银行业务连续性管理办法模版

行业务连续性管理办法

第一章总则

第一条为加强银行风险管理，提高业务连续性管理能力，降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响，快速恢复被中断业务，特制定本办法。

第二条本办法所称突发事件是指因下述原因，导致银行重要业务异常或中断，产生不良影响或资金损失的事件，包括：

（一）信息系统各类技术故障和配套设施故障；

（二）自然灾害（如火灾、雷击、海啸等）；

（三）外部影响（如发生黑客攻击、第三方无法提供合作或服务等）。

第二章组织架构

第三条银行业务连续性管理组织架构包括董事会、业务连续性管理主管部门、执行部门和保障部门。

第四条董事会是银行业务连续性管理的最高决策机构，对业务连续性管理负最终责任。主要职责包括：

（一）制定与银行业务发展和风险管理战略目标相一致的业务连续性管理总体战略；

（二）审批执行部门在业务连续性管理过程中的职责、权限及报告制度，审查执行部门在业务连续性管理过程中的履职情况；

（三）审批保障部门为业务连续性管理制订的人员、资金、重要设施等资源的总体配备方案；

（四）审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内部审计部门撰写的业务连续性管理的审计报告。

第五条风险管理部作为业务连续性管理的主管部门（简称业务连续性管理主管部门），组织、协调全行业务连续性管理的日常工作。主要职责包括：（一）制订和维护业务连续性管理办法；

（二）制定风险分析、业务影响分析的方法与流程；

（三）制订业务连续性管理的工作计划与评估报告；

（四）制订业务连续性计划的演练计划与总结报告；

（五）组织业务连续性计划的演练、评估、总结与改进；

（六）组织业务连续性管理的培训；

（七）指导和监督执行部门进行业务连续性管理活动。

第六条执行部门包括业务部门和信息技术部，负责业务连续性管理相关工作的具体实施。

第七条业务部门的主要职责包括：

（一）拟定需要恢复的重要业务及其恢复目标和恢复策略；负责风险评估、业务影响分析，撰写风险评估报告和业务影响分析报告；

（二）负责业务部门的业务连续性计划的制订；参与业务连续性计划的整体演练；负责本部门业务连续性计划的具体演练、评估、总结与改进；

（三）参与业务连续性管理的培训；

（四）负责对本部门业务连续性管理的定期评估、改进。

第八条信息技术部的主要职责包括：

（一）保障信息系统的高可用性；根据业务恢复策略，配置信息系统资源；

（二）负责信息技术部业务连续性计划的制订；参与业务连续性计划的整体演练；负责本部门业务连续性计划的演练、评估、总结与改进；

（三）参与业务连续性管理的培训；负责对本部门业务连续性管理的定期评估、改进；

（四）负责信息系统灾备中心的日常管理、灾难备份系统的运行和维护；

（五）配合业务部门进行业务连续性管理。

第九条保障部门由行长办公室、人力资源部、计划财务部、审计部、保卫部组成。主要职责包括：

（一）制订本部门业务连续性计划；参与业务连续性计划的整体演练；负责本部门业务连续性计划的具体演练、评估、总结与改进；

（二）为业务连续性管理提供必要的人员、物力、财力与安全保障；

（三）对外联络部门负责危机处理；

（四）参与业务连续性管理的培训；负责对本部门业务连续性管理的定期评估、改进；

（五）审计部负责业务连续性管理的审计。

第三章业务影响分析

第十条业务影响分析是指识别和评估业务中断所造成的影响和损失的过程。通过分析识别重要业务，明确业务连续性管理重点，并根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。

第十一条信息技术部和各业务部门应综合考虑以下因素，识别和确定重要业务，通过平衡业务中断产生的损失与业务恢复成本，结合业务服务实时性、服务周期等运行特点，确定业务恢复至正常服务水平的指标，即业务可容忍恢复时间（业务RTO）、业务恢复时间点要求（业务RPO），明确业务重要程度和恢复优先级别，并识别重要业务恢复所需最小资源。

（一）中断的影响范围及程度；

（二）恢复成本与中断损失的关系；

（三）中断导致的声誉风险；

（四）法律法规和监管要求。

第十二条风险管理部应开展风险评估，通过标识重要业务运行所需关键资源，分析关键资源面临的威胁，识别关键资源本身的脆弱性，分析威胁发生的可能性，并定量或定性描述可能造成的损失。

第十三条风险评估应重点关注、优先评估业务运行所必要的关键资源，包括关键的信息系统、IT环境、数据中心资源，关键的业务人员，关键的业务场地，关键的业务办公资源，关键的业务单据等。

第四章业务连续性计划制定与资源建设

第一节业务连续性计划的制订

第十四条信息技术部和各业务部门应依据业务恢复目标，制定应对不同突发事件的业务连续性计划。

第十五条业务连续性计划主要内容应包括：

（一）涉及业务连续性的重要业务；

（二）重要业务执行连续性的优先次序；

（三）备份资源说明；

（四）总体应急预案和各类专项应急预案；

第二节业务连续性资源建设

第十六条保障部门负责开展业务连续性计划所对应的资源建设，满足业务恢复的目标要求。资源主要包括：备用IT资源，备用人力资源，备用业务和办公场所资源，备用IT运行场所资源，备用通讯资源等。其中，备用IT资源应包括备用数据资源、备用数据处理系统软硬件资源、备用网络资源、备用存储资源等。

第五章业务连续性计划演练与持续改进第十七条信息技术部和各业务部门应开展业务连续性计划的演练，提高全行应急响应、组织协调及灾难恢复的能力，验证业务恢复资源的可用性，确保业务连续性计划的有效性。

第十八条对业务连续性计划的整个演练过程中，要进行完整记录对演练的组织、过程、效果进行评估，发现计划与执行之间存在的差距，及时对业务连续性计划进行维护和更新。

第六章突发事件应急处置

第一节应急处置组织架构

第十九条银行应急组织架构应包括应急决策层、应急指挥层、应急执行层和应急保障层。

第二十条应急决策层主要由高级管理者组成，决定突发事件处置的重大事宜，主要职责包括：

（一）决定是否对外报告、宣告、通报发生突发事件；

（二）审核、批准对外报告、宣告、通报的内容并授权实施；

（三）批准启动突发事件的应急预案；

（四）批准启动突发事件的回退预案；

（五）决定其它应急处置过程中的重大事宜。

第二十一条应急指挥层由业务部门、信息科技部门、保障部门的负责人组成，在决策层的授权下或在职能范围内指挥和协调突发事件的应急处置工作，主要职责包括：

（一）负责突发事件处置的应急指挥和组织协调；

（二）监督执行层和保障层实施应急处置工作；

（三）在突发事件处置期间向决策层汇报事件处置进展情况和事态发展情况；

（四）在应急处置完成后，组织执行层和保障层对应急处置的执行情况进行分析、总结，对总结报告进行审阅并向决策层报告。

第二十二条应急执行层由业务连续性管理执行部门组成，实施具体的应急处置工作，主要职责包括：

（一）实施处置突发事件的业务与技术应急预案；

（二）向应急指挥层报告应急处置进展情况和事态发展情况。

第二十三条应急保障层由业务连续性管理保障部门组成，负责突发事件处置的应急保障工作，主要职责包括：

（一）实施处置突发事件的应急保障预案；

（二）负责报告和对外通报；

（三）负责所需人力、物力和财力等资源的保障和供应；

（四）负责秩序维护、安全保障、法律咨询等工作；

（五）负责与外部机构的沟通与协调；

（六）向应急指挥层报告应急处置进展情况和事态发展情况。