银行业务连续性管理办法模版.docx

行业务连续性管理办法第一章 总 则第一条 为加强银行风险管理，提高业务连续性管理能力，降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响，快速恢复被中断业务，特制定本办法。第二条 本办法所称突发事件是指因下述原因，导致银行重要业务异常或中断，产生不良影响或资金损失的事件，包括：（一）信息系统各类技术故障和配套设施故障；（二）自然灾害（如火灾、雷击、海啸等）；（三）外部影响（如发生黑客攻击、第三方无法提供合作或服务等）。第二章 组织架构第三条 银行业务连续性管理组织架构包括董事会、业务连续性管理主管部门、执行部门和保障部门。第四条 董事会是银行业务连续性管理的最高决策机构，对业务连续性管理负最终责任。主要职责包括：（一）制定与银行业务发展和风险管理战略目标相一致的业务连续性管理总体战略；（二）审批执行部门在业务连续性管理过程中的职责、权限及报告制度，审查执行部门在业务连续性管理过程中的履职情况；（三）审批保障部门为业务连续性管理制订的人员、资金、重要设施等资源的总体配备方案；（四）审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内部审计部门撰写的业务连续性管理的审计报告。第五条 风险管理部作为业务连续性管理的主管部门（简称业务连续性管理主管部门），组织、协调全行业务连续性管理的日常工作。主要职责包括：（一）制订和维护业务连续性管理办法；（二）制定风险分析、业务影响分析的方法与流程；（三）制订业务连续性管理的工作计划与评估报告；（四）制订业务连续性计划的演练计划与总结报告；（五）组织业务连续性计划的演练、评估、总结与改进；（六）组织业务连续性管理的培训；（七）指导和监督执行部门进行业务连续性管理活动。第六条 执行部门包括业务部门和信息技术部，负责业务连续性管理相关工作的具体实施。第七条 业务部门的主要职责包括：（一）拟定需要恢复的重要业务及其恢复目标和恢复策略；负责风险评估、业务影响分析，撰写风险评估报告和业务影响分析报告；（二）负责业务部门的业务连续性计划的制订；参与业务连续性计划的整体演练；负责本部门业务连续性计划的具体演练、评估、总结与改进；（三）参与业务连续性管理的培训；（四）负责对本部门业务连续性管理的定期评估、改进。第八条 信息技术部的主要职责包括：（一）保障信息系统的高可用性；根据业务恢复策略，配置信息系统资源；（二）负责信息技术部业务连续性计划的制订；参与业务连续性计划的整体演练；负责本部门业务连续性计划的演练、评估、总结与改进；（三）参与业务连续性管理的培训；负责对本部门业务连续性管理的定期评估、改进；（四）负责信息系统灾备中心的日常管理、灾难备份系统的运行和维护；（五）配合业务部门进行业务连续性管理。第九条 保障部门由行长办公室、人力资源部、计划财务部、审计部、保卫部组成。主要职责包括：（一）制订本部门业务连续性计划；参与业务连续性计划的整体演练；负责本部门业务连续性计划的具体演练、评估、总结与改进；（二）为业务连续性管理提供必要的人员、物力、财力与安全保障；（三）对外联络部门负责危机处理；（四）参与业务连续性管理的培训；负责对本部门业务连续性管理的定期评估、改进；（五）审计部负责业务连续性管理的审计。第三章 业务影响分析第十条 业务影响分析是指识别和评估业务中断所造成的影响和损失的过程。通过分析识别重要业务，明确业务连续性管理重点，并根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。第十一条 信息技术部和各业务部门应综合考虑以下因素，识别和确定重要业务，通过平衡业务中断产生的损失与业务恢复成本，结合业务服务实时性、服务周期等运行特点，确定业务恢复至正常服务水平的指标，即业务可容忍恢复时间（业务RTO）、业务恢复时间点要求（业务RPO），明确业务重要程度和恢复优先级别，并识别重要业务恢复所需最小资源。（一）中断的影响范围及程度；（二）恢复成本与中断损失的关系；（三）中断导致的声誉风险；（四）法律法规和监管要求。第十二条 风险管理部应开展风险评估，通过标识重要业务运行所需关键资源，分析关键资源面临的威胁，识别关键资源本身的脆弱性，分析威胁发生的可能性，并定量或定性描述可能造成的损失。第十三条 风险评估应重点关注、优先评估业务运行所必要的关键资源，包括关键的信息系统、IT环境、数据中心资源，关键的业务人员，关键的业务场地，关键的业务办公资源，关键的业务单据等。第四章 业务连续性计划制定与资源建设第一节 业务连续性计划的制订第十四条 信息技术部和各业务部门应依据业务恢复目标，制定应对不同突发事件的业务连续性计划。第十五条 业务连续性计划主要内容应包括：（一）涉及业务连续性的重要业务；（二）重要业务执行连续性的优先次序；（三）备份资源说明；（四）总体应急预案和各类专项应急预案；第二节 业务连续性资源建设第十六条 保障部门负责开展业务连续性计划所对应的资源建设，满足业务恢复的目标要求。资源主要包括：备用IT资源，备用人力资源，备用业务和办公场所资源，备用IT运行场所资源，备用通讯资源等。其中，备用IT资源应包括备用数据资源、备用数据处理系统软硬件资源、备用网络资源、备用存储资源等。第五章 业务连续性计划演练与持续改进第十七条 信息技术部和各业务部门应开展业务连续性计划的演练，提高全行应急响应、组织协调及灾难恢复的能力，验证业务恢复资源的可用性，确保业务连续性计划的有效性。第十八条 对业务连续性计划的整个演练过程中，要进行完整记录对演练的组织、过程、效果进行评估，发现计划与执行之间存在的差距，及时对业务连续性计划进行维护和更新。第六章 突发事件应急处置第一节 应急处置组织架构第十九条 银行应急组织架构应包括应急决策层、应急指挥层、应急执行层和应急保障层。第二十条 应急决策层主要由高级管理者组成，决定突发事件处置的重大事宜，主要职责包括：（一）决定是否对外报告、宣告、通报发生突发事件；（二）审核、批准对外报告、宣告、通报的内容并授权实施；（三）批准启动突发事件的应急预案；（四）批准启动突发事件的回退预案；（五）决定其它应急处置过程中的重大事宜。第二十一条 应急指挥层由业务部门、信息科技部门、保障部门的负责人组成，在决策层的授权下或在职能范围内指挥和协调突发事件的应急处置工作，主要职责包括：（一）负责突发事件处置的应急指挥和组织协调；（二）监督执行层和保障层实施应急处置工作；（三）在突发事件处置期间向决策层汇报事件处置进展情况和事态发展情况；（四）在应急处置完成后，组织执行层和保障层对应急处置的执行情况进行分析、总结，对总结报告进行审阅并向决策层报告。第二十二条 应急执行层由业务连续性管理执行部门组成，实施具体的应急处置工作，主要职责包括：（一）实施处置突发事件的业务与技术应急预案；（二）向应急指挥层报告应急处置进展情况和事态发展情况。第二十三条 应急保障层由业务连续性管理保障部门组成，负责突发事件处置的应急保障工作，主要职责包括：（一）实施处置突发事件的应急保障预案；（二）负责报告和对外通报；（三）负责所需人力、物力和财力等资源的保障和供应；（四）负责秩序维护、安全保障、法律咨询等工作；（五）负责与外部机构的沟通与协调；（六）向应急指挥层报告应急处置进展情况和事态发展情况。第二节 监测、预警与报告第二十四条 信息技术部和各业务部门应建立业务运行的监控体系，采取技术措施对业务系统运行有关的环境及系统的运行情况进行日常监测，建立关键时点的预警机制，在重大业务和社会活动前，或在业务功能、资源发生重大变更前，进行风险预警。第二十五条 发生突发事件后，要及时进行报告和沟通。（一）应及时按照应急预案报告路线向行内相关部门、人员报告；（二）及时向银监会或其派出机构进行相应的报告；（三）应及时与业务运行的外包方、业务合作方、交易联接方进行沟通。第三节 事件处置第二十六条 信息技术部和各业务部门应及时、有效地对突发事件作出响应，启动应急预案，实施处置，以防止事态升级，确保业务运行能够尽快得到恢复。第二十七条 保障部门应做好各项应急保障工作，为应急处置提供场地、交通、通讯、资金及其他后勤保障。第四节 灾难恢复第二十八条 对于可能导致大范围业务运行中断的突发事件，应立即启动灾难应急预案，实施灾难备份的切换。第二十九条 信息技术部实施灾难备份切换时，应注意以下几点：（一）对切换后的备份资源先进行技术验证，确保可用性；（二）向业务部门告知可能出现的数据损失情况；（三）对启用的备份系统的运行情况实施监控，预警并防止出现二次中断。第三十条 业务部门在灾难备份切换、回切时，应注意以下几点：（一）对中断时的重要业务数据进行核对；（二）对丢失的数据进行追补；（三）如果条件容许，先在小范围内进行交易。第五节 危机处置第三十一条 行长办公室负责危机处理，应对突发事件带来的危机，采用公共关系的策略和方法化解危机，消除或降低危机所带来的负面影响。第七章 附 则第三十二条 本办法自印发之日起实施。