(四)制定系统恢复流程和应急处置操作手册,尽可能将操作代码化、自动化,降低应急处置过程中产生的操作风险;
(五)明确应急恢复过程中的关键状态,并明确不同状态的沟通和报告内容及等级;
(六)明确应急相关人员的协调内容和沟通方式;
(七)明确系统重建步骤,确保信息系统恢复正常业务处理能力。
第二十一条 银行业金融机构应将支撑信息系统运行的重要外包服务的应急管理纳入其中,建立重要外包服务的专项应急预案,对于重要基础设施、重要设备、网络、系统集成以及其他外包服务商的技术与产品政策、服务水平、服务能力制定风险应对措施,外包服务的应急预案应能够保障银行业信息系统恢复时间目标(RTO)和恢复点目标(RPO)的要求。
第二十二条 银行业金融机构应定期对应急预案进行测试和演练,确保其有效性。
第二十三条 当信息系统发生系统上线、系统升级、网络改造、设备更新、配置参数调整等变更时应及时更新应急预案,并适时实施演练。
第二十四条 银行业金融机构应制定年度信息系统应急演练计划,明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。演练计划应涵盖对应急预案各环节的检验,验证应急预案的有效性、应急资源的完备性及应急人员的适应性。应急演练应做到全面演练和专项演练相结合,一般情况下,银行业金融机构每年至少应组织一次全系统范围内的应急演练。
第二十五条 银行业金融机构应严格按照应急演练计划实施应急演练,并注意如下事项:
(一)以应急预案为基础,制定应急演练总体方案,并进行风险再评估,制定相应的保障措施;
(二)应急演练内容应全面完整,涵盖信息系统的各类应急场景;
(三)严格控制应急演练引起的信息系统变更风险,避免因演练导致服务中断;
(四)应急演练应选择在非主要业务时段进行;
(五)应急演练完成后,应保证实施应急预案所需的各项资源恢复正常;
(六)定期对信息系统应急响应相关人员进行培训。
第二十六条 银行业金融机构应积极配合其他业务相关机构完成跨机构或跨行业应急演练。
第二十七条 银行业金融机构在应急演练的过程中,对可能存在较大风险的演练(如全系统范围的演练),应按属地监管原则,在实施演练前将应急演练计划向银监会或其派出机构报备。
