业务连续性计划清单及实施指引

业务连续性管理制度一、引言在现代社会，业务连续性管理显得尤为重要。

想想，如果某一天我们的运营因为突发事件而中断，那可真是个大麻烦。

我们的目标就是确保企业在面临各种挑战时，仍然能顺利运作。

1.1 定义业务连续性管理，简单来说，就是一套应对突发事件的计划。

无论是自然灾害、网络攻击，还是设备故障，企业需要有能力快速恢复。

就像打麻将一样，总要留一手牌，随时应对变局。

1.2 重要性为什么这么重要呢？因为一个小失误可能造成巨大的损失。

企业不仅仅是赚钱的机器，更是人们的梦想和生活的保障。

要是业务中断，员工的饭碗、客户的信任，甚至整个品牌的声誉，都会受到影响。

二、风险评估2.1 风险识别首先，得识别出潜在的风险。

像侦探一样，仔细分析各种可能的威胁。

是自然灾害？人力资源不足？还是信息安全问题？无论是什么，都要一一列举出来。

2.2 风险评估接着，要对这些风险进行评估。

把每个风险的影响程度和发生概率都量化。

比如说，一个数据泄露的风险可能影响到公司的信誉，而设备故障则可能导致生产停滞。

清楚这些，就能更好地制定应对措施。

2.3 风险控制最后，制定风险控制方案。

根据评估结果，制定预防措施和应急响应计划。

预防胜于治疗，做好准备才能避免损失。

就像买保险，虽然不一定用得上，但总归心里有底。

三、应急响应3.1 计划制定应急响应计划是业务连续性管理的核心。

要清晰、详细地列出每一步该怎么做，谁来负责。

一个好的计划就像一份地图，指引着我们在危机中找到出路。

3.2 培训与演练制定好计划后，不能光说不练。

要定期对员工进行培训，确保每个人都了解自己的职责。

演练就像排练戏剧，只有反复练习，才能在真正的危机中游刃有余。

四、持续改进在实施过程中，不断反馈与改进是关键。

通过演练和实际案例，查找不足之处，进行调整。

这就像开车一样，学会灵活应变，才能应对各种复杂的路况。

总结业务连续性管理是一项系统工程，关乎企业的生死存亡。

通过识别风险、评估威胁、制定应急计划，我们能够更好地面对不确定性。

中国银行业监督管理委员会文件银监发〔2011〕104 号中国银监会关于印发商业银行业务连续性监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮政储蓄银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：为加强商业银行风险管理，提高业务连续性管理能力，促进商业银行有效履行社会责任，维护公众信心和银行业正常的运营秩序，银监会制定了《商业银行业务连续性监管指引》，现印发给你们，请遵照执行。

请各银监局将本通知转发至辖内银监分局及银行业金融机构。

中国银行业监督管理委员会二○一一年十二月二十八日商业银行业务连续性监管指引第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。

为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，维护公众信心和银行业正常运营秩序，提高商业银行业务连续性管理能力，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规，制定本指引。

第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第四条本指引所称重要业务运营中断事件（以下简称运营中断事件）是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。

主要包括：（一）信息技术故障：信息系统技术故障、配套设施故障；（二）外部服务中断：第三方无法合作或提供服务等；（三）人为破坏：黑客攻击、恐怖袭击等；（四）自然灾害：火灾、雷击、海啸、地震、重大疫情等。

第五条商业银行应当将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系，确保重要业务在运营中断事件发生后快速恢复，降低或消除因重要业务运营中断造成的影响和损失，保障业务持续运营。

商业银行业务连续性监管指引商业银行在现代经济中扮演着重要的角色，为人们提供各种金融服务。

然而，随着科技的发展和风险的增加，商业银行需要采取相应的措施来确保其业务连续性。

为此，监管机构制定了商业银行业务连续性监管指引，以确保银行业务稳定运作，防范金融体系风险。

一、背景介绍商业银行作为金融体系中的关键组成部分，其业务连续性的重要性不言而喻。

面临的挑战包括自然灾害、网络攻击、人为错误等，这些风险可能导致银行业务中断，给金融市场和经济带来严重的影响。

因此，为了保护金融市场稳定和消费者权益，监管机构制定了商业银行业务连续性监管指引。

二、指引内容及要求商业银行业务连续性监管指引主要包括以下几个方面的内容和要求：1. 业务连续性管理框架：商业银行应建立完善的业务连续性管理框架，包括明确的战略、政策和程序。

此外，银行还应指定内部负责人和团队，负责监督和落实业务连续性措施。

2. 风险评估和防范：商业银行应定期进行风险评估，识别可能导致业务中断的内外部风险。

根据评估结果，银行需要制定相应的防范措施，包括安全保障、备份系统和危机响应计划等。

3. 业务连续性测试和演练：商业银行应定期进行业务连续性测试和演练，以验证防范措施的有效性和响应机制的可靠性。

同时，银行还应记录测试结果和演练过程，并对存在的问题进行及时修复和改进。

4. 供应商管理：商业银行在选择和引入供应商时，应审慎评估其业务连续性管理能力。

合同中应明确供应商的责任和义务，包括数据备份、安全保障、恢复能力等方面的要求。

5. 人员培训和意识提升：商业银行应加强员工的业务连续性培训和意识提升，提高员工对业务连续性重要性的认识，并指导他们在紧急情况下的应对措施。

6. 风险报告和监测：商业银行应及时报告可能影响业务连续性的风险信息，包括内部和外部风险。

监管机构将通过监测和评估来确保商业银行按照要求进行业务连续性管理和控制风险。

三、监管机构的角色与责任监管机构对商业银行的业务连续性进行监管和指导，主要包括以下几个方面的角色与责任：1. 审查和评估：监管机构将定期对商业银行的业务连续性管理措施进行审查和评估，以确保其符合指引要求。

商业银行业务连续性监管指引一、前言商业银行作为国家金融体系的重要组成部分，在经济和金融系统中扮演着重要角色。

为了确保商业银行能够持续稳定地运营，保护存款人和借款人的权益，监管部门对商业银行的业务连续性进行监管和指导。

本文将就商业银行业务连续性监管进行详细阐述。

二、监管目标商业银行业务连续性监管的主要目标是保障商业银行在各种异常情况下正常运营，防范和减少金融风险，确保存款人和借款人的利益和安全，保持金融市场的稳定和运行。

三、监管要求（一）规划和预防措施商业银行应制定和实施符合国家法律法规和监管要求的业务连续性计划，明确应对不同风险和突发事件的措施和应急预案。

例如，要制定防范系统故障的措施、恢复和救援措施等。

（二）备份和恢复商业银行应定期备份重要数据和系统，确保在系统故障或其他异常情况下能够及时恢复数据和系统。

备份应具备安全性和可靠性，并与主系统隔离储存，以防止数据丢失或被篡改。

（三）测试和演练商业银行应定期对业务连续性计划进行测试和演练，以验证计划的有效性和可行性。

通过模拟各种突发事件和风险情景，评估应对措施的有效性，并及时修订和完善计划。

（四）监测和报告商业银行应建立健全的监测和报告机制，及时发现和应对业务连续性风险。

同时，商业银行应按照监管要求，向监管部门定期报告业务连续性情况和措施。

（五）监管合规商业银行应积极配合监管部门的业务连续性监管工作，如开展监管部门的检查和复核，提供与业务连续性相关的信息和数据等。

同时，商业银行也应确保自身业务连续性措施与监管要求保持一致。

四、监管机构商业银行业务连续性监管工作由相关银行监管机构负责。

监管机构应加强对商业银行业务连续性的监管和指导，提供必要的培训和指导，促进商业银行提高业务连续性管理水平。

五、监管评估监管部门应定期对商业银行的业务连续性计划进行评估，评估结果作为商业银行监管的重要依据。

评估内容包括商业银行的业务连续性规划是否符合监管要求，备份和恢复措施是否完备，测试和演练效果等。

《商业银行业务连续性监管指引》解读《商业银行业务连续性监管指引》解读第一章总则1.1 本指引的目的和适用范围1.1.1 本指引的目的是规范商业银行的业务连续性管理，保障银行业务的正常运营。

1.1.2 本指引适用于所有商业银行及其分支机构。

1.2 定义和缩略语1.2.1 业务连续性：商业银行为保障业务的可持续运营所采取的各种预防、恢复和应对措施。

1.2.2 威胁：对商业银行业务连续性的潜在危害。

1.2.3 威胁评估：对商业银行可能面临的各种威胁进行评估和分析。

1.2.4 应急演练：商业银行定期或不定期组织的针对突发事件的模拟演练。

1.2.5 责任人：商业银行内负责业务连续性管理的人员。

第二章业务连续性管理原则2.1 风险识别与评估2.1.1 商业银行应建立完善的风险识别与评估机制，对可能发生的威胁进行评估和分析。

2.1.2 风险评估结果应作为制定业务连续性计划的依据。

2.2 业务连续性计划2.2.1 商业银行应根据风险评估结果制定相应的业务连续性计划。

2.2.2 业务连续性计划应包括预防、恢复和应对措施，并定期进行评估和更新。

2.3 应急响应与恢复2.3.1 商业银行应建立健全的应急响应机制，能够快速应对突发事件。

2.3.2 应急响应措施应包括组织架构、人员职责和应急通信等方面的安排。

第三章业务连续性管理实施3.1 预防措施3.1.1 商业银行应制定和实施相应的安全策略和措施，预防威胁的发生。

3.1.2 预防措施应包括信息安全保护、灾备设施的建设和维护等方面。

3.2 恢复措施3.2.1 商业银行应规划有效的恢复措施，确保在突发事件后能够尽快恢复业务。

3.2.2 恢复措施应包括备份和恢复数据、故障切换和应急供电等方面的准备工作。

3.3 应对措施3.3.1 商业银行应制定应对措施，能够应对各类突发事件。

3.3.2 应对措施应包括应急通讯、业务转移和关键岗位备用人员设置等方面的安排。

第四章业务连续性测试和演练4.1 测试计划4.1.1 商业银行应制定详细的业务连续性测试计划，包括测试目标、测试方法和测试周期等。

商业银行业务连续性管理暂行办法第一章总则第一条为加强商业银行业务连续性管理，降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规，制定本办法。

第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对农信社产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第四条本办法所称重要业务运营中断事件（以下简称运营中断事件）是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。

主要包括：（一）信息技术故障：信息系统技术故障、配套设施故障；（二）外部服务中断：第三方无法合作或提供服务等；（三）人为破坏：黑客攻击、恐怖袭击等；（四）自然灾害：火灾、雷击、海啸、地震、重大疫情等。

第五条农信社应将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系，确保重要业务在运营中断事件发生后快速恢复，降低或消除因重要业务运营中断造成的影响和损失，保障业务持续运营。

第六条农信社应根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好，确定适当的业务连续性管理战略。

第七条农信社应确定重要业务及其恢复目标，制定业务连续性计划，配置必要的资源，有效处置运营中断事件，并积极开展演练和业务连续性管理的评估改进。

第八条业务连续性管理的基本原则是：（一）切实履行社会责任，保护客户合法权益、维护金融秩序；（二）坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合；（三）坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；（四）坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。

标准咨询CHINA QUALITY AND STANDARDS REVIEW业务连续性管理体系（BCMS）相关标准介绍张旭刚（中国金融认证中心）韩少伟（内蒙古自治区公安厅）谢宗晓（中国金融认证中心）标 准 解 读1　概述随着自然灾害和人为事故的频繁发生，企业的业务连续性管理（Business Continuity Management，BCM）越来越受到重视，尤其是银行业，一旦发生核心业务中断，且在规定时间内１）未完成恢复，不仅会给银行的声誉和利益带来严重影响和损失，而且会影响社会稳定。

鉴于此，2011年12月，银保监会２）发布了《商业银行业务连续性监管指引》（银监发〔2011〕104号），正式对商业银行业务连续性建设提出了全面的、体系化的监管要求。

2017年6月1日，《中华人民共和国网络安全法》正式实施。

其中第三十三条规定，“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用”。

进一步又明确了重要系统的业务连续性在我国的法律地位。

通常容易将业务连续性管理（BCM）与灾难恢复（Disaster Recovery，DR）混淆。

在ISO 22301:2012《公共安全　业务持续性管理体系　要求》中，业务连续性管理（BCM）定义为“识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。

该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

” 灾难恢复在GB/T 20988—2007《信息安全技术　信息系统灾难恢复规范》中定义为“为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。

”所以，严格地说，灾难恢复是恢复数据的能力，解决信息系统灾难恢复的问题。

而业务连续性强调的是组织业务不间断的能力，范围更大。

商业银行业务连续性监管指引中国银行业监督管理委员会关于印发商业银行业务连续性监管指引的通知（银监发[2011]104号）各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，业务，维护公众信心和银行业正常运营秩序，提高商业银行业务连续性管理能力，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规，制定本指引。

第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第七条商业银行应当建立业务连续性管理的组织架构，确定重要业务及其恢复目标，制定业务连续性计划，配置必要的资源，有效处置运营中断事件，并积极开展演练和业务连续性管理的评估改进。

第八条业务连续性管理的基本原则是：(一)切实履行社会责任，保护客户合法权益、维护金融秩序；(二)坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合；(三)坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；(四)坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。

第九条商业银行应当将业务连续性管理融入到企业文化中，使其成为银行(二)明确各部门业务连续性管理职责，明确报告路线，审批重要业务恢复目标和恢复策略，督促各部门履行管理职责，确保业务连续性管理体系正常运行；(三)确保配置足够的资源保障业务连续性管理的实施。

第十二条商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会，统筹协调、落实各项管理职责。