业务连续性管理
业务连续性管理制度
业务连续性管理制度一、引言在现代社会,业务连续性管理显得尤为重要。
想想,如果某一天我们的运营因为突发事件而中断,那可真是个大麻烦。
我们的目标就是确保企业在面临各种挑战时,仍然能顺利运作。
1.1 定义业务连续性管理,简单来说,就是一套应对突发事件的计划。
无论是自然灾害、网络攻击,还是设备故障,企业需要有能力快速恢复。
就像打麻将一样,总要留一手牌,随时应对变局。
1.2 重要性为什么这么重要呢?因为一个小失误可能造成巨大的损失。
企业不仅仅是赚钱的机器,更是人们的梦想和生活的保障。
要是业务中断,员工的饭碗、客户的信任,甚至整个品牌的声誉,都会受到影响。
二、风险评估2.1 风险识别首先,得识别出潜在的风险。
像侦探一样,仔细分析各种可能的威胁。
是自然灾害?人力资源不足?还是信息安全问题?无论是什么,都要一一列举出来。
2.2 风险评估接着,要对这些风险进行评估。
把每个风险的影响程度和发生概率都量化。
比如说,一个数据泄露的风险可能影响到公司的信誉,而设备故障则可能导致生产停滞。
清楚这些,就能更好地制定应对措施。
2.3 风险控制最后,制定风险控制方案。
根据评估结果,制定预防措施和应急响应计划。
预防胜于治疗,做好准备才能避免损失。
就像买保险,虽然不一定用得上,但总归心里有底。
三、应急响应3.1 计划制定应急响应计划是业务连续性管理的核心。
要清晰、详细地列出每一步该怎么做,谁来负责。
一个好的计划就像一份地图,指引着我们在危机中找到出路。
3.2 培训与演练制定好计划后,不能光说不练。
要定期对员工进行培训,确保每个人都了解自己的职责。
演练就像排练戏剧,只有反复练习,才能在真正的危机中游刃有余。
四、持续改进在实施过程中,不断反馈与改进是关键。
通过演练和实际案例,查找不足之处,进行调整。
这就像开车一样,学会灵活应变,才能应对各种复杂的路况。
总结业务连续性管理是一项系统工程,关乎企业的生死存亡。
通过识别风险、评估威胁、制定应急计划,我们能够更好地面对不确定性。
业务连续性管理制度模板
业务连续性管理制度模板一、目的为了确保在突发事件发生时,组织能够持续提供关键产品或服务,减少对业务运营的影响,特制定本业务连续性管理制度。
二、范围本制度适用于组织内所有可能影响业务连续性的部门和流程。
三、定义业务连续性(Business Continuity):指组织在面对突发事件时,能够迅速恢复正常运营的能力。
四、组织与职责1. 成立业务连续性管理委员会,负责制定和审批业务连续性计划。
2. 设立业务连续性管理团队,负责计划的实施和日常管理。
3. 各部门负责人需指派专人负责本部门的业务连续性工作。
五、风险评估1. 定期进行风险评估,识别可能影响业务连续性的潜在风险。
2. 评估风险对业务的影响程度,并制定相应的预防措施。
六、业务连续性计划1. 制定详细的业务连续性计划,包括预防措施、应急响应、恢复策略等。
2. 计划应涵盖所有关键业务流程和资源。
七、资源保障1. 确保有足够的资源(如人力、物资、技术等)来支持业务连续性计划的实施。
2. 定期检查和更新资源库,确保资源的有效性和可用性。
八、培训与演练1. 对员工进行业务连续性意识培训,提高他们对突发事件的应对能力。
2. 定期组织应急演练,测试和改进业务连续性计划。
九、沟通与协调1. 建立有效的内外部沟通机制,确保在突发事件发生时能够及时传达信息。
2. 与外部机构(如供应商、政府部门等)建立协调机制,共同应对突发事件。
十、监测与评审1. 定期监测业务连续性计划的执行情况,确保其有效性。
2. 定期评审业务连续性管理制度,根据组织变化和外部环境进行调整。
十一、文档与记录1. 所有业务连续性相关的文档和记录应妥善保存,便于查阅和审计。
2. 记录所有演练和实际事件的响应情况,作为改进计划的依据。
十二、合规性确保业务连续性管理制度和计划符合相关法律法规和行业标准的要求。
十三、附件1. 业务连续性风险评估报告2. 业务连续性计划文档3. 应急演练记录4. 培训材料和员工手册5. 沟通协调流程图6. 监测与评审报告请注意,这只是一个模板,具体内容需要根据组织的实际情况进行定制和调整。
《业务连续性管理办法如何保障业务连续性》
《业务连续性管理办法如何保障业务连续性》业务连续性管理是指为了保障企业在面临各种意外事件或灾难情况时能够持续提供服务,保证业务运作的顺利进行。
业务连续性管理办法是指通过制定一系列的规章制度和操作流程,建立相应的组织架构和技术体系,从而保障业务连续性的措施和方法。
以下是业务连续性管理办法如何保障业务连续性的具体措施。
一、建立业务连续性管理机构企业应设立专门的业务连续性管理机构,负责制定业务连续性管理计划、指导和监督各部门的业务连续性工作,协调各方资源和应对紧急事件。
二、制定业务连续性管理计划企业应根据其业务特点和需求,制定业务连续性管理计划。
该计划应包括业务连续性目标、应急响应流程、关键业务流程恢复策略、紧急通信计划、资源调配计划等,确保业务能够在紧急情况下持续运作。
三、风险评估和管理企业应对可能影响业务连续性的风险进行评估和管理。
通过制定风险识别、风险评估和风险管理的具体步骤,确保对关键业务流程的风险能够及时识别和控制,防范意外事件对业务的影响。
四、制定关键业务流程恢复策略企业应对关键业务流程进行分类,制定相应的恢复策略。
包括备份关键数据和信息、建立备用电源系统、制定应急工作场所等措施,确保在面临各种灾难情况时,能够迅速恢复关键业务流程。
五、建立紧急通信计划六、能力验证和演练定期进行业务连续性能力验证和演练,检验和评估业务连续性管理措施的有效性和可行性。
通过模拟紧急事件、实施演练和评估反馈,发现问题并改进,提高业务连续性管理水平。
七、建立业务连续性培训机制企业应建立业务连续性培训机制,对相关人员进行培训和教育,提高其业务连续性意识和技能。
通过培训,使得员工能够了解业务连续性管理的重要性,掌握相关知识和技能,提高应对紧急情况的能力。
总之,通过建立业务连续性管理机构、制定业务连续性管理计划、风险评估和管理、关键业务流程恢复策略、紧急通信计划、能力验证和演练以及业务连续性培训机制等措施,企业能够全面有效地保障业务连续性。
业务连续性管理办法三篇
业务连续性管理办法三篇篇一:业务连续性管理办法总则为了提高公司的风险防范能力,有效地应对各种非计划的业务破坏、降低影响,确保公司各项业务的连续性,保障公司、商户、合作伙伴等相关单位的利益,特制订本办法。
第一章流程规范一、公司建立业务连续性管理部门及应急领导小组,根据安全级别,实行分级管理,保证在发生重大事故导致业务中断时,所有成员能够识别其角色与职责。
二、制订危机管理和灾难恢复等业务连续性管理流程,确保在系统发生故障等导致业务中断之时,能在最短时间内、保证数据零丢失的情况下进行快速恢复。
三、在与合作商(服务商)签订书面合同时要充分考虑业务的连续性,明确双方的权利、义务,并制定在意外情况下能顺利实现合作商(服务商)变更,保证合作商(服务商)不间断的应急预案。
第二章业务中断分析一、业务中断成因可分为自然灾害、人为灾害、一般灾害1、自然灾害主要有:地震、火灾、水灾、台风等,此种灾害无法预判,灾害发生时无法防护,发生频率最低,当灾害发生时,业务一般也只能切换到灾备机房,一旦切换到灾备机房,业务正常运行肯定收到影响。
2、人为灾害主要有:恐怖攻击、黑客攻击(网络攻击、病毒攻击等),此灾害同样无法预判,发生不高,但其中黑客攻击可从网络安全、主机安全、系统安全等方面进行防护,加大黑客攻击难度,从而达到黑客攻击防护的目的。
3、一般灾害主要有:网络故障、服务器软硬件故障、应用程序故障等,此灾害可防护,但发生频率最高,应对网络、服务器、应用程序进行相应监控,并建立相应的监控巡检系统,自动监控自动报警,及时发现和处理故障。
另核心业务系统应建设主备高可用架构或负载均衡高可用架构,避免单点故障。
二、业务中断的企业影响1、企业收入:企业直接损失、商户赔偿金、企业未来收入损失;2、生产效率:参与人员人数和人员处理时间;3、声誉损失:影响企业声誉,降低了商户和合作伙伴对企业的信任,影响到后期的企业市场发展和业务合作,扩大了竞争对手优势4、财务业绩:影响到企业的信用、现金流甚至违规罚款等第三章技术保障一、建立业务连续性管理制度,目标是尽可能快地恢复服务至服务级别协议规定的水准,尽量减少事故对业务运营的不利影响,以确保最好的服务质量和可用性级别。
bcms的理解
bcms的理解BCMS,即业务连续性管理系统(Business Continuity Management System),是指为了保证组织在突发事件发生时能够持续经营而采取的一系列管理措施和方法。
本文将对BCMS的概念、作用、实施步骤以及具体应用进行探讨,以期更好地理解和运用BCMS。
概念和作用BCMS是一种组织管理系统,旨在帮助组织在紧急情况下保持关键业务连续运行。
其核心思想是通过规划、预防、准备和响应,减少突发事件带来的影响,降低经济和声誉损失,并加强组织的韧性和可持续发展。
BCMS的作用主要包括以下几个方面:1. 管理风险:BCMS可以通过风险评估和管理,识别组织可能面临的各种风险,并制定相应的控制策略和应对措施,以减轻风险带来的影响。
2. 保障连续性:BCMS可以确保关键业务在突发事件中的可持续运营,降低业务中断和停工的风险,提高组织的生产力和灵活性。
3. 加强合规性:BCMS有助于组织遵守相关法规和标准,提高组织的合规性水平,并为相关审计和监管提供有力支持。
4. 提升声誉:通过有效的BCMS,组织能够更好地应对突发事件,保护员工和客户利益,提高企业形象和信誉度。
实施步骤BCMS的实施需要经过以下几个关键步骤:1. 意识提升:组织应该提高对业务连续性管理的重视程度,培养员工的BCMS意识和应急响应能力。
2. 风险评估:组织需要对内部和外部风险因素进行评估,包括自然灾害、技术故障、供应链中断等,以便制定相应的业务连续性计划。
3. 制定策略:基于风险评估结果,组织应制定相应的业务连续性策略和措施,包括备份和恢复系统、紧急响应计划、员工培训等。
4. 组织实施:根据制定的策略和计划,组织要建立相应的业务连续性管理团队,明确责任和权限,推动业务连续性管理体系的实施。
5. 持续改进:BCMS是一个持续改进的过程,组织应该及时进行评估和审核,发现问题并采取纠正措施,以适应不断变化的环境和需求。
具体应用BCMS可以应用于各种类型的组织,无论是政府机关、企业、学校还是非营利组织,都可以从中受益。
业务连续性管理流程
业务连续性管理流程在当今竞争激烈且充满不确定性的商业环境中,业务连续性管理流程已成为企业生存和发展的关键。
无论是自然灾害、技术故障、人为失误还是供应链中断,各种潜在的风险都可能对企业的正常运营造成严重影响。
因此,建立一套完善的业务连续性管理流程,确保在面临危机时能够迅速恢复业务,维持关键业务功能的持续运行,对于企业的稳定和可持续发展至关重要。
一、业务连续性管理流程的定义和目标业务连续性管理流程是指一套有组织、有计划的方法和策略,旨在确保企业在遭受意外事件或灾难时,能够在预定的时间内恢复关键业务功能,减少业务中断带来的损失,并保持企业的声誉和竞争力。
其主要目标包括:1、保障业务的持续运营:在面临各种干扰和破坏的情况下,确保关键业务流程能够不间断地运行,或者在最短的时间内恢复正常。
2、降低损失和风险:通过有效的预防和应对措施,减少因业务中断而导致的财务损失、客户流失、法律责任等风险。
3、维护企业声誉和客户信任:在危机时刻能够保持稳定的服务水平,增强客户对企业的信心,维护企业的良好形象。
4、满足法规和合同要求:许多行业和地区都有相关的法规和合同要求,企业必须建立业务连续性管理流程以满足这些规定。
二、业务连续性管理流程的主要步骤1、风险评估风险评估是业务连续性管理流程的基础。
这一阶段需要对企业可能面临的各种内外部风险进行全面的识别和分析,包括自然灾害(如地震、洪水、飓风等)、人为灾害(如火灾、恐怖袭击、网络攻击等)、技术故障(如硬件故障、软件漏洞、电力中断等)、供应链中断(如供应商破产、运输故障等)以及其他可能影响业务运营的因素。
通过风险评估,确定每种风险发生的可能性和潜在的影响程度,为后续的策略制定提供依据。
2、业务影响分析在完成风险评估后,需要进行业务影响分析。
这包括确定关键业务流程和支持这些流程的资源,评估业务中断对企业财务、运营和声誉等方面的影响。
通过业务影响分析,可以明确哪些业务流程是最关键的,以及业务中断多长时间会对企业造成不可承受的损失。
业务连续性管理程序
业务连续性管理程序在当今复杂多变的商业环境中,企业面临着各种各样的潜在风险和威胁,如自然灾害、人为事故、网络攻击、供应链中断等。
这些突发事件可能会导致企业业务的中断,给企业带来巨大的经济损失和声誉损害。
为了有效应对这些风险,保障企业业务的持续运营,建立一套完善的业务连续性管理程序显得尤为重要。
一、业务连续性管理程序的定义和目标业务连续性管理程序是一套用于识别、评估和管理可能影响企业业务连续性的风险,并制定相应的策略和计划,以确保在突发事件发生时能够迅速恢复业务运营的管理体系。
其主要目标是在最短的时间内恢复关键业务流程,减少业务中断对企业造成的影响,保护企业的利益相关者,包括员工、客户、供应商、股东等的利益,并维护企业的声誉和市场地位。
二、业务连续性管理程序的重要性1、降低风险和损失通过提前识别和评估潜在的风险,制定相应的应对措施,可以有效地降低突发事件发生的可能性和影响程度,减少企业的经济损失和业务中断时间。
2、保障客户满意度在突发事件发生时,能够迅速恢复业务运营,满足客户的需求,保障客户的利益,从而提高客户的满意度和忠诚度。
3、维护企业声誉及时有效地应对突发事件,展示企业的应对能力和责任感,有助于维护企业的良好声誉和形象,增强市场竞争力。
4、符合法规要求某些行业和地区可能有法律法规要求企业建立业务连续性管理程序,以保障公共利益和社会稳定。
三、业务连续性管理程序的主要步骤1、风险评估(1)识别潜在风险对企业内外部环境进行全面的分析,识别可能影响业务连续性的各类风险,如自然灾害、火灾、电力故障、网络攻击、人员短缺、供应链中断等。
(2)评估风险影响对识别出的风险进行评估,分析其可能对业务造成的影响,包括业务中断的时间、损失的程度、影响的范围等。
(3)确定风险优先级根据风险的可能性和影响程度,确定风险的优先级,以便集中资源应对高优先级的风险。
2、策略制定(1)制定恢复目标根据风险评估的结果,确定关键业务流程的恢复时间目标(RTO)和恢复点目标(RPO)。
业务连续性管理办法三篇
业务连续性管理办法之一:组织架构与职责划分一、组织架构1. 公司成立业务连续性管理领导小组,由公司总经理担任组长,各部门负责人为成员。
领导小组负责制定业务连续性管理战略,审批业务连续性管理计划,指导、监督和协调各部门的业务连续性管理工作。
2. 设立业务连续性管理部门,负责具体实施业务连续性管理工作,包括制定、修订业务连续性管理手册,组织业务连续性培训与演练,收集、分析业务连续性相关信息等。
3. 各部门设立业务连续性管理联络员,负责本部门业务连续性工作的落实、反馈和改进。
二、职责划分1. 业务连续性管理领导小组职责:(1)制定公司业务连续性管理方针、目标和策略;(2)审批业务连续性管理计划;(3)监督、检查业务连续性管理工作;(4)协调解决业务连续性管理工作中的重大问题;(5)组织业务连续性培训与演练。
2. 业务连续性管理部门职责:(1)制定、修订业务连续性管理手册;(2)组织业务连续性培训与演练;(3)收集、分析业务连续性相关信息;(4)监督、检查各部门业务连续性管理工作;(5)协助领导小组解决业务连续性管理工作中的问题。
3. 各部门职责:(1)贯彻执行业务连续性管理政策、制度和流程;(2)制定、修订本部门业务连续性管理计划;(3)组织本部门业务连续性培训与演练;(4)及时报告业务连续性管理工作中的问题;(5)配合业务连续性管理部门开展相关工作。
业务连续性管理办法之二:风险评估与应对策略三、风险评估1. 定期评估:公司应每年至少进行一次全面的业务连续性风险评估,以识别可能对业务运营造成影响的内部和外部风险。
2. 风险识别:评估过程中应涵盖自然灾害、技术故障、人为错误、供应链中断、市场变化等潜在风险因素。
3. 风险分析:对识别出的风险进行深入分析,评估其发生的可能性和对业务的影响程度。
4. 风险排序:根据风险评估结果,对风险进行排序,优先处理可能导致最严重后果的风险。
四、应对策略1. 风险规避:对于某些高风险业务活动,考虑采取措施避免或减少风险的发生。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国际标准化组织(ISO) The Basel Committee on Banking Supervison 美国信息科学学会(ASIS) 美国国家防火协会(NFPA) 美国国家标准和技术学会(NIST) 加拿大标准学会 澳大利亚标准化组织 新加坡标准、生产力与创新局(SPRING) ……
在“9.11”事件几个小时后,摩根斯坦利公司便 宣布:全球营业部可以在第二天照常工作。该公 司建立的数据备份和远程容灾系统,保护了公司 的重要数据,在关键时刻挽救了摩根斯坦利,同 时也在一定程度上挽救了全球的金融行业。 NYBOT(纽约商品交易所)的前身CSCF曾经历 了世贸中心车库爆炸案(1993年),从此吸取了 教训,制定了BCP计划,并坚持10年演练。 “9.11”事件几个小时后就在“长岛”开始恢复 交易,短短时间内恢复了它在异地的运营,因为 它很早就制定了BCP计划,并在灾难发生时发挥 了作用,NYBOT劫后逢生的关键是BCP计划的 策划和坚持。
1 2 3 4
业务连续与灾难恢复的意义 BCM的由来与发展 BCM的范围与定义 BS 25999及相关标准简介
Bank of New York 通讯线路全部中断;数据中心位于灾场附近;造成连锁 反应…… 2001年10月18日,纽约银行声明,恐怖袭击破坏了部分 计算机系统,一些分支机构被迫关闭,其第三季度的利 润因此下降了33%。 DeutscheBank 93年开始风险分析,建立了一套完成的业务连续性计划 (BCP),以应对突发事件或灾难。 灾难发生后,德意志银行调动4000多名员工及全球分行 的资源,短时间内在距离纽约30公里的地方恢复了业务 运行。 9.11后,员工和客户对德意志银行都更加有信心。
1999年,台湾行政院颁布了《行政院及所属各机关资讯 安全管理规范》,对业务连续计划和规划管理做出了明 确规定; 2000年,“千年虫”事件引发了国内对于信息系统灾难 的第一次集体性关注; 在9.11之后,业务连续/灾难恢复的概念开始逐渐被国内 组织所接收; 香港金融管理局在2002年发布了《持续业务运作规划》; 在2003年后,国家出台了一系列的政策并召开了多次相 关会议; ― 2003年9月,中共中央办公厅、国务院办公厅转发了《国 家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)提出各基础信息网络和重要信息 系统建设要充分考虑抗毁性与灾难恢复 ― 2004年1月9日全国信息安全保障工作会议上下发了《关 于做好国家重要信息系统容灾备份工作的通知》
监管要求名称
发布机构
涉及内容
明确商业银行建立有效的应急预案及定期进行测试, 并在发生紧急情况下参照执行。 对于信息系统应急预案的建立、定期演练、评审和修 订提出了要求,对于应急预案的具体内容未作描述; 提出了数据中心进行数据备份的地域要求。
商业银行内部控制指引 银监会 银行业金融机构信息系 银监会 统风险管理指引
业务连续与灾难恢复的意义 BCM的由来与发展 BCM的范围与定义 BS 25999及相关标准简介
发展情况
― 1979年在美国宾西尼亚州的费城建立的SunGard Recovery Services。 ― 灾难备份和恢复与20世纪70年代中期在美国起步,源于美国中西部地 区对电脑设施进行的备份。灾难备份行业的历史性标志是1979年在美 国宾夕法尼亚州的费城建立了专业的商业化的灾备中心并对外提供服 务。在这以后的10年里,美国的灾难备份行业得到了迅猛发展,拥有 超过100家灾难备份中心服务商。1989年以后的十年中,灾难备份服 务供应商之间进行了大规模的合并和重组,到1999年市场上剩下31个 灾难备份中心供应商,并以每年15%的速度增长。 ― 从上世纪80年代初到90年代中期,美国共成功完成582宗灾难恢复。 ― 9.11事件之后,灾难备份调查公司Globe Continuity Inc.对美国、英 国、澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了 调查。 ·71.2%的公司使用了灾难备份中心,使用灾难备份中心的公司中,56%使用
― 2005年1月国信办组织起草了《重要信息系统灾难恢复规划指 南》 ― 2007年7月,国务院信息化工作办公室领导 编制的《重要信息 系统灾难恢复指南》正式升级成为国家标准《信息系统灾难 恢复规范》(GB/T 20988-2007) ― 英国标准化协会在2006年推出了BCM标准,2008相关认证机 构将在国内开始推广BCM,必将推动BCM在中国的发展。 目前在银行、电信、电力、税务、航空、电力、大型制造业 等行业走在此领域的前面; 相关行业目前纷纷出台关于此领域的行业规范,如《银行业 信息系统灾难恢复管理规范》、《保险业信息系统灾难恢复 管理规范》等; 从国内监管要求的角度,也有不少涉及业务持续管理相关内 容,但更多偏重IT灾难恢复的层次,对于业务连续管理和业 务连续计划层面还没有具体、细化的要求。
新加坡
― 新加坡金融管理局(MAS)于2001年7月在《INTERNET BANKING TECHNOLOGY RISK MANAGEMENT GUIDELINES》中对在线交易的银行作出了企业连续性运作 的规定。 ― 2003年7月MAS发布了新的《Business Continuity Management Guideline》,提出了企业连续运作的7项原则。 ― 2005年新加坡技术标准委员会出台了业务连续/灾难恢复服务 商评定标准SS 507。
规定了银行业信息系统灾难恢复应遵循的管理要求。 提出了对实施数据集中的银行金融机构在加强灾难恢 复系统建设的要求,包括灾备中心建设、应急预案演 练等。 提出对于数据集中的银行建立灾备中心的相关要求; 提出要建立业务连续计划,以及业务连续计划的演练 要求。
监管要求名称
发布机构
涉及内容
对银行灾难备份的实施目的、流程、组织与职责、需 求确定、灾难备份方案及灾难恢复计划的制定给予了 技术及管理方面的指引;在附件中给出了灾难备份方 案分级方法及灾难备份中心建设指导意见。 规定了保险业信息系统灾难恢复应遵循的管理要求。 要求应制定和定期修订灾难恢复和应急处理预案,建 立应急演习机制,确保及时有效地处理各种故障和危 机。 从灾难恢复规划的管理、灾难恢复的需求分析、灾难 恢复等级的确定、灾难恢复等级的实现、灾难恢复预 案的制订、落实和管理等方面,对灾难恢复的规划和 准备活动的规范化要求进行全面描述。 在第四级基本要求中提出对建立灾难恢复计划及相应 测试机制的要求。
国际灾难恢复协会
― DRI International(DRII)成立于1988年,是国际灾难备 份和业务连续性的专业权威机构之一; ― 致力于开发灾难备份和业务连续性的行业理论标准、提 供研究和教育培训和专业人员资质认证; ― DRII发布的主要文件为:《业务连续性计划操作实务》
业务连续协会
― The Business Continuity Institute(BCI)成立于1994,为 全球提供关于灾难备份和业务连续性的专业指导机构; ― 致力于提高行业专业水平的业务标准和商业规范的开发 和维护,提供专家会员的国际交流和培训; ― BCI发布的主要文件《业务连续性管理:最佳惯例指南》
了商业化的灾难备份服务,29%使用自有的灾难备份中心,15%在商业化灾 难备份服务的基础上同时拥有自己的备份设施。
美国
― 1983年OCC(货币监理署)就发布了指引要求银行制定并维 护灾难恢复计划; ― 1989年FFIEC(联邦金融机构检查委员会)要求银行对灾难恢 复计划进行测试、维护和演习; ― 1997年和2000年,FFIEC突破性的规定金融机构的董事会和高 层管理人员直接对灾难恢复计划负责;2003年修订成《联邦 金融机构检查委员会业务连续计划手册》; ― NASD(全美证券交易商协会)于2002年要求其成员在拥有 灾难恢复计划的基础上建立指挥中心以协调灾难恢复工作, 即从要求恢复运行能力向快速建立业务运行环境发展。 ― Board(联邦储备委员会)、SEC(证券交易委员会)和OCC 于2003年5月28日发布了《关于增强金融机构遭到大范围灾难 打击后的恢复能力提出了措施和实施时间要求。
澳大利亚
― 2004年,澳大利亚金融管理委员会发布了针对信贷行业和保 险行业的灾难恢复和业务连续管理标准草案,要求这两个行 业内的公司必须有能力预见、评估、和管理在灾难或突发性 事件发生后可能产生的业务连续运作危机; ― 澳大利亚国家审计局(ANAO)也发布了一系列关于业务连 续和灾难恢复的文件
银行数据处理中心灾难 中国人民 备份安全管理规范 银行
保险业信息系统灾难恢 保监会 复管理指引 证券公司内部控制指引 证监会
重要信息系统灾难恢复 国信办 指南
信息安全技术信息系统 公安部 安全等级保护基本要求
小于40%的BCP/DRP考虑了回切一从备份站点回切到主 站点 小于50%的BCP/DRP讨论了交通工具和通讯设施中断的 应对措施 仅有33%的企业为灾难恢复行动准备了预算 仅有66%的组织定期检查备份数据的正确性 仅有65%的BCP包含应对媒体的政策 1/3的计划没有考虑业务功能的恢复次序 75%的容灾环境配置没有与生产环境配置完全同步 在开发BCP/DRP过程中普遍缺乏高层管理人员的参与 仅有25%的组织安排了针对全体员工的业务连续培训
2006年度银行金融机构 银监会 信息科技风险评价评审 要点
银行业信息系统灾难恢 中国人民 复管理规范 银行 关于进一步加强银行业 中国人民 金融机构信息安全保障 银行 工作的指导意见 关于加强银行数据集中 中国人民 安全工作的 银行
明确来业务连续计划的职责和机制、业务连续计划的 制定和实施、备份中心的管理与操作、业务连续计划 的测试和维护等方面的审计要点。
英国
― 英国对金融行业的监管主要有FSA(Financial Services Authority)负责,还有英格兰银行和英国财政部;FSA要求关 键机构的CEO级别主管向FSA报告其业务连续管理措施; ― 其对金融机构的监督和检查手册《Senior management arrangements , Systems and Controls》中规定机构应对中断 后重续经营做出合理的安排,并更新、测试保证有效; ― 《The Financial Services Authortiy Incident Management : A generic guide》,概括了金融服务管理局制定业务连续计 划的方法,确定了金融服务管理局处理事故时采用的框架; ― 《CP142:Operational risk systems and controls》,FSA在 2002年7月30日发布了关于“运行风险系统和控制”的咨询性 文件,包含了关于业务连续管理的章节向各方咨询意见。