《商业银行业务连续性监管指引》解读

灾难恢复等级。
关注点：“以资产为核心的传统风险评估”与“业务连续性风险评估”的区别？
Page 16
业务连续性计划
业务连续性计划
（一）重要业务及关联关系、业务恢复优先次 序； （二）重要业务运营所需关键资源； （三）应急指挥和危机通讯程序； （四）各类预案以及预案维护、管理要求； （五）残余风险。
总体应急预案
《商业银行业务连续性监管指引》
交流&研讨
安永 姚皓轩
1 2 3 4 5
Page 2
《监管指引》出台的背景
《监管指引》解读与研讨
银行业BCM工作开展现状 市场机遇与挑战 问题交流讨论
思考与讨论
► ►
银监会为何第一个出台《业务连续性监管指引》？ 银监会出台《监管指引》时机？
►
《监管指引》与银行业其他规范指引有何关系？
Page 9
《监管指引》解读与研讨
Page 10
《商业银行业务连续性监管指引》—概览
► ► ► ►
第一章：总则 第二章：业务连续性组织架构 第三章：业务影响分析 第四章：业务连续性计划与资 源建设
►
第五章：业务连续性计划演练 与持续改进
►
第六章：运营中断事件应急处 置
► ►
第七章：监管和处置 第八章：附则
背景3：业务连续性管理国际标准
►
英国 BSI （ British Standard Institution ）出台了世界上第一个关于业务连续性管理 (BCM) 的英国标准—BS 25999，该标准的目的是在最棘手和意外的情况下保证企业的 业务持续运行，从而保护企业的员工、维护企业的声誉并提供持续运营的能力。
关注点：重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时
Page 15
风险评估方法与要求
RA方法
数据中心基础设施风险分析 信息系统架构风险分析
监管指引要求
1、识别业务连续运营所需的关键资源，分析资源所面临的
各类威胁以及资源自身的脆弱性，确定资源的风险敞口。 关键资源应当包括关键信息系统及其运行环境，关键的人
《监管指引》借鉴了哪些国际的相关标准及规范？
►
Page 3
《监管指引》出台的背景
Page 4
背景1：业务连续性监管要求沿革（国内）
银监会
2011.12 《商业银行业务连续性监管指引》银监发【2011】 （104号） 2010.4 《商业银行数据中心监管指引》银监发【2010】 （114号） 2009.6 《商业银行信息科技风险管理指引》 2008.4 《银行业重要信息系统突发事件应急管理规范（试行）》（【2008】53号） 2006.8 《银行业金融机构信息系统风险管理指引》【2006】(63号)
业务中断非财务影响分 析 评估业务关键资源 评估业务恢复优先级、 RTO\RPO
评估IT系统恢复优先级
评估IT系统RTO值、 RPO值
务应急响应时间、业务恢复的验证时间，确定信息系统恢
复时间目标（信息系统RTO）、信息系统恢复点目标（信息 系统RPO），明确信息系统重要程度和恢复优先级别，并识 别信息系统恢复所需的必要资源。
项目启动和管理
风险评估 和控制
业务影响 分析
制定业务 连续策略
应急响应 和运作
制定和实 施业务连 续计划
意识培养 和培训
维护和演 练业务连 续计划
公关关系 危机通信
与公共当 局的协调
灾难恢复国际行业协会 DRII： 1988年成立于美国，目标是建立业务 连续性管理知识的通用框架，进行资质的认证，提升业务连续性管 理从业人士的专业水准。
信息系统调研与管理员 访谈 技术资料收集与分析整 理 信息系统中断影响分析
2、商业银行应当识别重要业务，明确重要业务归口管理部 门、所需关键资源及对应的信息系统，识别重要业务的相 互依赖关系，分析、评估各项重要业务在运营中断事件发 生时可能造成的经济损失和非经济损失。 3 、原则上，重要业务恢复时间目标不得大于 4 小时，重要 业务恢复点目标不得大于半小时。 4、通过分析业务与信息系统的对应关系、信息系统之间的 依赖关系，根据业务恢复时间目标、业务恢复点目标、业
组织，例如金融、电信、运输和公共行业。 BSI（British Standard Institution）成立于1901年，它是世 界领先的业务标准服务提供者。
Page 8
背景4：业务连续性管理最佳实践
►
灾难恢复国际行业协会 DRII（Disaster Recovery Institute International）制定了业务连 续管理最佳实践的十个领域：
►
该标准为在组织内了解、开发和实施业务持续性提供了基础，它包含一套基于 BCM 最 佳做法的全面控制措施，涵盖整个 BCM 生命周期。
►
BS 25999 分两部分制定：

第 1 部分《BCM实践指南》于2006年底公布 第 2 部分《BCM规范》于 2007 年底公布
►
BS 25999 适合于各种规模及各行各业的任何组织， 尤其适合在高风险环境中运营的
员、业务场地、业务办公设备、业务单据以及供应商等。 2、应当根据风险敞口制定降低、缓释、转移等应对策略。 依据防范或控制风险的可行性和残余风险的可接受程度， 确定风险防范和控制的原则与措施。 3、应当根据业务影响分析结果，依据业务恢复指标，制定 差别化的业务恢复策略，主要包括关键资源恢复、业务替 代手段、数据追补和恢复优先级别等。 4、应当依据业务恢复策略，确定灾难恢复资源获取方式和
人民银行
2008.2 《银行业信息系统灾难恢复管理规范》（JR/T0044-2008） 2006.4 《关于进一步加强银行业金融机构信息安全保障工作的指导意见》 （【2006】123号文件）
国标委
2007.6 《信息系统灾难恢复规范》 （GB/T 20988—2007）
国信办
2005.4 《重要信息系统灾难恢复指南》 2004.4 《关于加强信息安全保障工作的意见》

建立风险评估过程和方法 定义风险评估过程的目标和范围 制定评估方法并选择评估工具 风险评估调研和信息收集 调研关键的信息系统、IT环境、数据中心资源 调研关键的业务人员，关键的业务场地，关键的 业务办公资源等 风险评估和撰写报告 识别并评价业务运行所需的关键资源 识别关键资源所面临的各类威胁 识别关键资源本身的脆弱性 采用定性或定量方法分析风险发生的可能性 评价关键资源面临的风险大小或风险等级 撰写评估报告
体系化
重要 业务
基本原则：坚持以人为本， 重点保障人员安全；实施差 异化管理，保障重要业务有 序恢复；兼顾业务连续性管 理成本与效益；
以人 为本 企业 文化
将业务连续性管理融入到企业文化 中，使其成为银行机构日常运营管 理的有机组成部分。
关注点：信息系统与信息科技是保障商业银行业务持续运营的重要基础„„
Biblioteka Baidu
审计部门 （内审部）
应急保障层 （办公室、人力资源部 门、财务部门）
Page 14
业务影响分析方法与要求
BIA方法
业务中断影响分析 信息系统中断影响分析
监管指引要求
1、根据业务重要程度实现差异化管理，确定各业务恢复优
先顺序和恢复指标。商业银行应当至少每三年开展一次全 面业务影响分析。
业务流程调研与业务人 员访谈 业务资料收集与分析整 理 业务中断财务影响分析
确保资源配置
主管部门
组织制定管 理办法
协调确定恢 复目标、恢 复策略
组织开展演 练评估改进 培训
执行部门
业务部门
负责风险评估、业务影响分析，确定重要 业务恢复目标和恢复策略，负责业务条线 重要业务应急响应与恢复
IT部门
负责信息技术应急响应与恢复
关注点： 办公室、人力资源部门、公共关系部门、财务部门、法律合规部 保障部门 门、后勤部门、保卫部门等 1、如何理解风险管理部门或其他综合管理部门为业务连续性管理主管部门 2、业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略， Page 13 负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复
商业银行业务连续性组织架构
日常管理组织架构 应急处置组织架构
董事会
应急决策层 （高级管理人员）
业务连续性 管理委员会
应急指挥层 （主管部门、执行部门、 保障部门负责人） 业务连续性 主管部门 应急执行层 （业务部门、信息技术 部）
执行部门 （业务部 门、信息 技术部）
保障部门 （办公室、 人力资源 部门、审 计部门）
《The Financial Services Authority Incident management: A generic guide》，概括了制定业务连续 管理计划的方法 FSA 对金融机构的业务连续性做出了规定：事先有合理的 安排，充分考虑到业务的性质、规模和复杂程度，确保在 发生不可预测的中断事件下，能够继续运作并符合相关法 规。 《CP142: Operational risk systems and controls》包 含了关于业务连续管理的内容。
Page 12
商业银行业务连续性干系人
银监会及其派 出机构 属地监管 每年一季度审查商业银行业务连续性管 理报告及其评估报告与审计报告 定期检查和评 价
商业银行
董（理）事会
审批战略、政 策、程序
监督高级管理 层履职
审核年度审计 报告
高级管理层
制定并审查监 督政策、程序
审批策略、监 督各部门履职 组织制定业 务连续性计 划
1、应对运营中断事件的总体方案 2、包括总体组织架构、各层级预案的定位和 衔接关系及对运营中断事件的预警、报告、 分析、决策、处理、恢复等处置程序。 3、总体预案通常用于处置导致大范围业务运 营中断的事件。
重要业务专项预案
1、应当注重灾难场景的设计，明确在不
外部供应商建立业务连续性计划
1 、应当要求重要业务及信息系统的外部供应商 建立业务连续性计划，证明其业务连续性计划的 有效性，其业务恢复目标应当满足商业银行要求。 2 、应当注重与金融同业单位、外部金融市场、 金融服务平台和公共事业部门等业务连续性计划
•《Business Continuity Management, 2000 Better practice》
美国
新加坡
英国
澳大利亚
1983年OCC发布了指引要求银行制定护灾难恢复预案 1989年FFIEC要求银行对灾难恢复预案进行测试和演习； 2003年3月FFIEC《金融机构检查委员会业务连续计划手册》 2002年8月NASD颁布了《NASD Proposed Regulation》，该规范
Page 11
《监管指引》总则
保障重要业务持续运营的一整套管理 过程，包括策略、组织架构、方法、 标准和程序。 将业务连续性管理纳入全面风险管理 体系 重要业务是指面向客户、涉及 账务处理、时效性要求较高的 银行业务，其运营服务中断会 对商业银行产生较大经济损失 或声誉影响，或对公民、法人 和其他组织的权益、社会秩序 和公共利益、国家安全造成严 重影响的业务。
BCM&DR
Page 5
背景1：重要标准之间的关系
业务连续性监管指引
银行业重要信息系统突 发事件应急管理规范
银行业信息系统灾难恢 复管理规范
商业银行数据中心监管指引
Page 6
背景2：业务连续性监管要求（国外）
2001 年 7 月 在 《INTERNET BANKING TECHNOLOGY RISK MANAGEMENT GUIDELINES》； 2003 年 7 月 发 布 了 正 式 的 《Business Continuity Management Guideline》 2005年，新加坡信息技术标准委员会出台了业务连续性 /灾 难恢复(BC/DR)服务提供商评定标准SS 507。 澳大利亚国家审计局(ANAO) ： •《Business Continuity Management Follow-on Audit》， •《Business Continuity Management and Emergency Management in Centrelink》；


提出了BCP的八点最低要求；
2003年5月28日，美国金融监管三大机构Board、SEC 和OCC发布 《 I n te r ag e nc y W h it e Pa p er on S o und Pr a ct i ce s t o Strengthen Page 7 the Resilience of the U.S. Financial System》