业务连续性管理全套方法论
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
BCM关注哪些事件
重大灾 难事件
紧急突 发事件
运行异 常事件
• 对较大范围的实施有严重影响,生产中心无法正常运行, 对外服务能力受到严重影响
• 例如火灾、水灾、自然灾害、重大疫情,等等;
• 对局部或部分系统及业务有较严重的影响,对外服务有 一定影响
• 例如电力中断、网络故障、系统宕机、人为破坏、外部 影响、等等;
高管层的的参与将提升 员工参与的积极性,进 而提升他们的认知。
高管层的承 诺和支持
认知、培训 与演练
使人员意识到业务持续 管 理的重要性,并使其具备快速 响应、事件处理及业务恢复的
能力。
外部业务专家的协助,可加快组 织BCM推进的进程,并确保BCM 方案的合规性。
业务专家的 协助
建立危机 与风险文
序号 BCM体系
主要内容
特点
1 组织架构
✓董事会最终负责 ✓风险管理部管理部门,细分成执行部门和保障部门 ✓明确各部门的职责、报告路径、频率、内容
✓将BCM作为监管的 一个重要部分 ✓要求比较全面
2 业务影响分析
✓风险分析 ✓业务影响分析 ✓策略和规划制定
3
业务连续计划制定 ✓计划制定;
和资源建设
✓资源建设
• 从“数据不丢失”提升到“服务不中断”
• BCM国际惯例已成为相关法律和标准的基本要求 ➢ 《商业银行业务连续性监管指引》(银监发 [2011]104号) ➢ 中国BCM国标(GB/T 30146-2013)已发布
01 为什么做业务连续性管理(Why)
目录
CONTENTS
02 什么是业务连续性管理(What) 03 如何做业务连续性管理(How)
• BS 25999-2006 《业务连续性管理》
• 银监发【2009】19号文《商业银行信息科技风险管理指引》 • 银监办发【2010】114号《商业银行数据中心监管指引》 • 银监发【2011】104号文《商业银行业务连续性管理指引》
《商业银行业务连续性监管指引》
银监会强制性要求,2011年生效。
业务连续性管理 全套方法论
汇报人:XX
汇报日期:2020年XX月
01 为什么做业务连续性管理(Why)
目录
CONTENTS
02 什么是业务连续性管理(What) 03 如何做业务连续性管理(How)百度文库
04 Q&A
企业运行
业务
负债业务 资产业务 中间业务
依 赖
支 撑
系统应用
IT
操作平台
网络通信
基础设施
业务 连续性
公司
科技部
60%
风险管理部
10%
各业务部门
20%
办公室
7%
财务部
3%
01 为什么做业务连续性管理(Why)
目录
CONTENTS
02 什么是业务连续性管理(What) 03 如何做业务连续性管理(How)
04 Q&A
业务连续性管理推进的重要成功要素管理
高管层的承诺和支持, 可提高并增进效率。
• 高频低损事件,程度不太严重,对外服务影响开始时不 明显
• 例如技术故障,人为误操作,等等。
RTO和RPO
Wks Days Hrs Mins Secs
恢复点(数据维度)
Secs Mins Hrs Days Wks
恢复时间(业务维度)
Recovery Time Objective (RTO) – 恢复花费时间
化
通过在组织机构中植入业务 连续性管理的文化和认知, 使人员皆具备危机意识,若 事故发生,可降低损害。
业务连续性方法论
1. 持续改进
1. 演练方案和话术 2. 培训和预演 3. 演练实施
演练
BCM 持续改进
1. 风险识别 2. 风险等级 3. 管控措施建议
风险分析
BCM 体系
业务 影响 分析
1. 业务与系统关联性 2. 识别重要业务和系统 3. 恢复指标和资源需求
BCM 策略
1. 策略制定
4
计划演练和持续改 ✓计划演练
进
✓管理评估与改进
✓应急处置组织架构 5 突发事件应急处置 ✓监测、预警与报告
✓事件处置、危机处置、灾难处置;
6 监管和处置
✓银监会本身及其派出机构 ✓银监会及派出机构应该将对商业银行的业务连续性管 理的评价工作纳入到商业银行的综合风险评价 ✓事前检查,事后问责,事中协调、指挥、处置、决策;
公司治理 恐怖主义、生物威胁
供应链管理
数据中心火灾 或管线故障
可选
关键呼叫中心 运转中断
关键供应商破产 网站受到拒绝服务攻击
法定
相关标准和实践
ISO 国标 英标 银监会
• ISO22301《社会安全业务连续性管理体系要求》
• GB/T30146-2013《公共安全业务连续性管理体系要求》 • GB/T 20984-2007《信息安全技术信息安全风险评估规范》 • GB/T20988-2007《信息安全技术信息系统灾难恢复规范》
BCM体系建设的发展历程
概念 重点 可交付项目 驱动因素 典型事件 决策
70/80年代
灾难恢复
数据中心运转中断
90年代
业务恢复
现场故障(数据中心 和/或办公室)
2000年代
业务连续性和可用性
重要业务过程(包括 供应链)
IT灾难恢复计划
业务恢复计划
业务连续性计划
早期法规 中央主机不断增加的
重要性
电子商务 集中的ERP
风险管理
业务
负债业务
资产业务 中间业务
引 发
保 障
依 赖
支 撑 所谓企业: 就是在风险管理下,开展业 务而盈利的组织!
业务连续性管理
风险管理
系统应用
IT
操作平台
网络通信
基础设施
引
发
保
障
为什么需要业务连续性管理
根源 动力 底线
• 频发的风险事件 ➢ 外部生存环境逐年恶化 ➢ 内部安全问题日趋复杂
• 更加激烈的市场竞争要求更高的服务质量(SLA) ➢ “高效方便”与“安全可靠”并重
Recovery Point Objective (RPO) – 恢复目标时间点数据
突发事件处置过程(业务恢复的6R模型)
既要避免反应迟钝,也要避免反应过度!
进行损失评估,判断是否 灾难?
满足条件:宣布灾难
预防
几分钟或几小时之内 几小时或几天之内
几周或几月之内
时间线
事前
事中
事后
业务连续性涉及的部门
04 Q&A
什么是业务连续性管理(BCM)
“B”– Business(业务)
• 组织的各种有价值的活动(业务) -- 保护的对象
“C”– Continuity(连续性)
• 风险事件发生时,确保关键的活动(业务)不中断 -- 满足的要求
“M”– Management(管理)
• 通过一体化的管理方法来保障关键活动(业务)的连续性 -- 实现的方法