1、 信息系统应急预案编写和演练程序文件编号:PYJ7402 中国建设银行江苏省分行体系文件 版本号: . 3 1. . 4 2. . 4 3. . 4 4. . 4 . 5 . 5 . 8 . 8 . 9 第 2 页 共 9 页 文件编号:PYJ7402 中国建设银行江苏省分行体系文件 版本号: 序号 修改日期 修改单号 修改人 生效日期 第 3 页 共 9 页 文件编号:PYJ7402 中国建设银行江苏省分行体系文件 版本号: 本文件规定了中国建设银行江苏省分行信息系统应急预案编写演练的操作流程和控制要点,旨在确保信息系统应急预案制定的及时性和严肃性,应急预案的正确性和可用性,以备应急处理使用
2、。 本文件适用于中国建设银行江苏省分行信息系统应急预案编写和演练。 本文件采用中国建设银行内部控制体系框架和要求、中国建设银行江苏省分行内控手册(ICM-CCBJS)的定义和缩写,本文件中需补充说明的定义和缩写如下: 应急工作小组:负责组织、协调信息系统紧急性或灾难性故障应急处理的非常设机构,由计算机安全领导小组成员、信息技术管理部和行内相关部门人员组成; 专家组:负责对应急预案可行性进行评审的非常设机构。应急工作小组召集,由信息技术管理部门技术专家和行内相关部门专家组成,也可邀请行外技术专家参加。 部门/岗位 职责 不相容职责 应急工作小组 负责总体组织协调完成应急预案的 编写和演练 信息技
3、术管理部 负责技术类风险分析和应急预案的 制定和演练 行内相关部门 负责业务类风险分析和应急预案的 制定和演练 专家组 负责应急预案的评审 第 4 页 共 9 页 文件编号:PYJ7402 中国建设银行江苏省分行体系文件 版本号: 1为及时处理紧急性或灾难性故障,各生产系统投产前必须制定应急预案并根据实际运行情况及时调整。 2应急预案内容应包括应急组织机构及职责分工、应急目标及风险事件分析、各项应急程序的启动条件及操作步骤、所需资源、现场保护及恢复流程、处理假设性风险事件的业务方法和技术方法。 3系统投产前,应进行应急预案的演练;系统投产后,对可模拟的故障或灾难,在保证系统日间正常运行的前提下
4、,应定期或不定期地组织应急方案的演练,原则上每年至少一次。 4演练完成后,应及时根据演练结果,整理和充实应急预案。 本体系文件的控制活动分为三个阶段,包括:预案编写阶段、论证及审批阶段和演练阶段。 流程的主要风险是:应急目标不明确,编写的应急预案不实用。针对主要风险的关键控制环节是:选派具有技术、业务水平较高,特别是对该系统有比较深入了解的人员参加方案编写,通过演练进一步完善应急预案。 本流程的输入为信息类项目投产准备,流程的供方为项目提出部门;流程的输出为完成信息系统应急预案的制定和演练,流程的顾客为项目提出部门。具体的流程描述及控制要求见下表。 第 5 页 共 9 页 文件编号:PYJ74
5、02 中国建设银行江苏省分行体系文件 版本号: 应急预案编写和演练流程图(FYJ7402-00-01)开始技术类风业务类风1险事件分险事件分析析确定应急目标23编写技术编写业务类应急预类应急预案案4组织投产汇总完成应急测试报告 前应急方方案编写案测试N演练论证,审批预案编写是否需要专家论证Y组织成立专家N专家论证组审批通过Y5组织定期演练报告的应急方案演练对演练情况总结,评估,修改应急方案结束第 6 页 共 9 页 文件编号:PYJ7402 中国建设银行江苏省分行体系文件 版本号: 1 在项目投产准备阶段,由项目提出部门提风险点1:应急目标分析不准确 交应急预案编写申请至应急工作小组 风险类型
6、:管理风险 2 应急工作小组应及时组织研究分析,根据风险级别:中等 业务重要程度,应用规模,并结合系统实控制目标: 应急目标定位准确 际运行环境配置,确定合理的系统应急目控制措施:项目投产前,全面分析投标。 产时可能产生的风险,确定应急目标,3 信息技术管理部从技术层面完成系统风并完成应急预案编写。 险分析。 控制岗位:应急工作小组 4 行内相关部门从业务应用层面完成系统 风险分析。 风险点2:技术类应急方案编写不全5 信息技术管理部编写技术类应急预案。 面,准确 6 行内相关部门编写业务类应急预案。 风险类型:管理风险 7 信息技术管理部根据技术类和业务类应风险级别:中等 急预案的内容,汇总
7、完成总体应急预案的控制目标:技术应急措施准确、实用 编写。应急预案应包括应急组织机构及职控制措施:选派具有技术水平较高,责分工、应急目标及风险事件分析、各项特别是对该系统有比较深入了解的人应急程序的启动条件及操作步骤、所需资员参加方案编写。 源、现场保护及恢复流程、处理假设性风控制岗位:信息技术管理部 险事件的业务方法和技术方法。 8 在应急预案编写完成后,应急工作小组根风险点3:业务类应急方案编写不全据实际情况,对可模拟的故障,组织完成面,准确 应急预案的测试。并根据测试情况,提交风险类型:管理风险 测试报告。 风险级别:中等 控制目标:业务应急措施准确、实用 控制措施:选派具有业务水平较高
8、,特别是对该系统有比较深入了解的人员参加方案编写。 控制岗位:行内相关部门 风险点4:未进行应急预案测试或测试不充分 风险类型:管理风险 风险级别:中等 控制目标:应急预案实用、可行 控制措施:通过演练,进一步完善应急预案,同时使业务、技术人员熟悉应急流程。 控制岗位:应急工作小组 1 应急工作小组研究决定应急预案是否需 要进行专家论证。 2 对于需要进行专家论证,应急工作小组应负责组织成立专家小组。 3 专家组重点从技术和业务两方面对应急预案的合理性、正确性,可用性进行论证。根据专家组的意见,重新进行方案的制定或修改。 4 对于不需要或已通过专家论证的应急预案,由应急工作小组进行审批。审批的
9、内第 7 页 共 9 页 文件编号:PYJ7402 中国建设银行江苏省分行体系文件 版本号: 容包括:预案编写阶段流程、流转正确;应急预案内容完整性;是否已提交测试报告;需要专家论证的,是否已通过并提交专家论证意见。 5 未通过审批的,重新进行方案的制定或修订。 1 应急工作小组定期组织应急预案的演练,风险点5:未定期组织应急预案演练;重点是提高在业务系统生产环境出现紧未根据演练情况,及时修订应急预案 急性或灾难性故障时,通过将业务运行切风险类型:管理风险 换至备份环境而迅速恢复正常生产的能风险级别:中等 力。应急演练的主要工作包括:人员组织控制目标:定期组织应急预案演练,到位;明确演练目标和
10、演练内容;确定演并修订应急预案 练计划;编写演练方案;演练方案审批;控制措施:加强业务技能培训 应急演练具体实施等。 控制岗位:应急工作小组 2 演练结束后,演练人员应及时向应急工作小组报告演练完成的具体情况。 3 对具体演练工作,应急工作小组及时组织总结和评估。 4 排查演练中暴露出来的问题,相应修改和完善应急预案,并按照信息技术档案管理作业指导书的工作要求归档。 参见信息系统安全检查作业指导书(IJC8101-06),主要检查应急预案的制定和演练情况。 8.1依据文件 1) 商业银行内控指引 中国人民银行公告200219号 2) 中国建设银行XXX分行内控手册(ICM-CCBJS) 3) 关于下发中国建设银行科技部门内部控制规定(试行)的通知(建总发2000124号) 4) 关于下发中国建设银行江苏省分行计算机系统安全运行管理实施细则(试行)及相关操作规程的通知(建苏发2002103号) 5) 信息系统安全管理规范(IXX7300-01) 第 8 页 共 9 页 文件编号:PYJ7402 中国建设银行江苏省分行体系文件 版本号: 8.2相关文件 信息系统安全检查作业指导书(IJC8101-06) 无 第 9 页 共 9 页
