银行业重要信息系统投产评估

随着银行业信息化建设的快速发展和“互联网+”战略的深入推进，各银行业金融机构数据中心机房迁移扩建、重要信息系统升级改造等投产变更类事项数量日益增长，其复杂度高、业务影响大，已逐渐成为信息科技风险高发领域。 各银行业金融机构及时、准确、规范地对数据中心、重要信息系统投产变更类事项进行报告，是监管合规的基本要求，也是预防和控制信息科技交付风险和后续运行风险的前提与关键。

1、安全评估

在重要信息系统投产前，按照监管制定的相关规范要求，对重要信息系统相关的信息安全策略、信息安全管理措施和保护控制措施等方面进行安全测评，验证安全策略、措施制定流程及其规范性、合理性，安全策略、措施的全面性、充分性、有效性。

2、风险评估

对重要信息系统进行风险评估，充分识别、分析、评估重要信息系统投产上线前的系统交付风险、投产上线后的运行安全风险、投产上线后的业务连续性风险、外包风险和合规风险，进而充分识别重要信息系统投产风险，在满足自身信息科技风险管理需求的基础上，实现监管合规。

3、应急预案及演练（可选）

对重要信息系统建立投产变更应急预案，包括应急处置组织结构，应急场景，应急处置流程、步骤，应急联系方式与报告路线等，协助客户完成应急演练，并提交演练总结报告。

4、协助报备

对发现的问题提出整改建议，并协助相关人员修复问题。积极配合完成相关上报材料的编写，提交相关交付物,协助银行在重要信息系统投产前至少20个工作日向相关银保监局和中国人民银行进行报备，直至重要信息系统正式上线。

政策法规： ▶ 《银行业金融机构重要信息系统投产及变更管理办法》（银监办发〔2009〕437号） ▶ 《商业银行信息科技风险管理指引》(银监发〔2009〕19 号) ▶ 《中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知》（银监办发〔2014〕187号） ▶ 《银行业金融机构信息科技外包风险监管指引》(银监发〔2013〕5号 ) ▶ 《商业银行数据中心监管指引》（银监办发〔2010〕114号） ▶ 《电子银行业务管理办法》(银监发〔2006〕5 号) ▶ 《电子银行安全评估指引》(银监发〔2006〕9 号) ▶ 《商业银行业务连续性监管指引》（银监办发〔2011〕104号） ▶ 《银行业信息系统灾难恢复管理规范》（银发〔2008〕48号） ▶ 《银行业重要信息系统突发事件应急管理规范(试行)》(银监办发〔2008〕53号) 技术标准： ▶ JR/T 0068-2020 网上银行系统信息安全通用规范 ▶ GB/T 20983-2007信息安全技术网上银行系统信息安全保障评估准则