商业银行业务连续性监管指引
【7A版】商业银行业务连续性管理办法
商业银行业务连续性管理暂行办法第一章总则第一条为加强商业银行业务连续性管理,降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。
第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对农信社产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本办法所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条农信社应将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条农信社应根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条农信社应确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
商业银行业务连续性监管指引
商业银行业务连续性监管指引商业银行业务连续性监管指引1.引言1.1 目的1.2 适用范围1.3 定义1.4 参考资料2.管理框架2.1 业务连续性管理的重要性2.2 管理框架的基本原则2.3 监管机构的角色和职责2.4 监管机构的监管规定和要求3.风险评估与管理3.1 业务连续性风险评估3.2 风险管理计划的制定和执行3.3 灾难恢复计划的制定与测试3.4 关键任务和关键人员的保护与组织4.业务连续性测试与演练4.1 测试策略与方法选择4.2 测试计划的制定与执行4.3 测试结果的分析与整理4.4 演练活动的组织与管理5.周期审查与持续改进5.1 业务连续性管理的周期审查5.2 控制措施的效果评估与整改5.3 风险管理计划的动态更新5.4 持续改进的措施与方法6.公共危机事件应对6.1 公共危机事件与应对原则6.2 天灾与外部事件应对措施6.3 突发事件与内部事故应对措施6.4 公共危机事件的应急预案7.与外部机构的合作与沟通7.1 监管机构的报告和信息披露7.2 与其他金融机构的协同合作7.3 与托管机构和支付清算机构的合作7.4 与其他合作伙伴的沟通与协调附件:附件5.业务连续性检查清单法律名词及注释:1.《商业银行法》:为规范商业银行的行为,保护金融消费者和金融市场利益而制定的法律。
2.《银行业金融机构公司治理准则》:监管机构规定的商业银行公司治理方面的准则,旨在加强银行业金融机构的内部管理和风险控制。
3.《存款保险条例》:规定商业银行的存款保险制度,保障合法存款人的权益。
银监会业务连续性监管指引
中国银行业监督管理委员会文件(银监发【2011】104号)商业银行业务连续性监管指引第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。
为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配臵必要的资源,有效处臵运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处臵有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
YH32商业银行业务连续性监管指引
中国银行业监督管理委员会文件银监发〔2011〕104 号中国银监会关于印发商业银行业务连续性监管指引的通知各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:为加强商业银行风险管理,提高业务连续性管理能力,促进商业银行有效履行社会责任,维护公众信心和银行业正常的运营秩序,银监会制定了《商业银行业务连续性监管指引》,现印发给你们,请遵照执行。
请各银监局将本通知转发至辖内银监分局及银行业金融机构。
中国银行业监督管理委员会二○一一年十二月二十八日商业银行业务连续性监管指引第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。
为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
商业银行业务连续性监管指引
商业银行业务连续性监管指引商业银行在现代经济中扮演着重要的角色,为人们提供各种金融服务。
然而,随着科技的发展和风险的增加,商业银行需要采取相应的措施来确保其业务连续性。
为此,监管机构制定了商业银行业务连续性监管指引,以确保银行业务稳定运作,防范金融体系风险。
一、背景介绍商业银行作为金融体系中的关键组成部分,其业务连续性的重要性不言而喻。
面临的挑战包括自然灾害、网络攻击、人为错误等,这些风险可能导致银行业务中断,给金融市场和经济带来严重的影响。
因此,为了保护金融市场稳定和消费者权益,监管机构制定了商业银行业务连续性监管指引。
二、指引内容及要求商业银行业务连续性监管指引主要包括以下几个方面的内容和要求:1. 业务连续性管理框架:商业银行应建立完善的业务连续性管理框架,包括明确的战略、政策和程序。
此外,银行还应指定内部负责人和团队,负责监督和落实业务连续性措施。
2. 风险评估和防范:商业银行应定期进行风险评估,识别可能导致业务中断的内外部风险。
根据评估结果,银行需要制定相应的防范措施,包括安全保障、备份系统和危机响应计划等。
3. 业务连续性测试和演练:商业银行应定期进行业务连续性测试和演练,以验证防范措施的有效性和响应机制的可靠性。
同时,银行还应记录测试结果和演练过程,并对存在的问题进行及时修复和改进。
4. 供应商管理:商业银行在选择和引入供应商时,应审慎评估其业务连续性管理能力。
合同中应明确供应商的责任和义务,包括数据备份、安全保障、恢复能力等方面的要求。
5. 人员培训和意识提升:商业银行应加强员工的业务连续性培训和意识提升,提高员工对业务连续性重要性的认识,并指导他们在紧急情况下的应对措施。
6. 风险报告和监测:商业银行应及时报告可能影响业务连续性的风险信息,包括内部和外部风险。
监管机构将通过监测和评估来确保商业银行按照要求进行业务连续性管理和控制风险。
三、监管机构的角色与责任监管机构对商业银行的业务连续性进行监管和指导,主要包括以下几个方面的角色与责任:1. 审查和评估:监管机构将定期对商业银行的业务连续性管理措施进行审查和评估,以确保其符合指引要求。
商业银行业务连续性监管指引
商业银行业务连续性监管指引商业银行业务连续性监管指引第一章:引言1.1 背景和目的1.2 适用范围1.3 定义和缩写第二章:监管要求2.1 战略规划和政策制定2.1.1 业务连续性战略规划2.1.2 政策制定和角色分配2.2 风险评估和业务影响分析2.2.1 风险评估2.2.2 业务影响分析2.3 控制和保障措施2.3.1 控制措施2.3.2 保障措施2.4 业务连续性计划开发和维护 2.4.1 业务连续性计划开发 2.4.2 业务连续性计划维护 2.5 测试、演练和培训2.5.1 测试2.5.2 演练2.5.3 培训2.6 监测和报告2.6.1 监测2.6.2 报告和评估2.7 外部合作与溢出风险管理 2.7.1 外部合作管理2.7.2 溢出风险管理第三章:监管工具和方法3.1 业务连续性自评工具3.2 监管评估方法3.3 监管合规与纠正措施第四章:监管流程与责任4.1 监管流程4.2 责任分工第五章:附则5.1 监管变更与更新5.2 执法和处罚附件:法律名词及注释:1、《商业银行业务连续性监管指引》:指本文所述的监管指引。
2、业务连续性:指商业银行在遭受意外事件或灾害等造成业务中断时,通过适当的控制措施和保障措施,保证业务连续性并降低损失。
3、自评工具:指商业银行自行评估其业务连续性情况的工具,用于识别潜在风险并采取相应措施。
4、监管评估方法:指监管机构对商业银行进行业务连续性评估的方法和标准。
5、监管合规与纠正措施:指监管机构对商业银行在业务连续性方面不符合监管要求时采取的合规措施和纠正措施。
《商业银行业务连续性监管指引》解读
《商业银行业务连续性监管指引》解读《商业银行业务连续性监管指引》解读第一章总则1.1 本指引的目的和适用范围1.1.1 本指引的目的是规范商业银行的业务连续性管理,保障银行业务的正常运营。
1.1.2 本指引适用于所有商业银行及其分支机构。
1.2 定义和缩略语1.2.1 业务连续性:商业银行为保障业务的可持续运营所采取的各种预防、恢复和应对措施。
1.2.2 威胁:对商业银行业务连续性的潜在危害。
1.2.3 威胁评估:对商业银行可能面临的各种威胁进行评估和分析。
1.2.4 应急演练:商业银行定期或不定期组织的针对突发事件的模拟演练。
1.2.5 责任人:商业银行内负责业务连续性管理的人员。
第二章业务连续性管理原则2.1 风险识别与评估2.1.1 商业银行应建立完善的风险识别与评估机制,对可能发生的威胁进行评估和分析。
2.1.2 风险评估结果应作为制定业务连续性计划的依据。
2.2 业务连续性计划2.2.1 商业银行应根据风险评估结果制定相应的业务连续性计划。
2.2.2 业务连续性计划应包括预防、恢复和应对措施,并定期进行评估和更新。
2.3 应急响应与恢复2.3.1 商业银行应建立健全的应急响应机制,能够快速应对突发事件。
2.3.2 应急响应措施应包括组织架构、人员职责和应急通信等方面的安排。
第三章业务连续性管理实施3.1 预防措施3.1.1 商业银行应制定和实施相应的安全策略和措施,预防威胁的发生。
3.1.2 预防措施应包括信息安全保护、灾备设施的建设和维护等方面。
3.2 恢复措施3.2.1 商业银行应规划有效的恢复措施,确保在突发事件后能够尽快恢复业务。
3.2.2 恢复措施应包括备份和恢复数据、故障切换和应急供电等方面的准备工作。
3.3 应对措施3.3.1 商业银行应制定应对措施,能够应对各类突发事件。
3.3.2 应对措施应包括应急通讯、业务转移和关键岗位备用人员设置等方面的安排。
第四章业务连续性测试和演练4.1 测试计划4.1.1 商业银行应制定详细的业务连续性测试计划,包括测试目标、测试方法和测试周期等。
商业银行业务连续性管理办法
商业银行业务连续性管理暂行办法第一章总则第一条为加强商业银行业务连续性管理,降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。
第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对农信社产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本办法所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条农信社应将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条农信社应根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条农信社应确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行业务连续性监管指引第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营的重要基础。
为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。
主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第九条商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。
第二章业务连续性组织架构第一节日常管理组织架构第十条董(理)事会是商业银行业务连续性管理的决策机构,对业务连续性管理承担最终责任。
主要职责包括:(一)审核和批准业务连续性管理战略、政策和程序;(二)审批高级管理层业务连续性管理职责,定期听取高级管理层关于业务连续性管理的报告,监督、评价其履职情况;(三)审批业务连续性管理年度审计报告。
第十一条高级管理层负责执行经董(理)事会批准的业务连续性管理政策。
主要职责包括:(一)制定并定期审查和监督执行业务连续性管理政策、程序;(二)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;(三)确保配置足够的资源保障业务连续性管理的实施。
第十二条商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会,统筹协调、落实各项管理职责。
第十三条商业银行应当指定风险管理部门或其他综合管理部门为业务连续性管理主管部门,组织开展全行业务连续性管理工作,指导、评估、监督各部门的业务连续性管理工作;组织制定业务连续性计划,协调业务条线部门,汇总、确定重要业务的恢复目标和恢复策略;组织开展业务连续性计划的演练、评估与改进;开展业务连续性管理培训等。
第十四条商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。
业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。
第十五条商业银行应当明确业务连续性管理保障部门,包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等,为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。
其中,公共关系部门应当制定对外媒体公关策略,制定和执行对外媒体公关的应急预案。
第十六条商业银行各部门应当负责本部门业务连续性管理工作,制定相关规章制度,制定和执行本部门业务连续性计划,开展本部门业务连续性计划的演练、评估与改进工作。
第十七条商业银行内部审计部门应当负责并定期开展全行业务连续性管理审计工作。
第二节应急处置组织架构第十八条商业银行应当建立运营中断事件应急处置的组织架构,包括应急决策层、应急指挥层、应急执行层和应急保障层。
第十九条应急决策层由商业银行高级管理人员组成,负责决定应急处置重大事宜,包括:决定运营中断事件通报、对外报告和公告;批准启动总体应急预案等。
第二十条应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门负责人组成,负责运营中断事件处置应急指挥和组织协调,督导应急处置实施。
第二十一条应急执行层由商业银行业务连续性管理执行部门组成,负责业务条线与信息技术应急处置工作。
第二十二条应急保障层由商业银行业务连续性管理保障部门组成,负责应急处置所需人力、物力和财力等资源的保障,应急处置对外报告、宣告、通报和沟通与协调,以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。
第三章业务影响分析第二十三条商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标。
商业银行应当至少每三年开展一次全面业务影响分析,并形成业务影响分析报告。
第二十四条商业银行应当识别重要业务,明确重要业务归口管理部门、所需关键资源及对应的信息系统,识别重要业务的相互依赖关系,分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。
第二十五条商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本,结合业务服务时效性、服务周期等运行特点,确定重要业务恢复时间目标(业务RTO )、业务恢复点目标(业务RPO ) ,原则上,重要业务恢复时间目标不得大于4 小时,重要业务恢复点目标不得大于半小时。
第二十六条商业银行应当明确业务重要程度和恢复优先级别,并识别重要业务恢复所需的必要资源。
第二十七条商业银行应当通过分析业务与信息系统的对应关系、信息系统之间的依赖关系,根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信息系统恢复时间目标(信息系统RTO )、信息系统恢复点目标(信息系统RPO ) ,明确信息系统重要程度和恢复优先级别,并识别信息系统恢复所需的必要资源。
第二十八条商业银行应当开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。
关键资源应当包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。
第二十九条商业银行应当根据风险敞口制定降低、缓释、转移等应对策略。
依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施。
第三十条商业银行应当根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
第三十一条商业银行应当依据业务恢复策略,确定灾难恢复资源获取方式和灾难恢复等级。
第四章业务连续性计划与资源建设第一节业务连续性计划第三十二条商业银行应当依据业务恢复目标,制定覆盖所有重要业务的业务连续性计划。
第三十三条业务连续性计划的主要内容应当包括:(一)重要业务及关联关系、业务恢复优先次序;(二)重要业务运营所需关键资源;(三)应急指挥和危机通讯程序;(四)各类预案以及预案维护、管理要求;(五)残余风险。
第三十四条商业银行应当制定总体应急预案。
总体应急预案是商业银行应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。
总体预案通常用于处置导致大范围业务运营中断的事件。
第三十五条商业银行应当制定重要业务专项应急预案,专项应急预案应当注重灾难场景的设计,明确在不同场景下的应急流程和措施。
业务条线的专项应急预案,应当注重调动内部资源、采取业务应急手段尽快恢复业务,并和信息科技部门、保障部门的应急预案有效衔接。
第三十六条专项应急预案的主要内容应当包括:(一)应急组织架构及各部门、人员在预案中的角色、权限、职责分工;(二)信息传递路径和方式;(三)运营中断事件处置程序,包括预警、报告、决策、指挥、响应、回退等;(四)运营中断事件处置过程中的风险控制措施;(五)运营中断事件的危机处理机制;(六)运营中断事件的内部沟通机制和联系方式;(七)运营中断事件的外部沟通机制和联系方式;(八)应急完成后的还原机制。
第三十七条商业银行应当要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应当满足商业银行要求。
第三十八条商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接;同时,应当积极采取风险缓释及转移措施,有效控制由于外部机构业务连续性管理不充分可能产生的风险。
第二节业务连续性资源建设第三十九条商业银行应当开展业务连续性计划所需的资源建设,满足业务恢复目标和重要业务持续运营的要求。
第四十条商业银行应当重点加强信息系统关键资源的建设,实现信息系统的高可用性,保障信息系统的持续运行并减少信息系统中断后的恢复时间。
第四十一条商业银行应当设立统一的运营中断事件指挥中心场所,用于应急决策、指挥与联络,指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。
第四十二条商业银行应当建立符合业务连续性管理要求的备用资源,如备用业务和办公场所资源、备用信息系统运行场所资源、备用信息技术资源、备用人力资源等,以及电力、通讯、消防、安保等资源。
第四十三条商业银行选择备用场地时,应当确保不会同时遭受同类型风险;应当综合分析备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素,以及灾难恢复所需的金融服务、通讯、设备、技术等外部服务供应商资源情况。
第四十四条商业银行在建立备用业务和办公场所时,应当配备业务操作和办公所需资源,并确保其能够迅速启用。
第四十五条商业银行应当建立灾备中心等备用信息技术资源和备用信息系统运行场所资源,并满足银监会关于数据中心相关监管要求。