商业银行业务连续性管理办法规定
银行业务连续性管理办法模版
行业务连续性管理办法第一章总则第一条为加强银行风险管理,提高业务连续性管理能力,降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响,快速恢复被中断业务,特制定本办法。
第二条本办法所称突发事件是指因下述原因,导致银行重要业务异常或中断,产生不良影响或资金损失的事件,包括:(一)信息系统各类技术故障和配套设施故障;(二)自然灾害(如火灾、雷击、海啸等);(三)外部影响(如发生黑客攻击、第三方无法提供合作或服务等)。
第二章组织架构第三条银行业务连续性管理组织架构包括董事会、业务连续性管理主管部门、执行部门和保障部门。
第四条董事会是银行业务连续性管理的最高决策机构,对业务连续性管理负最终责任。
主要职责包括:(一)制定与银行业务发展和风险管理战略目标相一致的业务连续性管理总体战略;(二)审批执行部门在业务连续性管理过程中的职责、权限及报告制度,审查执行部门在业务连续性管理过程中的履职情况;(三)审批保障部门为业务连续性管理制订的人员、资金、重要设施等资源的总体配备方案;(四)审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内部审计部门撰写的业务连续性管理的审计报告。
第五条风险管理部作为业务连续性管理的主管部门(简称业务连续性管理主管部门),组织、协调全行业务连续性管理的日常工作。
主要职责包括:(一)制订和维护业务连续性管理办法;(二)制定风险分析、业务影响分析的方法与流程;(三)制订业务连续性管理的工作计划与评估报告;(四)制订业务连续性计划的演练计划与总结报告;(五)组织业务连续性计划的演练、评估、总结与改进;(六)组织业务连续性管理的培训;(七)指导和监督执行部门进行业务连续性管理活动。
第六条执行部门包括业务部门和信息技术部,负责业务连续性管理相关工作的具体实施。
第七条业务部门的主要职责包括:(一)拟定需要恢复的重要业务及其恢复目标和恢复策略;负责风险评估、业务影响分析,撰写风险评估报告和业务影响分析报告;(二)负责业务部门的业务连续性计划的制订;参与业务连续性计划的整体演练;负责本部门业务连续性计划的具体演练、评估、总结与改进;(三)参与业务连续性管理的培训;(四)负责对本部门业务连续性管理的定期评估、改进。
业务连续性管理办法
业务连续性管理办法在现代商业环境中,业务连续性管理是一项至关重要的措施,用于确保组织在意外事件或灾难发生时能够继续有效地运营。
本文将介绍业务连续性管理的重要性以及一些常用的管理办法。
一、业务连续性管理的重要性无论是自然灾害、供应链中断还是技术故障,不可预见的事件都可能对组织的业务运作带来严重影响。
因此,实施有效的业务连续性管理至关重要。
首先,业务连续性管理有助于保护组织的资产和利益。
通过规划和预防措施,组织能够减少财产损失和业务中断所带来的损失。
其次,业务连续性管理有助于提升客户和供应商的信任。
如果组织能够在突发事件中保持运作,客户和供应商将更加信任其能够履行合同和承诺。
最后,业务连续性管理还有助于遵守法规和行业标准。
在某些行业中,业务连续性计划是必要的合规要求,如金融行业和医疗保健行业。
二、常用的业务连续性管理办法1.风险评估和业务影响分析:组织首先需要进行全面的风险评估,分析可能造成业务中断的各种风险,并评估其对业务的潜在影响。
这样可以帮助组织优先处理那些对业务影响最大的风险。
2.制定和实施业务连续性计划:基于风险评估的结果,组织需要制定和实施相应的业务连续性计划。
该计划需要包括应急响应、业务恢复和危机管理等方面的措施,以确保组织能够在灾难事件中迅速做出反应并有效恢复业务。
3.测试和演练:业务连续性计划的有效性需要经过定期的测试和演练来验证。
通过定期模拟实际情景和演练应急响应计划,可以发现和解决潜在的问题,提高组织对意外事件的应对能力。
4.备份和恢复策略:组织需要制定完善的数据备份和恢复策略,以确保在系统故障或数据丢失时能够快速恢复。
此外,还需要考虑数据的存储和保护,以防止数据泄露或丢失。
5.培训和意识提高:业务连续性管理需要全员参与。
组织应提供培训和教育,增强员工对业务连续性的意识和理解,使其能够在紧急情况下正确行动。
6.监测和改进:组织应建立有效的监测机制,对业务连续性计划的执行情况进行定期评估,并从中总结经验教训以进行持续改进。
业务连续性管理办法
G、 特殊情况不能按上述方法执行时,由管理层临时决定撤离路线,各部门主管负责对疏散人员进行记录。
H、 若火灾已破坏一些生产设施,应视破坏程度而采取不同的应急补救措施:
Ⅰ、生产部会同管理人员立即组织内部或外部专业人员对灾难所影响的设备进行合力抢修,以最快的速度使其恢复正常。
5.2.6水力、电力
公司已与当地水电力供应部门联络过,要求其断电断水前事先通知公司,以便我司提前安排保证供货。
5.2.7交付受阻
A 、交通中断
当交通受事故或自然灾害影响致使我司交货受阻时,市场部应立即通知客户并随时报告交通状况。B 启用在仓库的库存。
C、 考虑其他方法运送货物。
5.2.8流行疾病
A 预防措施
5.2.1火灾
A、 全员保持对火灾的高度警惕,树立火灾风险防范意识,厂区所有设备均须遵守国家消防安全部门的相关指引。为保障安全,所有危险物品均需按管理程序存放管理。
B 、生产车间、仓库、办公楼及宿舍区域有畅通的消防通道,有足够的消防设备。管理部指派专人定期检查,确保安全通道畅通,消防器材在有效的使用期限内。
B 、台风、暴雨发生时,各责任部门,保安应立即巡查厂区,若有发生漏雨或浸水现象,立即组织力量抢修排洪。
C、 如台风、暴雨灾害造成厂区毁损,按5.2.1.H.I~5.2.1.H.Ⅱ执行。
5.2.3地震
A 、若地震在不可预知的情况下发生,要视对工厂的破坏程度而采取不同的应急措施,应按当地主管部门或专家们要求采取补救措施。为保证产品供货正常,可按5.2.1.H.I~5.2.1.H.Ⅱ执行。
保存年限
灾难恢复应急计划
管理部
3年
8、附录
商业银行业务连续性管理办法
商业银行业务连续性管理办法商业银行业务连续性管理办法一、总则商业银行在开展业务过程中遇到的各类风险和灾害可能对其连续性产生重大影响,为确保银行业务的正常运行和风险的有效控制,制定本《商业银行业务连续性管理办法》(以下简称“办法”)。
二、业务连续性策略⒈\t商业银行应制定明确的业务连续性策略,确保在银行面临突发事件、系统故障或其他灾害情况下,能够及时采取有效的措施保障正常业务运作。
⒉\t商业银行应根据自身的特点和业务规模确定业务连续性策略的重点。
包括但不限于备份关键数据、建立备用系统、建立应急响应机制等。
三、风险评估与管理⒈\t商业银行应定期对可能影响业务连续性的各类风险进行评估,并制定相应的风险管理措施。
⒉\t商业银行应建立完善的灾害应对预案,包括但不限于对不同灾害事件的处理流程、相关责任人的分工、联系人的信息等。
四、信息技术支持⒈\t商业银行应建立并维护稳定的信息技术基础设施,确保系统的可靠性、安全性和可用性。
⒉\t商业银行应定期测试和评估关键系统的可用性与响应能力,及时修复和更新系统存在的问题。
五、员工培训和意识提升⒈\t商业银行应定期对员工开展相关的业务连续性培训,提升员工的应急响应能力和危机意识。
⒉\t商业银行应加强内部沟通与信息共享,确保员工对业务连续性管理的政策和流程有清晰的认识。
六、业务连续性演练⒈\t商业银行应定期组织不同层级的业务连续性演练,评估业务连续性策略的有效性和可行性。
⒉\t商业银行应记录和总结业务连续性演练的结果,及时修正和改进相关的措施和预案。
附件:⒈\t业务连续性策略表⒊\t员工培训计划及培训材料法律名词及注释:⒈\t商业银行-指在法律法规允许的范围内,依照特许经营条件和经营范围,以货币存款和信托存款为主要业务,以发放贷款为辅助业务,进行资金中介和信用中介业务的金融机构。
⒉\t业务连续性-指商业银行在面临突发事件、系统故障或其他灾害情况时,能够维护正常业务运营的能力。
商业银行业务连续性管理办法
商业银行业务连续性管理办法商业银行业务连续性管理办法1:引言本文档旨在规范商业银行在面对不可预见事件时的业务连续性管理措施,以确保银行的正常运作和客户利益的最大保障。
2:管理目标2.1 业务连续性管理的目标是确保商业银行在遭遇重大事件或突发情况时能够继续提供服务,保障顾客权益,维护金融市场稳定。
2.2 为了实现以上目标,商业银行应该建立完善的业务连续性管理制度,并对关键业务进行风险评估和应急预案制定。
2.3 商业银行应定期组织业务连续性演练,评估演练结果,并对制度进行修订和完善。
3:业务连续性管理的原则3.1 风险评估和业务影响分析商业银行应对业务进行全面的风险评估和业务影响分析,识别关键业务和关键资源,并建立相应的风险应对措施。
3.2 应急预案的制定和实施商业银行应根据风险评估和业务影响分析的结果,制定相应的应急预案,并确保预案的时效性和有效性。
3.3 业务连续性演练和评估商业银行应定期组织业务连续性演练,并根据演练结果进行评估,发现问题并及时修订预案。
3.4 绩效评估和改进商业银行应建立业务连续性管理的绩效评估机制,并将评估结果作为制度改进的依据。
4:业务连续性管理的组织架构商业银行应明确业务连续性管理的组织架构,并明确相关人员的职责和权限,确保业务连续性管理的顺畅进行。
5:关键业务的风险评估和应急预案商业银行应就关键业务进行风险评估,识别潜在风险和脆弱环节,并制定相应的应急预案,确保关键业务的连续性和稳定性。
6:数据备份和恢复商业银行应对关键数据进行备份,并建立相关的数据恢复机制,以确保数据的完整性和可用性。
7:员工培训和意识提升商业银行应定期开展员工培训,提高员工的业务连续性意识和应急处理能力,确保员工在应急情况下能够正确、迅速地处理问题。
8:业务连续性演练和评估商业银行应定期组织业务连续性演练,评估演练结果,并根据评估结果对预案进行修订和完善。
9:应急响应和危机管理商业银行应建立完善的应急响应机制和危机管理机制,及时应对突发事件,并做好危机公关和风险应对工作。
商业银行业务连续性管理办法
商业银行业务连续性管理办法商业银行业务连续性管理办法第一章总则第一条为了加强商业银行业务的连续性管理,确保金融体系稳定运行,维护金融市场秩序,根据国家相关法律法规,制定本办法。
第二章业务连续性风险评估与管理第一节业务连续性风险评估第二节业务连续性策略和规划第三节业务连续性测试与演练第四节备份与恢复策略第五节业务连续性管理流程第三章信息系统安全与业务连续性管理第一节信息系统安全管理第二节业务连续性管理中的关键信息系统保护第三节数据备份与恢复第四节信息系统监控与事件响应第五节网络安全保护第四章人员和组织管理第一节业务连续性管理组织架构第二节人员培训与意识第三节职责与权限划分第四节供应商管理与评估第五章业务连续性管理的运行和监督第一节业务连续性管理责任制度第二节内部控制与审计第三节风险报告与监测第四节评估与改进附件:1.商业银行业务连续性管理流程图法律名词及注释:1.商业银行:指在法律许可的范围内从事吸收存款、发放贷款、办理汇兑、交付结算、发行储蓄券、债券等公募证券以及从事保险代理等金融活动的法人机构或其他组织。
2.业务连续性风险评估:指对商业银行业务运营中的可能中断或遭受意外事件的相关风险进行评估、分析和判别的过程。
3.业务连续性策略和规划:指商业银行制定和实施为保证其业务连续性而制定的相应策略和规划。
4.业务连续性测试与演练:指商业银行对其业务连续性策略和规划进行实际测试和演练的活动。
5.供应商管理与评估:指商业银行对其业务连续性相关供应商的选择、管理和评估。
6.内部控制与审计:指商业银行为保障业务连续性而实施的内部控制和审计活动。
XX银行业务连续性管理制度
XX银行业务连续性管理制度第一章总则第一条信息系统与信息科技是保障业务持续运营的重要基础。
为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国法》、《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。
第二条本制度所称业务连续性管理是指为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本制度所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本制度所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条将业务连续性管理纳入全面风险管理体系,建立与本行战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
业务连续性管理章程:规定业务连续性管理的程序、要求和应用的规则
业务连续性管理章程:规定业务连续性管理的程序、要求和应用的规则第一章引言1.1 背景和目的在现代商业环境中,企业必须面对各种潜在的业务中断风险,如自然灾害、技术故障、供应链中断等。
为了保证企业的业务连续性,提高组织的稳定性和弹性,业务连续性管理成为了企业不可或缺的一部分。
本章程旨在规定业务连续性管理的程序、要求和应用的规则,保障企业的正常运营,并应对潜在风险。
1.2 适用范围本章程适用于本企业的所有部门和员工。
所有部门和员工都应遵守本章程中规定的业务连续性管理的程序和要求。
1.3 术语和定义在本章程中,以下术语和定义适用于全部内容:1. 业务连续性管理:指企业为应对潜在的业务中断风险而采取的措施和策略,以保证企业的业务连续运营。
2. 风险评估:指对可能导致业务中断的风险进行评估和分析,以确定其影响程度和概率。
3. 业务连续性计划:指为应对潜在的业务中断事件而制定的详细计划,包括应急响应、业务恢复和业务持续运营的措施和步骤。
4. 应急响应:指在业务中断事件发生后立即采取的措施,以减轻损失并保护员工和财产的安全。
5. 业务恢复:指在业务中断事件后恢复正常业务运营的过程和活动。
6. 业务持续运营:指在业务中断事件后,持续保持正常业务运营的能力。
第二章业务连续性管理的原则和概念2.1 持续改进业务连续性管理应作为一个持续改进的过程,不断优化和提升应对潜在风险的能力。
企业应定期审查和更新业务连续性计划,并进行演练和测试,以确保其有效性。
2.2 风险评估和管理企业应进行全面的风险评估,识别和评估可能导致业务中断的风险,并采取适当的措施进行管理和减轻风险。
风险评估应包括对内部和外部风险的综合分析,以制定相应的应对措施。
2.3 业务连续性计划企业应制定详细的业务连续性计划,包括应急响应、业务恢复和业务持续运营的措施和步骤。
业务连续性计划应与企业的风险评估和业务需求相匹配,并定期进行测试和更新。
第三章业务连续性管理的程序和要求3.1 风险评估企业应通过风险评估来识别和评估可能导致业务中断的风险。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行业务连续性管理办法规定商业银行业务连续性管理暂行办法第一章总则第一条为加强商业银行业务连续性管理,降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。
第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对农信社产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本办法所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条农信社应将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条农信社应根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条农信社应确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第九条农信社应将业务连续性管理融入到企业文化中,使其成为日常运营管理的有机组成部分。
第二章业务连续性组织架构第一节日常管理组织架构第十条XXX 联社理事会和高级管理层是农信社业务连续性管理的决策机构,对业务连续性管理承担最终责任。
主要职责包括:(一)审核和批准业务连续性管理战略、政策和程序;(二)审定并定期审查和监督执行业务连续性管理政策、程序;(三)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;(四)确保配置足够的资源保障业务连续性管理的实施;(五)审批业务连续性管理年度审计报告。
第十一条XXX 联社信息科技管理部的业务连续性管理职责是:(一)制订业务连续性管理政策和基本管理制度并报理事会和高级管理层审定;(二)监督检查信息系统连续性管理成效;(三)履行向监管部门的报告职责等。
第十二条XXX 联社数据中心的业务连续性管理职责是:(一)确定重要信息系统恢复目标和恢复策略;(二)负责信息技术应急响应与恢复,对重要业务系统制定专项技术保障方案;(三)做好信息系统营运监测和维护;(四)开展业务连续性计划的演练、评估与改进;(五)执行运营中断事件应急处置。
第十三条XXX 联社产品研发中心应制定技术支持方案,验证重要业务系统灾备环境和应急切换流程的有效性。
第十四条XXX 联社运营服务部、业务管理部、计划财务部、电子银行中心等业务管理部门负责对各自分管的业务进行风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,制定业务连续性计划和业务验证方案,负责业务条线重要业务应急响应与恢复。
第十五条XXX 联社办公室、人力资源部、发展研究部、计划财务部、合规与风险管理部、安全保卫部等作为业务连续性管理保障部门,为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。
其中,发展研究部等舆情管理部门应制定对外媒体公关策略,制定和执行对外媒体公关的应急预案。
第十六条XXX 联社各部门负责本部门业务连续性管理工作,制定相关规章制度,制定和执行本部门业务连续性计划,开展本部门业务连续性计划的演练、评估与改进工作。
第十七条XXX 联社审计监察部负责并定期开展全行业务连续性管理审计工作。
第二节应急处置组织架构第十八条农信社组建应急团队,在发生运营中断事件时,做到及时实施应急处置工作。
应急团队包括应急领导小组、应急执行小组、支持保障小组。
第十九条XXX 联社信息安全保障委员会作为应急领导小组,主要职责是:(一)领导和指挥运营中断事件处置工作;(二)最终认定运营中断事件等级,决定是否启动处置预案;(三)对运营中断事件重大处置措施进行决策;(四)协调跨部门共同开展的处置工作重大事项;(五)对运营中断事件处置的对外信息发布进行决策。
第二十条应急执行小组由XXX 联社数据中心、运营服务部、业务管理部、计划财务部、电子银行中心、产品研发中心等部门及市州农商行信息科技部门组成,主要职责是:(一)对运营中断事件进行业务条线与信息技术的应急处置;(二)向应急领导小组报告运营中断事件、重大处置事项及事件进展情况。
第二十一条支持保障小组由XXX 联社办公室、人力资源部、发展研究部、计划财务部、合规与风险管理部、安全保卫部等部门组成,主要职责是:(一)应急处置所需人力、物力和财力等资源的保障;(二)应急处置对外报告、宣告、通报和沟通与协调;(三)对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。
第三章业务影响分析第二十二条XXX 联社业务管理部门应通过业务影响分析识别和评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标。
应至少每三年开展一次全面业务影响分析,并形成业务影响分析报告。
第二十三条XXX 联社业务管理部门应识别重要业务,明确重要业务归口管理部门、所需关键资源及对应的信息系统,识别重要业务的相互依赖关系,分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。
第二十四条XXX 联社业务管理部门应综合分析重要业务运营中断可能产生的损失与业务恢复成本,结合业务服务时效性、服务周期等运行特点,确定重要业务恢复时间目标(业务R TO )、业务恢复点目标(业务R P O),原则上,重要业务恢复时间目标不得大于 4 小时,重要业务恢复点目标不得大于半小时。
第二十五条XXX 联社业务管理部门应明确业务重要程度和恢复优先级别,并识别重要业务恢复所需的必要资源。
第二十六条XXX 联社数据中心应通过分析业务与信息系统的对应关系、信息系统之间的依赖关系,根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信息系统恢复时间目标(信息系统R TO)、信息系统恢复点目标(信息系统R P O),明确信息系统重要程度和恢复优先级别,并识别信息系统恢复所需的必要资源。
第二十七条XXX 联社数据中心及相关部门应开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。
关键资源应包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。
第二十八条XXX 联社数据中心及相关部门应根据风险敞口制定降低、缓释、转移等应对策略。
依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施。
第二十九条XXX 联社业务管理部门应根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
第三十条XXX 联社数据中心及相关部门应依据业务恢复策略,确定灾难恢复资源获取方式和灾难恢复等级。
第四章业务连续性计划与资源建设第一节业务连续性计划第三十一条XXX 联社业务管理部门应依据业务恢复目标,制定覆盖所有重要业务的业务连续性计划。
第三十二条业务连续性计划的主要内容应包括:(一)重要业务及关联关系、业务恢复优先次序;(二)重要业务运营所需关键资源;(三)应急指挥和危机通讯程序;(四)各类预案以及预案维护、管理要求;(五)残余风险。
第三十三条XXX 联社业务管理部门应制定总体应急预案。
总体应急预案是应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。
总体预案通常用于处置导致大范围业务运营中断的事件。
第三十四条XXX 联社业务管理部门应制定重要业务专项应急预案,专项应急预案应注重灾难场景的设计,明确在不同场景下的应急流程和措施。
业务条线的专项应急预案,应注重调动内部资源、采取业务应急手段尽快恢复业务,并和信息科技部门、保障部门的应急预案有效街接。
第三十五条专项应急预案的主要内容应包括:(一)应急组织架构及各部门、人员在预案中的角色、权限、职责分工;(二)信息传递路径和方式;(三)运营中断事件处置程序,包括预警、报告、决策、指挥、响应、回退等;(四)运营中断事件处置过程中的风险控制措施;(五)运营中断事件的危机处理机制;(六)运营中断事件的内部沟通机制和联系方式;(七)运营中断事件的外部沟通机制和联系方式;(八)应急完成后的还原机制。
第三十六条XXX 联社数据中心及相关部门应要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应满足商业银行要求。
第三十七条XXX 联社数据中心及相关部门应注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接;同时,应积极采取风险缓释及转移措施,有效控制由于外部机构业务连续性管理不充分可能产生的风险。
第二节业务连续性资源建设第三十八条XXX 联社数据中心及相关部门应开展业务连续性计划所需的资源建设,满足业务恢复目标和重要业务持续运营的要求。
第三十九条XXX 联社数据中心应重点加强信息系统关键资源的建设,实现信息系统的高可用性,保障信息系统的持续运行并减少信息系统中断后的恢复时间。
第四十条农信社应设立统一的运营中断事件指挥中心场所,用于应急决策、指挥与联络,指挥场所应配置办公与通讯设备以及指挥执行文档、联系资料等。
第四十一条农信社应建立符合业务连续性管理要求的备用资源,如备用业务和办公场所资源、备用信息系统运行场所资源、备用信息技术资源、备用人力资源等,以及电力、通讯、消防、安保等资源。
第四十二条农信社选择备用场地时,应确保不会同时遭受同类型风险;应综合分析备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素,以及灾难恢复所需的金融服务、通讯、设备、技术等外部服务供应商资源情况。