[实用参考]商业银行业务连续性管理办法.docx

  • 格式:docx
  • 大小:32.12 KB
  • 文档页数:18

优质参考文档 优质参考文档 商业银行业务连续性管理暂行办法 第一章 总 则 第一条为加强商业银行业务连续性管理,降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,根据银监会《商业银行信息科技风险管理指引》和《商业银行业务连续性监管指引》以及相关法律法规,制定本办法。 第二条本办法所称业务连续性管理是指农信社为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。 第三条本办法所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对农信社产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。 第四条本办法所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括: (一)信息技术故障:信息系统技术故障、配套设施故 优质参考文档

优质参考文档 障; (二)外部服务中断:第三方无法合作或提供服务等;

(三)人为破坏:黑客攻击、恐怖袭击等; (四)自然灾害:火灾、雷击、海啸、地震、重大疫情 等。 第五条农信社应将业务连续性管理纳入全面风险管理

体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。 第六条农信社应根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。 第七条农信社应确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。 第八条业务连续性管理的基本原则是:

(一)切实履行社会责任,保护客户合法权益、维护金融秩序; (二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合; (三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与 优质参考文档

优质参考文档 效益; (四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。 第九条农信社应将业务连续性管理融入到企业文化中,使其成为日常运营管理的有机组成部分。 第二章业务连续性组织架构第一节日常管理组织架构 第十条GGG联社理事会和高级管理层是农信社业务连续性管理的决策机构,对业务连续性管理承担最终责任。主要职责包括: (一)审核和批准业务连续性管理战略、政策和程序;

(二)审定并定期审查和监督执行业务连续性管理政策、程序; (三)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行; (四)确保配置足够的资源保障业务连续性管理的实施;

(五)审批业务连续性管理年度审计报告。 第十一条GGG联社信息科技管理部的业务连续性管理职责是: (一)制订业务连续性管理政策和基本管理制度并报理 优质参考文档

优质参考文档 事会和高级管理层审定; (二)监督检查信息系统连续性管理成效; (三)履行向监管部门的报告职责等。 第十二条GGG联社数据中心的业务连续性管理职责是: (一)确定重要信息系统恢复目标和恢复策略; (二)负责信息技术应急响应与恢复,对重要业务系统制定专项技术保障方案; (三)做好信息系统营运监测和维护;

(四)开展业务连续性计划的演练、评估与改进; (五)执行运营中断事件应急处置。 第十三条GGG联社产品研发中心应制定技术支持方案,验证重要业务系统灾备环境和应急切换流程的有效性。 第十四条GGG联社运营服务部、业务管理部、计划财务部、电子银行中心等业务管理部门负责对各自分管的业务进行风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,制定业务连续性计划和业务验证方案,负责业务条线重要业务应急响应与恢复。 第十G五条GGG联社办公室、人力资源部、发展研究部、计划财务部、合规与风险管理部、安全保卫部等作为业务连续性管理保障部门,为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。其中,发展研究部等舆情管理部门应制定对外媒体公关策略,制定和执行对外媒体公关 优质参考文档 优质参考文档 的应急预案。 第十六条GGG联社各部门负责本部门业务连续性管理工作,制定相关规章制度,制定和执行本部门业务连续性计划,开展本部门业务连续性计划的演练、评估与改进工作。 第十七条GGG联社审计监察部负责并定期开展全行业务连续性管理审计工作。 第二节应急处置组织架构 第十八条农信社组建应急团队,在发生运营中断事件时,做到及时实施应急处置工作。应急团队包括应急领导小组、应急执行小组、支持保障小组。 第十九条GGG联社信息安全保障委员会作为应急领导小组,主要职责是: (一)领导和指挥运营中断事件处置工作;

(二)最终认定运营中断事件等级,决定是否启动处置预案; (三)对运营中断事件重大处置措施进行决策;

(四)协调跨部门共同开展的处置工作重大事项; (五)对运营中断事件处置的对外信息发布进行决策。第二十条应急执行小组由GGG联社数据中心、运营服 务部、业务管理部、计划财务部、电子银行中心、产品研发中心等部门及市州农商行信息科技部门组成,主要职责是: 优质参考文档

优质参考文档 (一)对运营中断事件进行业务条线与信息技术的应急 处置; (二)向应急领导小组报告运营中断事件、重大处置事项及事件进展情况。 第二十一条支持保障小组由GGG联社办公室、人力资源部、发展研究部、计划财务部、合规与风险管理部、安全保卫部等部门组成,主要职责是: (一)应急处置所需人力、物力和财力等资源的保障;

(二)应急处置对外报告、宣告、通报和沟通与协调; (三)对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。 第三章业务影响分析 第二十二条GGG联社业务管理部门应通过业务影响分析识别和评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标。应至少每三年开展一次全面业务影响分析,并形成业务影响分析报告。 第二十三条GGG联社业务管理部门应识别重要业务,明确重要业务归口管理部门、所需关键资源及对应的信息系统,识别重要业务的相互依赖关系,分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损 优质参考文档

优质参考文档 失。 第二十四条GGG联社业务管理部门应综合分析重要业

务运营中断可能产生的损失与业务恢复成本,结合业务服务时效性、服务周期等运行特点,确定重要业务恢复时间目标 (业务RTO)、业务恢复点目标(业务RPO),原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。 第二十G五条GGG联社业务管理部门应明确业务重要程度和恢复优先级别,并识别重要业务恢复所需的必要资源。 第二十六条GGG联社数据中心应通过分析业务与信息系统的对应关系、信息系统之间的依赖关系,根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO),明确信息系统重要程度和恢复优先级别,并识别信息系统恢复所需的必要资源。 第二十七条GGG联社数据中心及相关部门应开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。关键资源应包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。 第二十八条GGG联社数据中心及相关部门应根据风险 优质参考文档

优质参考文档 敞口制定降低、缓释、转移等应对策略。依据防范或控制风 险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施。 第二十九条GGG联社业务管理部门应根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。 第三十条GGG联社数据中心及相关部门应依据业务恢复策略,确定灾难恢复资源获取方式和灾难恢复等级。 第四章业务连续性计划与资源建设第一节业务连续性计划

第三十一条GGG联社业务管理部门应依据业务恢复目标,制定覆盖所有重要业务的业务连续性计划。 第三十二条业务连续性计划的主要内容应包括:

(一)重要业务及关联关系、业务恢复优先次序; (二)重要业务运营所需关键资源; (三)应急指挥和危机通讯程序; (四)各类预案以及预案维护、管理要求; (五)残余风险。 第三十三条GGG联社业务管理部门应制定总体应急预案。总体应急预案是应对运营中断事件的总体方案,包括总