银行业务连续性管理办法模版

1、行业务连续性管理办法第一章总则第一条为加强银行风险管理，提高业务连续性管理能力，降低或消除因自 然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响，快速 恢复被中断业务，特制定本办法。第二条本办法所称突发事件是指因下述原因，导致银行重要业务异常或中 断，产生不良影响或资金损失的事件，包括：（一）信息系统各类技术故障和配套设施故障；（二）自然灾害（如火灾、雷击、海啸等）；（三）夕卜部影响（如发生黑客攻击、第三方无法提供合作或服务等）。第二章组织架构第三条银行业务连续性管理组织架构包括董事会、业务连续性管理主管部 门、执行部门和保障部门。第四条董事会是银行业务连续性管理的最高决策机构

2、，对业务连续性管理 负最终责任。主要职责包括：（一）制定与银行业务发展和风险管理战略目标相一致的业务连续性管理总 体战略；（二）审批执行部门在业务连续性管理过程中的职责、权限及报告制度，审 查执行部门在业务连续性管理过程中的履职情况；（三）审批保障部门为业务连续性管理制订的人员、资金、重要设施等资源 的总体配备方案；（四）审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内 部审计部门撰写的业务连续性管理的审计报告。第五条风险管理部作为业务连续性管理的主管部门（简称业务连续性管理 主管部门），组织、协调全行业务连续性管理的日常工作。主要职责包括：（一）制订和维护业务连续性管理办法；（二

3、）制定风险分析、业务影响分析的方法与流程；（三）制订业务连续性管理的工作计划与评估报告；（四）制订业务连续性计划的演练计划与总结报告；（五）组织业务连续性计划的演练、评估、总结与改进；（六）组织业务连续性管理的培训；（七）指导和监督执行部门进行业务连续性管理活动。第六条 执行部门包括业务部门和信息技术部，负责业务连续性管理相关工 作的具体实施。第七条 业务部门的主要职责包括：（一）拟定需要恢复的重要业务及其恢复目标和恢复策略；负责风险评估、 业务影响分析，撰写风险评估报告和业务影响分析报告；（二）负责业务部门的业务连续性计划的制订；参与业务连续性计划的整体 演练；负责本部门业务连续性计划的具体

4、演练、评估、总结与改进；（三）参与业务连续性管理的培训；（四）负责对本部门业务连续性管理的定期评估、改进。第八条信息技术部的主要职责包括：（一）保障信息系统的高可用性；根据业务恢复策略，配置信息系统资源;（二）负责信息技术部业务连续性计划的制订；参与业务连续性计划的整体 演练；负责本部门业务连续性计划的演练、评估、总结与改进；（三）参与业务连续性管理的培训；负责对本部门业务连续性管理的定期评 估、改进；（四）负责信息系统灾备中心的日常管理、灾难备份系统的运行和维护；（五）配合业务部门进行业务连续性管理。第九条 保障部门由行长办公室、人力资源部、计划财务部、审计部、保卫 部组成。主要职责包括：（

5、一）制订本部门业务连续性计划；参与业务连续性计划的整体演练；负责 本部门业务连续性计划的具体演练、评估、总结与改进；（二）为业务连续性管理提供必要的人员、物力、财力与安全保障；（三）对外联络部门负责危机处理；（四）参与业务连续性管理的培训；负责对本部门业务连续性管理的定期评 估、改进；（五）审计部负责业务连续性管理的审计。第三章业务影响分析第十条 业务影响分析是指识别和评估业务中断所造成的影响和损失的过 程。通过分析识别重要业务，明确业务连续性管理重点，并根据业务重要程度实 现差异化管理，确定各业务恢复优先顺序和恢复指标。第十一条信息技术部和各业务部门应综合考虑以下因素，识别和确定重要 业务，

6、通过平衡业务中断产生的损失与业务恢复成本，结合业务服务实时性、服 务周期等运行特点，确定业务恢复至正常服务水平的指标，即业务可容忍恢复时 间（业务RTO X业务恢复时间点要求（业务RPO），明确业务重要程度和恢复 优先级别，并识别重要业务恢复所需最小资源。（一）中断的影响范围及程度；（二）恢复成本与中断损失的关系；（三）中断导致的声誉风险；（四）法律法规和监管要求。第十二条风险管理部应开展风险评估，通过标识重要业务运行所需关键资 源，分析关键资源面临的威胁，识别关键资源本身的脆弱性，分析威胁发生的可 能性，并定量或定性描述可能造成的损失。第十三条风险评估应重点关注、优先评估业务运行所必要的关键

7、资源，包 括关键的信息系统、IT环境、数据中心资源，关键的业务人员，关键的业务场 地，关键的业务办公资源，关键的业务单据等。第四章业务连续性计划制定与资源建设第一节业务连续性计划的制订第十四条信息技术部和各业务部门应依据业务恢复目标，制定应对不同突发事件的业务连续性计划。第十五条 业务连续性计划主要内容应包括:（一）涉及业务连续性的重要业务；（二）重要业务执行连续性的优先次序；（三）备份资源说明；（四）总体应急预案和各类专项应急预案；第二节业务连续性资源建设第十六条保障部门负责开展业务连续性计划所对应的资源建设，满足业务 恢复的目标要求。资源主要包括：备用IT资源，备用人力资源，备用业务和办

8、公场所资源，备用IT运行场所资源，备用通讯资源等。其中，备用IT资源应包 括备用数据资源、备用数据处理系统软硬件资源、备用网络资源、备用存储资源 等。第五章业务连续性计划演练与持续疝第十七条信息技术部和各业务部门应开展业务连续性计划的演练，提高全 行应急响应、组织协调及灾难恢复的能力，验证业务恢复资源的可用性，确保业 务连续性计划的有效性。第十八条对业务连续性计划的整个演练过程中，要进行完整记录对演练的 组织、过程、效果进行评估，发现计划与执行之间存在的差距，及时对业务连续 性计划进行维护和更新。第六章突发事件应急处置第一节应急处置组织架构第十九条 银行应急组织架构应包括应急决策层、应急指挥层

9、、应急执行层 和应急保障层。第二十条应急决策层主要由高级管理者组成，决定突发事件处置的重大事 宜一主要职责包括：（一）决定是否对外报告、宣告、通报发生突发事件；（二）审核、批准对外报告、宣告、通报的内容并授权实施；（三）批准启动突发事件的应急预案；（四）批准启动突发事件的回退预案；（五）决定其它应急处置过程中的重大事宜。第二十一条 应急指挥层由业务部门、信息科技部门、保障部门的负责人组 成，在决策层的授权下或在职能范围内指挥和协调突发事件的应急处置工作，主 要职责包括：（一）负责突发事件处置的应急指挥和组织协调；（二）监督执行层和保障层实施应急处置工作；（三）在突发事件处置期间向决策层汇报事件

10、处置进展情况和事态发展情况;（四）在应急处置完成后，组织执行层和保障层对应急处置的执行情况进行 分析、总结，对总结报告进行审阅并向决策层报告。第二十二条 应急执行层由业务连续性管理执行部门组成，实施具体的应急 处置工作，主要职责包括：（一）实施处置突发事件的业务与技术应急预案；（二）向应急指挥层报告应急处置进展情况和事态发展情况。第二十三条 应急保障层由业务连续性管理保障部门组成，负责突发事件处 置的应急保障工作，主要职责包括：（一）实施处置突发事件的应急保障预案；（二）负责报告和对外通报；（三）负责所需人力、物力和财力等资源的保障和供应；（四）负责秩序维护、安全保障、法律咨询等工作；（五）负

11、责与外部机构的沟通与协调；（六）向应急指挥层报告应急处置进展情况和事态发展情况。第二节监测、预警与报告第二十四条信息技术部和各业务部门应建立业务运行的监控体系，采取技 术措施对业务系统运行有关的环境及系统的运行情况进行日常监测，建立关键时 点的预警机制，在重大业务和社会活动前，或在业务功能、资源发生重大变更前， 进行风险预警。第二十五条 发生突发事件后，要及时进行报告和沟通。（一）应及时按照应急预案报告路线向行内相关部门、人员报告；（二）及时向银监会或其派出机构进行相应的报告；（三）应及时与业务运行的外包方、业务合作方、交易联接方进行沟通。第三节事件处置第二十六条信息技术部和各业务部门应及时、有效地对突发事件作出响应， 启动应急预案，实施处置，以防止事态升级，确保业务运行能够尽快得到恢复。第二十七条保障部门应做好各项应急保障工作，为应急处置提供场地、交 通、通讯、资金及其他后勤保障。第四节灾难恢复第二十八条对于可能导致大范围业务运行中断的突发事件，应立即启动灾 难应急预案，实施灾难备份的切换。第二十九条 信息技术部实施灾难备份切换时，应注意以下几点：（一）对切换后的备份资源先进行技术验证，确保可用性；（二）向业务部门告知可能出现的数据损失情况；（三）对启用的备份系统的运行情况实施监控，预警