业务连续性管理规定

业务持续性管理规定总则为规范科技发展部业务持续性管理，并依此建立业务持续性管理计划，将防止和恢复控制相结合，主动防备并且解决突发信息安全事件，避免业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范畴之内，确保核心性业务流程的持续性运行，构建“健全机制、集中领导、明确职责、防止为主、反映敏捷、处置高效”的业务持续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及有关法律法规、业界规范原则，特制订本规定。本规定文献合用于科技发展部范畴内的全部业务持续性有关的管理工作。组织与职责科技发展部信息安全指挥小组负责根据业务发展方向规划业务持续性总体战略，拟定科技发展部业务持续性管理的方略、目的和范畴，为科技发展部业务持续性管理工作的计划、贯彻提供资源和管理确保，并对执行状况进行监督。科技发展部风险管理组负责制订科技发展部的业务持续性管理方法，对科技发展部的业务持续性管理贯彻状况进行监督审核。各部门安全组负责本部门的业务持续性管理贯彻状况的监督和检查。各部门负责人负责拟定本部门业务持续性管理方略，拟定本部门业务持续性管理的目的和范畴，审批本部门业务持续性计划，为有关管理活动提供资源和管理确保。各部门负责制订本部门的业务持续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。业务持续性管理规定各部门负责人或信息安全指挥小组根据业务的发展规划，拟定本部门业务持续性管理方略，重要为：（一） 拟定业务持续性管理的目的和范畴。（二） 拟定业务持续性管理的组织构造和职责。（三） 拟定业务持续性管理的外部协作关系，各部门应与有关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联系和协作，以确保在突发信息安全事件发生时能及时通报精确状况和获得适宜支持。各部门的业务持续性管理方略不得与科技发展部的方略相背离，当目的和范畴扩展到科技发展部范畴时，应严格恪守科技发展部的业务持续性管理方略。各部门应根据本部门的业务持续性管理方略，实施业务影响分析，重要涉及：（一） 识别本部门的核心性业务功效。（二） 识别核心性业务功效所依赖的资源，涉及人员、设备、数据、软件和服务（含第三方）。（三） 识别核心业务功效全部的潜在突发信息安全事件。（四） 识别这些突发信息安全事件会给核心性业务功效造成的损失和影响。（五） 识别突发信息安全事件引发的业务中断时，业务的恢复时间目的，针对业务数据制订恢复点目的。（六） 对核心业务功效的恢复制订优先级排序。各部门应当根据业务影响分析及风险分析的成果、业务持续性管理方略等制订本部门的业务持续性计划，实施业务持续性方法。业务持续性计划和方法针对科技发展部而言，重要体现在如何保障信息系统及其提供的服务的持续性，普通涉及以下几方面的计划和方法：（一） 防止和准备性方法，指事故或灾难前的准备、防备性方法，目的是减少风险发生的可能或者减少风险发生时的破坏性，减少事故或灾难带来的损失。普通涉及站点冗余、设备冗余、数据备份、人员角色备份、资源方法准备等，具体规定参见附件2：防止与准备性方法实施指南。（二） 应急响应流程和预案，指事故或灾难发生时的应急解决流程，目的是尽快恢复目的系统和服务，减少事故或灾难带来的损失。重要方法是建立事件应急响应流程和具体系统、设备设施的应急预案，具体应急解决流程参见《哈尔滨银行信息系统应急管理方法》和对应预案。（三） 灾难恢复流程和方法，指事故或灾难发生时，根据业务需要在规定时间内紧急启用备用站点并尽快恢复服务的解决流程和方法，目的是尽快在紧急的状态下提供必要的服务，减少事故或灾难带来的影响，具体解决流程参见《数据备份及恢复管理规定》和对应预案。（四） 恢复后方法，指系统、服务恢复后，还需要进行测试、总结报告并根据需要修订、完善原有计划和预案，目的是使业务持续性管理能够持续改善。各部门根据业务持续性计划的规定，建立对应的业务持续性组织，并建立有关的工作制度，协调与政府主管部门、新闻媒体等有关部门之间的关系，确保业务持续性计划的建立、实施。业务持续性决策组织的重要职责是决定科技发展部的业务持续性管理方略，重要防止和准备性方法的决策，业务持续性管理的资源确保与协调。在科技发展部现有信息安全保障体系中可由信息安全指挥小组承当该职责。防止准备方法实施的组织重要负责防止和准备性方法的实施，在科技发展部现有信息安全保障体系中由各对应的对口部门承当，将分别负责责任范畴内设备、设施及其提供服务的防止性方法实施和对应应急预案的制订。具体工作参见《哈尔滨银行信息系统应急管理方法》和《数据备份及恢复管理规定》。应急对应处置和灾难恢复的有关组织参见《哈尔滨银行信息系统应急管理方法》。附件3：业务持续性组织建设指南中给出以上各组织的普通职责定义，具体职责和解决流程参见《哈尔滨银行信息系统应急管理方法》和《数据备份及恢复管理规定》。各部门需要定时开展业务持续性管理意识培训，提高各部门员工的业务持续性管理意识，确保全部参加业务持续性管理的人员懂得并理解其角色与责任，培训有关人员满足业务持续性管理所规定的管理职能与技术技能。各部门需要制订应急计划演习的频率、演习计划、演习时间表和演习的目的，定时开展业务持续性管理演习，用以检查业务持续性管理的各类事项，重要涉及：（一） 各类技术方案的可行度和执行度。（二） 突发信息安全事件响应流程的对的性。（三） 各类计划执行的逻辑性。（四） 各类计划的执行与否满足目的恢复时间规定。（五） 各类计划的管理性。（六） 人员的意识与技能。演习方式涉及桌面演习、交互演习、模拟演习、并行式演习和完全演习等多个方式，各部门的演习方式能够根据状况自行选择。（一） 桌面式演习：重要由各类计划的拟定人复查计划的可执行性，由信息安全指挥小组确认。（二） 交互式演习：一种扩展式的桌面式演习，由各部门信息安全指挥小组和信息安全部门检查明确各计划之间参加者的协调性与职责。（三） 模拟演习：针对某个突发信息安全事件的模拟场景，对此进行模拟的业务持续性管理演习。（四） 并行式演习：确保科技发展部业务功效的正常运行前提下，对业务持续性管理包含的各类计划进行全方面的实战演习。（五） 完全演习：完全测试在遭遇了各类突发信息安全事件后的响应与各类计划。完全演习需采用事前通告的方式进行，其它演习可采用事前通告也可采用非事前通告的方式。对于存在较大风险的演习（如完全演习），应按属地监管原则，在实施演习前将演习计划向银监会或其派出机构报备。业务持续性管理演习应尽量选择在非办公时间进行。除了完全演习，其它演习方式尽量减少对生产系统的影响。各部门需要针对演习的过程与成果，提交演习报告给本部门的信息安全指挥小组和科技发展部风险管理组。针对演习中出现的问题，有关责任部门应实施必要的改善与完善。每年最少组织一至两次业务持续性管理演习。各部门需要定时或面临重大变更时全方面评定、审核业务持续性方略以及各类计划，以确保所制订的业务持续性管理的持续有效，涉及但不限于下列状况：（一） 购置新的核心设备或者系统升级。（二） 公司的整个管理战略发生变化。（三） 公司的环境、重要设备或资源发生变化。（四） 法律法规发生变化。（五） 核心的业务流程发生变化。（六） 距上一次审核时间相隔1年以上。（七） 核心供应商的变化。（八） 重要的人员发生变化。在演习或实际启动业务持续性计划后，需要对业务持续性计划进行评定、总结及学习，作出对应的修订和更新。附则本规定由科技发展部负责制订、解释和修改。本规定自印发之日起实施。

附件一：修订统计日期(年月日)版本描述作者审批人审批日期10111.0公布稿刘春雨李树峰1021

附件二：防止与准备性方法实施指南防止和准备性方法：防止和准备性方法是业务持续性管理的重要内容，它能够减少系统的发生风险的可能性或减少系统发生故障时的破坏性，有助于尽快恢复系统的运行。重要有下列内容：一、 站点备份：根据对重要站点的风险评定，建立灾难备份中心等备份站点，当主站点发生灾难或故障而不能提供服务时，备份站点提供对应的设备设施和服务。二、 设备及系统冗余：根据风险分析成果，对可能造成全局性故障的单点故障的设备、系统、应用，考虑采用冗余的方法，避免设备、系统及应用的单点故障。三、 安全产品布署：根据风险评定成果，对存在的安全弱点进行分析，选用适宜的控制方法，通过技术和管理的手段消除安全弱点。需要在信息系统布署网络安全产品，提供防御和检测安全事件的作用，有效减少安全风险。四、 数据备份方法：在进行数据备份时，应对备份的数据进行测试，确保数据的可靠、有效、便于恢复，同时，应根据具体系统，备份适宜时间段和核心日期的数据，确保在发生系统故障造成数据破坏时，能够用于恢复或更换的系统，为有关的机构、需求者或接受者能简朴、精确地恢复被破坏的统计，数据备份完毕后应予以安全保护。五、 人员保障：核心信息系统操作及管理人员需采用备份方法，一旦事件发生，可确保核心信息人员能赶赴现场并采用恢复方法，同时需要确保人员能够胜任应急处置工作。在人员保障方面应达成下列规定：（一） 确保突发信息安全事件处置人员含有应急工作必要的技术资质，定时组织人员培训以满足应急处置规定，并通过业务持续性演习，确保处置人员的纯熟度。（二） 确保主、备岗机制的贯彻。（三） 确保主、备岗人员定时进行交换。（四） 避免一人兼过多的岗位。六、 物质保障：各部门应建立有效的物质保障机制，确保在突发信息安全事件应急对应过程中不会因物质缺少而造成应急处置中断或延长应急处置时间。在物质保障方面应达成下列规定：（一） 储藏一定数量应急设备或物资，并确保物资供应渠道畅通。（二） 建立突发信息安全事件应急专项资金预算管理与审批制度，确保应急响应过程中及时进行应急物资采购。七、 预警技术保障：各部门应建立有效的技术保障机制，确保在应急响应过程中不会因技术能力缺少而造成应急处置中断或延长应急处置事件。建立应急事件预警平台，确保及时发现应急事件，并及时告知有关人员启动应急响应。八、 通讯保障：各部门应采用必要的通讯保障方法，确保应急对应通讯及时有效。在通讯保障方面应达成下列规定：（一） 适时更新各级应急管理机构联系人和联系方式。（二） 建立多个通讯渠道，避免单一通讯风险，并明确各通讯渠道使用的优先次序。九、 服务水平合同：核心信息系统需与设备、服务提供商（或系统集成商）签定对应服务水平合同，明确有关厂商的技术支持服务水平，确保应急处置过程中有关厂商能够提供及时有效的技术支持。十、 保险方法：对核心设施及核心业务，可考虑购置保险，进行风险转嫁。

附件三：业务持续性组织建设指南IT范畴业务持续性决策组织决策小组是IT范畴业务持续性管理的决策部门，负责做出重大决策，提供资源、管理确保，在科技发展部现有信息安全保障体系中可由信息安全保障指挥小组承当该职责。防止和准备方法阶段，负责：决定科技发展部IT范畴的业务持续性管理方略。重大防止和准备性方法决策，例如备份站点的建立和选择。提供资源和管理确保。突发事件管理小组应急响应指挥小组是紧急状态下的指挥中心，负责突发事故、灾难发生时的指挥协调。应急响应和灾难恢复阶段，负责：灾难宣布决策。备份站点启用决策。外部沟通决策。其它重大事件决策。提供资源和管理确保。应急处置指挥小组应急处置指挥小组的组长视事件级别由科技发展部领导或行领导担任，组员由IT范畴及有关业务各部门负责人构成。应急处置指挥小组的重要职责是在科技发展部突发事件管理指挥小组的领导下，负责执行信息安全类突发事件处置方案的指挥和协调工作，决定突发事件升级或降级，向突发事件管理指挥小组及时报告应急处置进展状况和事态发展状况。应急响应和灾难恢复阶段，负责：突发事件应急管理工作的指挥协调。决定突发事件升级或降级。下达突发事件应急管理工作指挥指令。跟踪和监督各小组突发事件应急管理工作。向突发事件管理领导小组及时报告应急处置进展状况和事态发展状况。应急处置保障小组突发事件应急处置保障小组由总务部、会计部、法律部、保卫部、物业管理部门等有关职能部门构成。保障小组的重要职责是提供应急所需人力和物力等资源保障，做好秩序维护、安全保障、法律咨询和增援等工作，建立与电力、通讯、公安和消防等有关外部机构的应急协调机制和应急联动机制，以及其它为减少事件负面影响或损失提供的应急支持保障等。防止和准备方法阶段，负责：提供人力、物力资源的准备。应急响应和灾难恢复阶段，负责：负责与政府有关部门、上级主管部门等有关部门及下级分支机构之间的联系协调工作。负责协调后勤资源，提供快速的和充足的后勤支持。提供安全保卫工作。提供法律知识支持，审核对外公示的信息的法律符合性。预警与评定小组本小组普通由跨部门专家、代表联合构成，作为事故、灾难的第一反映团体，负责接受事故、灾难预警，评定事态发展和影响，为指挥小组、决策小组提供决策根据。应急响应和灾难恢复阶段，负责：接受事故、灾难预警。定位突发事故、灾难并进行初始解决和保护。对事故、灾难发展事态、影响范畴、严重程度、恢复状况等进行评定。提供事故定级、备份站点切换等决策建议。应急处置执行团体应急处置执行团体由一线工作组、二线专业和后缓组、三线协助开发组构成。其中一线工作组重要是运维中心一线人员和有关业务部门一线工作人员；二线专业和后缓组重要是有关项目组的二线专业人员；三线协助开发组重要是供应商技术支持专家。应急处置执行团体的重要职责是实施信息系统突发事件的具体应急处置工作