金融业业务连续性管理资料汇编

行业务连续性管理办法第一章总则第一条为加强银行风险管理，提高业务连续性管理能力，降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响，快速恢复被中断业务，特制定本办法。

第二条本办法所称突发事件是指因下述原因，导致银行重要业务异常或中断，产生不良影响或资金损失的事件，包括：（一）信息系统各类技术故障和配套设施故障；（二）自然灾害（如火灾、雷击、海啸等）；（三）外部影响（如发生黑客攻击、第三方无法提供合作或服务等）。

第二章组织架构第三条银行业务连续性管理组织架构包括董事会、业务连续性管理主管部门、执行部门和保障部门。

第四条董事会是银行业务连续性管理的最高决策机构，对业务连续性管理负最终责任。

主要职责包括：（一）制定与银行业务发展和风险管理战略目标相一致的业务连续性管理总体战略；（二）审批执行部门在业务连续性管理过程中的职责、权限及报告制度，审查执行部门在业务连续性管理过程中的履职情况；（三）审批保障部门为业务连续性管理制订的人员、资金、重要设施等资源的总体配备方案；（四）审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内部审计部门撰写的业务连续性管理的审计报告。

第五条风险管理部作为业务连续性管理的主管部门（简称业务连续性管理主管部门），组织、协调全行业务连续性管理的日常工作。

主要职责包括：（一）制订和维护业务连续性管理办法；（二）制定风险分析、业务影响分析的方法与流程；（三）制订业务连续性管理的工作计划与评估报告；（四）制订业务连续性计划的演练计划与总结报告；（五）组织业务连续性计划的演练、评估、总结与改进；（六）组织业务连续性管理的培训；（七）指导和监督执行部门进行业务连续性管理活动。

第六条执行部门包括业务部门和信息技术部，负责业务连续性管理相关工作的具体实施。

第七条业务部门的主要职责包括：（一）拟定需要恢复的重要业务及其恢复目标和恢复策略；负责风险评估、业务影响分析，撰写风险评估报告和业务影响分析报告；（二）负责业务部门的业务连续性计划的制订；参与业务连续性计划的整体演练；负责本部门业务连续性计划的具体演练、评估、总结与改进；（三）参与业务连续性管理的培训；（四）负责对本部门业务连续性管理的定期评估、改进。

XX银行业务连续性管理制度第一章总则第一条信息系统与信息科技是保障业务持续运营的重要基础。

为降低或消除因信息系统服务异常导致重要业务运营中断的影响，快速恢复被中断业务，维护公众信心和银行业正常运营秩序，提高业务连续性管理能力，根据《中华人民共和国银行业监督管理法》、《中华人民共和国法》、《商业银行业务连续性监管指引》以及相关法律法规，制定本办法。

第二条本制度所称业务连续性管理是指为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

第三条本制度所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

第四条本制度所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。

主要包括：(一)信息技术故障：信息系统技术故障、配套设施故障；(二)外部服务中断：第三方无法合作或提供服务等；(三)人为破坏：黑客攻击、恐怖袭击等；(四)自然灾害：火灾、雷击、海啸、地震、重大疫情等。

第五条将业务连续性管理纳入全面风险管理体系，建立与本行战略目标相适应的业务连续性管理体系，确保重要业务在运营中断事件发生后快速恢复，降低或消除因重要业务运营中断造成的影响和损失，保障业务持续运营。

第六条根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好，确定适当的业务连续性管理战略。

第七条建立业务连续性管理的组织架构，确定重要业务及其恢复目标，制定业务连续性计划，配置必要的资源，有效处置运营中断事件，并积极开展演练和业务连续性管理的评估改进。

第八条业务连续性管理的基本原则是：(一)切实履行社会责任，保护客户合法权益、维护金融秩序；(二)坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合；(三)坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；(四)坚持联动协作，加强沟通协调，形成应对运营中断事件的整体有效机制。

中国计算机用户协会团体标准《金融业务连续性管理能力成熟度模型与评估》编制说明一、标准编制的背景2011年12月28日中国银监会颁布了《商业银行业务连续性监管指引》（银监办发【2011】104号文），要求各类商业银行都应建立业务连续性管理体系，经过近10年的努力，各类商业银行都在不同程度上建立了满足自身业务需求的业务连续性管理体系，但由于我国的商业银行在资金规模、经营范围、人员技能、技术架构、管理能力等方面存在较大的差异性，各家银行的业务连续性管理体系建设的程度、涉及的范围和实际效果也不尽相同。

同时由于2011年提出的业务连续性管理体系建设要求仅适用于银行业，随着银监会和保监会合并为银保监会，保险行业的业务连续性管理体系的建设也将提到议事日程，而且证券行业也要求各类券商、基金公司建立业务连续性管理体系，因此建立一套规范、合理的标准和模型以科学地评估和衡量各类金融机构的业务连续性管理能力，对于金融机构的业务连续性管理体系能够持续运行非常必要。

二、任务来源《金融业务连续性管理能力成熟度模型与评估》于2019年6月6日正式通过中国计算机用户协会的立项审核。

计划号为：T/CCUA LC004-2019该标准由信息科技审计分会牵头，并联合中国建设银行股份有限公司、中国银行股份有限公司、上海浦东发展银行股份有限公司、华夏银行股份有限公司、深圳前海微众银行股份有限公司、中治研（北京）国际信息技术研究院、武汉众邦银行股份有限公司、陕西省农村信用社联合社、农信银资金清算中心有限责任公司、中国外汇交易中心（全国银行间同业拆借中心）、山东重工集团财务有限公司、华为技术有限公司、深圳前海普华永道商务咨询服务有限公司、北京同创永益科技发展有限公司等单位共同编制。

三、编制过程1.2018年12月16日，信息科技审计分会召集中治研（北京）国际信息技术研究院、上海浦东发展银行股份有限公司启动《金融业务连续性管理能力成熟度模型与评估》项目，并成立了由上海浦东发展银行股份有限公司、中治研（北京）国际信息技术研究院、华夏银行股份有限公司、共同成立项目编制小组。

《业务连续性管理办法如何保障业务连续性》企业飞速发展，其经营管理等各项业务对it系统的依赖性也随之增加，对数据处理的高可靠性和高可用性要求越来越高。

it系统即使发生短暂故障，也将直接导致业务停滞，给企业带来经济损失。

更为重要的是，一旦数据由于某种原因永久性丢失，不但会给企业的运作带来极大的困难，企业的商业信誉也必将受到致命的打击，在竞争中处于劣势，造成不可估量的后果。

xx年，国家烟草专卖局把“卷烟上水平”作为行业的战略任务与基本方针，以培育“532”和“461”知名品牌工程为“卷烟上水平”的内涵，为此，必须要有一个安全、高效的信息化平台做支撑，来保证信息系统的连续性运行。

一个企业若部分或完全丢失了数据，也就丢失了一切。

无论是国内还是国外的用户，无论是政府还是企业，现在都在思考这样一个问题，那就是：假设我们的企业发生了类似的情况，我们是否有足够的备份措施，企业的数据是否有足够的安全保障。

当然，考虑灾难备份系统建设时，也应该实事求是，从实际出发。

能够防御所有灾难的方案是不存在的，也是不现实的。

it系统的灾难定义可以由用户自己来定义，不同地区、不同行业可能有不同的要求。

集中的数据备份、恢复和管理已经成为企业数据存储管理的重要问题，开发业务连续性计划势在必行。

当前企业核心数据存储的发展和需求呈现以下趋势：1.数据是企业最宝贵的资产，事关企业的经济运行命脉和商业信誉;2.分散的系统正在重新集中，将数据集中在一个更大的单一存储服务器上已经是一种趋势，而单一存储服务器的风险也在增加;3.更多企业已经认识到灾难恢复计划的重要性，一旦发生自然灾害（洪水、地震、火灾等）或者人为灾难（用户失误、磁盘失效等）时，它可以尽快地恢复用户的重要数据;4.将现有的存储技术集成，创造出一种更有效的数据存储管理，实现高效、高可靠性、低成本的数据管理。

分步实施业务连续性计划随着各行各业灾备系统的建设，业务连续性计划的开发已经形成了一套完整的实施方法论（如图1所示）。

业务连续性管理体系(BCMS)的文件体系包括:1、BCMS范围说明书；2、BCM参考术语；3、BCM方针；4、业务影响分析；5、风险评估；6、BCM战略/策略；7、适用性声明；8、培训计划；9、事件管理计划；10、业务连续性计划；11、SLA、合同和其他依据。

业务连续管理（BCM）十大最佳实践标准收藏1.项目启动和管理确定业务连续性计划（BCP）过程的需求，包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制。

2.风险评估和控制确定可能造成机构及其设施中断和灾难、具有负面影响的事件和周边环境因素，以及事件可能造成的损失、防止或减少潜在损失影响的控制措施。

提供成本效益分析以调整控制措施方面的投资达到消减风险的目的。

3.业务影响分析确定由于中断和预期灾难可能对机构造成的影响以及用来定量和定性分析这种影响的技术。

确定关键功能、其恢复优先顺序和相关性以便确定恢复时间目标。

4.制定业务连续性策略确定和指导备用业务恢复运行策略的选择，以便在恢复时间目标范围内恢复业务和信息技术，并维持机构的关键功能。

5.应急响应和运作制定和实施用于事件响应以及稳定事件所引起状况的规程，包括建立和管理紧急事件运作中心，该中心用于在紧急事件中发布命令。

6.制定和实施业务连续性计划设计、制定和实施业务连续性计划以便在恢复时间目标范围内完成恢复。

7.意识培养和培训项目准备建立对机构人员进行意识培养和技能培训的项目，以便业务连续性计划能够得到制定、实施、维护和执行。

8.维护和演练业务连续性计划对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。

制定维持连续性能力和BCP文档更新状态的方法使其与机构的策略方向保持一致。

通过与适当标准的比较来验证BCP的效率，并使用简明的语言报告验证的结果。

9.公共关系和危机通信制定、协调、评价和演练在危机情况下与媒体交流的计划。

制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主／股东以及机构管理层进行沟通和在必要情况下提供心理辅导的计划。

浅析商业银⾏“业务连续性管理体系”的构建当前世界所⾯临的风险有恐怖袭击、⿊客、⽹络侵袭、电脑病毒、⾃然灾害、⼤规模停电、罢⼯、环保、市场恶性竞争、企业倒闭等,近年来发⽣的“9.11”、“SARS”事件、印度洋海啸等给国家和企业带来重⼤的损失。

在⾦融领域,重⼤灾害事故亦不鲜见,2005年11⽉⽇本东京证券交易所由于系统故障,所有股票、可转换公司债、信托投资等共计2,520个品种暂停交易,整个上午⽆法进⾏主要交易;2005年6⽉17⽇，由于美国信⽤卡系统解决⽅案公司 CardSystems 的安全漏洞，导致4000万⽤户的银⾏资料被泄漏，其中包括 MASTER 公司的1390万⽤户、VISA 的2200万客户；2006年4⽉,银联全国跨⾏交易系统瘫痪6⼩时,国内⼤部分商户的POS机⽆法刷卡,所有银⾏的ATM终端⽆法跨⾏操作,造成了重⼤社会影响等等⼀系列的事件。

由此可见⾦融业务数据⼤集中的同时，客观上也把风险集中和放⼤起来根据权威机构统计，美国在近10年间遭遇过灾难事件的公司中，有55%的公司马上倒闭，因为数据丢失造成业务⽆法持续，有29%的公司在两年之内倒闭据Gartner Group统计，在经历⼤型灾难事件⽽导致系统停运的公司中，有2/5左右再也没有恢复运营，剩下的公司中也有接近1/3在两年内破产。

9.11事件中，1200家企业受灾，400家企业启动了灾难恢复计划，其中摩根⼠丹利公司⼏天后在新泽西州恢复营业，⽽⽆灾备能⼒的企业损失惨重 世界各国的案例表明,传统的业务管理⽅法及流程,在遭遇灾害事件时常常不堪⼀击。

越来越多的危机事件的影响使⼈们认识到,只有构建真正有效应对危机事件的管理体系,使管理科学化、⼿段现代化,才能保证业务的连续运⾏,实现企业的可持续发展。

在此背景下,业务持续管理 (BCM)应运⽽⽣。

BCM的重要性显著增加,在英国,拥有⾏之有效的业务持续计划,已成为企业上市的基本要求;美国企业法对业务持续管理的具体措施也有明确要求;新加坡已拥有多个保证业务连续性的标准流程和管理规范,其⾦融局已经制定了业务持续管理的指导规范和管理标准。