商业银行业务连续性监管指引

商业银行业务连续性监管指引

第一章总则

第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，维护公众信心和银行业正常运营秩序，提高商业银行业务连续性管理能力，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规，制定本指引。

第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第四条本指引所称重要业务运营中断事件（以下简称运营中断事件）是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括：

（一）信息技术故障：信息系统技术故障、配套设施故障；（二）外部服务中断：第三方无法合作或提供服务等；

（三）人为破坏：黑客攻击、恐怖袭击等；

（四）自然灾害：火灾、雷击、海啸、地震、重大疫情等。

第五条商业银行应当将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系，确保重要业务在运营中断事件发生后快速恢复，降低或消除因重要业务运营中断造成的影响和损失，保障业务持续运营。

第六条商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好，确定适当的业务连续性管理战略。

第七条商业银行应当建立业务连续性管理的组织架构，确定重要业务及其恢复目标，制定业务连续性计划，配置必要的资源，有效处置运营中断事件，并积极开展演练和业务连续性管理的评估改进。

第八条业务连续性管理的基本原则是：

（一）切实履行社会责任，保护客户合法权益、维护金融秩序；（二）坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合；

（三）坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；（四）坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。

第九条商业银行应当将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。

第二章业务连续性组织架构

第一节日常管理组织架构

第十条董（理）事会是商业银行业务连续性管理的决策机构，

对业务连续性管理承担最终责任。主要职责包括：

（一）审核和批准业务连续性管理战略、政策和程序；

（二）审批高级管理层业务连续性管理职责，定期听取高级管理层关于业务连续性管理的报告，监督、评价其履职情况；（三）审批业务连续性管理年度审计报告。

第十一条高级管理层负责执行经董（理）事会批准的业务连续性管理政策。主要职责包括：

（一）制定并定期审查和监督执行业务连续性管理政策、程序；（二）明确各部门业务连续性管理职责，明确报告路线，审批重要业务恢复目标和恢复策略，督促各部门履行管理职责，确保业务连续性管理体系正常运行；

（三）确保配置足够的资源保障业务连续性管理的实施。

第十二条商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会，统筹协调、落实各项管理职责。

第十三条商业银行应当指定风险管理部门或其他综合管理部门为业务连续性管理主管部门，组织开展全行业务连续性管理工作，指导、评估、监督各部门的业务连续性管理工作；组织制定业务连续性计划，协调业务条线部门，汇总、确定重要业务的恢复目标和恢复策略；组织开展业务连续性计划的演练、评估与改进；开展业务连续性管理培训等。

第十四条商业银行应当明确业务连续性管理执行部门，包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条

线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复。

第十五条商业银行应当明确业务连续性管理保障部门，包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等，为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。其中，公共关系部门应当制定对外媒体公关策略，制定和执行对外媒体公关的应急预案。

第十六条商业银行各部门应当负责本部门业务连续性管理工作，制定相关规章制度，制定和执行本部门业务连续性计划，开展本部门业务连续性计划的演练、评估与改进工作。

第十七条商业银行内部审计部门应当负责并定期开展全行业务连续性管理审计工作。

第二节应急处置组织架构

第十八条商业银行应当建立运营中断事件应急处置的组织架构，包括应急决策层、应急指挥层、应急执行层和应急保障层。第十九条应急决策层由商业银行高级管理人员组成，负责决定应急处置重大事宜，包括：决定运营中断事件通报、对外报告和公告；批准启动总体应急预案等。

第二十条应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门负责人组成，负责运营中断事件处置应急指挥和组织协调，督导应急处置实施。

第二十一条应急执行层由商业银行业务连续性管理执行部门组成，负责业务条线与信息技术应急处置工作。

第二十二条应急保障层由商业银行业务连续性管理保障部门组成，负责应急处置所需人力、物力和财力等资源的保障，应急处置对外报告、宣告、通报和沟通与协调，以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。

第三章业务影响分析

第二十三条商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失，明确业务连续性管理重点，根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析，并形成业务影响分析报告。

第二十四条商业银行应当识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统，识别重要业务的相互依赖关系，分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。

第二十五条商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本，结合业务服务时效性、服务周期等运行特点，确定重要业务恢复时间目标（业务RTO ）、业务恢复点目标（业务RPO ) ，原则上，重要业务恢复时间目标不得大于4 小时，重要业务恢复点目标不得大于半小时。

第二十六条商业银行应当明确业务重要程度和恢复优先级别，并识别重要业务恢复所需的必要资源。

第二十七条商业银行应当通过分析业务与信息系统的对应关系、信息系统之间的依赖关系，根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间，确定