第六章　灾难恢复管理

　　第二十八条　商业银行应将灾难恢复管理纳入业务连续性管理框架，建立灾难恢复管理组织架构，明确灾难恢复管理机制和流程。

　　第二十九条　商业银行应统筹规划灾难恢复工作，定期进行风险评估和业务影响分析，确定灾难恢复目标和恢复等级，明确灾难恢复策略、预案并及时更新。

　　第三十条　商业银行灾难恢复预案应包括但不限于以下内容：灾难恢复指挥小组和工作小组人员组成及联系方式、汇报路线和沟通协调机制、灾难恢复资源分配、基础设施与信息系统的恢复优先次序、灾难恢复与回切流程及时效性要求、对外沟通机制、最终用户操作指导及第三方技术支持和应急响应服务等内容。

　　第三十一条 商业银行应为灾难恢复提供充分的资源保障，包括基础设施、网络通信、运维及技术支持人力资源、技术培训等。

　　第三十二条 商业银行应建立与服务提供商、电力部门、公安部门、当地政府和新闻媒体等单位的外部协作机制，保证灾难恢复时能及时获取外部支持。

　　第三十三条　商业银行应建立灾难恢复有效性测试验证机制，测试验证应定期或在重大变更后进行，内容应包含业务功能的恢复验证。

　　第三十四条　商业银行应每年至少进行一次重要信息系统专项灾备切换演练，每三年至少进行一次重要信息系统全面灾备切换演练，以真实业务接管为目标，验证灾备系统有效接管生产系统及安全回切的能力。

　　第三十五条　商业银行进行全面灾备切换和真实业务接管演练前应向中国银监会或其派出机构报告，并在演练结束后报送演练总结。

　　第三十六条　商业银行因灾难亭件启动灾难恢复或将灾备中心回切至生产中心后，应及时向中国银监会或其派出机构报告，报告内容包括但不限于：灾难亭件发生时间、影响范围和程度，亭件起因、应急处置措施、灾难恢复实施情况和结果、回切方案。

　　第七章　外包管理

　　第三十七条　商业银行董事会对外包负最终管理责任，应推动和完善外包风险管理体系建设，确保商业银行有效应对外包风险。

　　第三十八条　商业银行应根据信．息科技战略规划制定数据中心外包策略；应制定数据中心服务外包管理制度、流程，建立全面的风险控制机制。

　　第三十九条　商业银行应确定外包服务所涉及的信息资产的关键性和敏感程度，审慎确定数据中心外包服务范围。

　　第四十条 商业银行应充分识别、分析、评估数据中心外包风险，包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等，形成风险评估报告并报董事会和高管层审核。

　　第四十一条 实施数据中心服务外包时，商业银行的管理责任不得外包。

　　第四十二条　数据中心服务外包一般包括：

　　（一）基础设施类：外包服务商向商业银行提供数据中心机房、配套设施或运行设备的服务。

　　（二）运营维护类：外包服务商向商业银行提供数据中心信息系统或墓础设施的日常运行、维护等服务。

　　第四十三条　商业银行在选择数据中心外包服务商时，应充分审查、评估外包服务商的资质、专业能力和服务方案，对外包服务商进行风险评估，考查其服务能力是否足以承担相应的贵任。评估包括：外包服务商的企业信誉及财务德定性，外包服务商的信息安全和信息科技服务管理体系，银行业服务经验等。提供数据中心基础设施外包服务的服务商，其运行环境应符合商业银行要求，并具有完备的安全管理规范。

　　第四十四条　商业银行应与数据中心外包服务商签订书面合同，在合同中明确重要亭项，包括但不限于双方的权利和义务、外包服务水平、服务的可靠性、服务的可用性、信息安全控制、服务持续性计划、审计、合规性要求、违约赔偿等。

　　第四十五条　商业银行应要求外包服务商购买商业保险以保证其有足够的赔偿能力，并告知保险覆盖范围。

　　第四十六条　商业银行应加强对数据中心外包服务活动的安全管理，包括但不限于：

　　（一）商业银行应将数据中心外包服务安全管理纳入数据中心的整体安全策略，保障业务、管理和客户敏感数据信息安全。

　　（二）商业银行应按照“必需知道”和“最小授权”原则，严格控制外包服务商信息访问的权限，要求外包服务商不得对外泄露所接触的商业银行信息。

　　（三）商业银行应要求外包服务商保留操作痕迹、记录完整的日志，相关内容和保存期限应满足事件分析、安全取证、独立审计和监督检查需要。

　　（四）商业银行应要求外包服务商遵守商业银行有关信息科技风险管理制度和流程。

　　（五）商业银行应要求外包服务商每年至少开展一次信息安全风险评估并提交评估报告。

　　（六）商业银行应要求外包服务商聘请外部机构定期对其进行安全审计并提交审计报告，督促其及时整改发现的问题。

　　第四十七条 商业银行应禁止外包服务商转包并严格控制分包，保证外包服务水平。

　　第四十八条　商业银行应制定数据中心外包服务应急计划，制订供应商替换方案，以应对外包服务商破产、不可抗力或其它潜在问题导致服务中断或服务水平下降的情形，支持数据中心连续、可靠运行。

　　第四十九条　商业银行应建立外包服务考核、评价机制，定期对外包服务活动和外包服务商的服务能力进行审核和评估，确保获得持续、稳定的外包服务。

　　第五十条　商业银行在实施数据中心整体服务外包以及涉及影响业务、管理和客户敏感数据信息安全的外包前，应向中国银监会或其派出机构报告。

　　第五十一条　商业银行应在外包服务协议条款中明确商业银行和监管机构有权对协议范围内的服务活动进行监督检查，包括外包商的服务职能、责任、系统和设施等内容。

　　第八章　监督管理

　　第五十二条　中国银监会及其派出机构可依法对商业银行的数据中心实施非现场监管及现场检查。现场检查原则上每三年一次。

　　第五十三条　针对商业银行数据中心设立、变更、运营过程存在的风险，中国银监会或其派出机构可向商业银行提示风险并提出整改意见。商业银行应及时整改并反馈结果。

　　第九章　附则

　　第五十四条　本指引由中国银监会负责解释、修订。

　　第五十五条　本指引自公布之日起执行。

　　附件：《 商业银行数据中心监管指引》 报告材料目录和格式要求

　　附件：《 商业银行数据中心监管指引》 报告材料目录和格式要求

　　一、数据中心规划报告材料目录

　　（一）数据中心建设规划报告，包括：

　　1 ．立项报告和可行性分析报告，包括建设背景、建设目标、风险评估、效益分析、成本投入等。

　　2 ．基础设施规划方案，包括选址、建筑物结构、功能区域划分、监控、防雷接地及消防等配套设施、机房等级等。

　　3 ．信息系统建设规划方案，包括功能与技术方案规划、人员配置计划、系统服务的区域和业务范围等。灾备中心还需提供灾难恢复目标、灾难恢复等级、灾备技术方案规划及风险评佑报告等。

　　（二）区域环境及基础设施风险评估说明，包括风险识别，风险分析和风险控制策略等。

　　（三）建设及运营模式说明，包括技术支持及运行维护体系等。如采用外包，需提供外包的服务内容和外包风险评估报告；

　　（四）组织架构规划。包括拟设立的部门与岗位职责、计划采用的人员数量等。

　　（五）建设及投入运营的时间进度计划和财务预算（基础设施建设和运维管理费用等）。

　　（六）中国银监会或其派出机构要求提供的其它文件和资料。

　　二、数据中心设立报告材料目录

　　（一）由商业银行法定代表人签署的数据中心投产审批文件，包括数据中心上线申请，数据中心上线审批报告等。

　　（二）基础设施情况，包括地址、建筑物结构、功能区域划分、监控、防雷接地及消防等配套设施验收报告、机房及附属设施验收报告等。

　　（三）信息系统情况，包括系统架构、系统名称、系统服务的区域和业务范围、数据备份方案、灾备技术方案等。

　　（四）运营模式说明，包括技术支持及运行维护体系等。如采用外包需说明主要外包管理情况，包括主要外包项目名称、外包内容（业务类型及范围等）、外包商基本情况、外包合同（包括安全保密条款、知识产权保护条款）、外包服务水平协议和外包风险评估报告等。

　　（五）组织架构，包括部门设置与岗位职责、人员配备、主要负责人名单等。

　　（六）管理制度和规范清单及相关说明，包括运行管理流程、安全管理制度、应急管理制度和规范（含应急恢复策略、信息系统备份和恢复方案、应急管理流程及预案、应急演练及培训计划等）、灾难恢复预案。

　　（七）中国银监会或其派出机构要求提供的其它文件和资料。

　　三、数据中心重大变更报告材料目录

　　（一）变更说明，包括变更原因、目的、内容、时间和影响范围等。

　　（二）变更方案，包括变更准备、变更计划和步骤、变更应急和回退措施。

　　（三）风险评估报告，包括风险分析，控制措施、变更有效性评估。

　　（四）中国银监会或其派出机构要求提供的其它文件和资料。

　　四、报告材料格式要求

　　数据中心规划、设立及重大变更报告材料应向中国银监会或其派出机构报送纸质材料和电子文档。