商业银行业务连续性管理体系介绍

1 业务连续性管理体系背景

央行发布的《网上银行系统信息安全通用规范》（JR/T 0068—2012）和银保监会发布的《电子银行业务管理办法》（银监会〔2006〕5号）、《商业银行信息科技风险管理指引》（银监发〔2009〕19号）、《商业银行业务连续性监管指引》（银监发〔2011〕104号）等规范对商业银行业务连续性管理提出了不同程度的管理要求，其中《商业银行业务连续性监管指引》详细规定了商业银行业务连续性体系建设内容。

本文以《商业银行业务连续性监管指引》为基础，概述商业银行业务连续性管理体系的建设内容和要求。

2 业务连续性管理体系目标

业务连续性管理的主要目标是降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，维护公众信心和银行业正常运营秩序，提高商业银行业务连续性管理能力。

信息系统服务异常导致业务运营中断的原因包括：信息技术故障、外部服务故障、人为破坏和自然灾害。

3 业务连续性管理体系内容

依据《商业银行业务连续性监管指引》，业务连续性管理体系内容主要包括：组织架构、业务影响分析、业务连续性计划与资源建设、业务连续性演练与持续改进、运营中断事件应急处置。

3.1 组织架构

3.1.1 日常管理组织架构

日常管理组织架构由董(理)事会、高级管理层、业务连续性管理委员会、业务连续性管理主管部门、业务连续性管理执行部门、业务连续性管理保障部门和内部审计部门组成。

董(理)事会是商业银行业务连续性管理的决策机构，对业务连续性管理承担最终责任。

高级管理层负责执行经董(理)事会批准的业务连续性管理政策。

由高级管理层和业务连续性管理相关部门负责人组成业务连续性管理委员会，负责统筹协调、落实各项管理职责。

风险管理部门或其他综合管理部门为业务连续性管理主管部门。

业务条线部门与信息科技部门为业务连续性管理执行部门。

办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等构成业务连续性管理保障部门。

内部审计部门负责并定期开展全行业务连续性管理审计工作。

3.1.2 应急处置组织架构

应急处置组织架构由应急决策层、应急指挥层、应急执行层和应急保障层组成。

3.2 业务影响分析

商业银行应当至少每三年开展一次全面业务影响分析，并形成业务影响分析报告。

业务影响分析内容：识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统，识别重要业务的相互依赖关系，分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。

业务影响分析结果：确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO)，原则上，重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。

3.3业务连续性计划与资源建设

3.3.1业务连续性计划

1)依据业务恢复目标，制定业务连续性计划。

业务连续性计划的主要内容应当包括：重要业务及关联关系、业务恢复优先次序；重要业务运营所需关键资源；应急指挥和危机通讯程序；各类预案以及预案维护、管理要求；残余风险。

2)制定总体应急预案和重要业务专项应急预案。

要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应满足商业银行要求。

3.3.2 业务连续性资源建设

设立统一的运营中断事件指挥中心场所，用于应急决策、指挥与联络，指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。

建立符合业务连续性管理要求的备用资源，如备用业务和办公场所资源、备用信息系统运行场所资源、备用信息技术资源、备用人力资源等，以及电力、通讯、消防、安保等资源。

3.4 业务连续性演练与持续改进

3.4.1 业务连续性计划演练

制定业务连续性演练计划，开展业务连续性计划演练，检验应急预案的完整性、可操作性和有效性，验证业务连续性资源的可用性，提高运营中断事件的综合处置能力。

至少每三年对全部重要业务开展一次业务连续性计划演练。

对业务连续性计划的演练过程进行完整记录，及时总结、评估和改进。

3.4.2业务连续性管理评估与改进

至少每年对业务连续性管理体系的完整性、合理性、有效性组织一次自评估，或者委托第三方机构进行评估，并向高级管理层提交评估报告。

每年对业务连续性管理文档进行修订，内容应当包含重要业务调整、制度调整、岗位职责与人员调整等，确保文档的真实性、有效性。

每年对本行业务连续性管理进行审计，每三年至少开展一次全面审计，发生大范围业务运营中断事件后应当及时开展专项审计。

3.5 运营中断事件应急处置

3.5.1 监测、预警与报告

建立运营中断事件的风险预警体系，设定风险预警指标，并纳入全行风险预警体系中。

建立业务运营的监测体系及监控机制，对信息系统运行环境进行日常监测，采取自动化措施重点加强对业务运行情况的监控。

3.5.2 运营中断事件处置

制定运营中断事件等级划分标准，根据事件等级实施差别化处置。

为应急处置做好场地、交通、通讯、资金等后勤保障工作。

对运营中断事件应急处置过程进行完整记录。

3.5.3 灾难恢复

事先对备份资源进行技术验证。

在灾难备份切换、回切时，业务条线部门应当对中断时的重要业务数据进行核对，并在信息科技部门配合下，对丢失的数据进行追补；同时，应当进行测试和验证，确保交易的可靠性。

3.5.4 危机处理

指定专门部门负责危机处理工作，加强舆情监测、信息沟通和发布。

制定针对社会公众、媒体、股东、客户等相关各方的预案。

实时关注舆情信息，及时澄清虚假信息或不完整信息，消除社会疑虑，化解纠纷。

梁明剑，5年信息安全工作经验，目前专注于银行业信息科技风险管理相关工作。具有互联网、制造业、金融机构等多行业信息安全建设经验。主导及参与了30多家国有银行、全国股份制银行、城商行的信息安全咨询和评估工作，在银行业信息科技风险、业务连续性等领域有着丰富的实践经验。

声明：本文来自中金网安，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。