中国银行业务连续性管理

XXX银行2017年业务连续性计划实施报告尊敬的行领导:根据XXX银行重要业务连续性计划，我行在2017年度按照计划先后成功开展了三次模拟真实业务，贴近实战的应急演练。

演练检验了灾难备份系统的可用性，验证了灾难切换的及时性和有效性，提升我行对突发事件的协同处置能力，检验了业务连续性计划的可用性，也促使我们不断更新完善业务连续性计划，现将业务连续性实施情况汇报如下：一、基本情况（一）业务连续性计划为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断的重要业务，提高业务连续性管理能力，确保各项重要业务的连续性、高效性，我行于XXXX年制定了业务连续性计划。

该计划中明确了业务连续性组织架构及职责，明确了我行重要业务系统，确定了业务恢复优先次序，制定了重要业务恢复目标，包含了各类突发事件的应急预案，制定了业务连续性计划演练的内容、流程及频率。

（二）灾难备份系统建设情况我行于XXXX年XX月将核心业务系统托管于XXXXXX，同年XX 月在XXXXXX建设了同城灾备中心，对核心业务系统、柜面业务系统、IC卡系统实现了、二代支付系统实现了应用级灾难备份，达到第五级灾备水平，RP0实现数据零丢失，RTO达到小于4小时。

在XXX建立了数据级灾备对核心业务进行数据级备份，RPO小于等于24小时。

二、业务连续性计划实施情况业务连续性计划测试与演练包含应急执行小组应急处理的有效性，故障解决的准确性，进行生产系统灾难恢复后的正确性与运行效率检验，使用用灾备系统接管系统服务后的正确性与运行效率，外部资源的协调情况等。

由应急执行小组制定了演练方案，联合外包商由各成员按照演练计划、演练时间安排进行测试演练。

（一）二代支付系统应急切换演练为保障XXX银行信息系统安全、可靠、稳定运行，提高应对各类信息系统突发事件的能力， X月XX日组织开展了二代支付系统应急演练。

本次演练包括应用系统、网络系统等各类故障的应急处置。

业务连续性管理规定第一章总则第一条为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划，将预防和恢复控制相结合，积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准，特制定本规定。

第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。

第二章组织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围，为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证，并对执行情况进行监督。

第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。

第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。

第六条各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围，审批本部门业务连续性计划，为相关管理活动提供资源和管理保证。

第七条各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。

第三章业务连续性管理规定第八条各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：（一）确定业务连续性管理的目标和范围。

（二）确定业务连续性管理的组织结构和职责。

（三）确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。

中国银行业监督管理委员会文件银监发〔2011〕104 号中国银监会关于印发商业银行业务连续性监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮政储蓄银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：为加强商业银行风险管理，提高业务连续性管理能力，促进商业银行有效履行社会责任，维护公众信心和银行业正常的运营秩序，银监会制定了《商业银行业务连续性监管指引》，现印发给你们，请遵照执行。

请各银监局将本通知转发至辖内银监分局及银行业金融机构。

中国银行业监督管理委员会二○一一年十二月二十八日商业银行业务连续性监管指引第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。

为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，维护公众信心和银行业正常运营秩序，提高商业银行业务连续性管理能力，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规，制定本指引。

第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第四条本指引所称重要业务运营中断事件（以下简称运营中断事件）是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。

主要包括：（一）信息技术故障：信息系统技术故障、配套设施故障；（二）外部服务中断：第三方无法合作或提供服务等；（三）人为破坏：黑客攻击、恐怖袭击等；（四）自然灾害：火灾、雷击、海啸、地震、重大疫情等。

第五条商业银行应当将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系，确保重要业务在运营中断事件发生后快速恢复，降低或消除因重要业务运营中断造成的影响和损失，保障业务持续运营。

业务连续性管理（BCM）国家标准诞生的背景与现实和历史意义王金玉【摘要】This paper discusses around the national standards of Business Continuity Management (BCM), introduces the basic concept and the core goal of Business Continuity Management, standards developed by international and domestic background, standards development process and the next step of work planning, expounds the important significance of the standard.%本文围绕业务连续性管理（BCM）国家标准，介绍了业务连续性管理的基本概念和核心目标，标准研制的国际、国内背景，标准研制的过程及下一步工作计划，阐述了标准的重要意义。

【期刊名称】《办公自动化（综合版）》【年(卷),期】2014(000)006【总页数】4页(P30-33)【关键词】业务连续性管理;基本概念;国内外进展;重要意义【作者】王金玉【作者单位】中国标准化研究院北京 100191【正文语种】中文【中图分类】F850.49一、业务连续性管理概念随着计算机的应用和普及，商业模式发生了巨大变化。

人们的工作方式发生根本性改变，通过运用计算机大大提升了工作效率并且节省了大量的人力和物力。

人类生产生活对计算机的依赖性越来越强，信息系统的安全性要求也逐渐增长。

在20世纪60年代末，计算机系统在解决系统持续运行的问题时，率先对单点故障采用了冗余措施。

这是最早体现业务连续性管理（BCM）思想的方法。

虽然当时并没有出现业务连续性的清晰概念，但部件冗余、容错等方法的采用，为增强计算机应用系统持续运行的能力，提供了重要的保障。

业务连续性管理规定第一章总则第一条为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划，将预防和恢复控制相结合，积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准，特制定本规定。

第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。

第二章组织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围，为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证，并对执行情况进行监督。

第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。

第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。

第六条各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围，审批本部门业务连续性计划，为相关管理活动提供资源和管理保证。

第七条各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。

第三章业务连续性管理规定第八条各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：（一）确定业务连续性管理的目标和范围。

（二）确定业务连续性管理的组织结构和职责。

（三）确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。

支付清算系统业务连续性管理机制研究中国银行总行运营服务总部收付总监通常提到的“运维风险”，主要是指操作风险。

《巴塞尔新资本协议》率先将操作风险的衡量和管理纳入金融机构的风险管理框架中，并将操作风险定义为“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”。

我国的支付清算体系作为支持国家经济发展、维护金融稳定的重要组成，由中央银行履行支付结算职能、商业银行为客户提供支付结算服务，其运维风险防范工作尤为重要，有必要对支付清算系统运维风险进行深入研究，并建立相应的风险防范机制。

一、系统运维风险概述1.支付清算系统运维风险影响因素根据《巴塞尔新资本协议》对操作风险的定义，支付清算系统运维风险主要有以下四方面影响因素。

（1）人员因素：银行员工内部欺诈；失职违规；知识技能匮乏；核心员工流失。

（2）内部流程：流程设计不完善、缺失，甚至无效。

（3）系统因素：由于信息科技部门或服务供应商提供的应用系统或设备发生故障或其他原因，银行不能正常提供服务或业务中断而造成损失。

（4）外部事件：外部欺诈/盗窃；洗钱；监管规定；业务外包；自然灾害和恐怖威胁。

2.运维风险划分类别根据商业银行管理和控制操作风险的能力，可以将运维风险划分为四大类，即：可规避、可降低、可缓释、应承担的操作风险。

bcm/bcp是除“保险”和“外包”外，针对可缓释操作风险的重要风险管理措施。

（2）bia要达到目的：①确定哪些业务职能与流程是绝对重要和必要的；②确定在影响变得严重之前关键职能或流程能够重新恢复营运所需时间；③确定哪些恢复策略与解决方案能够满足业务恢复时点要求；④确定将需要哪些恢复资源重新启动重大业务运转；⑤对需要恢复运营的业务职能、流程与资源进行优先排序。

（3）bia的结果在呈现形式上将因业务复杂程度而不同，在初期建立bcp阶段，一般采取问答文件或电子数据表方式。

3.研究制订解决方案（1）研究资源和恢复时间需求。

包括人员、技术、其他资源（如办公设备）、恢复时间目标等需求。

业务连续性管理报告：连续性业务报告管理风险业务连续性报告银监会业务中断报告业务连续性管理办法篇一：北京分行2014年业务连续性`管理自我评估报告(通用版) 北京分行关于2014年业务连续性自我评估报告为全面了解我行业务连续性管理工作现状，根据总行的通知要求，北京分行开展了“2014年业务连续性管理评估”的工作，现将自我评估情况汇报如下：一、总体评价北京分行重视业务连续性的管理，坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合。

完善业务连续性管理日常组织构架，建立业务连续性管理工作责任人制度，从而保证业务连续性管理各项工作的顺利进行。

分行内控合规部作为分行业务连续性管理牵头部门负责组织落实辖内各项业务连续性管理工作，协同业务营运部、信息科技部、办公室、保卫部等分行业务连续性管理的主要管理部门共同完成此次自我评估工作。

二、管理体系建设为进一步完善我行业务连续性管理组织体系，确保业务连续性管理工作的高效开展，根据《银行业务连续性管理办法（试行）》（行办?2012?376号）、《关于建立业务连续性管理工作责任人制度的通知》（行办?2013?57号）有关要求，分行制定了《北京分行业务连续性管理实施细则（试行）》、《北京分行业务连续性管理工作责任分工》等相关规定，建立完整的组织管理体系，明确业务业务连续性管理的牵头部门及各部门职责，明确应急处置组织架构。

三、预案建设及演练情况北京分行注重应急预案的建设，要求各牵头部门不断完善应急预案，提高预案的可操作性，并指导和组织本条线开展应急演练，切实提高突发事件处置能力。

各牵头部门按照总分行紧急突发事件处置和管理的相关要求，对照本条线应急预案进行梳理，不断完善预案体系，明确相关部门和人员的责任，进一步提高应急预案的完备性、合理性及可操作性。

分行下属各单位重视预案演练工作，在牵头部门的指导和组织下开展各项应急演练工作，确保各项演练目标的有效实现，逐步提高我行应急处置工作能力和水平。

我国银行业务连续性管理的现状近年来，我国银行业业务发展迅猛，大型银行的资本总额、开户数量、业务处理量已位居世界前列，经营范围遍及全国并在国外快速扩张，一旦业务停顿，可能影响全行乃至整个金融体系的正常运转，并影响社会稳定。

因此，在数据大集中后，国家、银行业监管机构及银行企业自身对灾难恢复、业务连续管理的重视程度越来越高。

一方面，政府、央行及银监会对于银行机构的应急管理和业务连续运作提出了更为明确、更为细致的要求；另一方面，银行自身也在积极推进灾难恢复、应急管理和信息技术服务持续性管理有关工作，逐步完善业务连续性预案。

1）初步构建了信息系统应急管理体系。

确立了应急管理组织架构，区分信息系统突发事件等级，形成统一的应急响应流程和通知报告程序。

并注重与地方政府、新闻媒体的沟通协调，加强机构内部各职能部门的协调配合，及时向公众披露信息，增强了突发事件的应对处置能力。

2）积极开展灾难备份系统建设工作。

按照“统筹规划、资源共享、平战结合”的原则，大型和股份制银行积极推进“两地三中心”的建设，建立了同城和异地灾备中心，应对建筑类故障和区域性（如地震、洪灾、战争等）灾难。

大多数商业银行基本建立了核心业务的灾难恢复系统，保障核心业务数据安全和灾难发生时核心业务的恢复。

3）提升危机处理能力。

积极开展应急演练和灾难恢复演练，加强银行内部各部门，以及银行与通讯、电力等外部机构的联防协作。

实施了包括核心系统在内的重要业务系统切换演练，提高银行应对信息系统突发事件的能力和信心。

但整体来看，我国银行业在业务连续性管理方面依然存在一些不足。

一是对业务连续性管理的重要性和价值认识不足，尚未形成有效的业务持续管理管理体系。

部分银行对业务持续性管理缺乏必要的理解，认为“投入大、收益小”，对金融服务的持续性与公众生活、经济社会正常运转的紧密关系缺乏足够的认识，银行改善业务持续管理的动力大多来自国家或监管政策压力，主观意愿不足，将业务持续性管理等同于信息系统的灾难恢复、日常故障处置的模糊意识大量存在，参与的多为信息技术部门、部分人员，业务连续性计划仅作为事件处理的应急预案，未建立起业务持续管理的管理组织体系，业务持续管理依然游离在企业的日常经营管理活动之外。

商业银行业务连续性监管指引（征求意见稿）第一章总则第一条为加强商业银行风险管理，提高业务连续性管理能力，降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响，快速恢复被中断业务，保障银行机构有效履行社会责任，维护公众信心和银行业正常的运行秩序，根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。

第二条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。

中国银监会监管的其他金融机构参照本指引执行。

第三条本指引所称重要业务是指面向社会客户、涉及账务处理及处理时效性要求较高的业务，其运行服务的中断会给商业银行造成重大经济损失或声誉影响，会对公民、法人或组织的权益、公共利益甚至国家安全带来严重后果的业务。

第四条本指引所称突发事件是指因下述原因，导致商业银行重要业务异常或中断，产生不良影响或资金损失的事件，包括：(一)信息系统各类技术故障和配套设施故障；(二)自然灾害（如火灾、雷击、海啸等）；(三)外部影响（如发生黑客攻击、第三方无法提供合作或服务等）。

第五条商业银行应根据突发事件造成的影响、损失程度和范围划分事件等级。

第六条本指引所称业务连续性是商业银行通过对突发事件的规划和响应，使重要业务得到有序、快速恢复，实现持续、稳定运行的能力。

第七条本指引所称业务连续性管理是商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体。

第八条商业银行应建立有效的业务连续性管理体系，使重要业务在发生突发事件后能有序、快速恢复，消除或减少因重要业务中断造成的影响和损失，实现业务的持续运营。

第九条业务连续性管理的基本原则是：(一)社会责任原则：应以切实有效履行社会责任为业务连续性管理的重要目标。

(二)预防为主原则；应积极采取预防控制措施，提高重要业务所依赖关键资源的健壮度，提升风险防御能力，消除或降低业务运营中断发生的可能性。

论坛从业务连续性管理角度看银行系统灾备■　曲海慧我国银行业信息化进程中日益显著的数据集中趋势增加了业务系统面临信息技术方面的风险。

在这一背景下，传统的银行系统灾难备份机制已经不能满足国家、企业和用户对金融数据安全及不间断服务的需求。

为应对这一挑战，基于业务连续性管理的新型银行灾备方案应运而生。

本文从业务连续性管理的角度出发，阐述银行灾备体系建设和运行中的重要步骤和核心手段。

我国新一代银行业务系统大多采用大型单一数据中心的模式以替代原有的多数据中心、数据分布式存储和处理的模式。

尽管这一“大集中”的趋势加强了银行账务监管力度，方便了数据共享，并降低了新业务开发和信息系统运营的成本，但是，它也在无形中放大了银行业务系统面临的风险：一旦数据中心发生灾难（自然灾害、黑客入侵、恐怖袭击、战争破坏等），受影响的将可能是所有的分支机构和业务，从而导致巨大的经济损失、客户流失、声誉受损，甚至金融和社会秩序的混乱。

在这一背景下，做好灾难备份，避免灾难造成的数据丢失和业务中断，并增强灾难后的恢复能力，在当代银行信息化建设中显得更为重要。

44中国减灾·2019·2月上452月上·2019·中国减灾和程序的方式，决定灾难发生后的备份系统控制流程及团队人员的标准操作流程。

五是培训计划及及测试维护。

团队成员需要如下培训：有紧急情况时的替代技术流程，当自动操作系统正在恢复时可替代的人工操作流程等。

同时，选择测试脚本，说明预期要达到的结果。

记录并评估测试结果，根据结果确认需要做何改进并培训团队。

周期性地检查和维护BCM 系统，确保相关设备和人员的可靠。

具体到银行信息系统，其业务连续性的要求可以归纳为以下三个方面：一是高可用性，指在本地故障情况下，能继续访问用户数据和金融业务应用的能力；二是连续操作，指当设备无故障时保持业务连续运行，用户不需因为系统正常维护而停止应用；三是灾难恢复，指当灾难破坏数据中心时，在不同的地点恢复相关数据的能力。

浅谈银行业务连续性计划的制定与实施维普资讯 ////0>.产业浅谈银行业务连续性计划的制定与实施马龙中国银行信息科技部标是防止业务活动中断,保证重要业务随着国内各商业银行数据大集中工作的逐步实施,支持银流程不受重大故障和灾难的影响。

为实行业务和数据处理的信息系统在物理分布、基础设施资源共现这一目标,应建立业务连续性管理程序,进行风险评估,编写和实施业务连享、统一的核心应用系统架构等不同层面逐步趋向集中,从而续性计划,维护业务连续性计划框架,并促进丫银行业务运作模式和管理流程的变革。

但是,数据集中定期组织业务连续性计划的检查、维护和更新。

也导致『.操作风险的集中,银行业务的连续运作与信息系统的稳定运行成为各商业银行需要优先考虑的关键问题。

.海外各国家金融监管机构对银行业务自 ? 事件发生以来,全球各国金导性的意义。

连续性计划的要求融监管当局高度重视金融机构的业务连上述十项原则中的第七条管理原则美国联邦金融机构检查委员会续运作,纷纷出台各种强制性或指导性是:银行需要建立适当的业务应急和持是一个正式的代表多个金融文件,不断扩展保障金融机构业务连续续性计划以确保发生灾难事件时业务可监管机构的实体,它的主要职责是加强运作和基础设施容灾备份能力的相关以持续运作,将损失降到最小。

对联邦金融机构检查在原则、标准、流范畴,更加强调对操作风险、集中风险、基于上述原则,文中进一步指出:业程等方面的指引,提出对金融机构监管相互依赖风险的防范和控制,要求各金务应急和持续性计划对于降低安全事件的一致性要求。

于年月正融机构必须制定与实施周密的业务连续的影响是非常重要的,是风险管理中的式颈布了性计划,明确关键业务的恢复时间目标,重要环节。

业务持续性管理主要包括以”咨询性文件,明确提出了对提高业务逐级恢复能力。

下内容:首先,评估灾难对业务的影响各金融机构建立业务连续性计划的要求,因此,制定并实施切实可行的业务程度,并识别出对业务运作起关键作用规范了金融机构业务连续性计划建立流连续性计划,已经是国内各商业银行的的服务;其次,定义灾难后关键服务恢程,并制定了详细的业务连续性计划检当务之急。

银行业灾备及业务连续性管理：从混沌走向清明每每提及灾难备份与业务连续性管理，银行业总是被誉为行业中的“领头羊”。

这不仅是由于其起步早，上世纪90年代末，部分银行在实施数据大集中的同时，就已着手进行灾备中心的建设了；更是由于2006年以来，银行业对灾难备份与业务连续性管理的认识进一步深入，一些模糊的概念逐渐被澄清，一些强有力的措施逐步被采纳和推广。

监管机构不但拟定和出台了相关的指引和管理规范，商业银行也都加强了灾备中心的建设与完善，特别是陆续开展了业务连续性体系规划和应急演练，灾备咨询与外包也更加深入而规范，真正将灾难备份提升到了业务连续性管理的高度。

业务连续性管理，不只是IT部门的事“业务连续性管理不是一个概念，也不是一个产品，而是与公司治理紧密联系在一起，是公司治理中至关重要的一环。

”美国国际灾难恢复协会（DRII）教育委员会主席Scotphelps在接受记者采访时表示。

诚如其所言，过去，信息安全经常被当作一个单纯的技术或管理问题，而在当今的银行业，它已经演化为一个涉及到政府部门、监管机构、外部审计、技术服务提供商、银行董事会与管理层等所有利益相关者的公司治理问题。

对此，国内银行业已有先知先觉者。

为实现对信息系统风险的识别、计量、评价、预警和控制，有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进银行业安全、持续、稳健运行，2006年11月，银监会发布了《银行业金融机构信息系统风险管理指引》。

银监会主席刘明康将信息科技导致的风险，列为银行业四大风险之一，要求各银行尽快树立并强化信息科技安全风险意识，从建立良好公司治理、提高风险管理支持可靠性、提高金融创新能力和竞争能力、维护金融体系稳定性等方面，认识加强信息科技风险管理工作的重要性，着力研究和防范信息科技的操作风险、战略风险、法律和声誉风险。

“当前我国银行业信息科技风险管理要着重关注和做好信息科技建设与业务发展的协调、信息安全的内部控制体系、信息科技体系变动和发展的管理、信息系统运行和操作管理，以及业务持续性规划的研究和制定等五方面工作。

栏目编辑：叶纯青 E-mail:yecq66@2020年·第4期53基于清算视角分析央行支付系统业务连续性管理体系建设■ 中国人民银行西安分行　陈　锦摘要：业务连续性管理是一项综合性的管理活动，通过识别组织面临的潜在风险，评估风险对组织可能造成的影响，建立一套组织、流程和资源相互配合的体系，以提升组织对风险事件的应对能力和恢复能力，保障组织价值创造活动的持续进行，有效维护组织的品牌声誉和相关方的利益。

支付系统作为资金流通的“大动脉”，其安全、稳定运行至关重要，使用业务连续性管理可以有效提高支付系统安全稳定运行的能力。

本文以人民银行西安分行清算中心为例，介绍了支付系统业务连续性建设现状，并分析有待提升的方面及提出建议。

关键词：支付系统；清算；业务连续性管理作者简介： 陈　锦（1981-），男，湖南长沙人，计算机硕士，工程师，供职于中国人民银行西安分行清算中心，主任科员，研究方向：支 付系统、信息安全、金融科技。

收稿日期： 2019-11-17近年来，随着金融全球化和信息技术的快速发展，金融行业发生了多起业务连续性建设风险事件，包括银行系统服务中断数十小时、机房线路电气故障、光纤被挖断导致系统中断等。

为防止由于技术不足、突发事件发生、管理不善等问题而导致系统业务中断，中国人民银行在2008年2月发布了《银行业信息系统灾难恢复管理规范》，中国银保监会在2011年12月发布了《商业银行业务连续性监管指引》，从“软件”和“硬件”两大方面指导国内金融机构建设业务连续性管理体系。

支付系统作为资金流通的“大动脉”更需要未雨绸缪，建立并完善业务连续性管理体系，增强系统业务的持续运营能力，保障“大动脉”的安全、稳定运行。

一、业务连续性管理简介业务连续性管理是利用体系的方法了解客户自身的可用性需求和业务连续性，并构建一套可以使中断威胁降到最低或消除中断威胁的规划，从以帮助客户实现业务的连续运转。

同时，结合业务连续性和灾难恢复方法论，由分析评估、设计实施和维护管理组成一个循环往复的闭合系统。