所应保持合理距离，避免同时遭受同类风险;应选址于电力供给可靠，交通、通信便捷地区;远离水灾和火灾隐患区域;远离易燃、易爆场所等危险区域;远离强振源和强噪声源，避开强电磁场干扰;应避免选址于地震、地质灾害高发区域。数据中心应用两家或多家通信运营商线路互为备份。互为备份的通信线路不得经过同一路由节点。

灾难恢复管理

近年来，国家、银行业监管机构以及银行企业自身对灾难恢复、业务连续管理的重视程度越来越高：一方面，国家、人民银行以及银监会对于银行机构的应急管理和业务连续运作提出了更为明确、更为细致的要求;另一方面，银行自身也在逐步完善应急管理体系和业务连续性预案。但部分商业银行在应急管理体系和业务连续性建设过程中，往往缺乏统一的应急管理工作组织保障和制度，缺乏规范的应急体系和流程支持，缺乏完善的应急管理体系整体规划，缺乏完善的信息系统、基础设施应急预案及必要的演练。因此，银监会在指引中，对灾难恢复管理进行了诸多明确要求，如：

商业银行应于取得金融许可证后两年内，设立生产中心;生产中心设立后两年内，设立灾备中心。

总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行，及省级农村信用联合社应设立异地模式灾备中心，重要信息系统灾难恢复能力应达到《 信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上;其他法人商业银行应设立同城模式灾备中心并实现数据异地备份，重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》中定义的灾难恢复等级第4级(含)以上。

商业银行应统筹规划灾难恢复工作，定期进行风险评估和业务影响分析，确定灾难恢复目标和恢复等级，明确灾难恢复策略、预案并及时更新。

商业银行应每年至少进行一次重要信息系统专项灾备切换演练，每三年至少进行一次重要信息系统全面灾备切换演练，以真实业务接管为目标，验证灾备系统有效接管生产系统及安全回切的能力。

外包管理

近年来，商业银行逐渐开始接受并采用外包方式降低IT投入成本、提升IT服务能力，其外包范围包括：通信网络管理、系统备份、灾难恢复、信息系统管理、应用系统开发和维护、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等等，而且外包范围越来越广。相对于自建灾难恢复中心，灾难恢复外包不仅成本更加低廉、安全、可靠，而且服务效率、服务水平更有保障。但外包过程中面临的风险同样不可小觊。因此，指引对银行外包管理进行了诸多要求，如：商业银行应根据信息科技战略规划制定数据中心外包策略;应制定数据中心服务外包管理制度、流程，建立全面的风险控制机制。

商业银行应充分识别、分析、评估数据中心外包风险，包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等，形成风险评估报告并报董事会和高管层审核。

商业银行在选择数据中心外包服务商时，应充分审查、评估外包服务商的资质、专业能力和服务方案，对外包服务商进行风险评估，考查其服务能力是否足以承担相应的责任。

下载自“比特网”- /365/11476865.shtml 返回目录