災難恢復管理

近年來，國家、銀行業監管機構以及銀行企業自身對災難恢復、業務連續管理的重視程度越來越高：一方面，國家、人民銀行以及銀監會對于銀行機構的應急管理和業務連續運作提出了更為明確、更為細致的要求；另一方面，銀行自身也在逐步完善應急管理體系和業務連續性預案。但部分商業銀行在應急管理體系和業務連續性建設過程中，往往缺乏統一的應急管理工作組織保障和制度，缺乏規范的應急體系和流程支持，缺乏完善的應急管理體系整體規劃，缺乏完善的信息系統、基礎設施應急預案及必要的演練。因此，銀監會在指引中，對災難恢復管理進行了諸多明確要求，如：

商業銀行應于取得金融許可證后兩年內，設立生產中心；生產中心設立后兩年內，設立災備中心。

總資產規模一千億元人民幣以上且跨省設立分支機構的法人商業銀行，及省級農村信用聯合社應設立異地模式災備中心，重要信息系統災難恢復能力應達到《 信息安全技術信息系統災難恢復規范》 中定義的災難恢復等級第5級（含）以上；其他法人商業銀行應設立同城模式災備中心并實現數據異地備份，重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規范》中定義的災難恢復等級第4級（含）以上。

商業銀行應統籌規劃災難恢復工作，定期進行風險評估和業務影響分析，確定災難恢復目標和恢復等級，明確災難恢復策略、預案并及時更新。

商業銀行應每年至少進行一次重要信息系統專項災備切換演練，每三年至少進行一次重要信息系統全面災備切換演練，以真實業務接管為目標，驗證災備系統有效接管生產系統及安全回切的能力。

外包管理

近年來，商業銀行逐漸開始接受并采用外包方式降低IT投入成本、提升IT服務能力，其外包范圍包括：通信網絡管理、系統備份、災難恢復、信息系統管理、應用系統開發和維護、自助服務、呼叫中心、網上銀行等新型業務處理系統以及數據分析系統、辦公自動化系統等等，而且外包范圍越來越廣。相對于自建災難恢復中心，災難恢復外包不僅成本更加低廉、安全、可靠，而且服務效率、服務水平更有保障。但外包過程中面臨的風險同樣不可小覬。因此，指引對銀行外包管理進行了諸多要求，如：商業銀行應根據信息科技戰略規劃制定數據中心外包策略；應制定數據中心服務外包管理制度、流程，建立全面的風險控制機制。

商業銀行應充分識別、分析、評估數據中心外包風險，包括信息安全風險、服務中斷風險、系統失控風險以及聲譽風險、戰略風險等，形成風險評估報告并報董事會和高管層審核。

商業銀行在選擇數據中心外包服務商時，應充分審查、評估外包服務商的資質、專業能力和服務方案，對外包服務商進行風險評估，考查其服務能力是否足以承擔相應的責任。