金融业业务连续性管理资料汇编

合集下载

银行业务连续性管理办法模版

行业务连续性管理办法第一章总则第一条为加强银行风险管理，提高业务连续性管理能力，降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响，快速恢复被中断业务，特制定本办法。

第二条本办法所称突发事件是指因下述原因，导致银行重要业务异常或中断，产生不良影响或资金损失的事件，包括：（一）信息系统各类技术故障和配套设施故障；（二）自然灾害（如火灾、雷击、海啸等）；（三）外部影响（如发生黑客攻击、第三方无法提供合作或服务等）。

第二章组织架构第三条银行业务连续性管理组织架构包括董事会、业务连续性管理主管部门、执行部门和保障部门。

第四条董事会是银行业务连续性管理的最高决策机构，对业务连续性管理负最终责任。

主要职责包括：（一）制定与银行业务发展和风险管理战略目标相一致的业务连续性管理总体战略；（二）审批执行部门在业务连续性管理过程中的职责、权限及报告制度，审查执行部门在业务连续性管理过程中的履职情况；（三）审批保障部门为业务连续性管理制订的人员、资金、重要设施等资源的总体配备方案；（四）审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内部审计部门撰写的业务连续性管理的审计报告。

第五条风险管理部作为业务连续性管理的主管部门（简称业务连续性管理主管部门），组织、协调全行业务连续性管理的日常工作。

主要职责包括：（一）制订和维护业务连续性管理办法；（二）制定风险分析、业务影响分析的方法与流程；（三）制订业务连续性管理的工作计划与评估报告；（四）制订业务连续性计划的演练计划与总结报告；（五）组织业务连续性计划的演练、评估、总结与改进；（六）组织业务连续性管理的培训；（七）指导和监督执行部门进行业务连续性管理活动。

第六条执行部门包括业务部门和信息技术部，负责业务连续性管理相关工作的具体实施。

第七条业务部门的主要职责包括：（一）拟定需要恢复的重要业务及其恢复目标和恢复策略；负责风险评估、业务影响分析，撰写风险评估报告和业务影响分析报告；（二）负责业务部门的业务连续性计划的制订；参与业务连续性计划的整体演练；负责本部门业务连续性计划的具体演练、评估、总结与改进；（三）参与业务连续性管理的培训；（四）负责对本部门业务连续性管理的定期评估、改进。

XX银行业务连续性管理制度

XX银行业务连续性管理制度第一章总则第一条信息系统与信息科技是保障业务持续运营的重要基础。

为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，维护公众信心和银行业正常运营秩序，提高业务连续性管理能力，根据《中华人民共和国银行业监督管理法》、《中华人民共和国法》、《商业银行业务连续性监管指引》以及相关法律法规，制定本办法。

第二条本制度所称业务连续性管理是指为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本制度所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第四条本制度所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。

主要包括：(一)信息技术故障：信息系统技术故障、配套设施故障；(二)外部服务中断：第三方无法合作或提供服务等；(三)人为破坏：黑客攻击、恐怖袭击等；(四)自然灾害：火灾、雷击、海啸、地震、重大疫情等。

第五条将业务连续性管理纳入全面风险管理体系，建立与本行战略目标相适应的业务连续性管理体系，确保重要业务在运营中断事件发生后快速恢复，降低或消除因重要业务运营中断造成的影响和损失，保障业务持续运营。

第六条根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好，确定适当的业务连续性管理战略。

第七条建立业务连续性管理的组织架构，确定重要业务及其恢复目标，制定业务连续性计划，配置必要的资源，有效处置运营中断事件，并积极开展演练和业务连续性管理的评估改进。

第八条业务连续性管理的基本原则是：(一)切实履行社会责任，保护客户合法权益、维护金融秩序；(二)坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合；(三)坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；(四)坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。

金融业务连续性管理能力成熟度模型与评估编制说明

中国计算机用户协会团体标准《金融业务连续性管理能力成熟度模型与评估》编制说明一、标准编制的背景2011年12月28日中国银监会颁布了《商业银行业务连续性监管指引》（银监办发【2011】104号文），要求各类商业银行都应建立业务连续性管理体系，经过近10年的努力，各类商业银行都在不同程度上建立了满足自身业务需求的业务连续性管理体系，但由于我国的商业银行在资金规模、经营范围、人员技能、技术架构、管理能力等方面存在较大的差异性，各家银行的业务连续性管理体系建设的程度、涉及的范围和实际效果也不尽相同。

同时由于2011年提出的业务连续性管理体系建设要求仅适用于银行业，随着银监会和保监会合并为银保监会，保险行业的业务连续性管理体系的建设也将提到议事日程，而且证券行业也要求各类券商、基金公司建立业务连续性管理体系，因此建立一套规范、合理的标准和模型以科学地评估和衡量各类金融机构的业务连续性管理能力，对于金融机构的业务连续性管理体系能够持续运行非常必要。

二、任务来源《金融业务连续性管理能力成熟度模型与评估》于2019年6月6日正式通过中国计算机用户协会的立项审核。

计划号为：T/CCUA LC004-2019该标准由信息科技审计分会牵头，并联合中国建设银行股份有限公司、中国银行股份有限公司、上海浦东发展银行股份有限公司、华夏银行股份有限公司、深圳前海微众银行股份有限公司、中治研（北京）国际信息技术研究院、武汉众邦银行股份有限公司、陕西省农村信用社联合社、农信银资金清算中心有限责任公司、中国外汇交易中心（全国银行间同业拆借中心）、山东重工集团财务有限公司、华为技术有限公司、深圳前海普华永道商务咨询服务有限公司、北京同创永益科技发展有限公司等单位共同编制。

三、编制过程1.2018年12月16日，信息科技审计分会召集中治研（北京）国际信息技术研究院、上海浦东发展银行股份有限公司启动《金融业务连续性管理能力成熟度模型与评估》项目，并成立了由上海浦东发展银行股份有限公司、中治研（北京）国际信息技术研究院、华夏银行股份有限公司、共同成立项目编制小组。

业务连续性管理培训手册(2024版)

对供应商进行评估和审计
确保其符合选择标准并具有可靠的供应能力。
建立供应商管理机制
包括供应商绩效评估、奖惩措施和持续改进计划。
供应链协同与信息共享
建立供应链协同机制
促进供应链各环节之间的紧密合作和信息共享。
采用先进的供应链管理技术
如物联网、大数据等，提高供应链透明度和协同效率。
加强与供应商和客户的沟通
02
持续改进
03
定期审查业务连续性管理计划的有效性
演练、测试与持续改进
01
根据业务变化和技术发展更新计划
02
促进跨部门的沟通和协作以改进计划
2023
PART 04
供应链连续性管理
REPORTING
供应链风险评估与应对
识别供应链中的潜在风险
评估风险对业务连续性的影响
包括供应商破产、自然灾害、政治风险等。
02
恢复策略的实施
制定详细的恢复计划
03
恢复策略的选择与实施
01
02
03
获取必要的资源和技术支持
执行恢复操作以恢复关键业务功能
验证恢复结果并确保业务连续性
演练、测试与持续改进
演练和测试
1
2
定期进行应急响应和恢复策略的演练
对演练结果进行评估和反馈
3
练、测试与持续改进
01
针对演练中发现的问题进行改进
及时了解市场需求和供应变化，共同应对挑战。
建立供应链应急计划
针对可能出现的供应链中断事件，制定应急响应措施和恢复计划。
2023
PART 05
信息技术在业务连续性管理中的应用
REPORTING
信息系统风险评估与防范

《业务连续性管理办法如何保障业务连续性》

《业务连续性管理办法如何保障业务连续性》企业飞速发展，其经营管理等各项业务对it系统的依赖性也随之增加，对数据处理的高可靠性和高可用性要求越来越高。

it系统即使发生短暂故障，也将直接导致业务停滞，给企业带来经济损失。

更为重要的是，一旦数据由于某种原因永久性丢失，不但会给企业的运作带来极大的困难，企业的商业信誉也必将受到致命的打击，在竞争中处于劣势，造成不可估量的后果。

xx年，国家烟草专卖局把“卷烟上水平”作为行业的战略任务与基本方针，以培育“532”和“461”知名品牌工程为“卷烟上水平”的内涵，为此，必须要有一个安全、高效的信息化平台做支撑，来保证信息系统的连续性运行。

一个企业若部分或完全丢失了数据，也就丢失了一切。

无论是国内还是国外的用户，无论是政府还是企业，现在都在思考这样一个问题，那就是：假设我们的企业发生了类似的情况，我们是否有足够的备份措施，企业的数据是否有足够的安全保障。

当然，考虑灾难备份系统建设时，也应该实事求是，从实际出发。

能够防御所有灾难的方案是不存在的，也是不现实的。

it系统的灾难定义可以由用户自己来定义，不同地区、不同行业可能有不同的要求。

集中的数据备份、恢复和管理已经成为企业数据存储管理的重要问题，开发业务连续性计划势在必行。

当前企业核心数据存储的发展和需求呈现以下趋势：1.数据是企业最宝贵的资产，事关企业的经济运行命脉和商业信誉;2.分散的系统正在重新集中，将数据集中在一个更大的单一存储服务器上已经是一种趋势，而单一存储服务器的风险也在增加;3.更多企业已经认识到灾难恢复计划的重要性，一旦发生自然灾害（洪水、地震、火灾等）或者人为灾难（用户失误、磁盘失效等）时，它可以尽快地恢复用户的重要数据;4.将现有的存储技术集成，创造出一种更有效的数据存储管理，实现高效、高可靠性、低成本的数据管理。

分步实施业务连续性计划随着各行各业灾备系统的建设，业务连续性计划的开发已经形成了一套完整的实施方法论（如图1所示）。

业务连续性管理(BCM)讲义

8
7. BCM 国际标准: BS25999-2(2008)
Policy (政策)
People (组织)
Process (业务)
内B C M 化
文
组织的理解
织
组
体
制
定
制
培训检讨维持管理
BCM 程序管理
BC战略决定
Resource (资源)
BCM 对应开发和具体体现
BCP
Source : BSI(2008)
- Black Swan”
3
2. 商务示例 ; Who, What, Result
WHO Perrier Johnson & Johnson
WHO
WHAT
-1991. 矿泉水内苯的存在 - 保健事故, 受伤, 没有死亡. -1982. 精神病者往胶囊里投放氰酸钾 -服用患者数名死亡
WHAT
Nokia
成功的BCM的附加效果
- 摩根史丹利的危机管理系统受全世界瞩目 - 既有投资者的信赖和引起新投资者的关心 - 24小时以内以迅速地召开记者招待会换取友好的言论
Source : NY Times(2002)
5
4. 营业中断的实时损失
能源通信制造投资金融保险零售制约金融交通使用程序医疗媒体平均
设定进程间逻辑结构(先行, 后行等) 进程别中断影响的定量,定性评价
MTPD (Maximum Tolerable Period of Disruption), RTO (Recovery Time Objective) 决定核心进程的允许的最长中断时间（MTPD)推断核心进程的恢复目标时间（RTO）推断进程重新开始时复原的优先次序的决定

业务连续性计划概要

业务连续性管理体系(BCMS)的文件体系包括:1、BCMS范围说明书；2、BCM参考术语；3、BCM方针；4、业务影响分析；5、风险评估；6、BCM战略/策略；7、适用性声明；8、培训计划；9、事件管理计划；10、业务连续性计划；11、SLA、合同和其他依据。

业务连续管理（BCM）十大最佳实践标准收藏1.项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

2.风险评估和控制确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。

提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。

3.业务影响分析确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。

确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。

4.制定业务连续性策略确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。

5.应急响应和运作制定和实施用于事件响应以及稳定事件所引起状况的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。

6.制定和实施业务连续性计划设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。

7.意识培养和培训项目准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。

8.维护和演练业务连续性计划对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。

制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。

通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。

9.公共关系和危机通信制定、协调、评价和演练在危机情况下与媒体交流的计划。

制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主／股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。

浅析商业银行“业务连续性管理体系”的构建

浅析商业银⾏“业务连续性管理体系”的构建当前世界所⾯临的风险有恐怖袭击、⿊客、⽹络侵袭、电脑病毒、⾃然灾害、⼤规模停电、罢⼯、环保、市场恶性竞争、企业倒闭等,近年来发⽣的“9.11”、“SARS”事件、印度洋海啸等给国家和企业带来重⼤的损失。

在⾦融领域,重⼤灾害事故亦不鲜见,2005年11⽉⽇本东京证券交易所由于系统故障,所有股票、可转换公司债、信托投资等共计2,520个品种暂停交易,整个上午⽆法进⾏主要交易;2005年6⽉17⽇，由于美国信⽤卡系统解决⽅案公司 CardSystems 的安全漏洞，导致4000万⽤户的银⾏资料被泄漏，其中包括 MASTER 公司的1390万⽤户、VISA 的2200万客户；2006年4⽉,银联全国跨⾏交易系统瘫痪6⼩时,国内⼤部分商户的POS机⽆法刷卡,所有银⾏的ATM终端⽆法跨⾏操作,造成了重⼤社会影响等等⼀系列的事件。

由此可见⾦融业务数据⼤集中的同时，客观上也把风险集中和放⼤起来根据权威机构统计，美国在近10年间遭遇过灾难事件的公司中，有55%的公司马上倒闭，因为数据丢失造成业务⽆法持续，有29%的公司在两年之内倒闭据Gartner Group统计，在经历⼤型灾难事件⽽导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产。

9.11事件中，1200家企业受灾，400家企业启动了灾难恢复计划，其中摩根⼠丹利公司⼏天后在新泽西州恢复营业，⽽⽆灾备能⼒的企业损失惨重世界各国的案例表明,传统的业务管理⽅法及流程,在遭遇灾害事件时常常不堪⼀击。

越来越多的危机事件的影响使⼈们认识到,只有构建真正有效应对危机事件的管理体系,使管理科学化、⼿段现代化,才能保证业务的连续运⾏,实现企业的可持续发展。

在此背景下,业务持续管理 (BCM)应运⽽⽣。

BCM的重要性显著增加,在英国,拥有⾏之有效的业务持续计划,已成为企业上市的基本要求;美国企业法对业务持续管理的具体措施也有明确要求;新加坡已拥有多个保证业务连续性的标准流程和管理规范,其⾦融局已经制定了业务持续管理的指导规范和管理标准。

金融业务连续性管理制度研究

金融业务连续性管理制度研究[摘要]业务连续性管理对维系金融机构生存和发展至关重要，英美国家在这方面拥有丰富的风险管理经验，并形成了良好的管理制度安排。

我国金融行业在业务连续性管理方面经验不足，通过比较研究英美两国在业务连续性管理方面的应急机制和制度安排，我国有必要从部门协调、国际合作、目标群体等几个方面完善金融业务连续性管理制度。

[关键词]业务连续性；金融系统；金融中心业务连续性管理（Business Continuity Management，简称BCM）是一项综合管理流程，它使企业认识到潜在的危机和相关影响，制订响应、业务和连续性的恢复计划，其总体目标是为了提高企业的风险防范能力，以有效地响应非计划的业务破坏并降低不良影响。

在金融服务领域，业务连续性管理已经是金融风险管理的一部分，但这项工作在理论和实践中普遍缺乏重视和紧迫感。

人们普遍认为办公场所发生业务中断或地震、台风以及恐怖袭击等的概率很小，而很少对此进行专门研究和规划。

而此类事件一旦发生，其对金融系统的稳定将带来严重的影响。

我国要把上海建成为国际金融中心，更多核心的金融机构将聚集到上海，上海需要创设一个更为优越的法律环境。

[1]上海国际金融中心也需要建立一套完整的业务连续性管理制度，以应对突发事件，保障金融中心的连续运营。

我国金融行业起步晚，金融业务连续性管理制度，与英美国家以及国际标准相比，还存在很多不成熟的地方。

本文通过对国际国内金融业务连续性和应急机制的比较，并结合我国目前现有的相关BCM管理制度，探讨如何更好地推动BCM管理制度贯彻落实，从而保障我国金融行业业务的连续运行，实现国家经济可持续发展。

一、金融业务连续性管理制度的必要性（一）现实必要性分析以美国为例，根据福布斯统计美国证券交易所100 年的历史中，曾发生了10个重大事件使华尔街暂停运营。

比如“911事件”，恐怖分子袭击了纽约世界贸易中心，美国金融系统被迫关闭。

纽约银行声明恐怖袭击破坏了部分计算机系统，一些分支机构被迫关闭，其第三季度的利润因此下降了33%。

业务连续性管理(BCM)程序(含表格记录)

关系纠纷危机。由于错误的经营思想、不正当的经营方式忽视经营道德，员工或供方服务态度恶劣，而造成关系纠纷产生的危机。
5.1.4灾难危机：无法预测和人力不可抗拒的强制力量，如地震、台风、洪水等自然灾害、战争、重大工伤事故、经济危机等造成巨大损失的危机，危机给企业带来巨额的赔偿。
5.1.5财务危机：投资决策的失误、资金周转不灵、股票市场的波动、贷款利率和汇率的调整等。
4.3 管理部负责人:
A、人才危机进行预测；
B、收集各部门危机信息进行分析，启动危机预警；
C、危机后人员的安抚及人力的调整；
D、危机后对外信息的发布及媒体沟通；
E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。
4.4 市场营销部负责人:
A、市场危机进行预测，收集市场信息；
B、危机后负责向客户沟通，稳定市场。
5.2 针对识别出来的重大风险可能造成的危机之优先顺序评价出重要风险危机决定将采取策略，处理风险策略考虑以下方面：
5.2.1避免风险：当风险影响极大且在公司发生的概率较低时，建立完善的管理流程阻隔风险产生。
5.2.2转移风险：当风险影响极大且在公司发生的概率较高时，购买保险，减少风险发生后复原的负担。
■特别重大危机(Ⅰ级)：是指突然发生，事态非常复杂，已经或可能造成特别重大人员伤亡、特别重大财产损失或重大生态环境破坏，需要调度公司全部力量和资源,或需求助政府各方面资源和力量进行处置的事件。
■一般性危机(Ⅲ级)、较大危机(Ⅱ级)：由公司质量负责人负责启动应急预案,协同BCM工作小组成员负责处理.由质量负责人在2小时负责向最高管理者报告,及4小时内向媒体发布消息。
5.2.3降低风险：当风险影响较低且在公司发生的概率较高时，采取控制措施，当风险发生后可因适当的控制面将损失减少。

业务连续性管理制度

业务连续性管理办法总则为了提高公司的风险防范能力，有效地应对各种非计划的业务破坏、降低影响，确保公司各项业务的连续性，保障公司、商户、合作伙伴等相关单位的利益，特制订本办法。

第一章流程规范一、公司建立业务连续性管理部门及应急领导小组，根据安全级别，实行分级管理，保证在发生重大事故导致业务中断时，所有成员能够识别其角色与职责。

二、制订危机管理和灾难恢复等业务连续性管理流程，确保在系统发生故障等导致业务中断之时，能在最短时间内、保证数据零丢失的情况下进行快速恢复。

三、在与合作商（服务商）签订书面合同时要充分考虑业务的连续性，明确双方的权利、义务，并制定在意外情况下能顺利实现合作商（服务商）变更，保证合作商（服务商）不间断的应急预案。

第二章业务中断分析一、业务中断成因可分为自然灾害、人为灾害、一般灾害1、自然灾害主要有：地震、火灾、水灾、台风等，此种灾害无法预判，灾害发生时无法防护，发生频率最低，当灾害发生时，业务一般也只能切换到灾备机房，一旦切换到灾备机房，业务正常运行肯定收到影响。

2、人为灾害主要有：恐怖攻击、黑客攻击（网络攻击、病毒攻击等），此灾害同样无法预判，发生不高，但其中黑客攻击可从网络安全、主机安全、系统安全等方面进行防护，加大黑客攻击难度，从而达到黑客攻击防护的目的。

3、一般灾害主要有：网络故障、服务器软硬件故障、应用程序故障等，此灾害可防护，但发生频率最高，应对网络、服务器、应用程序进行相应监控，并建立相应的监控巡检系统，自动监控自动报警，及时发现和处理故障。

另核心业务系统应建设主备高可用架构或负载均衡高可用架构，避免单点故障。

二、业务中断的企业影响1、企业收入：企业直接损失、商户赔偿金、企业未来收入损失；2、生产效率：参与人员人数和人员处理时间；3、声誉损失：影响企业声誉，降低了商户和合作伙伴对企业的信任，影响到后期的企业市场发展和业务合作，扩大了竞争对手优势4、财务业绩：影响到企业的信用、现金流甚至违规罚款等第三章技术保障一、建立业务连续性管理制度，目标是尽可能快地恢复服务至服务级别协议规定的水准，尽量减少事故对业务运营的不利影响，以确保最好的服务质量和可用性级别。

金融机构业务连续性管理框架及其相关标准

金融机构业务连续性管理框架及其相关标准作者：谢宗晓甄杰董坤祥来源：《中国质量与标准导报》2022年第01期1 概述業务连续性管理是信息安全很重要的一部分，在金融行业中尤为明显。

本质而言，业务连续性管理是区别于信息安全的一个领域，但在实践中，又经常将业务连续性作为信息安全的一个控制域处理，如GB/T 22080—2016 / ISO/IEC 27001：2013《信息技术安全技术信息安全管理体系要求》A.17中所指出的那样，“业务连续性管理的信息安全方面”。

这一点在国际标准化组织（ISO）的标准开发分类中也能看出来。

例如，业务连续性的两个基础标准，都是ISO/TC 292（Security and Resilience）所发布的，如表1所示。

2 框架几乎所有的业务连续性规范或标准都是以2003年发布的“DRII1）最佳实践”为基础。

商业银行业务连续性管理并非一劳永逸的状态，而是一个动态的过程。

由于是动态的过程，意味着需要持续改进，因此，适用于PDCA2）通用过程模型。

ISO 22301和ISO 22313的本质是在“DRII最佳实践”的基础上加了一个PDCA框架，PDCA是一个通用方法论，对具体的控制起提纲挈领的作用。

对于商业银行而言，要特别注意，《商业银行业务连续性监管指引》（银监发〔2011〕104号），该文件与推荐性标准的不同在于，其中规定了诸多硬性的指标，例如，第四十九条：商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。

在重大业务活动、重大社会活动等关键时点或在关键资源发生重大变化之前也应当开展业务连续性计划的专项演练。

业务连续性管理的框架大致如下。

2.1 业务影响分析业务影响分析通俗而言就是业务连续性管理的需求分析阶段，是商业银行对其自身业务连续性的需求评估。

其大致过程如图1所示。

恢复点目标（recovery point objective，RPO）是指为使活动能够恢复进行，而必须将该活动所用的信息恢复到某时间点。

业务连续性管理业务连续性管理(Business Continuity Management)

业务发生中断……
故障、灾难业务中断
紧急响应资源
在行动
重装载数据库
回滚和再同步
恢复操作系统
恢复的时间
重定位备份
持续性计划同风险管理关系
潜在风险
自然
•火灾 •飓风 •洪水 •台风。。
人
•阴谋破坏 •恶意代码 •操作员错误
技术
•硬件故障 •数据残缺 •电信故障 •电力故障
风险评估
标识的风险
2. 风险评估和控制
• 确定可能造成机构及其设施中断的灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施，提供成本效益分析以调整控制措施方面的投资，达到消减风险的目的。同时，由于风险会随着系统的发展而变化，所以风险管理过程也必须是动态的。
3. 业务影响分析
9. 危机联络
• 制定、协调、评价和演练在危机情况下与媒体交流的计划；制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主／股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划，确保所有利益群体能够得到所需的信息。
10. 与外部机构的合作
• 建立适用的规程和策略，用于同地方当局协调响应、连续性和恢复活动，以确保符合现行的法令和法规。
ቤተ መጻሕፍቲ ባይዱ
如果灾难恢复小组中的某一个关键人物离开现职，那么必须实时的将信息反馈，更改有关的说明书，以确保灾难来临时，相应的人员可以对照说明书，找到合适的主管人员处理相应问题。
所有的最佳实践被汇总编辑到一本说明书中，这本说明书被要求带在每一个相关人员的身边，灾难发生时，按照上面的指引，就可以立即明确自己的职责。
CMaonangemtienntuProactuicess

中国银行业务连续性管理v10nsfocus

10. 与外部机构的合作
– 建立适用的规程和策略，用于同地方当局协调响应、连续性和恢复活动，以确保符合现行的法和法规。
中国银行业务连续性管理v10nsfocus
响应资源
在行动
重装载数据库
回滚和再同步
恢复操作系统
恢复的时间
重定位备份
业务重新开始
中国银行业务连续性管理v10nsfocus
• 因此，BCM要从企业的业务目标出发，分析企业具体的业务流程，详细分析支持这些业务流程的应用系统，分析它们一旦发生危机对业务的影响。根据上述影响，制定相应的规避方法，包括流程和技术手段。
中国银行业务连续性管理v10nsfocus
业务连续性管理的国际专业操作步骤(10 Steps)
1. 项目启动和管理
中国银行业务连续性管理v10nsfocus
• 灾难恢复应该是整个应急体系中的最后一道防线。
• 事实上，无论备份等级有多高，任何灾备中心与真正的业务系统间都还是会存在或多或少的时点差距的，切换恢复后的业务系统不一定是全部；且系统切换本身也是要付出时间、人力、物力等高成本代价的。
• 而我们所该做的，是在灾难发生后尽量将损失降到最低。
洞，导致4000万用户的银行资料被泄漏，其中包括 MASTER 公司的1390 用户、VISA 的2200万客户。
信任危机
中国银行业务连续性管理v10nsfocus
银行业赖以生存的重要信息资产
• 帐户信息
• 客户资料 • 信用记录
7×24×365
• 交易明细
• 业务数据大集中的同时，客观上也把风险集中和放大起来。
•硬件故障 •数据残缺 •电信故障 •电力故障。
安全控制

消费金融公司的业务连续性管理考核试卷

6.以下哪些是业务连续性管理中恢复策略的组成部分？（）
A.临时办公地点的安排
B.数据恢复计划
C.供应链恢复
D.员工补偿方案
7.以下哪些方法可以用于业务连续性管理的培训和演练？（）
A.桌面演练
B.现场演练
C.在线模拟
D.视频培训
8.有效的业务连续性管理需要考虑以下哪些法律法规要求？（）
A.信息安全法
B.突发事件应对法
答案：√
7.业务连续性管理计划应该完全公开，以便所有员工都能随时查阅。（）
答案：×
8.业务连续性管理的主要目的是减少企业的运营成本。（）
答案：×
9.员工培训是业务连续性管理计划中不可或缺的一环。（）
答案：√
10.在业务连续性管理中，紧急情况响应是事前准备工作的最后一步。（）
答案：×
五、主观题（本题共4小题，每题10分，共40分）
A.国际标准化组织（ISO）
B.国际电工委员会（IEC）
C.国家金融监督管理总局
D.世界贸易组织（WTO）
17.在业务连续性管理中，以下哪个环节是确定业务恢复所需资源和时间？（）
A.风险评估
B.业务影响分析
C.紧急情况响应
D.恢复策略制定
18.以下哪个因素对消费金融公司业务连续性管理影响最小？（）
A.法律法规
答案：____
4.讨论在业务连续性管理中，如何通过培训和演练提高员工应对突发事件的能力，并列举至少三种培训和演练的方法。
答案：____
（注：由于主观题需要考生自行思考和作答，因此在这里不提供答案。）
标准答案
一、单项选择题
1. C
2. C
3. C
4. A
5. C

信用合作社金融业务连续性与危机管理考核试卷

A.业务影响分析
B.紧急应对方案
C.恢复与重建策略
D.理中，哪个部门通常担任核心协调角色？( )
A.风险管理部门
B.财务部门
C.人力资源部门
D.市场营销部门
12.以下哪个措施不是信用合作社预防危机的有效方式？( )
A.加强内部审计
B.提高透明度
C.减少与外界的交流
三、填空题
1.存款
2.中断
3. 24
4.风险加权资产
5.恢复关键业务
...（此处省略其他题目的答案，实际出题时需补全）
四、判断题
1. ×
2. √
3. ×
4. ×
...（此处省略其他题目的答案，实际出题时需补全）
五、主观题（参考）
1.信用合作社在危机沟通时应保持信息透明、及时和准确。例如，通过新闻发布会、社交媒体和客户通知等方式，及时向公众通报危机情况、应对措施及客户利益保护措施，以增强公众信任。
A.应建立应急响应机制
B.应有明确的危机应对流程
C.危机过后无需总结经验
D.应定期进行危机模拟训练
16.以下哪个不是信用合作社危机管理的关键环节？( )
A.风险识别
B.风险评估
C.风险接受
D.风险应对
17.在信用合作社的连续性管理中，以下哪项措施是不必要的？( )
A.定期检查关键系统
B.建立远程办公能力
C.提高员工工资
D.建立备用电源系统
18.以下哪个不是信用合作社在应对金融危机时可以采取的措施？( )
A.增加资本充足率
B.减少对外贷款
C.提高存款利率吸引存款
D.增加高风险投资
19.信用合作社危机管理中，对于外部沟通的正确做法是：( )

银行业务连续性计划实施报告

XXX银行2017年业务连续性计划实施报告尊敬的行领导:根据XXX银行重要业务连续性计划，我行在2017年度按照计划先后成功开展了三次模拟真实业务，贴近实战的应急演练。

演练检验了灾难备份系统的可用性，验证了灾难切换的及时性和有效性，提升我行对突发事件的协同处置能力，检验了业务连续性计划的可用性，也促使我们不断更新完善业务连续性计划，现将业务连续性实施情况汇报如下：一、基本情况（一）业务连续性计划为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断的重要业务，提高业务连续性管理能力，确保各项重要业务的连续性、高效性，我行于XXXX年制定了业务连续性计划。

该计划中明确了业务连续性组织架构及职责，明确了我行重要业务系统，确定了业务恢复优先次序，制定了重要业务恢复目标，包含了各类突发事件的应急预案，制定了业务连续性计划演练的内容、流程及频率。

（二）灾难备份系统建设情况我行于XXXX年XX月将核心业务系统托管于XXXXXX，同年XX月在XXXXXX建设了同城灾备中心，对核心业务系统、柜面业务系统、IC卡系统实现了、二代支付系统实现了应用级灾难备份，达到第五级灾备水平，RP0实现数据零丢失，RTO达到小于4小时。

在XXX建立了数据级灾备对核心业务进行数据级备份，RPO小于等于24小时。

二、业务连续性计划实施情况业务连续性计划测试与演练包含应急执行小组应急处理的有效性，故障解决的准确性，进行生产系统灾难恢复后的正确性与运行效率检验，使用用灾备系统接管系统服务后的正确性与运行效率，外部资源的协调情况等。

由应急执行小组制定了演练方案，联合外包商由各成员按照演练计划、演练时间安排进行测试演练。

（一）二代支付系统应急切换演练为保障XXX银行信息系统安全、可靠、稳定运行，提高应对各类信息系统突发事件的能力， X月XX日组织开展了二代支付系统应急演练。

本次演练包括应用系统、网络系统等各类故障的应急处置。