业务连续性培训心得0001

1、业务连续性培训心得业务连续性：在中断事件发生后，组织在预先确定的可接受水平 上连续交付产品或提供服务的能力，实质是确保关键业务在规定时间 内恢复到非正常时期最低可接受的程度。业务连续性管理：Bus in ess Co ntin uity Man ageme nt（简称 BCM 识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来 的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢 复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价 值的活动。所谓业务连续性，并不是规避或躲避风险，而是在灾难发生的时 候通过一系列的管理手段如何把损失降低到最小， 也就是避免遭受更 大的损

2、失。业务连续性管理工作不能简单做成一个常规项目，所谓项目是有开始，有结束，有边界，领导的支持和资源是有限度的，但是 业务连续性管理应该是一个管理的闭环， 是一个持续不断改进的管理 过程，应当贯彻到日常管理工作中去。业务连续性方案管理和计划编制的目的本质上首先应该是为了确 保组织对外服务和关键业务持续运行问题和数据安全，保护人员、保护声誉、保护相关方利益、保护资产，进而提升客户满意度，提升核 心竞争能力，最后才是为了满足监管部门的合规要求。当然，目前国 内大部分银行推动其业务连续性管理发展的核心源动力还是应对监 管部门的监管要求。业务连续性管理的实践按照国际惯例，BCM实践模型分为9个步骤，分别

3、是BCM规划、 风险评估与控制、业务影响分析、业务连续性策略制定、应急响应与 运行、业务连续性计划编制、认知与培训、测试与演练、计划维护。1、BCM规划BCM规划的目标是明晰并组织项目规划各要素，并确认制定业务 连续性计划所需的资源。此阶段主要为BCM项目的启动，按照银监会 2011年104号文件要求，组织需设立相关组织架构，并行使对应职 责。其中需注意的是一个好的BCM规划或方案并不强求一定要建立相 应的组织，必要时可以和行内现有组织重合，并赋予相应职责即可。在业务连续性计划制定过程中，分管行长作为高管层的代表，应 作为BCM规划的主要负责人来进行恢复工作，并且一定要得到董事会 的授权和高管

4、层的支持。BC经理负责组织各部门、各机构，管理多 个相互依赖的项目，具有组织召集会议的能力，并及时跟踪及时汇报， 保持在整个过程中使高管层了解项目的进展情况。2、风险评估与控制（简称RA风险评估的目的是识别和确定风险， 改进现有控制措施，并需增 加的控制措施，从而降低组织所面临的风险。确定的风险作为后期编 制预案时的场景设置因素。风险评估可采用风险评估模型，按照可能 性（高中低）、严重性（高中低）两重维度划分，形成风险评估矩阵。自然灾害-火灾、水灾、恐怖天气:人为灾害-恐怖行动，恶意破坏安全破坏-电脑黑客服务中断攻击病毒攻击内部安全/欺诈电源/网络故障软件故障运硬件故障应用程序故障计划内停工频

5、率后期应急预案中场景设置应覆盖风险评估中风险级别较高的80%的风险。3、业务影响分析（简称BIA）BIA是在风险分析的基础上，分析业务功能依赖的重要信息系统资源、评估特定灾难场景下各种信息系统中断产生的经济损失和非财务因素影响。业务影响分析的结果主要有六项，分别是识别关键业 务、确定关键业务的RPO/RT O识别关键业务的相互依赖性、确定关 键业务恢复的优先级、确定关键业务所需的资源，并确定关键业务持 续运行是否有替代措施。在业务影响分析过程中，容易出现下列问题：（1）业务部门都认为自己的业务是最重要的。重要业务的认定不应该是由 BC经理或者某位高管来主观认定，BC经理应该通过定量经济损失、定

6、性业务影响、业务贡献度及监管 法律法规要求等分析指标制定打分表，由各业务部门客观分析其业务， 最后由高管层依打分表评定。（2）业务部门都想把自己所属的业务尽快恢复，RPQ RTC要求近乎为零。不同的RPO RTO要求代表着不同的成本，对应着不同的技术手 段和策略，业务部门出具 RPO RTO要求，技术部门根据要求出具可 行性分析和成本效益分析，通过高管层确定各业务条线的RPO RTO值，同时必须满足监管要求。通过进行风险评估和业务影响度分析，BCMJ、组分析、整理结果， 完成RA/BIA分析报告，并向高管层汇报，获得其对分析报告的认可。4、业务连续性策略的制定从业务和技术两条线识别、梳理可用的

7、业务连续性策略，首先保 证所选策略满足制定的RPO RTO要求，其次是经过成本效益分析进 行比较，根据组织的风险偏好和风险容忍度选择业务连续性策略，并基于前期的业务影响分析结果验证策略的合理性和有效性，最终取得高管层的批准。常见的备选业务连续性策略包括:什么也不做，等灾难发生时再修复或重建将人员和工作转移到存活的工作场所暂停时间不敏感的业务，并将人员及工作转 移到存活的工作场所签定互惠协议建立专用的后备站点采用双用途场所，例如会议室、培训室、自 助餐厅灯作为内部备用场地让员工在家办公（soho）选用第三方外包服务商，使用外部备用站点 作为工作场所制定生产恢复策略制定重要记录及进行中工作的恢复策

8、略常见的备选技术连续性策略包括:什么也不做，等灾难发生时再修复或重建开发手工临时程序采用双活数据中心签定互惠协议（郑州银行与东莞银行目前已 经签署互惠协议，互相管理其灾备机房）采用主备技术外包整个技术环境（云计算等）与第三方服务提供商/外包商（例如热站，云 计算）签订协议确认恢复时所需的温站（仅具备空调通风、 电力、硬件等设备）确认恢复时所需的冷站（仅当火难发生时才 配备设备）-目前国外小银行在用确定为满足RPO要求所需的数据恢复策略另外需要注意的是，并不是全采用高可用技术的恢复策略就是最 好的，需要从多方面考虑。例如韩国某银行中心主机房与灾备机房采 用实时同步技术，未采用快照，结果黑客入侵中

9、心机房，对核心数据 做了删除操作，导致灾备机房的数据同步删除，造成很大的损失。基于选定的业务连续性策略，分析、识别并确定在此策略相关的 关键资源与应急、持续和恢复程序等，主要包括关键人员 /岗位、重 要经营场所、重要供应商、关键设备或其他资源、应急响应、业务持 续和恢复程序及可能的临时策略、手工程序和临时应对措施。5、应急响应与运行应急响应的核心在于保护生命和稳定事态。 为应对可能会影响组 织的员工、来访者或其他资产的紧急情形，制定好应急预案，以保障 组织能够以协调一致的、及时有效的方式来响应紧急情况。 为了在事 件发生前、事件发生时，以及事件发生后进行有效的沟通，组织应建 立一个框架来开发和

10、演练危机沟通计划。 通过与本地的、区域的和国 家级的各类外部机构协调工作，进行相应，连续性和恢复活动，确保 组织满足合规要求。应急响应中很重要的一个内容就是危机沟通机制，危机沟通的要 素包括：1、确定受危机影响的听众（社区公众、外部机构包括政府、 监管；外部群体包括客户、供应商、合伙人等、内部群体包括董事会、 高层、员工）；2、根据目标听众选取合适的发言人；3、确定主要的 沟通信息；4、确定主要的沟通渠道和方式；5、主动沟通 信息。沟通信息的原则主要包括：1、清晰并容易理解；2、预先注意应 保密的信息；3、不断的重复；4、针对听众特别关心的问题发言；5、 与发给其他听众的信息结合；6、表达出理

11、解听众的情绪；7、保持一 致性；8可以个性化的回答。6、业务连续性计划编制业务连续性计划编制的步骤首先应是成立计划编制项目组，将重点业务部门人员涵盖在内，其次是确定业务连续性管理体系总体框架 和主要覆盖内容，评估组织现有的业务连续性管理相关管理现状 （包 括应急管理、灾难备份、风险管理、信息安全、声誉公共关系、安全 保卫、人力资源等），然后根据差距分析，明确计划编写内容，按小 组分解进行计划编制。清晰简练具有保存、备份及异地存储规划与供应商协调配合具有完整的文档并定期演练高管层的支持和承诺风险得到控制持续的完善并成为企业战略决策的一部分对脆弱性（风险）进行了分级具有适当的预算具有一定的灵活性和

12、适应性7、认知和培训认知和培训是为了增强如何准备和应对紧急情况的认识和知识， 了解这些紧急情况会对以下方面产生冲击，包括组织、设施或场地、 员工和供应商或第三方，了解如何保护组织以及如何应对突发事件将 会增加组织的生存机会。将业务连续性管理融入企业文化，让风险意 识成为日常工作的一部分。认知和培训的成功要素包括：1、包含在新员工培训中；2、成为 预算过程的一部分；3、明确各小组及其成员；4、成为员工年度考核 的一部分；5、证明每个人都能回答有关 BCM的问题；6、确保BCM成 为企业文化的一部分。8 测试与演练测试和演练的意义在于检验物（包括设备、技术、服务器、通讯设备等）和人（撤离程序、呼叫

13、树、临时应对程序等）的可用性、有 效性。演练和测试BC计划的本质目的并不是要知道它能否工作，而 是要知道它为什么不能工作。测试和演练需要从简单到复杂，从局部 到整体，逐步深入，先动嘴（桌面演练），再动手（实战演练）。测试 和演练每年至少进行一次，并需将外部机构纳入到测试演练的设计和 实施中。9、 计划的审计和维护评估业务连续性计划内部、业务连续性计划于整个业务连续性方 案的其他部分之间、业务连续性计划于组织当前业务之间的一致性， 通过预先明确的计划变更程序，及时变更业务连续性管理体系的文件 体系，维护并保持上述多方面的一致性。审计人员审计组织的BCM方案和规划，比较常用且简单的一个方 法就是先

14、通过方案中的呼叫树，随机拨打一个人的电话，验证电话号 码是否正确，然后与被调查人核实其手头拥有的 BCM方案或者应急预 案的版本号是否一致。工作建议时间制度文号备注2006.08银行业金融机构信息系统风险管理指引银监发【2006】63号已废止2007.05商业银行操作风险管理指引银监发【2007】42号2008.04银行业重要信息系统突发事件应急管理规范银监办发【2008】53号2009.06商业银行信息科技风险管理指引银监发【2009】19号2010.04商业银行数据中心监管指引银监发【2010】114号2011.12商业银行业务连续性监管指引银监发【2011】104号通过比较监管机构的监管要求脉络，逐步从单一的信息科技风险 管理深入到整个组织的业务连续性管理，而且2013年12月17日，源于ISO 22301的国标GB/T30146正式发布，为商业银行如何进行业 务连续性管理体系的建设提供了技术标准。目前，ISO 9700 （质量管 理体系）+ISO 20000 （IT标准服务）+ISO27000（信息安全管理体系） +ISO 22301 （业务连续性管理体系）的四标合一，逐步成为业内的流 行趋势。具体建议主要包括以下几点：1、强化认识，业务连续性管理是企业整体治理的重要组成部分。2、理顺关系