《商业银行业务连续性监管指引》解读

合集下载

商业银行业务连续性监管指引

商业银行业务连续性监管指引商业银行业务连续性监管指引1.引言1.1 目的1.2 适用范围1.3 定义1.4 参考资料2.管理框架2.1 业务连续性管理的重要性2.2 管理框架的基本原则2.3 监管机构的角色和职责2.4 监管机构的监管规定和要求3.风险评估与管理3.1 业务连续性风险评估3.2 风险管理计划的制定和执行3.3 灾难恢复计划的制定与测试3.4 关键任务和关键人员的保护与组织4.业务连续性测试与演练4.1 测试策略与方法选择4.2 测试计划的制定与执行4.3 测试结果的分析与整理4.4 演练活动的组织与管理5.周期审查与持续改进5.1 业务连续性管理的周期审查5.2 控制措施的效果评估与整改5.3 风险管理计划的动态更新5.4 持续改进的措施与方法6.公共危机事件应对6.1 公共危机事件与应对原则6.2 天灾与外部事件应对措施6.3 突发事件与内部事故应对措施6.4 公共危机事件的应急预案7.与外部机构的合作与沟通7.1 监管机构的报告和信息披露7.2 与其他金融机构的协同合作7.3 与托管机构和支付清算机构的合作7.4 与其他合作伙伴的沟通与协调附件：附件5.业务连续性检查清单法律名词及注释：1.《商业银行法》：为规范商业银行的行为，保护金融消费者和金融市场利益而制定的法律。

2.《银行业金融机构公司治理准则》：监管机构规定的商业银行公司治理方面的准则，旨在加强银行业金融机构的内部管理和风险控制。

3.《存款保险条例》：规定商业银行的存款保险制度，保障合法存款人的权益。

商业银行业务连续性解读

9
评估、审计与日常监管
• 一年一评估、三年一审计 • 大范围中断事件后需要专项审计 • 每年一季度向银监会提交管理报告、评估报告、审计报告 • 全行业务连续性计划演练后45个工作日内提交演练总结报告
10
应急监管
事件级别 I 事件名称特别重大运营中断事件事件定义监管级别 1. 数据丢失、泄漏造成公众、社会、国家利益受严上报国务院重影响； 2. 导致一个(含)以上省(自治区、直辖市)的多家金融机构业务无法正常开展达3个小时(含)以上的事件； 3. 导致单家金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达3个小时(含)以上，或一个省(自治区、直辖市)业务无法正常开展达6个小时 (含)以上的事件；
演练时间
演练目标
• 应当以真实业务接管为目标 • 确保有效接管以及安全回切 • 加强业务和信息科技部门的协调和配合
演练参与
• 积极参与同业单位、外部金融市场、金融服务平台、公共事业部门组织的业务连续性演练 • 应当将外部供应商纳入演练范围
8
灾难恢复
• 事先对备份资源进行技术验证，确保其可用性 • 防范切换后的“二次中断风险”
• 外部供应商也要建立并证明业务连续性计划的有效性，满足本指引要求 • …
6
业务连续性资源建设
要求实现信息系统的高可用性
灾备数据中心信息系统资源岗位备份人员
确保备份人员可用，降低岗位人员无法及时履职风险。
指挥场所
备用业务场所
7
业务连续性计划演练
• 至少每三年一次全部演练 • 重大业务活动、重大社会活动等关键时间点之前 • 新业务上线之前 • 关键资源发生重大变化之后
1. 数据丢失、泄漏造成客户利益受较大影响； 2. 导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的事件；

商业银行业务连续性监管指引

商业银行业务连续性监管指引商业银行在现代经济中扮演着重要的角色，为人们提供各种金融服务。

然而，随着科技的发展和风险的增加，商业银行需要采取相应的措施来确保其业务连续性。

为此，监管机构制定了商业银行业务连续性监管指引，以确保银行业务稳定运作，防范金融体系风险。

一、背景介绍商业银行作为金融体系中的关键组成部分，其业务连续性的重要性不言而喻。

面临的挑战包括自然灾害、网络攻击、人为错误等，这些风险可能导致银行业务中断，给金融市场和经济带来严重的影响。

因此，为了保护金融市场稳定和消费者权益，监管机构制定了商业银行业务连续性监管指引。

二、指引内容及要求商业银行业务连续性监管指引主要包括以下几个方面的内容和要求：1. 业务连续性管理框架：商业银行应建立完善的业务连续性管理框架，包括明确的战略、政策和程序。

此外，银行还应指定内部负责人和团队，负责监督和落实业务连续性措施。

2. 风险评估和防范：商业银行应定期进行风险评估，识别可能导致业务中断的内外部风险。

根据评估结果，银行需要制定相应的防范措施，包括安全保障、备份系统和危机响应计划等。

3. 业务连续性测试和演练：商业银行应定期进行业务连续性测试和演练，以验证防范措施的有效性和响应机制的可靠性。

同时，银行还应记录测试结果和演练过程，并对存在的问题进行及时修复和改进。

4. 供应商管理：商业银行在选择和引入供应商时，应审慎评估其业务连续性管理能力。

合同中应明确供应商的责任和义务，包括数据备份、安全保障、恢复能力等方面的要求。

5. 人员培训和意识提升：商业银行应加强员工的业务连续性培训和意识提升，提高员工对业务连续性重要性的认识，并指导他们在紧急情况下的应对措施。

6. 风险报告和监测：商业银行应及时报告可能影响业务连续性的风险信息，包括内部和外部风险。

监管机构将通过监测和评估来确保商业银行按照要求进行业务连续性管理和控制风险。

三、监管机构的角色与责任监管机构对商业银行的业务连续性进行监管和指导，主要包括以下几个方面的角色与责任：1. 审查和评估：监管机构将定期对商业银行的业务连续性管理措施进行审查和评估，以确保其符合指引要求。

商业银行业务连续性监管指引

商业银行业务连续性监管指引商业银行业务连续性监管指引第一章：引言1.1 背景和目的1.2 适用范围1.3 定义和缩写第二章：监管要求2.1 战略规划和政策制定2.1.1 业务连续性战略规划2.1.2 政策制定和角色分配2.2 风险评估和业务影响分析2.2.1 风险评估2.2.2 业务影响分析2.3 控制和保障措施2.3.1 控制措施2.3.2 保障措施2.4 业务连续性计划开发和维护 2.4.1 业务连续性计划开发 2.4.2 业务连续性计划维护 2.5 测试、演练和培训2.5.1 测试2.5.2 演练2.5.3 培训2.6 监测和报告2.6.1 监测2.6.2 报告和评估2.7 外部合作与溢出风险管理 2.7.1 外部合作管理2.7.2 溢出风险管理第三章：监管工具和方法3.1 业务连续性自评工具3.2 监管评估方法3.3 监管合规与纠正措施第四章：监管流程与责任4.1 监管流程4.2 责任分工第五章：附则5.1 监管变更与更新5.2 执法和处罚附件：法律名词及注释：1、《商业银行业务连续性监管指引》：指本文所述的监管指引。

2、业务连续性：指商业银行在遭受意外事件或灾害等造成业务中断时，通过适当的控制措施和保障措施，保证业务连续性并降低损失。

3、自评工具：指商业银行自行评估其业务连续性情况的工具，用于识别潜在风险并采取相应措施。

4、监管评估方法：指监管机构对商业银行进行业务连续性评估的方法和标准。

5、监管合规与纠正措施：指监管机构对商业银行在业务连续性方面不符合监管要求时采取的合规措施和纠正措施。

业务连续性管理 (BCM)实务培训

时间
11
信息系统的恢复与复原
• 如果业务活动完全依赖于IT系统，则对于IT部门而言：
• 业务部门以业务视角分析出系统的恢复目标MTPD、MTDL；
• IT部门应据此制定信息系统的RTO、RPO。
最新的数据备份点突发事件
系统中断、实时数据丢失
恢复关键业务到最低运营水平
业务复原到完全运营水平
实施临时变通方案恢复复原 MTPD MTDL -2 小时 RPO 允许的数据丢失事件上报与初判启用备用资源 -1 小时 0
应急指挥和组织协调
应急执行层
业务条线与信息技术应急处置工作： • 执行业务部门、信息技部门BCP • 启动应急预案 • • • • 资源保障：人、财、物秩序维护，安全保障，法律咨询，人员安抚对外宣告、通报、沟通，对外媒体公关执行保障部门BCP
应急保障层
15
连续性管理的一般实施过程
分析 (Analysis) 设计 (Design) 连续性策略制定实施 (Implementation) 风险处置验证 (Validation) 连续性管理改进业务影响分析风险评估连续性演练
IT灾难恢复计划：将中断的IT系统服务恢复到可用状态，通常涉及灾备切换。应急预案：通常由一组具体的故障恢复场景构成，可能包含导致服务中断的严重故障，也有可能涉及未导致服务中断的一般故障。
9
业务连续性的恢复要求
• 最长可容忍中断时间（MTPD, Maximum Tolerable Period Of Disruption）交付产品、服务的业务流程与活动的最长可容忍中断时间。如果超出此时间限制，带来的负面影响将变得无法承受。 • 恢复时间目标（RTO）基于MTPD，在组织内部协商后制定的恢复时间目标值。RTO应小于MTPD（30%为宜）。组织应在假设的最坏场景下，通过演练、测试，验证自身达成RTO的实际能力。 • 最长可容忍数据丢失点（MTDL , Maximum Tolerable Data Lost）交付产品、服务的业务流程与活动中断后再次恢复时，能够容忍的数据丢失时长。即：将数据恢复到中断前多久的状态。

《商业银行业务连续性监管指引》解读

《商业银行业务连续性监管指引》解读《商业银行业务连续性监管指引》解读第一章总则1.1 本指引的目的和适用范围1.1.1 本指引的目的是规范商业银行的业务连续性管理，保障银行业务的正常运营。

1.1.2 本指引适用于所有商业银行及其分支机构。

1.2 定义和缩略语1.2.1 业务连续性：商业银行为保障业务的可持续运营所采取的各种预防、恢复和应对措施。

1.2.2 威胁：对商业银行业务连续性的潜在危害。

1.2.3 威胁评估：对商业银行可能面临的各种威胁进行评估和分析。

1.2.4 应急演练：商业银行定期或不定期组织的针对突发事件的模拟演练。

1.2.5 责任人：商业银行内负责业务连续性管理的人员。

第二章业务连续性管理原则2.1 风险识别与评估2.1.1 商业银行应建立完善的风险识别与评估机制，对可能发生的威胁进行评估和分析。

2.1.2 风险评估结果应作为制定业务连续性计划的依据。

2.2 业务连续性计划2.2.1 商业银行应根据风险评估结果制定相应的业务连续性计划。

2.2.2 业务连续性计划应包括预防、恢复和应对措施，并定期进行评估和更新。

2.3 应急响应与恢复2.3.1 商业银行应建立健全的应急响应机制，能够快速应对突发事件。

2.3.2 应急响应措施应包括组织架构、人员职责和应急通信等方面的安排。

第三章业务连续性管理实施3.1 预防措施3.1.1 商业银行应制定和实施相应的安全策略和措施，预防威胁的发生。

3.1.2 预防措施应包括信息安全保护、灾备设施的建设和维护等方面。

3.2 恢复措施3.2.1 商业银行应规划有效的恢复措施，确保在突发事件后能够尽快恢复业务。

3.2.2 恢复措施应包括备份和恢复数据、故障切换和应急供电等方面的准备工作。

3.3 应对措施3.3.1 商业银行应制定应对措施，能够应对各类突发事件。

3.3.2 应对措施应包括应急通讯、业务转移和关键岗位备用人员设置等方面的安排。

第四章业务连续性测试和演练4.1 测试计划4.1.1 商业银行应制定详细的业务连续性测试计划，包括测试目标、测试方法和测试周期等。

商业银行业务连续性管理现状与发展分析

商业银行业务连续性管理现状与发展分析
随着经济全球化进程的深入发展，银行业金融机构之间、银行与客户之间的关系变的越来越紧密，为有效应对突发事件和危机，通过建立业务连续性管理体系来保持金融服务的稳定性也逐渐成为银行内部的共识。

一、业务连续性管理发展历程
业务连续性管理早期可以追溯到20世纪70年代的容灾恢复计划。

为应对自然灾害或其他物理损坏等引起的突发故障和危机，银行和保险机构会选择在远离主中心的另外一个地方通过磁带的方式备份相关数据，以保障遭受危机的业务得到恢复。

进入20世纪80年代，随着计算机技术的日趋发展、成熟，依靠传统的备份来恢复业务的方式逐渐不能适应一些关键领域的发展要求，而具有应对风险、自动调整和快速反应能力，并使企业能够连续运转的业务连续性计划逐步登上历史的舞台，但这一时期仍是以系统灾难恢复为主，对全面的连续性管理认识仍然不足。

90年代后，随着IT技术在越来越多领域的广泛应用，业务连续性管理逐渐得到重视，特别是“911”事件中，纽约银行因线路中断、IT系统无法迅速重建导致一些分支机构
1。

《商业银行业务连续性监管指引》解读

《商业银行业务连续性监管指引》解读商业银行业务连续性监管指引解读本文档旨在对《商业银行业务连续性监管指引》进行详细解读，以便银行机构更好地理解和遵守相关监管要求。

本文将对指引的每个章节进行细化，并提供附件、法律名词及其注释。

以下是对该指引各章节的解读：一、绪论本章节概述了商业银行业务连续性监管指引的背景、目的和适用范围。

指引的制定旨在加强商业银行业务连续性管理，确保金融体系的稳定运行。

本章还明确了指引适用的商业银行机构范围。

二、基本原则本章阐明了商业银行业务连续性管理的基本原则，包括全面覆盖、风险导向、合规管理、持续改进等。

指引要求商业银行机构在制定业务连续性管理制度时应考虑这些原则，以确保有效的业务持续性管理。

三、组织和责任本章重点强调了商业银行机构应建立健全的组织和责任架构来推动业务连续性管理工作。

要求商业银行机构明确业务连续性管理的上下级层级关系、责任分工和业务连续性管理的组织结构。

四、风险评估和业务影响分析本章明确商业银行机构应开展风险评估和业务影响分析工作，以识别业务连续性风险，确定关键业务功能和关键业务资源。

商业银行机构应根据评估结果制定相应的应对措施和业务连续性计划。

五、业务连续性计划本章要求商业银行机构建立完善的业务连续性计划，包括制定适用的运营程序、恢复策略和控制措施。

商业银行机构应定期测试和验证业务连续性计划，并针对测试结果进行调整和改进。

六、应急响应与恢复本章要求商业银行机构建立应急响应与恢复体系，包括灾难恢复团队的组织和培训、应急通讯系统的建立和维护等。

商业银行机构应定期开展应急演练，确保在突发事件发生时能够及时、有效地应对。

附件：本文档附带以下附件作为参考：⒊商业银行业务连续性测试与验证指南。

法律名词及注释：⒈金融体系：指一个国家或地区内的金融机构、金融市场、金融基础设施等相关组织和机构的总体。

⒉业务连续性：指商业银行机构在面临内外部风险和突发事件时，保持关键业务的连续运行并保护利益的能力。

业务连续性监管指引分析

商业银行业务连续性监管指引第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。

为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，维护公众信心和银行业正常运营秩序，提高商业银行业务连续性管理能力，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规，制定本指引。

第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第四条本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。

主要包括：(一)信息技术故障：信息系统技术故障、配套设施故障；(二)外部服务中断：第三方无法合作或提供服务等；(三)人为破坏：黑客攻击、恐怖袭击等；(四)自然灾害：火灾、雷击、海啸、地震、重大疫情等。

第五条商业银行应当将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系，确保重要业务在运营中断事件发生后快速恢复，降低或消除因重要业务运营中断造成的影响和损失，保障业务持续运营。

第六条商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好，确定适当的业务连续性管理战略。

第七条商业银行应当建立业务连续性管理的组织架构，确定重要业务及其恢复目标，制定业务连续性计划，配置必要的资源，有效处置运营中断事件，并积极开展演练和业务连续性管理的评估改进。

第八条业务连续性管理的基本原则是：(一)切实履行社会责任，保护客户合法权益、维护金融秩序；(二)坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合；(三)坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；(四)坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。

商业银行业务连续性监管指引(征求意见稿)

商业银行业务连续性监管指引（征求意见稿）第一章总则第一条为加强商业银行风险管理，提高业务连续性管理能力，降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响，快速恢复被中断业务，保障银行机构有效履行社会责任，维护公众信心和银行业正常的运行秩序，根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。

第二条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。

中国银监会监管的其他金融机构参照本指引执行。

第三条本指引所称重要业务是指面向社会客户、涉及账务处理及处理时效性要求较高的业务，其运行服务的中断会给商业银行造成重大经济损失或声誉影响，会对公民、法人或组织的权益、公共利益甚至国家安全带来严重后果的业务。

第四条本指引所称突发事件是指因下述原因，导致商业银行重要业务异常或中断，产生不良影响或资金损失的事件，包括：(一)信息系统各类技术故障和配套设施故障；(二)自然灾害（如火灾、雷击、海啸等）；(三)外部影响（如发生黑客攻击、第三方无法提供合作或服务等）。

第五条商业银行应根据突发事件造成的影响、损失程度和范围划分事件等级。

第六条本指引所称业务连续性是商业银行通过对突发事件的规划和响应，使重要业务得到有序、快速恢复，实现持续、稳定运行的能力。

第七条本指引所称业务连续性管理是商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体。

第八条商业银行应建立有效的业务连续性管理体系，使重要业务在发生突发事件后能有序、快速恢复，消除或减少因重要业务中断造成的影响和损失，实现业务的持续运营。

第九条业务连续性管理的基本原则是：(一)社会责任原则：应以切实有效履行社会责任为业务连续性管理的重要目标。

(二)预防为主原则；应积极采取预防控制措施，提高重要业务所依赖关键资源的健壮度，提升风险防御能力，消除或降低业务运营中断发生的可能性。

银行业金融机构高级管理人员法律法规知识试卷11

银行业金融机构高级管理人员法律法规知识竞赛试卷（初赛）一、填空题（每个空1分, 共40分）1.不动产物权的设立、变更、转让和消灭, 应当依照法律规定（）。

动产物权的设立和转让, 应当依照法律规定（）。

2、《会计法》规定, 单位负责人对本单位的( )的真实性、完整性负责。

3.商业银行销售理财产品, 应当遵循公平、公开、公正原则, 充分（）, 保护客户合法权益, 不得对客户进行误导销售。

4.单位定期存单只能以（）为目的开立和使用。

5.商业银行信息科技风险管理“三道防线”: （）、（）、（）。

6.《银行业重要信息系统突发事件应急管理规范（试行）》要求, 商业银行应每年至少进行（）次重要信息系统专项灾备切换演练,每（）年至少进行一次重要信息系统全面灾备切换演练,以真实业务接管为目标,验证灾备系统有效接管生产系统及安全回切的能力。

7、《商业银行数据中心监管指引》定义, 商业银行为保障其业务连续性,在生产中心故障、停顿或瘫痪后,能够接替生产中心运行,具备专用场所,进行数据处理和支持重要业务持续运行的组织称为（）。

8、《银行业金融机构重要信息系统投产及变更管理办法》要求, 银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险,包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险,并形成（）。

9、《商业银行业务连续性监管指引》规定, （（））是商业银行业务连续性管理的决策机构, 对业务连续性管理承担最终责任。

10、根据《商业银行业务连续性监管指引》中有关规定,商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失, 明确业务连续性管理重点, 根据业务重要程度实现差异化管理, 确定各业务恢复优先顺序和恢复指标。

商业银行应当至少每（）年开展一次全面业务影响分析, 并形成业务影响分析报告。

11.《银行业重要信息系统突发事件应急管理规范》规定, 应急演练结束后, 银行业金融机构应组织编写应急演练情况总结报告, 大型或重要的应急演练总结报告应提交给（）。

《商业银行业务连续性监管指引》解读

《商业银行业务连续性监管指引》解读《商业银行业务连续性监管指引》解读1.引言商业银行业务连续性监管指引是为了确保商业银行在面对各种突发事件和风险时，能够保持业务的连续性和正常运营，提高应对各类灾难和风险的能力。

本文档对商业银行业务连续性监管指引进行解读，以便帮助商业银行全面理解并正确执行相关规定。

2.监管要求2.1 业务连续性政策和程序商业银行应制定和实施业务连续性政策和程序，明确责任和权限，并确保其能够适应不断变化的外部环境和内部业务需求。

2.2 风险评估和灾难准备商业银行应定期进行风险评估和灾难准备，识别和分析可能影响业务连续性的风险，并设计相应的预防、应对和恢复措施，以保障业务连续性不受干扰。

2.3 业务连续性测试和演练商业银行应定期进行业务连续性测试和演练，以验证业务连续性计划的有效性，并发现和解决潜在问题，提高应对突发事件和风险的能力。

2.4 业务连续性与供应链管理商业银行应与其关键合作伙伴进行业务连续性的合作，确保供应链中的各个环节能够保持业务连续性，并建立相应的风险管理机制。

3.附件3.2 风险评估和灾难准备工具4.法律名词及注释4.1 商业银行业务连续性监管指引指监管部门发布的对商业银行业务连续性管理的规定和要求，以确保商业银行在面临各种风险和灾难时能够保持业务连续性和正常运营。

4.2 业务连续性管理指商业银行为保障业务连续性而采取的一系列预防、应对和恢复措施，以应对各种风险和灾难。

4.3 风险评估指商业银行对可能影响业务连续性的风险进行识别、评估和分析的过程，以为制定相应的应对措施提供依据。

4.4 灾难准备指商业银行在面对各类突发事件和风险时，采取的一系列预先准备和应对措施，以确保业务连续性和正常运营。

商业银行业务连续性监管指引

商业银行业务连续性监管指引商业银行业务连续性监管指引第一章概述1.1 目的1.2 适用范围1.3 监管要求1.4 风险识别与评估1.4.1 内外部风险1.4.2 风险评估方法1.5 业务连续性管理框架1.5.1 监管机构角色与责任1.5.2 银行内部管理体系1.5.3 业务连续性计划第二章风险评估与业务影响分析2.1 风险评估2.1.1 风险辨识与分类2.1.2 风险评估方法与指标2.2 业务影响分析2.2.1 业务关键性分析2.2.2 业务影响评估2.2.3 恢复时间目标设定第三章业务连续性计划3.1 业务连续性计划制定与更新3.1.1 制定和审批3.1.2 更新与测试3.2 业务连续性计划组织与挂接3.2.1 设计原则3.2.2 数据备份与恢复3.2.3 灾难恢复团队组织3.2.4 业务恢复挂接与备援3.3 业务连续性计划执行与监控3.3.1 业务连续性演练3.3.2 业务连续性演练评估与改进3.3.3 监控与报告3.3.4 业务连续性事件的跟踪和回顾第四章业务负责人和员工培训4.1 业务负责人培训4.2 员工培训第五章供应商和合作伙伴管理5.1 供应商和合作伙伴选择和评估5.2 合同管理5.3 供应商和合作伙伴的业务连续性计划要求第六章网络安全与信息保护6.1 风险识别和评估6.2 网络和系统安全6.3 信息保护6.4 网络安全和信息保护的监控和报告第七章业务连续性测试和演练7.1 测试策略和计划7.2 测试的类型和频率7.3 测试的设计和执行7.4 测试结果的评估和改进第八章业务连续性事件处置8.1 业务连续性事件的发生和通报8.2 事件处置流程8.3 恢复和恢复后控制8.4 事件的评估和改进附录：附件三：风险识别与评估工具法律名词及注释：1.法律名词1：相关注释。

2.法律名词2：相关注释。

3.法律名词3：相关注释。

银行业务连续性管理实践

银行业务连续性管理实践随着银行业务和机构的不断扩张，信息化进程突飞猛进，如何更加有效地进行风险管理，保证金融安全稳定发展，是国内银行业监管部门和经营管理者共同关心的课题。

2011年12 月底，中国银监会发布《商业银行业务连续性监管指引》，明确商业银行应当将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系。

只有构建真正有效的应对危机事件的业务连续性管理体系，使管理科学化、手段现代化，才能保证业务的连续运行，实现可持续发展。

业务连续性管理沿革业务连续性管理概念最早脱胎于传统的IT备份与容灾恢复计划，但是随着IT系统规模的不断扩大，传统的以技术为中心的灾备越来越难保障企业在灾难面前的关键业务可用性，企业更需要一套标准化、分工明确的管理体系去帮助其应对灾害，这不仅包括IT技术层面，还体现在整个机构(企业、政府、组织)的管理架构层面。

通常认为，业务连续性管理是一个一体化的管理过程，通过这一过程，可以识别威胁组织机构的潜在风险，并提供一个指导性框架来建立组织机构的恢复能力和有效应急响应能力，从而保护利益相关者的资产，组织机构的信誉、品牌及其创造价值的活动。

业务连续性管理的历史可追溯到20世纪60 年代，那时业务连续性管理的思想和方法，是包含在风险管理、危机管理等理论中，并未单独作为一门学科来独立研究。

而那时人们关注的主要是事件本身直接造成的损失（如人和物等），而对事件造成的其他损失（业务停止、工厂停工等）并未给予足够的重视，或是由于客观条件和技术手段所限，也没有能力对这方面提出更高的要求，只能是尽力而为。

计算机系统在解决系统持续运行的问题时，率先对单点故障采用了冗余措施，这就是最早业务连续性管理思想的开端。

70年代，出现了容灾恢复计划的概念。

当出现大的故障和危机时，中断是以天为单位来计算而不是以小时为单位。

金融组织，如银行和保险公司大都建有另外的后备点，备份磁带存储在远离主中心的地点。

金融机构业务连续性管理框架及其相关标准

金融机构业务连续性管理框架及其相关标准作者：谢宗晓甄杰董坤祥来源：《中国质量与标准导报》2022年第01期1 概述業务连续性管理是信息安全很重要的一部分，在金融行业中尤为明显。

本质而言，业务连续性管理是区别于信息安全的一个领域，但在实践中，又经常将业务连续性作为信息安全的一个控制域处理，如GB/T 22080—2016 / ISO/IEC 27001：2013《信息技术安全技术信息安全管理体系要求》A.17中所指出的那样，“业务连续性管理的信息安全方面”。

这一点在国际标准化组织（ISO）的标准开发分类中也能看出来。

例如，业务连续性的两个基础标准，都是ISO/TC 292（Security and Resilience）所发布的，如表1所示。

2 框架几乎所有的业务连续性规范或标准都是以2003年发布的“DRII1）最佳实践”为基础。

商业银行业务连续性管理并非一劳永逸的状态，而是一个动态的过程。

由于是动态的过程，意味着需要持续改进，因此，适用于PDCA2）通用过程模型。

ISO 22301和ISO 22313的本质是在“DRII最佳实践”的基础上加了一个PDCA框架，PDCA是一个通用方法论，对具体的控制起提纲挈领的作用。

对于商业银行而言，要特别注意，《商业银行业务连续性监管指引》（银监发〔2011〕104号），该文件与推荐性标准的不同在于，其中规定了诸多硬性的指标，例如，第四十九条：商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。

在重大业务活动、重大社会活动等关键时点或在关键资源发生重大变化之前也应当开展业务连续性计划的专项演练。

业务连续性管理的框架大致如下。

2.1 业务影响分析业务影响分析通俗而言就是业务连续性管理的需求分析阶段，是商业银行对其自身业务连续性的需求评估。

其大致过程如图1所示。

恢复点目标（recovery point objective，RPO）是指为使活动能够恢复进行，而必须将该活动所用的信息恢复到某时间点。

商业银行业务连续性监管指引

商业银行业务连续性监管指引二、监管目标商业银行业务连续性监管的主要目标是保障商业银行在各种异常情况下正常运营，防范和减少金融风险，确保存款人和借款人的利益和安全，保持金融市场的稳定和运行。

三、监管要求（一）规划和预防措施商业银行应制定和实施符合国家法律法规和监管要求的业务连续性计划，明确应对不同风险和突发事件的措施和应急预案。

例如，要制定防范系统故障的措施、恢复和救援措施等。

（二）备份和恢复商业银行应定期备份重要数据和系统，确保在系统故障或其他异常情况下能够及时恢复数据和系统。

备份应具备安全性和可靠性，并与主系统隔离储存，以防止数据丢失或被篡改。

（三）测试和演练商业银行应定期对业务连续性计划进行测试和演练，以验证计划的有效性和可行性。

通过模拟各种突发事件和风险情景，评估应对措施的有效性，并及时修订和完善计划。

（四）监测和报告商业银行应建立健全的监测和报告机制，及时发现和应对业务连续性风险。

同时，商业银行应按照监管要求，向监管部门定期报告业务连续性情况和措施。

（五）监管合规商业银行应积极配合监管部门的业务连续性监管工作，如开展监管部门的检查和复核，提供与业务连续性相关的信息和数据等。

同时，商业银行也应确保自身业务连续性措施与监管要求保持一致。

四、监管机构商业银行业务连续性监管工作由相关银行监管机构负责。

监管机构应加强对商业银行业务连续性的监管和指导，提供必要的培训和指导，促进商业银行提高业务连续性管理水平。

五、监管评估监管部门应定期对商业银行的业务连续性计划进行评估，评估结果作为商业银行监管的重要依据。

评估内容包括商业银行的业务连续性规划是否符合监管要求，备份和恢复措施是否完备，测试和演练效果等。

监管部门应根据评估结果和实际情况，不断改进和完善商业银行业务连续性监管措施，推动商业银行的业务连续性管理水平提升。

监管改进包括指导和培训、修订和完善监管要求和规范等。

七、结论商业银行业务连续性监管是维护金融体系稳定和保护金融市场参与者利益的重要措施。

《商业银行业务连续性监管指引》解读-图文.

市场机遇与挑战机遇 BCM在银行治理与风险管理中的突出地位甲方人员配置及数量不足挑战乙方迅速组建并培养团队银行业及监管部门高度重视缺乏专业BC 技能 CBCP认证实践锻炼良好的DR建设基础及BC开展时机亟待BC合规性评估与审计缺乏完善的持续性评估与改进机制建立标准工具、模板、流程Page 26问题交流讨论 Page 27思考 1、商业银行：“自给自足”VS“他山之石”? 2、外部各方：“授人以鱼"VS“授人以渔”？ Page 28Ernst & Young 安永 Assurance 审计| Tax 税务｜ Transactions 财务交易｜Advisory 咨询关于安永安永是全球领先的审计，税务,财务交易和咨询服务机构之一。

拥有共同的信念以及对优质服务坚定不移的承诺把我们全球各地141，000 名员工联系在一起。

亦因安永能为员工，客户和社会各界发展潜能,我们在行业中别树一帜. 如欲进一步了解安永，请浏览 www.ey。

com。

安永是指Ernst ＆ YoungGlobal Limited 的全球成员机构组成的组织，各成员机构都是独立的法人实体。

Ernst ＆ Young Global Limited 是英国一家担保有限公司，并不向客户提供服务。

www。

ey。

Ernst ＆ Young China practice 或安永全球机构中任何成员概不对任何人士根据本刊物的任何资料采取或不采取行动而引致的损失承担任何责任。

阁下应向适当顾问查询任何具体事宜.。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

•《Business Continuity Management, 2000 Better practice》
美国
新加坡
英国
澳大利亚
1983年OCC发布了指引要求银行制定护灾难恢复预案 1989年FFIEC要求银行对灾难恢复预案进行测试和演习； 2003年3月FFIEC《金融机构检查委员会业务连续计划手册》 2002年8月NASD颁布了《NASD Proposed Regulation》，该规范
人民银行
2008.2 《银行业信息系统灾难恢复管理规范》（JR/T0044-2008） 2006.4 《关于进一步加强银行业金融机构信息安全保障工作的指导意见》（【2006】123号文件）
国标委
2007.6 《信息系统灾难恢复规范》（GB/T 20988—2007）
国信办
2005.4 《重要信息系统灾难恢复指南》 2004.4 《关于加强信息安全保障工作的意见》
业务中断非财务影响分析评估业务关键资源评估业务恢复优先级、 RTO\RPO
评估IT系统恢复优先级
评估IT系统RTO值、 RPO值
务应急响应时间、业务恢复的验证时间，确定信息系统恢
复时间目标（信息系统RTO）、信息系统恢复点目标（信息系统RPO），明确信息系统重要程度和恢复优先级别，并识别信息系统恢复所需的必要资源。
Page 11
《监管指引》总则
保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。将业务连续性管理纳入全面风险管理体系重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
►
该标准为在组织内了解、开发和实施业务持续性提供了基础，它包含一套基于 BCM 最佳做法的全面控制措施，涵盖整个 BCM 生命周期。
►
BS 25999 分两部分制定：

第 1 部分《BCM实践指南》于2006年底公布第 2 部分《BCM规范》于 2007 年底公布
►
BS 25999 适合于各种规模及各行各业的任何组织，尤其适合在高风险环境中运营的
审计部门（内审部）
应急保障层（办公室、人力资源部门、财务部门）
Page 14
业务影响分析方法与要求
BIA方法
业务中断影响分析信息系统中断影响分析
监管指引要求
1、根据业务重要程度实现差异化管理，确定各业务恢复优
先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析。
业务流程调研与业务人员访谈业务资料收集与分析整理业务中断财务影响分析
员、业务场地、业务办公设备、业务单据以及供应商等。 2、应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度，确定风险防范和控制的原则与措施。 3、应当根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。 4、应当依据业务恢复策略，确定灾难恢复资源获取方式和
《商业银行业务连续性监管指引》
交流&研讨
安永姚皓轩
1 2 3 4 5
Page 2
《监管指引》出台的背景
《监管指引》解读与研讨
银行业BCM工作开展现状市场机遇与挑战问题交流讨论
思考与讨论
► ►
银监会为何第一个出台《业务连续性监管指引》？银监会出台《监管指引》时机？
►
《监管指引》与银行业其他规范指引有何关系？
背景3：业务连续性管理国际标准
►
英国 BSI （ British Standard Institution ）出台了世界上第一个关于业务连续性管理 (BCM) 的英国标准—BS 25999，该标准的目的是在最棘手和意外的情况下保证企业的业务持续运行，从而保护企业的员工、维护企业的声誉并提供持续运营的能力。
确保资源配置
主管部门
组织制定管理办法
协调确定恢复目标、恢复策略
组织开展演练评估改进培训
执行部门
业务部门
负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复
IT部门
负责信息技术应急响应与恢复
关注点：办公室、人力资源部门、公共关系部门、财务部门、法律合规部保障部门门、后勤部门、保卫部门等 1、如何理解风险管理部门或其他综合管理部门为业务连续性管理主管部门 2、业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略， Page 13 负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复
Page 9
《监管指引》解读与研讨
Page 10
《商业银行业务连续性监管指引》—概览
► ► ► ►
第一章：总则第二章：业务连续性组织架构第三章：业务影响分析第四章：业务连续性计划与资源建设
►
第五章：业务连续性计划演练与持续改进
►
第六章：运营中断事件应急处置
► ►
第七章：监管和处置第八章：附则
组织，例如金融、电信、运输和公共行业。 BSI（British Standard Institution）成立于1901年，它是世界领先的业务标准服务提供者。
Page 8
背景4：业务连续性管理最佳实践
►
灾难恢复国际行业协会 DRII（Disaster Recovery Institute International）制定了业务连续管理最佳实践的十个领域：
关注点：重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时
Page 15
风险评估方法与要求
RA方法
数据中心基础设施风险分析信息系统架构风险分析
监管指引要求
1、识别业务连续运营所需的关键资源，分析资源所面临的
各类威胁以及资源自身的脆弱性，确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境，关键的人
项目启动和管理
风险评估和控制
业务影响分析
制定业务连续策略
应急响应和运作
制定和实施业务连续计划
意识培养和培训
维护和演练业务连续计划
公关关系危机通信
与公共当局的协调
灾难恢复国际行业协会 DRII： 1988年成立于美国，目标是建立业务连续性管理知识的通用框架，进行资质的认证，提升业务连续性管理从业人士的专业水准。

提出了BCP的八点最低要求；
2003年5月28日，美国金融监管三大机构Board、SEC 和OCC发布《 I n te r ag e nc y W h it e Pa p er on S o und Pr a ct i ce s t o Strengthen Page 7 the Resilience of the U.S. Financial System》
BCM&DR
Page 5
背景1：重要标准之间的关系
业务连续性监管指引
银行业重要信息系统突发事件应急管理规范
银行业信息系统灾难恢复管理规范
商业银行数据中心监管指引
Page 6
背景2：业务连续性监管要求（国外）
2001 年 7 月在《INTERNET BANKING TECHNOLOGY RISK MANAGEMENT GUIDELINES》； 2003 年 7 月发布了正式的《Business Continuity Management Guideline》 2005年，新加坡信息技术标准委员会出台了业务连续性 /灾难恢复(BC/DR)服务提供商评定标准SS 507。澳大利亚国家审计局(ANAO) ： •《Business Continuity Management Follow-on Audit》， •《Business Continuity Management and Emergency Management in Centrelink》；
1、应对运营中断事件的总体方案 2、包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。 3、总体预案通常用于处置导致大范围业务运营中断的事件。
重要业务专项预案
1、
1 、应当要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应当满足商业银行要求。 2 、应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划
信息系统调研与管理员访谈技术资料收集与分析整理信息系统中断影响分析
2、商业银行应当识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统，识别重要业务的相互依赖关系，分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。 3 、原则上，重要业务恢复时间目标不得大于 4 小时，重要业务恢复点目标不得大于半小时。 4、通过分析业务与信息系统的对应关系、信息系统之间的依赖关系，根据业务恢复时间目标、业务恢复点目标、业
体系化
重要业务
基本原则：坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；
以人为本企业文化
将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。
关注点：信息系统与信息科技是保障商业银行业务持续运营的重要基础„„
商业银行业务连续性组织架构
日常管理组织架构应急处置组织架构
董事会
应急决策层（高级管理人员）
业务连续性管理委员会