金融业业务连续性管理资料汇编
国家标准
2013.12.17 国家标准《GB/T 30146-2013 公共安全业务连续性管理体系要求》
2007.06.14 国家标准《GB/T 20988-2007 信息安全技术信息系统灾难恢复规范》
行业标准(银行业)
2013.06.21人行,银监会《关于调整优化银行业金融机构灾难备份中心整体布局的指导意见》
(银监发[2013]156 号)
2013.02.16银监会《银行业金融机构信息科技外包风险监管指引》(银监发[2013]5 号)
2011.12.28银监会办公厅《商业银行业务连续性监管指引》(银监发[2011]104 号)
2010.06.04银监会《银行业金融机构外包风险管理指引》(银监发[2010]44 号)
2010.04.16银监会办公厅《商业银行数据中心监管指引》(银监办发[2010]114 号)
2009.12.29银监会办公厅《银行业金融机构重要信息系统投产及变更管理办法》(银监办发[2009]437 号)2009.03.03银监会《商业银行信息科技风险管理指引》(银监发[2009]19 号)
2008.07.09银监会,证监会《银行、证券跨行业信息系统突发事件应急处置工作指引》(银监发[2008]50 号)2008.04.23银监会办公厅《银行业重要信息系统突发事件应急管理规范(试行)》(银监办发[2008]53 号)2008.02.04中国人民银行《银行业信息系统灾难恢复管理规范》(JR/T 0044—2008)
行业标准(非银行业)
2011.04.14证监会《证券期货经营机构信息系统备份能力标准》(JR/T 0059-2010)
2008.03.21保监会《保险业信息系统灾难恢复管理指引》(保监发[2008]20 号)
2005.01.20民航总局《MH/T 0026-2005 民用航空重要信息系统空难备份与恢复管理规范》
应急管理
2013.10.25国务院办公厅《突发事件应急预案管理办法》(国办发[2013]101 号)
2009.09.25国务院应急办《突发事件应急演练指南》(应急办函[2009]62 号)
2009.12.30银监会《银行业个人理财业务突发事件应急预案》(银监发[2009]115 号)
2009.07.07中国银行业协会《中国银行业营业网点服务突发事件应急处理工作指引》(银协发[2009]51 号)2005.03.02银监会《银行业重大突发事件报告制度》(银监办发[2005]54 号)
2005银监会《银行业突发事件应急预案》(银监发[2005]42 号)
2005《国家金融突发事件应急预案》(待发布)
国际标准
2012.05.15ISO《ISO 22300:2012 Societal security -- Terminology》
2012.06.15ISO《ISO 22301:2012 Societal Security – Business continuity management systems
– Requirements》
2012.12.12ISO《ISO 22313:2012 Societal security -- Business continuity management systems
– Guidance》
2011.11.02ISO《ISO 22320:2011 Societal security -- Emergency management -- Requirements
for incident response》
2013.09.13ISO《ISO 22398:2013 Societal security -- Guidelines for exercises》
2011.03.01ISO《ISO/IEC 27031:2011 Information Technology – Security techniques – Guidelines
for information and communication technology readiness for business continuity》2008.02.01ISO《ISO/IEC 24762:2008 Information Technology – Security technique – Guidelines
for information and communications Technology disaster recovery services》
(信息技术安全技术信息与通讯技术灾难恢复服务指南)
2013NFPA《NFPA 1600 - 2013: Standard On Disaster/Emergency Management and Business
Continuity Programs》
2008FFIEC《Information Technology (IT) Examination Handbook - Business Continuity Planning》国际标准(草案阶段)
ISO 《ISO/FDIS 22315 Societal security -- Mass evacuation -- Guidelines for planning》
ISO 《ISO/NP 22316 Societal security -- Organizational resilience -- Principles and
guidelines》
ISO 《ISO/WD 22317 Societal security -- Business continuity management systems –
Business impact analysis (BIA)》
ISO 《ISO/WD TS 22318 Societal Security -- Business continuity management –
Guidance for supply chain Continuity》
ISO 《ISO/DIS 22322 Societal security -- Emergency management -- Public warning》ISO
《ISO/DIS 22324 Societal security - Emergency management - Colour-coded alert》ISO 《ISO/CD 22325 Societal security -- Emergency management -- Guidelines for
emergency management capability assessment》
ISO 《ISO/DTR 22351 Societal security -- Emergency management -- Message
structure for exchange of Information》
ISO 《ISO/FDIS 22397 Societal security -- Guidelines for establishing partnering
arrangements》
银行业务管理工作总结 2011年银行第一季度工作总结正文开始年初以来,我行坚持以业务经营为中心,以支持农民和农村中小企业发展为主要对象,不断完善各项规章制度,强化内部经营管理,狠抓规章制度的贯彻落实,努力从源头上防范和化解金融风险,确保各项业务活动的健康、稳健、安全运行,取得了显著的内部效益和社会效益,为把庄河建成北黄海地区现代化生态型中心城市做出了积极的贡献。 一、基本情况 (一)贷款情况 截至今年三月末,我行各项贷款余额为55,369万元,比年初增加36,129万元,增加187.78%。其中:农户贷款30,572万元,占55.22%。农村工商业短期保证贷款14,689万元,占26.53%。农村工商业短期抵押质押贷款8,058万元,占14.55%。农村中长期保证贷款500万元,占0.90%。农村中长期抵押贷款1,550万元,占
2.80%。 如皋工行营业部二00三年工作小结二00三年,营业部在上级行和支行党委、行长室的正确领导下,以凝聚人心为动力,以创新服务为抓手,大胆管理,求真务实。圆满完成了支行所赋予的各项任务,对公存款时点 万元,比年初净增 万元,日均存款 万元,储蓄存款净增万元。现就一年来的工作小结一、凝聚人心,铸就一支高素质的队伍思想是行动的指南。人心涣散将会一事无成。营业部主任室一班人深刻认识到这一点,因此,我们将凝聚人心放在突出的位置。1、率先垂范,正人先正己主任室一班人以身作则,
加强学习,做学习典型的倡导者、组织者,更是实践者。为人师表,清正廉洁,以俭养德,以自己品质来影响每一位员工。在工作中始终坚持公平、公正原则、不搞亲疏、不拉帮结派、做到一碗水端平。鼓励员工多提意见,只要是合理的就采纳。充分调动员工参与的积极性。在业绩分配的敏感问题上,实行公开化,增强透明度。确保每位员工看到放心、拿到舒心。2、充分发挥党员的模范带头作用营业部现有员工29名,其中党员13人。党员在群众中的作用在营业部显得尤为重要。营业部党支部围绕支行所下达目标任务进行剖析,统一认识确保每一位党员就是一支标杆,充分发挥基层党支部的战斗堡垒作用。在党员发挥战斗模范作用下,积极培养后备力量,吸收优秀员工向组织靠拢。二、服务创优、运筹制胜千里服务创新是银行工作永恒的主题,只有加强服务才能赢得市场、才能创效益。营业部主任室一班人响应市分行和如皋市政府的号召,积极投入到创建“文明诚信”窗口活动中,将营业部服务水平上升一个新台阶。我部先进做法,南通工行网讯和《如皋日报》已作了相关报道。省行网讯进行。1、抓好员工职业道德教育主任室以创建“文明窗口”为契机,经常性组织员工学习《中国工商银行员工基本素养和服务行为规范》、《中国工商银行营业规范化服务标准》、等规章制度,不断规范员工的服务言行,促使员工严格遵守“八要、九不、十做到”,真正把客户当衣食父母,倡导“用心”服务,把顾客当亲戚、当朋友。员工张焱在柜面服务中,能够标准使用“三声、两站、一微笑”,多次在市分行明查暗访中受到表彰。2、抓好考核激励机制一是建立员工优质文明服务
银行业务连续性和应急处理方案
XX银行业务系统 业务连续性和应急处理方案 总则 业务系统的安全性是从技术角度与业务角度相互配合来保证,主要以防范为主,对于出现的突发事件必须有相应的组织机构来统一解决。为减少我行业务停顿造成的损失,降低重要业务进程和数据重大失效或灾难的影响,应急恢复工作组应制定详尽的应急计划,而且分工明确责任清晰。制定应急计划应分析灾难、安全失效及服务停顿的影响,明确关键设备如重要服务器、网络设备、通信线路以及软件系统的备份恢复措施和每一部分需要恢复的时间。应急计划应该明确针对不同情况的应急处理流程和恢复不同软件硬件的操作规范,而且定期进行实地演练;用作备份的设备应保持设备完好,而且应随时能够提供使用。应急计划应该经我行领导的审批,当业务系统发生变动时应急计划也应进行必要的修改、演练并获得领导审批。 第一章应急反应工作组 1.应急反应工作组的建立原则 应急反应工作组由业务部门与科技部相关人员组成,采取组长负责制。成员由专业技术人员与业务人员组成,应急反应工作
组成员在业务、技术水平上具有足够的能力处理紧急事件。各成员要具有良好的团队精神,每位成员应有明确的责任划分,在紧急事件出现时能够全力配合,服从领导安排、具有协同解决问题的能力。应急反应工作组在人员配备上要充分考虑备份方案,对于关键性岗位采取双人备份策略,以备在紧急情况发生时,保证关键岗位人员能顺利到位。 2.应急反应工作组职能 应急反应工作组职能主要包括根据业务需要确定业务系统的应急策略,并制定相应的应急计划;在事件发生时负责组织相关人员排除故障并恢复系统;平时应负责督促检查应急处理措施的准备落实情况;组织内部人员定期进行应急措施的培训和演练;每年对系统的应急策略和应急计划进行测试和评审,对需要修订的项目提出修改意见报安全领导小组审批。 3.定期修改应急计划与措施 为了适应业务系统业务快速增长的需要,业务系统系统日益复杂化,因此应急反应工作组会定期对应急计划与措施进行审计,检查各种恢复措施,确保能够从硬件、软件、网络、数据各个环节做到完整恢复。对于不断扩充的系统要即时有效地补充、修改应急计划与恢复措施,确保应急计划的可行性与高效性。
文件编号版本号修改号 业务连续性管理程序 BCM8.4-01A0 1.目的 为了防止营运活动的中断,结合应急准备和响应控制程序,将灾难和管理缺失导致的营运中断 情形降低到最低。 2.适用范围 适用于本公司。 3.定义 无 4.职责 4.1 最高管理者(总经理): A、危机第一责任人,负责运营策划、实施、保持和持续改进; B、担任特别重大危机(Ⅰ级)的总指挥; C、重大危机后接受媒体报告。 4.2 质量负责人: A、危机第二责任人,负责各事业部运营执行; B、较大危机(Ⅱ级)及一般性危机(Ⅲ级)的总指挥。 4.3 管理部负责人: A、人才危机进行预测; B、收集各部门危机信息进行分析,启动危机预警; C、危机后人员的安抚及人力的调整; D、危机后对外信息的发布及媒体沟通; E、危机后调查反馈报告给最高管理者提供危机所需的后勤保障。 4.4 市场营销部负责人: A、市场危机进行预测,收集市场信息; B、危机后负责向客户沟通,稳定市场。 4.5 事业部负责人: A、对本事业部存在危机信息的收集并汇报; B、危机后本事业部人员的安抚及人力的调整。 4.6 财务部负责人: A、财务危机进行预测; B、危机后提供危机所需的资金保障。 4.7 采购认证部负责人: A、供方危机进行预测; B、危机后物料的调配。 4.8 BCM工作小组: A、进行业务影响分析,识别关键活动及依赖,通过识别、定性或定量分析组织的业务功能的丧失、中断或损坏所造成的损失,为制定业务持续性策略提供依据; B、进行风险评估,对那些会导致关键业务中断的一系列的风险和威胁进行识别,通过分析其影响程度和发生概率,确定风险等级,进行风险排序并采取应对方案和措施,从而将风险尽可能降到最低;
服务持续性计划 1目的 本计划规定了当发生重大信息安全事件或灾难时,为保护公司业务免受影响,迅速恢复已中断的业务活动,实现公司业务持续发展而实施的管理2实施范围 本计划适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。 3计划的执行 1)启动恢复计划 a)业务持续性和影响的分析由集成部组织,技术部、运维部、客服 部及管理者代表指定的相关部门分别开展以下活动: b)对本部门的信息安全进行风险评估; c)识别出对本部门业务持续性造成严重影响的主要事件,如设备故 障、火灾等; d)分析这些事件一旦发生对公司业务活动造成的影响和损失,以及 恢复业务所需费用等; e)识别关键业务的管理过程; f)可能引起公司业务活动中断的主要事件; g)主要事件对本部门管理的信息系统的影响; h)信息系统故障或中断对公司业务活动的影响; i)关于系统恢复或替换的费用考虑; 2)执行过程 a)成立应急小组,确定应急总指挥和小组成员; b)判断损坏程度,采取最有效的恢复措施; c)获得新的备份数据,证实恢复操作的可行性和必要性; d)准备新的系统运行环境,进行系统恢复; e)完成系统恢复,进入业务测试,确保数据的完整性; f)系统恢复正常,进入系统监控状态。
3)灾难恢复计划表 4应急站点 1)应急站点的要求 a)与现有的主机房有适当的距离; b)足够的空间; c)通讯线路充足; d)有足够的UPS电源支持; e)便于设置为特别受控区域;公司的应急站点首先为XX公司, 其他分公司基本备份以上要求的均可作为应急站点,替换场所由总指挥根据情况选择。 2)应急站点配置 a)备用主机 自备主机:将备用主机安装在应急站点。备用机容量应至少满足15个客户同时进行业务处理;备用主机应该安装与当前运行业务主机同版本的操作系统和数据库系统。 借用主机设备:应急站点根据实际需要,向主机供商借用主机。 b)网络设备 使用原有全套网络设备,原有网络设备不可用时,启用备用网络设备或向网络供货商借用网络设备。 3)应急站点的日常维护 a)操作系统和数据库运行环境必须与生产环境保持兼容;
银行业务管理手册 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
本项目包括六大部分内容业绩管理体系使用手册 业绩评审会培训手册 资金成本和营运成本管理的机会与挑战 信贷风险评估手册 成本收益的改善机会 资金成本管理手册 业绩管理体系使用手册 主要议题 1)关键业绩指标的目标和原则 2)设计关键业绩指标的主要方法和思路 3)一级分行行长关键业绩指标设计 4)分支行行长关键业绩指标设计 5)分理处主任关键业绩指标设计 6)储蓄所主任关键业绩指标设计 1、关键业绩指标的目标和原则 1)目标 对各岗位人才提供足够的激励,促使其达到改进的目标 更有效地在银行内部配置人力资源 保留并发展职员以建立/提供银行技能 2)原则
评估是基于清晰的关键业绩指标,将整个组织集中在几个和经营目标密切相关的业绩变量上,指定既有挑战性,又切实可行的“需要努力才能实现的目标”。 2、设计关键业绩指标的主要方法和思路 1)确定个人关键业绩指标 建立综合关键业绩指标的基本原则 制定个人关键业绩指标的工作流程 分析可倥项目,决定各部门的主要职责 根据不同层面岗位的相应职责,确定侧重面不同的关键业绩指标并赋予不同的权重 2)为各项关键业绩指标设立目标 制定个人业绩目标的方式 制定目标的方法 各种方法的优与劣比较 与内外部因素相关的关键业绩指标的制定 3)衡量业绩,召开业绩评审会 考核业绩方式 业绩报告原则 获取业绩报告的资料来源与方式 制定业绩报告、召开评审会 评审会成功因素、考核业绩不同方式选择、各种方式的优劣分析 4)将业绩与激励机制直接挂钩 实施激励机制的必要条件 不同激励方式的比较
业务连续性的管理制度 精品办公文档 业务连续性管理办法 总则 为了提高公司的风险防范能力,有效地应对各种非计划的业务破坏、降低影响,确保公司各项业务的连续性,保障公司、商户、合作伙伴等相关单位的利益,特制订本办法。 第一章流程规范 一、公司建立业务连续性管理部门及应急领导小组,根据安全级别,实行分级管理,保证在发生重大事故导致业务断时,所有成员能够识别其角色与职责。 二、制订危机管理和灾难恢复等业务连续性管理流程,确保在系统发生故障等导致业务断之时,能在最短时间内、保证数据零丢失的情况下进行快速恢复。 三、在与合作商(服务商)签订书面合同时要充分考虑业务的连续性,明确双方的权利、义务,并制定在意外情况下能顺利实现合作商(服务商)变更,保证合 作商(服务商)不间断的应急预案。 第二章业务断分析 一、业务断成因可分为自然灾害、人为灾害、一般灾害
1、自然灾害主要有:地震、火灾、水灾、台风等,此种灾害无法预判,灾害发生时无法防护,发生频率最低,当灾害发生时,业务一般也只能切换到灾备机房,一旦切换到灾备机房,业务正常运行肯定收到影响。 2、人为灾害主要有:恐怖攻击、黑客攻击(网络攻击、病毒攻击等),此灾害同样无法预判,发生不高,但其黑客攻击可从网络安全、主机安全、系统安全等方面进行防护,加大黑客攻击难度,从而达到黑客攻击防护的目的。 3、一般灾害主要有:网络故障、服务器软硬件故障、应用程序故障等,此灾害可防护,但发生频率最高,应对网络、服务器、应用程序进行相应监控,并建立相应的监控巡检系统,自动监控自动报警,及时发现和处理故障。另核心业务系统应建设主备高可用架构或负载均衡高可用架构,避免单点故障。
XX银行业务连续性管理制度 第一章总则 第一条信息系统与信息科技是保障业务持续运营的重要基础。为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国法》、《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。 第二条本制度所称业务连续性管理是指为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。 第三条本制度所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。 第四条本制度所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括: (一)信息技术故障:信息系统技术故障、配套设施故障; (二)外部服务中断:第三方无法合作或提供服务等; (三)人为破坏:黑客攻击、恐怖袭击等; (四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。 第五条将业务连续性管理纳入全面风险管理体系,建立与本行
战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。 第六条根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。 第七条建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。 第八条业务连续性管理的基本原则是: (一)切实履行社会责任,保护客户合法权益、维护金融秩序; (二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合; (三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益; (四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。 第九条将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。 第二章业务连续性组织架构 第一节日常管理组织架构 第十条董(理)事会是业务连续性管理的决策机构,对业务连续性管理承担最终责任。主要职责包括: (一)审核和批准业务连续性管理战略、政策和程序; (二)审批高级管理层业务连续性管理职责,定期听取高级管理层
银行管理部门工作职责 公司银行部主要工作职责 一、负责贯彻落实总行公司银行业务各项制度和业务流程并监督检查。 二、负责制定分行公司业务发展规划及年度计划、并组织实施。 三、负责通过营销的组织和管理,落实完成总分行下达的公司经营计划,同时对分行公司业务经营情况进行分析和业务进度管理。 四、负责制定分行公司业务管理制度、流程、绩效考核、统计分析、综合考评工作。 五、负责制定分行公司业务市场营销战略,组织、协调、指导和参与对目标客户的开发,努力形成基本客户群;组织、协调战略客户和集团客户开展市场营销活动。 六、负责分行机构业务、公司信贷业务等产品的营销、推广和创新。 七、负责分行战略客户的营销管理工作。 八、负责全行公司网银系统建设的规划组织和电子化平台建设,负责基于网银系统的产品推广、管理及营销工作。 九、负责全辖供应链金融业务推动及营销支持,业务管理、风险控制,业务操作及贷后监督、监控企业管理等。 十、负责公司业务系统的开发需求、开发协调、推广实施以及有关管理工作。
十一、负责建立公司银行业务主线的客户经理制度;负责公司业务客户经理和产品经理队伍的管理、考核和业务培训工作。 十二、完成分行领导和上级行交办的其它工作。 零售银行部主要工作职责 一、负责贯彻落实总行零售银行业务各项制度和业务流程并监督检查。 二、负责制定分行零售银行业务发展规划及年度计划、并组织实施。 三、负责通过营销的组织和管理,落实完成总分行下达的零售业务经营计划,同时对零售业务经营情况进行分析和业务进度管理 四、负责制定分行零售银行业务管理制度、工作流程、零售银行业务考核、统计分析、综合考评。 五、负责各类零售业务产品、银行卡业务和零售网上银行业务的客户开发及产品组织营销。 六、负责分行零售银行业务支持系统的开发需求、开发协调及管理工作,并向全行推广实施。 七、负责授权零售业务授信产品的开发与设计。 八、负责辖零售授信调查及贷后管理工作。 九、负责建立零售银行业务主线的客户经理制度,负责零售业务产品经理、客户经理的管理、考核、业务培训工作。 十、负责制定零售网上银行、自助银行、银行、移动银行等零售银行业务电子渠道建设、组织实施并进行日常管理
业务连续性管理办法 总则 为了提高公司的风险防范能力,有效地应对各种非计划的业务破坏、降低影响,确保公司各项业务的连续性,保障公司、商户、合作伙伴等相关单位的利益,特制订本办法。 第一章流程规范 一、公司建立业务连续性管理部门及应急领导小组,根据安全级别,实行分级管理,保证在发生重大事故导致业务中断时,所有成员能够识别其角色与职责。 二、制订危机管理和灾难恢复等业务连续性管理流程,确保在系统发生故障等导致业务中断之时,能在最短时间内、保证数据零丢失的情况下进行快速恢复。 三、在与合作商(服务商)签订书面合同时要充分考虑业务的连续性,明确双方的权利、义务,并制定在意外情况下能顺利实现合作商(服务商)变更,保证合作商(服务商)不间断的应急预案。 第二章业务中断分析 一、业务中断成因可分为自然灾害、人为灾害、一般灾害 1、自然灾害主要有:地震、火灾、水灾、台风等,此种灾害无法预判,灾害发生时无法防护,发生频率最低,当灾害发生时,业务一般也只能切换到灾备机房,一旦切换到灾备机房,业务正常运行肯定收到影响。 2、人为灾害主要有:恐怖攻击、黑客攻击(网络攻击、病毒攻击等),此灾害同样无法预判,发生不高,但其中黑客攻击可从网络安全、主机安全、系统安全等方面进行防护,加大黑客攻击难度,从而达到黑客攻击防护的目的。 3、一般灾害主要有:网络故障、服务器软硬件故障、应用程序故障等,此灾害可防护,但发生频率最高,应对网络、服务器、应用程序进行相应监控,并建立相应的监控巡检系统,自动监控自动报警,及时发现和处理故障。另核心业务系统应建设主备高可用架构或
负载均衡高可用架构,避免单点故障。 二、业务中断的企业影响 1、企业收入:企业直接损失、商户赔偿金、企业未来收入损失; 2、生产效率:参与人员人数和人员处理时间; 3、声誉损失:影响企业声誉,降低了商户和合作伙伴对企业的信任,影响到后期的企业市场发展和业务合作,扩大了竞争对手优势 4、财务业绩:影响到企业的信用、现金流甚至违规罚款等 第三章技术保障 一、建立业务连续性管理制度,目标是尽可能快地恢复服务至服务级别协议规定的水准,尽量减少事故对业务运营的不利影响,以确保最好的服务质量和可用性级别。 二、应急系统的技术体系,主要是建立预防为主的计算机风险防范体系,将风险的预警融于日常工作中,包括:硬件设备的冗余备份、网络线路的冗余备份、数据备份、网络监控、系统监控。 三、维护人员应根据维护作业计划,对所维护管理的设备定期进行预防性巡视检查,机房和外线维护人员在巡视中应认真负责,及时发现问题,重点注意处在环境恶劣下、存在潜在质量故障的设备,巡视检查要认真进行记录。 第四章风险管理 一、深入分析可能造成业务中断的因素,并对其应采取相应的控制措施。 二、根据业务环境的变化,对原有风险管理制度、规则和程序进行必要的和适当的修正,保证安全措施的持续有效和及时更新。 三、对公司的关键岗位和关键人员,应实行轮岗和强制性休假制度,建立严格的内部监督管理制度。 四、系统采用适当的加密技术和措施,保证交易数据传输的安全性与保密性,以及所传输
XX银行业务系统 业务连续性和应急处理方案 总则 业务系统的安全性是从技术角度与业务角度相互配合来保证,主要以防范为主,对于出现的突发事件必须有相应的组织机构来统一解决。为减少我行业务停顿造成的损失,降低重要业务进程和数据重大失效或灾难的影响,应急恢复工作组应制定详尽的应急计划,并且分工明确责任清晰。制定应急计划应分析灾难、安全失效及服务停顿的影响,明确关键设备如重要服务器、网络设备、通信线路以及软件系统的备份恢复措施和每一部分需要恢复的时间。应急计划应该明确针对不同情况的应急处理流程和恢复不同软件硬件的操作规范,并且定期进行实地演练;用作备份的设备应保持设备完好,而且应随时可以提供使用。应急计划应该经我行领导的审批,当业务系统发生变动时应急计划也应进行必要的修改、演练并获得领导审批。 第一章应急反应工作组 1.应急反应工作组的建立原则 应急反应工作组由业务部门与科技部相关人员组成,采取组长负责制。成员由专业技术人员与业务人员组成,应急反应工作组成员在业务、技术水平上具有足够的能力处理紧急事件。各成员要具有良好
的团队精神,每位成员应有明确的责任划分,在紧急事件出现时能够全力配合,服从领导安排、具有协同解决问题的能力。应急反应工作组在人员配备上要充分考虑备份方案,对于关键性岗位采取双人备份策略,以备在紧急情况发生时,保证关键岗位人员能顺利到位。 2.应急反应工作组职能 应急反应工作组职能主要包括根据业务需要确定业务系统的应急策略,并制定相应的应急计划;在事件发生时负责组织相关人员排除故障并恢复系统;平时应负责督促检查应急处理措施的准备落实情况;组织内部人员定期进行应急措施的培训和演练;每年对系统的应急策略和应急计划进行测试和评审,对需要修订的项目提出修改意见报安全领导小组审批。 3.定期修改应急计划与措施 为了适应业务系统业务快速增长的需要,业务系统系统日益复杂化,因此应急反应工作组会定期对应急计划与措施进行审计,检查各种恢复措施,确保能够从硬件、软件、网络、数据各个环节做到完整恢复。对于不断扩充的系统要即时有效地补充、修改应急计划与恢复措施,确保应急计划的可行性与高效性。 4.注重业务连续性管理的过程 根据业务系统交易及开户等重要业务进程,对围绕这些业务进程的软件硬件设备分出先后确定重点,如Web、LDAP、我行数据库等服
业务连续性管理程序 (ISO27001-2013) 1、目的 防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保关键业务活能及时恢复。 2、适用范围 适用于公司信息系统遭受灾难事故后的处理。 3、术语和定义 ISO/IEC27001:2013 信息安全管理体系要求 ISO/IEC27002:2017 信息安全管理实用规则 4、职责和权限 信息安全领导办公室指导本程序的执行,并对执行情况进行监督检查; 信息安全领导办公室立即组织力量对事故进行风险评估,评价业务中断的严重程度; XXX部在信息安全领导办公室的组织下,负责信息系统的操作系统、各类数据、网络等恢复,通讯设备的配置等工作。 5、主要活动 5.1预防业务中断
定期进行数据备份,通信线路、电源等日常检查是预防公司业务中断的主要方式。 在日常业务活动中,采取如下预防保护控制措施: ●监督 ●访问控制 ●身份认证 ●防病毒 ●过滤 ●入侵检测系统 5.2确定关键业务及其优先级 XXX部负责识别关键业务活动,并按其重要性分为不同的优先级,关键业务的优先级也是中断后的恢复优先级。 关于业务活动优先级如下:(以下均为举例) 最高:提供信息资源共享服务的XXX系统(服务器) 提供信息安全防护的补丁分发/防毒软件服务系统 各开发部门源代码/重要文档管理及存储系统 高:关键开发/测试环境系统 提供公司E-mail服务的Mail系统
质量管理服务系统 低:提供内部Web访问的系统 针对不同的关键业务活动,制定业务恢复方案,并指定责任人和业务恢复时间。详见《XXX关键业务恢复计划》。 5.3关键业务恢复计划测试 XXX部每年一次,对《XXX关键业务恢复计划》进行测试,并对其保持或改进。 5.4实施关键业务恢复计划 5.4.1 事件响应 XXX部负责对中断业务的事故做出迅速反应,并执行《信息安全事件管理程序》。 5.4.2 业务恢复 XXX部负责执行《XXX关键业务恢复计划》,在规定的时间范围内恢复被中断的业务。使其继续正常运行。 6、相关文件和记录 关键业务恢复计划 信息安全事件管理程序 备份管理程序
行业务连续性管理办法 第一章总则 第一条为加强银行风险管理,提高业务连续性管理能力,降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响,快速恢复被中断业务,特制定本办法。 第二条本办法所称突发事件是指因下述原因,导致银行重要业务异常或中断,产生不良影响或资金损失的事件,包括: (一)信息系统各类技术故障和配套设施故障; (二)自然灾害(如火灾、雷击、海啸等); (三)外部影响(如发生黑客攻击、第三方无法提供合作或服务等)。 第二章组织架构 第三条银行业务连续性管理组织架构包括董事会、业务连续性管理主管部门、执行部门和保障部门。 第四条董事会是银行业务连续性管理的最高决策机构,对业务连续性管理负最终责任。主要职责包括: (一)制定与银行业务发展和风险管理战略目标相一致的业务连续性管理总体战略; (二)审批执行部门在业务连续性管理过程中的职责、权限及报告制度,审查执行部门在业务连续性管理过程中的履职情况; (三)审批保障部门为业务连续性管理制订的人员、资金、重要设施等资源的总体配备方案; (四)审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内部审计部门撰写的业务连续性管理的审计报告。 第五条风险管理部作为业务连续性管理的主管部门(简称业务连续性管理主管部门),组织、协调全行业务连续性管理的日常工作。主要职责包括:(一)制订和维护业务连续性管理办法; (二)制定风险分析、业务影响分析的方法与流程; (三)制订业务连续性管理的工作计划与评估报告; (四)制订业务连续性计划的演练计划与总结报告; (五)组织业务连续性计划的演练、评估、总结与改进; (六)组织业务连续性管理的培训; (七)指导和监督执行部门进行业务连续性管理活动。 第六条执行部门包括业务部门和信息技术部,负责业务连续性管理相关工作的具体实施。 第七条业务部门的主要职责包括: (一)拟定需要恢复的重要业务及其恢复目标和恢复策略;负责风险评估、业务影响分析,撰写风险评估报告和业务影响分析报告; (二)负责业务部门的业务连续性计划的制订;参与业务连续性计划的整体演练;负责本部门业务连续性计划的具体演练、评估、总结与改进; (三)参与业务连续性管理的培训; (四)负责对本部门业务连续性管理的定期评估、改进。 第八条信息技术部的主要职责包括: (一)保障信息系统的高可用性;根据业务恢复策略,配置信息系统资源;
业务连续性管理规 范 1 2020年4月19日
1. 目的 为了保证在有可能出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏等特别事件的情况下满足客户的交付需求。 2. 范围 适用于在出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏、等特别事件的情况。 3. 引用文件 3.1 《人力资源管理程序》 4. 定义 特别事件:地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏等其它突发性事件。 5. 职责和权限 5.1 企管部:负责制订和修改本应急计划,并对灾害风险进行评估; 5.2 总经理:负责组织及实施应急计划。 5.3 工厂负责人:负责协调、组织及实施应急计划,当总经理不在时,行使总 经理职权。
5.4 生产部:负责突发性事件发生后现场物料、机器、工具进行整理并清洁干 净。 5.5 技术部:负责抢修设备,防止突发性事件扩大,降低突发性事件损失,使 发生突发性事件 后生产能够尽快恢复。 5.6 办公室:负责突发事件发生后人员及财产的安全;负责维持突发性事件发 生后现场秩序; 负责突发性事件中各项指令的传达及反馈突发性事件信息;负责内/外联 络,小组成员之 间的信息沟通;负责IT系统恢复。 5.7 销售服务中心:负责突发性事件发生后受影响订单与客户沟通。 5.8 采购部:负责突发性事件发生后恢复生产所需要的物料采购、外协加工。 5.9 质控部:负责突发性事件发生后受影响物料,在制品和成品的检验和判定。 5.10 物控部:负责统计突发性事件发生后受影响订单,调整生产计划和物料需 求计划并跟进计划的实施。负责统计突发性事件发生后仓库受影响的物资,通知质控部进行检验,根据质控部检验结果申请物资报废。 5.11 临时事故应急指挥小组:组织人员清理现场,评估灾后损失,协调全厂恢 复计划的具体实施,督促各部门恢复生产进度,解决各部门在恢复生产中遇到的实际困难。
商业银行业务连续性管理办法规定
商业银行业务连续性管理暂行办法 第一章总则 第一条为加强商业银行业务连续性管理,降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。 第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。 第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对农信社产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。 第四条本办法所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括: (一)信息技术故障:信息系统技术故障、配套设施故
障; (二)外部服务中断:第三方无法合作或提供服务等; (三)人为破坏:黑客攻击、恐怖袭击等; (四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。 第五条农信社应将业务连续性管理纳入全面风险管理 体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。 第六条农信社应根据业务发展的总体目标、经营规模 以及风险控制的基本策略和风险偏好,确定适当的业务 连续性管理战略。 第七条农信社应确定重要业务及其恢复目标,制定业 务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。 第八条业务连续性管理的基本原则是: (一)切实履行社会责任,保护客户合法权益、维护 金融秩序; (二)坚持预防为主,建立预防、预警机制,将日常 管理与应急处置有效结合; (三)坚持以人为本,重点保障人员安全;实施差异 化管理,保障重要业务有序恢复;兼顾业务连续性管理
第六章商业银行业务与管理 第一节商业银行概述 一、商业银行的起源和发展 商业银行是以追求最大利润为目标,能向客户提供多种金融服务的特殊的金融企业。盈利是商业银行产生和经营的基本前提,也是商业银行发展的内在动力。银行是由货币经营业演变而来的,而历史上的货币经营又是在货币兑换业的基础上逐渐形成的,可以说,货币经营业是银行的先驱。货币经营业与银行的主要区别在于有无信用活动,银行是专门经营货币信用业务的金融机构。 近代银行的出现是在中世纪的欧洲,意大利是银行最早产生的发源地,英文Bank 来自于意大利文Banco 一词,原意是指柜台、长凳。早在十二世纪,意大利一些城市的货币经营业就相当发达,但货币经营商的工作条件却比较简陋,只凭借一把长凳和一个柜台便可营业。起初一部分商人从事货币的兑换业务,就是把不同国家、不同地区的铸币兑换成金块或银块,或兑换成本国铸币和本地区铸币。以后,又开始为各种商人办理货币保管业务,同时,受商人委托,办理货币收付、结算、汇兑等业务。这就是货币经营业的主要业务活动,也是早期银行产生的基础。随着货币经营业务的扩大,在货币经营者手中聚积起大量货币,其中有一部分并不需要立即支付,于是他们就将这部分货币贷出去赚取利息。同时,社会上一部分人将货币存放在货币经营者手中,以便带来利息收入。这样,在货币经营业务基础上产生的货币存贷业务的发展,使货币经营业转变为早期的银行。这样商业银行算是出现了。意大利于1171年设立的威尼斯银行,1407年设立的热那亚那银行以及此后相继成立的一些银行,主要从事存、放款业务,大多具有高利贷性质。从17世纪开始,银行这一新型行业的金融机构开始由意大利传播到欧洲其它国家,在英国出现了由金匠业等演变为银行业的过程,1694年英格兰银行是历史上第一家股份制银行,该行一开始就把向工商企业的贷款利率定为 4.5%-6% ,而当时的高利贷利率高达20% -30%,英格兰银行成立后,很快地动摇了高利贷银行在信用领域的地位,也因此成为现代银行业产生的标志。欧洲其他国家也先后按英格兰银行的组建模式建立了自己的现代商业银行。商业银行逐渐在世界范围内得到普及。 尽管世界各国经济发展水平不同,其商业银行产生与发展的条件不同,但商业银行的发展基本上是遵循两种传统。 一是英国式融通短期资金传统。英美等国商业银行的贷款业务至今仍以短期自偿性商业贷款为主。这种传统的优点是能够较好地保持银行的安全性和清偿力;缺点是银行
银行基本业务管理系统 一套完善的银行存取款系统,不仅可以大大提高业务的办理效率,而且可以根据客户的需求快速完成新业务的开发和重组,改善银行的服务品质。 银行是与生活紧密相关的一个机构,银行提供了存款、取款、转账等业务。在银行 立账户的人或机构通常被称为银行的客户。一个客户可以在银行开多个账户,客户可 以存钱到账户中,也可以从自己的账户中取钱,还可以将存款从一个账户转到另一个 账户。客户还可以随时查询自己账户的情况,并查询以前所进行的存款、取款等交易 记录。客户也有权利要求关闭账户。 在对上述银行系统的基本需求进行分析后, 1.可知这个简化的银行系统至少应该具有如下功能: ●一个银行可以有多个账户 ●一个银行可以有多个客户 ●一个客户可以持有多个账户 ●一个账户可以有多个持有者 ●可以开户 ●可以注销账户 ●可以取钱 ●可以存钱 ●可以在银行内的账户之间转账 2.银行系统的参与者: ●银行职员: 描述:银行职员可以创建、删除账户,并修改账户信息。 ●客户: 描述:客户可以存钱、取钱,还可以在不同的账户之间转账。 ●银行: 描述:客户可以在银行中设立或关闭账户。 ●ATM机: ●描述:客户可以在ATM机上进行存、取款等功能。 3.银行系统的简单业务: ●登陆: 描述:提供验证用户身份的功能。 ●存款: 描述:提供了存钱到账户的功能。 ●取款: 描述:提供从账户中取钱的功能。 ●管理账户: 描述:提供了创建、删除账户,以及修改账户信息的功能。 ●在银行内转账: 描述:提供了在属于同一银行之间的转账的功能。
4.银行业务具体流程: 当客户想存取款、转账时,要向银行职员提交所需款单,系统启动。 登录: (1)系统提示银行职员输入用户姓名、用户的id号、账号。 (2)银行职员输入相关信息后提交,系统确认账户是否存在并有效(当用户名、用户id与账户的户主信息一致,且账户处于非冻结状态时,账户有效) (3)系统建立存款事件记录,并更新账户的相关信息。 (4)账户不存在或无效,显示提示信息,用户可以重新输入或终止该流程。 取款: (1)系统确认账户后,在查看账户中的存款是否足够支付索取款项; (2)金额足够,则显示提示信息,取款,并更新账户信息; (3)金额不足,则显示提示信息,用户可以重新输入取款金额或终止该过程。 存款: (1)系统确认账户后,提示用户输入所存款项的金额; (2)更新账户的相关信息。 转账: (1)系统确认账户后,系统提示银行职员输入转账的账号和金额; (2)系统确认转入账户是否存在和有效,并确认资金转出账户的金额是非足够支付所转款项。 管理账户: 之创建账户: (1)系统要求银行职员输入客户信息(姓名、ID号、地址等) (2)银行职员输入所要求的信息后提交; (3)系统为用户建立账户; (4)讲账户信息存储到数据库中。 之删除账户: (1)系统提示银行职员输入所需删除的账号; (2)银行职员输入后提交; (3)系统检索账户信息,银行职员确认删除该账户。 之修改账户: (1)系统提示银行职员输入所需修改的账号; (2)银行职员输入后提交; (3)系统检索账户信息,若账户存在,则银行职员修改该账户信息,修改完毕后提交:若账户不存在或无效,则银行职员重新输入或取消这次操作。 ATM机:首先银行储户将ATM卡插入读卡机,读卡机将信息传给客户管理,客户管理提出查询密码,显示部分将输入密码请求显示出来……(其他步骤类似以上过程) 业务流程图是一种描述系统内各单位、人员之间业务关系、作业顺序和管理信息流向的图表,利用它可以帮助分析人员找出业务流程中的不合理流向,它是物理模型。业务流程图主要是描述业务走向,比如说病人吧,病人首先要去挂号,然后在到医生那里看病开药,然后再到药房领药,然后回家。业务流程图描述的是完整的业务流程,以业务处理过程为中心,
XXXXXXXXX有限责任公司业务持续性管理程序 [XXXX-B-39] V1.0
变更履历
1 目的 确保组织的业务能够持续稳定的进行,最低限度的降低信息安全事件对业务的影响。 2 范围 组织的业务运作地点包括:苏州工业园区金鸡湖大道1355号国际科技园二期D501。 整个业务持续性管理体系(BCMS)的覆盖范围是: a)属于组织的一切受知识产权保护的信息; b)在组织业务运作地点使用,属于组织客户的一切受知识产权保护的信息; c)属于组织的一切物理实体,包括建筑物、办公室以及其它的一切设施与设备。 3 职责 3.1 综合部 审批业务连续性计划,分配相关资源,确保业务连续性活动顺利进行。 3.2 各相关部门 配合综合部负责相关业务持续性计划的实施。 4 相关文件 《信息安全事件管理程序》 5 程序 5.1 业务持续性和影响的分析 由综合部负责组织识别对业务持续性造成严重影响的主要事件,如信息系统设备故障、自然灾害等,分析一旦这些事件发生会对业务活动造成的影响和损失,以及统计恢复业务所需费用等。 业务持续性和影响分析应包括以下内容: a)识别关键业务的管理过程; b)识别可能引起业务活动中断的主要事件; c)分析主要事件对信息系统和业务活动造成的影响;
d)考虑关于系统恢复或替换的需求。 5.2 《业务持续性管理计划》(简称BCP)的编制与实施 综合部负责确定影响业务持续性的关键功能或业务,编制《业务持续性管理计划》。 《业务持续性管理计划》应包括以下方面的内容: a)计划实施所涉及的部门/人员的职责及接口关系的描述; b)业务中断的快速报告程序及要求; c)业务中断的恢复程序及方法; d)业务中断恢复的时限要求; e)保持本组织业务持续运作应采取的应急措施与备用措施; f)必要的技术支持及资源要求。 重要系统一旦受到重大影响或中断后,综合部及相关部门应立即执行《业务持续性管理计划》,对信息系统采取应急措施,并进行恢复,确保业务活动的持续运行。同时,应按照《信息安全事件管理程序》做好事故处理记录,记录内容应包括: a)对业务中断原因的调查分析; b)业务中断造成损失的统计; c)采取的纠正措施; d)应吸取经验教训及预防措施等。 5.3 业务持续性计划的测试与评审 每年年末由综合部组织相关部门对《业务持续性管理计划》进行测试,以判断计划的可行性和有效性。测试可采用以下方法进行: a)对已发生过的业务中断及恢复措施实例进行讨论; b)组织相关部门进行业务中断及恢复的模拟演练; c)采用技术手段对系统运行及中断恢复的相关参数进行测量; d)由外部服务供应商提供服务和产品测试,确保所提供的外部服务和产品符合合同要 求。 测试完成后综合部负责编制《业务持续性管理计划测试报告》,并对计划的适用性和有效性进行评审,形成《业务持续性管理计划评审报告》。 根据《业务持续性管理计划评审报告》的要求,决定是否对《业务持续性管理计划》进行修改。 6 记录 《业务连续性影响分析报告》 《业务连续性管理战略计划》 《业务连续性计划实施方案》 《业务连续性计划实施方案测试报告》 《业务连续性实施评价报告》
业务连续性管理计划 1. 目的 为了保证在有可能出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏等特别事件的情况下满足客户的交付需求。 2. 范围 适用于在出现地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏、等特别事件的情况。 3. 引用文件 3.1 《人力资源管理程序》 4. 定义 特别事件:地震、台风、洪水、泥石流、火灾、化学品灾害、公用事业的供应中断、劳动力短缺,关键设备故障、售后退货和IT系统损坏等其它突发性事件。 5. 职责和权限 5.1 企管部:负责制订和修改本应急计划,并对灾害风险进行评估; 5.2 总经理:负责组织及实施应急计划。 5.3 工厂负责人:负责协调、组织及实施应急计划,当总经理不在时,行使总经理职权。 5.4 生产部:负责突发性事件发生后现场物料、机器、工具进行整理并清洁干净。 5.5 技术部:负责抢修设备,防止突发性事件扩大,降低突发性事件损失,使发生突发性事件 后生产能够尽快恢复。 5.6 办公室:负责突发事件发生后人员及财产的安全;负责维持突发性事件发生后现场秩序; 负责突发性事件中各项指令的传达及反馈突发性事件信息;负责内/外联络,小组成员之间的信息沟通;负责IT系统恢复。 5.7 销售服务中心:负责突发性事件发生后受影响订单与客户沟通。 5.8 采购部:负责突发性事件发生后恢复生产所需要的物料采购、外协加工。 5.9 质控部:负责突发性事件发生后受影响物料,在制品和成品的检验和判定。 5.10 物控部:负责统计突发性事件发生后受影响订单,调整生产计划和物料需求计划并跟进计 划的实施。负责统计突发性事件发生后仓库受影响的物资,通知质控部进行检验,根据质控部检验结果申请物资报废。 5.11 临时事故应急指挥小组:组织人员清理现场,评估灾后损失,协调全厂恢复计划的具体实施,督促各部门恢复生产进度,解决各部门在恢复生产中遇到的实际困难。