銀行業(yè)務(wù)連續(xù)性管理辦法模版

1、行業(yè)務(wù)連續(xù)性管理辦法第一章總則第一條為加強(qiáng)銀行風(fēng)險(xiǎn)管理，提高業(yè)務(wù)連續(xù)性管理能力，降低或消除因自 然災(zāi)害、人為破壞和技術(shù)故障等原因造成重要業(yè)務(wù)運(yùn)營中斷所產(chǎn)生的影響，快速 恢復(fù)被中斷業(yè)務(wù)，特制定本辦法。第二條本辦法所稱突發(fā)事件是指因下述原因，導(dǎo)致銀行重要業(yè)務(wù)異常或中 斷，產(chǎn)生不良影響或資金損失的事件，包括：（一）信息系統(tǒng)各類技術(shù)故障和配套設(shè)施故障；（二）自然災(zāi)害（如火災(zāi)、雷擊、海嘯等）；（三）夕卜部影響（如發(fā)生黑客攻擊、第三方無法提供合作或服務(wù)等）。第二章組織架構(gòu)第三條銀行業(yè)務(wù)連續(xù)性管理組織架構(gòu)包括董事會(huì)、業(yè)務(wù)連續(xù)性管理主管部 門、執(zhí)行部門和保障部門。第四條董事會(huì)是銀行業(yè)務(wù)連續(xù)性管理的最高決策機(jī)構(gòu)

2、，對業(yè)務(wù)連續(xù)性管理 負(fù)最終責(zé)任。主要職責(zé)包括：（一）制定與銀行業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)管理戰(zhàn)略目標(biāo)相一致的業(yè)務(wù)連續(xù)性管理總 體戰(zhàn)略；（二）審批執(zhí)行部門在業(yè)務(wù)連續(xù)性管理過程中的職責(zé)、權(quán)限及報(bào)告制度，審 查執(zhí)行部門在業(yè)務(wù)連續(xù)性管理過程中的履職情況；（三）審批保障部門為業(yè)務(wù)連續(xù)性管理制訂的人員、資金、重要設(shè)施等資源 的總體配備方案；（四）審核業(yè)務(wù)連續(xù)性管理主管部門撰寫的業(yè)務(wù)連續(xù)性管理的評估報(bào)告、內(nèi) 部審計(jì)部門撰寫的業(yè)務(wù)連續(xù)性管理的審計(jì)報(bào)告。第五條風(fēng)險(xiǎn)管理部作為業(yè)務(wù)連續(xù)性管理的主管部門（簡稱業(yè)務(wù)連續(xù)性管理 主管部門），組織、協(xié)調(diào)全行業(yè)務(wù)連續(xù)性管理的日常工作。主要職責(zé)包括：（一）制訂和維護(hù)業(yè)務(wù)連續(xù)性管理辦法；（二

3、）制定風(fēng)險(xiǎn)分析、業(yè)務(wù)影響分析的方法與流程；（三）制訂業(yè)務(wù)連續(xù)性管理的工作計(jì)劃與評估報(bào)告；（四）制訂業(yè)務(wù)連續(xù)性計(jì)劃的演練計(jì)劃與總結(jié)報(bào)告；（五）組織業(yè)務(wù)連續(xù)性計(jì)劃的演練、評估、總結(jié)與改進(jìn)；（六）組織業(yè)務(wù)連續(xù)性管理的培訓(xùn)；（七）指導(dǎo)和監(jiān)督執(zhí)行部門進(jìn)行業(yè)務(wù)連續(xù)性管理活動(dòng)。第六條 執(zhí)行部門包括業(yè)務(wù)部門和信息技術(shù)部，負(fù)責(zé)業(yè)務(wù)連續(xù)性管理相關(guān)工 作的具體實(shí)施。第七條 業(yè)務(wù)部門的主要職責(zé)包括：（一）擬定需要恢復(fù)的重要業(yè)務(wù)及其恢復(fù)目標(biāo)和恢復(fù)策略；負(fù)責(zé)風(fēng)險(xiǎn)評估、 業(yè)務(wù)影響分析，撰寫風(fēng)險(xiǎn)評估報(bào)告和業(yè)務(wù)影響分析報(bào)告；（二）負(fù)責(zé)業(yè)務(wù)部門的業(yè)務(wù)連續(xù)性計(jì)劃的制訂；參與業(yè)務(wù)連續(xù)性計(jì)劃的整體 演練；負(fù)責(zé)本部門業(yè)務(wù)連續(xù)性計(jì)劃的具體

4、演練、評估、總結(jié)與改進(jìn)；（三）參與業(yè)務(wù)連續(xù)性管理的培訓(xùn)；（四）負(fù)責(zé)對本部門業(yè)務(wù)連續(xù)性管理的定期評估、改進(jìn)。第八條信息技術(shù)部的主要職責(zé)包括：（一）保障信息系統(tǒng)的高可用性；根據(jù)業(yè)務(wù)恢復(fù)策略，配置信息系統(tǒng)資源;（二）負(fù)責(zé)信息技術(shù)部業(yè)務(wù)連續(xù)性計(jì)劃的制訂；參與業(yè)務(wù)連續(xù)性計(jì)劃的整體 演練；負(fù)責(zé)本部門業(yè)務(wù)連續(xù)性計(jì)劃的演練、評估、總結(jié)與改進(jìn)；（三）參與業(yè)務(wù)連續(xù)性管理的培訓(xùn)；負(fù)責(zé)對本部門業(yè)務(wù)連續(xù)性管理的定期評 估、改進(jìn)；（四）負(fù)責(zé)信息系統(tǒng)災(zāi)備中心的日常管理、災(zāi)難備份系統(tǒng)的運(yùn)行和維護(hù)；（五）配合業(yè)務(wù)部門進(jìn)行業(yè)務(wù)連續(xù)性管理。第九條 保障部門由行長辦公室、人力資源部、計(jì)劃財(cái)務(wù)部、審計(jì)部、保衛(wèi) 部組成。主要職責(zé)包括：（

5、一）制訂本部門業(yè)務(wù)連續(xù)性計(jì)劃；參與業(yè)務(wù)連續(xù)性計(jì)劃的整體演練；負(fù)責(zé) 本部門業(yè)務(wù)連續(xù)性計(jì)劃的具體演練、評估、總結(jié)與改進(jìn)；（二）為業(yè)務(wù)連續(xù)性管理提供必要的人員、物力、財(cái)力與安全保障；（三）對外聯(lián)絡(luò)部門負(fù)責(zé)危機(jī)處理；（四）參與業(yè)務(wù)連續(xù)性管理的培訓(xùn)；負(fù)責(zé)對本部門業(yè)務(wù)連續(xù)性管理的定期評 估、改進(jìn)；（五）審計(jì)部負(fù)責(zé)業(yè)務(wù)連續(xù)性管理的審計(jì)。第三章業(yè)務(wù)影響分析第十條 業(yè)務(wù)影響分析是指識(shí)別和評估業(yè)務(wù)中斷所造成的影響和損失的過 程。通過分析識(shí)別重要業(yè)務(wù)，明確業(yè)務(wù)連續(xù)性管理重點(diǎn)，并根據(jù)業(yè)務(wù)重要程度實(shí) 現(xiàn)差異化管理，確定各業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)指標(biāo)。第十一條信息技術(shù)部和各業(yè)務(wù)部門應(yīng)綜合考慮以下因素，識(shí)別和確定重要 業(yè)務(wù)，

6、通過平衡業(yè)務(wù)中斷產(chǎn)生的損失與業(yè)務(wù)恢復(fù)成本，結(jié)合業(yè)務(wù)服務(wù)實(shí)時(shí)性、服 務(wù)周期等運(yùn)行特點(diǎn)，確定業(yè)務(wù)恢復(fù)至正常服務(wù)水平的指標(biāo)，即業(yè)務(wù)可容忍恢復(fù)時(shí) 間（業(yè)務(wù)RTO X業(yè)務(wù)恢復(fù)時(shí)間點(diǎn)要求（業(yè)務(wù)RPO），明確業(yè)務(wù)重要程度和恢復(fù) 優(yōu)先級(jí)別，并識(shí)別重要業(yè)務(wù)恢復(fù)所需最小資源。（一）中斷的影響范圍及程度；（二）恢復(fù)成本與中斷損失的關(guān)系；（三）中斷導(dǎo)致的聲譽(yù)風(fēng)險(xiǎn)；（四）法律法規(guī)和監(jiān)管要求。第十二條風(fēng)險(xiǎn)管理部應(yīng)開展風(fēng)險(xiǎn)評估，通過標(biāo)識(shí)重要業(yè)務(wù)運(yùn)行所需關(guān)鍵資 源，分析關(guān)鍵資源面臨的威脅，識(shí)別關(guān)鍵資源本身的脆弱性，分析威脅發(fā)生的可 能性，并定量或定性描述可能造成的損失。第十三條風(fēng)險(xiǎn)評估應(yīng)重點(diǎn)關(guān)注、優(yōu)先評估業(yè)務(wù)運(yùn)行所必要的關(guān)鍵

7、資源，包 括關(guān)鍵的信息系統(tǒng)、IT環(huán)境、數(shù)據(jù)中心資源，關(guān)鍵的業(yè)務(wù)人員，關(guān)鍵的業(yè)務(wù)場 地，關(guān)鍵的業(yè)務(wù)辦公資源，關(guān)鍵的業(yè)務(wù)單據(jù)等。第四章業(yè)務(wù)連續(xù)性計(jì)劃制定與資源建設(shè)第一節(jié)業(yè)務(wù)連續(xù)性計(jì)劃的制訂第十四條信息技術(shù)部和各業(yè)務(wù)部門應(yīng)依據(jù)業(yè)務(wù)恢復(fù)目標(biāo)，制定應(yīng)對不同突發(fā)事件的業(yè)務(wù)連續(xù)性計(jì)劃。第十五條 業(yè)務(wù)連續(xù)性計(jì)劃主要內(nèi)容應(yīng)包括:（一）涉及業(yè)務(wù)連續(xù)性的重要業(yè)務(wù)；（二）重要業(yè)務(wù)執(zhí)行連續(xù)性的優(yōu)先次序；（三）備份資源說明；（四）總體應(yīng)急預(yù)案和各類專項(xiàng)應(yīng)急預(yù)案；第二節(jié)業(yè)務(wù)連續(xù)性資源建設(shè)第十六條保障部門負(fù)責(zé)開展業(yè)務(wù)連續(xù)性計(jì)劃所對應(yīng)的資源建設(shè)，滿足業(yè)務(wù) 恢復(fù)的目標(biāo)要求。資源主要包括：備用IT資源，備用人力資源，備用業(yè)務(wù)和辦

8、公場所資源，備用IT運(yùn)行場所資源，備用通訊資源等。其中，備用IT資源應(yīng)包 括備用數(shù)據(jù)資源、備用數(shù)據(jù)處理系統(tǒng)軟硬件資源、備用網(wǎng)絡(luò)資源、備用存儲(chǔ)資源 等。第五章業(yè)務(wù)連續(xù)性計(jì)劃演練與持續(xù)疝第十七條信息技術(shù)部和各業(yè)務(wù)部門應(yīng)開展業(yè)務(wù)連續(xù)性計(jì)劃的演練，提高全 行應(yīng)急響應(yīng)、組織協(xié)調(diào)及災(zāi)難恢復(fù)的能力，驗(yàn)證業(yè)務(wù)恢復(fù)資源的可用性，確保業(yè) 務(wù)連續(xù)性計(jì)劃的有效性。第十八條對業(yè)務(wù)連續(xù)性計(jì)劃的整個(gè)演練過程中，要進(jìn)行完整記錄對演練的 組織、過程、效果進(jìn)行評估，發(fā)現(xiàn)計(jì)劃與執(zhí)行之間存在的差距，及時(shí)對業(yè)務(wù)連續(xù) 性計(jì)劃進(jìn)行維護(hù)和更新。第六章突發(fā)事件應(yīng)急處置第一節(jié)應(yīng)急處置組織架構(gòu)第十九條 銀行應(yīng)急組織架構(gòu)應(yīng)包括應(yīng)急決策層、應(yīng)急指揮層

9、、應(yīng)急執(zhí)行層 和應(yīng)急保障層。第二十條應(yīng)急決策層主要由高級(jí)管理者組成，決定突發(fā)事件處置的重大事 宜一主要職責(zé)包括：（一）決定是否對外報(bào)告、宣告、通報(bào)發(fā)生突發(fā)事件；（二）審核、批準(zhǔn)對外報(bào)告、宣告、通報(bào)的內(nèi)容并授權(quán)實(shí)施；（三）批準(zhǔn)啟動(dòng)突發(fā)事件的應(yīng)急預(yù)案；（四）批準(zhǔn)啟動(dòng)突發(fā)事件的回退預(yù)案；（五）決定其它應(yīng)急處置過程中的重大事宜。第二十一條 應(yīng)急指揮層由業(yè)務(wù)部門、信息科技部門、保障部門的負(fù)責(zé)人組 成，在決策層的授權(quán)下或在職能范圍內(nèi)指揮和協(xié)調(diào)突發(fā)事件的應(yīng)急處置工作，主 要職責(zé)包括：（一）負(fù)責(zé)突發(fā)事件處置的應(yīng)急指揮和組織協(xié)調(diào)；（二）監(jiān)督執(zhí)行層和保障層實(shí)施應(yīng)急處置工作；（三）在突發(fā)事件處置期間向決策層匯報(bào)事件

10、處置進(jìn)展情況和事態(tài)發(fā)展情況;（四）在應(yīng)急處置完成后，組織執(zhí)行層和保障層對應(yīng)急處置的執(zhí)行情況進(jìn)行 分析、總結(jié)，對總結(jié)報(bào)告進(jìn)行審閱并向決策層報(bào)告。第二十二條 應(yīng)急執(zhí)行層由業(yè)務(wù)連續(xù)性管理執(zhí)行部門組成，實(shí)施具體的應(yīng)急 處置工作，主要職責(zé)包括：（一）實(shí)施處置突發(fā)事件的業(yè)務(wù)與技術(shù)應(yīng)急預(yù)案；（二）向應(yīng)急指揮層報(bào)告應(yīng)急處置進(jìn)展情況和事態(tài)發(fā)展情況。第二十三條 應(yīng)急保障層由業(yè)務(wù)連續(xù)性管理保障部門組成，負(fù)責(zé)突發(fā)事件處 置的應(yīng)急保障工作，主要職責(zé)包括：（一）實(shí)施處置突發(fā)事件的應(yīng)急保障預(yù)案；（二）負(fù)責(zé)報(bào)告和對外通報(bào)；（三）負(fù)責(zé)所需人力、物力和財(cái)力等資源的保障和供應(yīng)；（四）負(fù)責(zé)秩序維護(hù)、安全保障、法律咨詢等工作；（五）負(fù)

11、責(zé)與外部機(jī)構(gòu)的溝通與協(xié)調(diào)；（六）向應(yīng)急指揮層報(bào)告應(yīng)急處置進(jìn)展情況和事態(tài)發(fā)展情況。第二節(jié)監(jiān)測、預(yù)警與報(bào)告第二十四條信息技術(shù)部和各業(yè)務(wù)部門應(yīng)建立業(yè)務(wù)運(yùn)行的監(jiān)控體系，采取技 術(shù)措施對業(yè)務(wù)系統(tǒng)運(yùn)行有關(guān)的環(huán)境及系統(tǒng)的運(yùn)行情況進(jìn)行日常監(jiān)測，建立關(guān)鍵時(shí) 點(diǎn)的預(yù)警機(jī)制，在重大業(yè)務(wù)和社會(huì)活動(dòng)前，或在業(yè)務(wù)功能、資源發(fā)生重大變更前， 進(jìn)行風(fēng)險(xiǎn)預(yù)警。第二十五條 發(fā)生突發(fā)事件后，要及時(shí)進(jìn)行報(bào)告和溝通。（一）應(yīng)及時(shí)按照應(yīng)急預(yù)案報(bào)告路線向行內(nèi)相關(guān)部門、人員報(bào)告；（二）及時(shí)向銀監(jiān)會(huì)或其派出機(jī)構(gòu)進(jìn)行相應(yīng)的報(bào)告；（三）應(yīng)及時(shí)與業(yè)務(wù)運(yùn)行的外包方、業(yè)務(wù)合作方、交易聯(lián)接方進(jìn)行溝通。第三節(jié)事件處置第二十六條信息技術(shù)部和各業(yè)務(wù)部門應(yīng)及時(shí)、有效地對突發(fā)事件作出響應(yīng)， 啟動(dòng)應(yīng)急預(yù)案，實(shí)施處置，以防止事態(tài)升級(jí)，確保業(yè)務(wù)運(yùn)行能夠盡快得到恢復(fù)。第二十七條保障部門應(yīng)做好各項(xiàng)應(yīng)急保障工作，為應(yīng)急處置提供場地、交 通、通訊、資金及其他后勤保障。第四節(jié)災(zāi)難恢復(fù)第二十八條對于可能導(dǎo)致大范圍業(yè)務(wù)運(yùn)行中斷的突發(fā)事件，應(yīng)立即啟動(dòng)災(zāi) 難應(yīng)急預(yù)案，實(shí)施災(zāi)難備份的切換。第二十九條 信息技術(shù)部實(shí)施災(zāi)難備份切換時(shí)，應(yīng)注意以下幾點(diǎn)：（一）對切換后的備份資源先進(jìn)行技術(shù)驗(yàn)證，確保可用性；（二）向業(yè)務(wù)部門告知可能出現(xiàn)的數(shù)據(jù)損失情況；（三）對啟用的備份系統(tǒng)的運(yùn)行情況實(shí)施監(jiān)控，預(yù)警