银监办发〔2010〕240号
中国银监会办公厅关于重要信息系统运行管理及关键设备风险提示的通知
各银监局,各政策性银行、国有商业银行、股份制商业银行,邮政储蓄银行,各省级农村信用联社:
2010年以来,相继发生了多起银行业金融机构信息系统的突发事件。为加强银行业金融机构信息科技风险防控,提高突发事件应急处理能力,保障上海世博会、广州亚运会期间信息系统安全、稳健运行,现将有关情况通报并提示风险如下:
一、三起信息系统突发事件
某股份制商业银行柜面终端系统使用了IBM的JAVA虚拟机,在系统由仿真交易向报文交易改造时,系统性能测试不够充分,未进行系统长时间负载运行场景测试,没有监测到长时间负载运行后可能出现的内存回收异常等情况,同时由于未合理设置虚拟机的部分参数,导致虚拟机存在最大内存过小、内存碎片整理功能不能打开等问题。今年5月6日,该行在业务高峰时,JAVA虚拟机使用的内存很快扩展至设置上限,虚拟机自启动垃圾回收和内存整理功能,消耗大量CPU资源并导致系统运行缓慢,柜面终端响应缓慢,全行大部分网点终端无法登录系统近两个小时。
5月25日,某国有商业银行省级分行使用的一台EMC CX3-20存储设备磁盘盘柜的一个电源模块内部组件失效,造成该电源模块的输出电压出现多次瞬时中断。由于该电源模块并未完全停止工作,因此另一正常电源模块未能及时接管,导致多块硬盘同时掉线,存储设备控制器挂起。事件发生时由于设备供应商对故障原因分析定位不准确,采取修复措施后存储设备故障仍多次出现,部分自助渠道类业务中断对外服务时间近六个小时。
3月22日,某农村金融机构进行公积金冲还贷处理时,处理程序打开公积金中心文件不成功,因程序设计错误,未对此种异常情况进行例外处理而继续执行,导致当月客户公积金贷款未从公积金账户扣划而从客户其他账户扣划,涉及贷款近6万笔,金额近7000万元。
二、风险提示
为切实提高银行业金融机构信息科技管理水平,防范类似事件再次发生,各银行业金融机构要认真做好以下工作:
(一)加强系统开发风险控制与系统测试工作。银行业金融机构应做好重要信息系统开发的风险控制,保障开发质量。应进行充分、完整的测试,特别要关注性能测试工作,保障系统稳定运行以及系统功能与业务目标的一致性。
(二)加强变更控制,合理设置系统参数。银行业金融机构应对重要信息系统变更过程进行安全审查,对变更风险进行识别、分析和评估,有效控制变更风险。要加强系统变更以及业务量变化对于系统性能影响的分析,及时调整系统重要参数配置,不断优化系统。
(三)加强系统运行的实时监控,提高应急处理能力。对于重要信息系统和基础设施的运行状况要进行实时监控,特别是在系统变更后要根据变更影响范围适时调整监控覆盖面、更新监控参数,加强系统变更后的监控。要不断总结日常应急演练和突发事件应急处理经验,加强对技术人员的培训,提高故障定位的及时性和准确性,缩短故障处理时间,降低突发事件的影响程度。
(四)加强重要基础设施安全隐患的排查,提高关键设备、组件冗余配置的有效性。要特别加强对重要基础设施、关键组件的安全检查工作,要安排有关设备供应商对设备和组件进行健康检查,消除风险隐患。对于设备、组件的冗余配置要有完善的检测方案,加强各种情景下的双机(组件)切换演练,有效提高设备、组件的冗余切换能力。
请各银监局将本通知转发至辖内银监分局和相关银行业金融机构。
中国银行业监督管理委员会办公厅
二○一○年七月二十九日