业务连续性管理规定

业务连续性管理规定

第一章总则

第一条为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划，将预防和恢复控制相结合，积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准，特制定本规定。

第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。

第二章组织与职责

第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围，为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证，并对执行情况进行监督。

第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。

第六条各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围，审批本部门业务连续性计划，为相关管理活动提供资源和管理保证。

第七条各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。

第三章业务连续性管理规定

第八条各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：

（一）确定业务连续性管理的目标和范围。

（二）确定业务连续性管理的组织结构和职责。

（三）确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。

第九条各部门的业务连续性管理策略不得与科技发展部的策略相

背离，当目标和范围扩展到科技发展部范围时，应严格遵守科技发展部的业务连续性管理策略。

第十条各部门应根据本部门的业务连续性管理策略，实施业务影响分析，主要包括：

（一）识别本部门的关键性业务功能。

（二）识别关键性业务功能所依赖的资源，包括人员、设备、数据、软件和服务（含第三方）。

（三）识别关键业务功能所有的潜在突发信息安全事件。（四）识别这些突发信息安全事件会给关键性业务功能造成的损失和影响。

（五）识别突发信息安全事件引起的业务中断时，业务的恢复时间目标，针对业务数据制定恢复点目标。

（六）对关键业务功能的恢复制定优先级排序。

第十一条各部门应该根据业务影响分析及风险分析的结果、业务连续性管理策略等制定本部门的业务连续性计划，实施业务连续性措施。

第十二条业务连续性计划和措施针对科技发展部而言，主要体现在如何保障信息系统及其提供的服务的连续性，一般包括如下几方面的计划和措施：

（一）预防和准备性措施，指事故或灾难前的准备、防范性措施，目标是降低风险发生的可能或者降低风险发生时的破坏性，减少事故或灾难带来的损失。一般包括站点冗余、设备冗余、数据备份、人员角色备份、资源措施准备等，具体要求参见附件2：预防与准备性措施实施指南。

（二）应急响应流程和预案，指事故或灾难发生时的应急处理流程，目标是尽快恢复目标系统和服务，减少事故或灾难带来的损失。主要措施是建立事件应急响应流程和具体系统、设备设施的应急预案，具体应急处理流程参见《哈尔滨银行信息系统应急管理办法》和相应预案。

（三）灾难恢复流程和措施，指事故或灾难发生时，根据业务需要在规定时间内紧急启用备用站点并尽快恢复服务的处理流程和措施，目标是尽快在紧急的状态下提供必要的服务，降低事故或灾难带来的影响，具体处理流程参见《数据备份及恢复管理规定》和相应预案。

（四）恢复后措施，指系统、服务恢复后，还需要进行测试、总结报告并根据需要修订、完善原有计划和预案，目标是使业务连续性管理能够持续改进。

第十三条各部门根据业务连续性计划的要求，建立相应的业务连续性组织，并建立有关的工作制度，协调与政府主管部门、新闻媒体等相关部门之间的关系，保证业务连续性计划的建立、实施。

第十四条业务连续性决策组织的主要职责是决定科技发展部的业务连续性管理策略，重要预防和准备性措施的决策，业务连续性管理的资源保证与协调。在科技发展部现有信息安全保障体系中可由信息安全指挥小组承担该职责。

第十五条预防准备措施实施的组织主要负责预防和准备性措施的实施，在科技发展部现有信息安全保障体系中由各相应的对口部门承担，将分别负责责任范围内设备、设施及其提供服务的预防性措施实施和相应应急预案的制定。具体工作参见《哈尔滨银行信息系统应急管理办法》和《数据备份及恢复管理规定》。

第十六条应急相应处置和灾难恢复的相关组织参见《哈尔滨银行信息系统应急管理办法》。

第十七条附件3：业务连续性组织建设指南中给出以上各组织的一般职责定义，具体职责和处理流程参见《哈尔滨银行信息系统应急管理办法》和《数据备份及恢复管理规定》。

第十八条各部门需要定期开展业务连续性管理意识培训，提高各部门员工的业务连续性管理意识，确保所有参与业务连续性管理的人员知道并理解其角色与责任，培训相关人员满足业务连续性管理所要求的管理职能与技术技能。

第十九条各部门需要制定应急计划演练的频率、演练计划、演练时间表和演练的目的，定期开展业务连续性管理演练，用以检查业务连续性管理的各类事项，主要包括：

（一）各类技术方案的可行度和执行度。

（二）突发信息安全事件响应流程的正确性。

（三）各类计划执行的逻辑性。

（四）各类计划的执行是否满足目标恢复时间要求。

（五）各类计划的管理性。

（六）人员的意识与技能。

第二十条演练方式包括桌面演练、交互演练、模拟演练、并行式演练和完全演练等多种方式，各部门的演练方式可以根据情况自行选择。

（一）桌面式演练：主要由各类计划的拟定人复查计划的可执行性，由信息安全指挥小组确认。

（二）交互式演练：一种扩展式的桌面式演练，由各部门信息安全指挥小组和信息安全部门检查明确各计划之间参与者的协调性与职责。

（三）模拟演练：针对某个突发信息安全事件的模拟场景，对此进行模拟的业务连续性管理演练。

（四）并行式演练：保证科技发展部业务功能的正常运行前提下，对业务连续性管理包含的各类计划进行全面的实战演练。

（五）完全演练：完全测试在遭遇了各类突发信息安全事件后的