第三章 突发事件分级
第九条 突发事件依照其影响范围及持续时间等因素分级。当突发事件同时满足多个级别的定级条件时,按最高级别确定突发事件等级。
(一)特别重大突发事件(Ⅰ级)
1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定的,或对公众利益造成特别严重损害的突发事件;
2.由于重要信息系统服务异常,在业务服务时段导致银行业金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达3个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的突发事件;
3.业务服务时段以外,重要信息系统出现的故障或事件救治未果,可能产生上述1至2类的突发事件。
(二)重大突发事件(Ⅱ级)
1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的突发事件;
2.由于重要信息系统服务异常,在业务服务时段导致银行金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达半个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达3个小时(含)以上的突发事件;
3.业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。
(三)较大突发事件(Ⅲ级)
1.银行业金融机构由于重要信息系统服务中断或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的突发事件;
2.由于重要信息系统服务异常,在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的突发事件;
3.业务服务时段以外,出现的重要信息系统故障或事件救治未果,可能产生上述1至2类的突发事件。
第十条 重要信息系统突发事件发生后,银行业金融机构应依据事件影响范围和影响时间的变化,按照上述定义进行事件级别升级。
第四章 风险防范
第十一条 银行业金融机构应根据业务影响分析确定各项业务的信息系统恢复指标,主要包括:
(一)恢复时间目标(RTO):业务功能恢复正常的时间要求;
(二)恢复点目标(RPO):业务功能恢复时能够容忍的数据丢失量。
第十二条 银行业金融机构应根据信息系统恢复指标和系统间的依赖关系,确定各信息系统应急响应恢复优先顺序,并系统化地识别信息技术资源风险,包括基础设施类风险、主机和硬件设备类风险、系统类风险、应用类风险、网络类风险等,以确保风险识别的全面性。
