商业银行业务连续性解读

演练时间
演练目标
• 应当以真实业务接管为目标 • 确保有效接管以及安全回切 • 加强业务和信息科技部门的协调和配合
演练参与
• 积极参与同业单位、外部金融市场、金融服务平台、公共事业部门组织的业务连续性演 练 • 应当将外部供应商纳入演练范围
8
灾难恢复
• 事先对备份资源进行技术验证，确保其可用性 • 防范切换后的“二次中断风险”
12
2
指引和其他重要标准之间的关系
3
商业银行业务连续性干系人
4
“指引”的重点规定
• 确定各业务恢复优先顺序和恢复指标，至少每三年开展一次 全面业务影响分析
• 重要业务RTO不得大于4小时，重要业务RPO不得大于30分 钟。（*应急监管条款有更高要求） • 由业务的4大指标RTO、RPO、业务应急响应时间、业务恢 复的验证时间推导确定信息系统的RPO、RTO指标。 • 三个依赖关系：业务与信息系统之间的依赖关系、业务之间 的相互依赖关系、信息系统之间的相互依赖关系
II
重大运营中断事件
1. 数据丢失、泄漏造成客户利益受影响； 2. 导致一个(含)以上省(自治区、直辖市)的多家金 融机构业务无法正常开展达半个小时(含)以上的事 件； 3. 在业务服务时段导致单家金融机构两个(含)以上 省(自治区、直辖市)业务无法正常开展达半个小时 (含)以上，或一个省(自治区、直辖市)业务无法正 常开展达3个小时(含)以上的事件；
• 外部供应商也 要建立并证明 业务连续性计 划的有效性， 满足本指引要 求 • …
6
业务连续性资源建设
要求实现信 息系统的高 可用性
灾备数据 中心 信息系统 资源 岗位备份 人员
确保备份人 员可用，降 低岗位人员 无法及时履 职风险。
指挥场所
备用业务 场所
7
业务连续性计划演练
• 至少每三年一次全部演练 • 重大业务活动、重大社会活动等关键时间点之前 • 新业务上线之前 • 关键资源发生重大变化之后
1. 数据丢失、泄漏造成客户利益受较大影响； 2. 导致一个省(自治区、直辖市)业务无法正常开展 达半个小时(含)以上的事件；
银监会现场督导
III
较大运营中断事件
上报属地银监会接受监管
11
容灾金字塔
演练 遵从 评估 遵从
审计遵从Baidu Nhomakorabea
双活 RTO遵从 手工 自动
Data DR 数据容灾
RPO遵从
Backup Data DR 备份数据异地存放
《商业银行业务连续性监管指引》解读
受“指引”约束的单位
银监会直接监管的信托、企 业集团财务公司、金融租赁 公司一直是我们的盲区。
第九十七条 本指引适用于在中华人民 共和国境内依法设立的法人商业银行和 农村合作银行、城市信用社、农村信用 社。 政策性银行、村镇银行、金融资产 管理公司、信托公司、企业集团财务公 司、金融租赁公司、汽车金融公司、货 币经纪公司、消费金融公司等其他银行 业金融机构参照执行。
9
评估、审计与日常监管
• 一年一评估、三年一审计 • 大范围中断事件后需要专项审计 • 每年一季度向银监会提交管理报告、评估报告、审计报告 • 全行业务连续性计划演练后45个工作日内提交演练总结报告
10
应急监管
事件级别 I 事件名称 特别重大运营中断事件 事件定义 监管级别 1. 数据丢失、泄漏造成公众、社会、国家利益受严 上报国务院 重影响； 2. 导致一个(含)以上省(自治区、直辖市)的多家金 融机构业务无法正常开展达3个小时(含)以上的事件； 3. 导致单家金融机构两个(含)以上省(自治区、直辖 市)业务无法正常开展达3个小时(含)以上，或一个 省(自治区、直辖市)业务无法正常开展达6个小时 (含)以上的事件；
5
业务连续性计划
业务连续性 计划
总体应急预案
重要业务 专项预案
外部供应商业务 连续性计划
• 关联关系和次 序 • 关键资源 • 指挥与通讯 • 预案及预案维 护、管理要求 • …
• 用于处置导致 大范围业务运 营中断的事件 • …
• 采取业务手段 尽快恢复业务， 并和信息科技 部门有效衔接 • …