《金融业-业务连续性监管指引》由会员分享,可在线阅读,更多相关《金融业-业务连续性监管指引(20页珍藏版)》请在金锄头文库上搜索。
1、第一章总则第一条信息系统与信息科技是保障商业银行业务持续运营 的重要基础。为降低或消除因信息系统服务异常导致重要业务运 营中断的影响,快速恢复被中断业务,维护公众信心和银行业正 常运营秩序,提高商业银行业务连续性管理能力,根据中华人 民共和国银行业监督管理法、中华人民共和国商业银行法 以及相关法律法规,制定本指引。第二条本指引所称业务连续性管理是指商业银行为有效应 对重要业务运营中断事件,建设应急响应、恢复机制和管理能力 框架,保障重要业务持续运营的一整套管理过程,包括策略、组 织架构、方法、标准和程序。第三条本指引所称重要业务是指面向客户、涉及账务处理、 时效性要求较高的银行业务,其运营服务
2、中断会对商业银行产生 较大经济损失或声誉影响,或对公民、法人和其他组织的权益、 社会秩序和公共利益、国家安全造成严重影响的业务。第四条本指引所称重要业务运营中断事件(以下简称运营中 断事件)是指因下述原因导致信息系统服务异常、重要业务停止 运营的事件。主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。第五条商业银行应当将业务连续性管理纳入全面风险管理 体系,建立与本机构战略目标相适应的业务连续性管理体系,确 保重要业务在运营中断事件发生后快速恢复
3、,降低或消除因重要 业务运营中断造成的影响和损失,保障业务持续运营。第六条商业银行应当根据本行业务发展的总体目标、经营规 模以及风险控制的基本策略和风险偏好,确定适当的业务连续性 管理战略。第七条商业银行应当建立业务连续性管理的组织架构,确定 重要业务及其恢复目标,制定业务连续性计划,配置必要的资源, 有效处置运营中断事件,并积极开展演练和业务连续性管理的评 估改进。第八条 业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融秩 序;(二)坚持预防为主,建立预防、预警机制,将日常管理与 应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业
4、务有序恢复;兼顾业务连续性管理成本与效益;(四)坚持联动协作,加强沟通协调,形成应对运营中断事 件的整体有效机制。第九条商业银行应当将业务连续性管理融入到企业文化中, 使其成为银行机构日常运营管理的有机组成部分。第二章业务连续性组织架构 第一节日常管理组织架构 第十条董(理)事会是商业银行业务连续性管理的决策机构, 对业务连续性管理承担最终责任。主要职责包括:(一)审核和批准业务连续性管理战略、政策和程序;(二)审批高级管理层业务连续性管理职责,定期听取高级 管理层关于业务连续性管理的报告,监督、评价其履职情况;(三)审批业务连续性管理年度审计报告。 第十一条高级管理层负责执行经董(理)事会批
5、准的业务连 续性管理政策。主要职责包括:(一)制定并定期审查和监督执行业务连续性管理政策、程序;(二)明确各部门业务连续性管理职责,明确报告路线,审 批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确 保业务连续性管理体系正常运行;(三)确保配置足够的资源保障业务连续性管理的实施。第十二条商业银行应当设立由高级管理层和业务连续性管 理相关部门负责人组成的业务连续性管理委员会,统筹协调、落 实各项管理职责。第十三条商业银行应当指定风险管理部门或其他综合管理 部门为业务连续性管理主管部门,组织开展全行业务连续性管理 工作,指导、评估、监督各部门的业务连续性管理工作;组织制 定业务连续性计划,
6、协调业务条线部门,汇总、确定重要业务的 恢复目标和恢复策略;组织开展业务连续性计划的演练、评估与 改进;开展业务连续性管理培训等。第十四条商业银行应当明确业务连续性管理执行部门,包括 业务条线部门与信息科技部门。业务条线部门负责风险评估、业 务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线 重要业务应急响应与恢复;信息科技部门负责信息技术应急响应 与恢复。第十五条商业银行应当明确业务连续性管理保障部门,包括 办公室、人力资源部门、公共关系部门、财务部门、法律合规部 门、后勤部门、保卫部门等,为业务连续性日常管理提供人力、 物力、财力以及安全保障和法律咨询。其中,公共关系部门应当 制定对
7、外媒体公关策略,制定和执行对外媒体公关的应急预案。第十六条商业银行各部门应当负责本部门业务连续性管理 工作,制定相关规章制度,制定和执行本部门业务连续性计划, 开展本部门业务连续性计划的演练、评估与改进工作。第十七条商业银行内部审计部门应当负责并定期开展全行 业务连续性管理审计工作。第二节应急处置组织架构第十八条商业银行应当建立运营中断事件应急处置的组织 架构,包括应急决策层、应急指挥层、应急执行层和应急保障层。第十九条应急决策层由商业银行高级管理人员组成,负责决 定应急处置重大事宜,包括:决定运营中断事件通报、对外报告 和公告;批准启动总体应急预案等。第二十条应急指挥层由商业银行的业务连续性
8、管理主管部 门、执行部门和保障部门负责人组成,负责运营中断事件处置应 急指挥和组织协调,督导应急处置实施。第二十一条应急执行层由商业银行业务连续性管理执行部 门组成,负责业务条线与信息技术应急处置工作。第二十二条应急保障层由商业银行业务连续性管理保障部 门组成,负责应急处置所需人力、物力和财力等资源的保障,应 急处置对外报告、宣告、通报和沟通与协调,以及对外媒体公关、 秩序维护、安全保障、法律咨询和人员安抚等相关工作。第三章业务影响分析第二十三条商业银行应当通过业务影响分析识别和评估业 务运营中断所造成的影响和损失,明确业务连续性管理重点,根 据业务重要程度实现差异化管理,确定各业务恢复优先顺
9、序和恢 复指标。商业银行应当至少每三年开展一次全面业务影响分析, 并形成业务影响分析报告。第二十四条商业银行应当识别重要业务,明确重要业务归口 管理部门、所需关键资源及对应的信息系统,识别重要业务的相 互依赖关系,分析、评估各项重要业务在运营中断事件发生时可 能造成的经济损失和非经济损失。第二十五条商业银行应当综合分析重要业务运营中断可能 产生的损失与业务恢复成本,结合业务服务时效性、服务周期等 运行特点,确定重要业务恢复时间目标(业务RTO )、业务恢 复点目标(业务RPO ),原则上,重要业务恢复时间目标不得 大于4 小时,重要业务恢复点目标不得大于半小时。第二十六条商业银行应当明确业务重
10、要程度和恢复优先级 别,并识别重要业务恢复所需的必要资源。第二十七条商业银行应当通过分析业务与信息系统的对应 关系、信息系统之间的依赖关系,根据业务恢复时间目标、业务 恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信 息系统恢复时间目标(信息系统RTO )、信息系统恢复点目标 (信息系统RPO ),明确信息系统重要程度和恢复优先级别, 并识别信息系统恢复所需的必要资源。第二十八条商业银行应当开展业务连续性风险评估,识别业 务连续运营所需的关键资源,分析资源所面临的各类威胁以及资 源自身的脆弱性,确定资源的风险敞口。关键资源应当包括关键 信息系统及其运行环境,关键的人员、业务场地、业务办
11、公设备、 业务单据以及供应商等。第二十九条商业银行应当根据风险敞口制定降低、缓释、转 移等应对策略。依据防范或控制风险的可行性和残余风险的可接 受程度,确定风险防范和控制的原则与措施。第三十条商业银行应当根据业务影响分析结果,依据业务恢 复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、 业务替代手段、数据追补和恢复优先级别等。第三十一条商业银行应当依据业务恢复策略,确定灾难恢复 资源获取方式和灾难恢复等级。第四章业务连续性计划与资源建设第一节业务连续性计划第三十二条商业银行应当依据业务恢复目标,制定覆盖所有 重要业务的业务连续性计划。第三十三条业务连续性计划的主要内容应当包括:(一)重
12、要业务及关联关系、业务恢复优先次序;(二)重要业务运营所需关键资源;(三)应急指挥和危机通讯程序;(四)各类预案以及预案维护、管理要求;(五)残余风险。第三十四条商业银行应当制定总体应急预案。总体应急预案 是商业银行应对运营中断事件的总体方案,包括总体组织架构、 各层级预案的定位和衔接关系及对运营中断事件的预警、报告、 分析、决策、处理、恢复等处置程序。总体预案通常用于处置导 致大范围业务运营中断的事件。第三十五条商业银行应当制定重要业务专项应急预案,专项 应急预案应当注重灾难场景的设计,明确在不同场景下的应急流 程和措施。业务条线的专项应急预案,应当注重调动内部资源、 采取业务应急手段尽快恢
13、复业务,并和信息科技部门、保障部门 的应急预案有效衔接。第三十六条专项应急预案的主要内容应当包括:(一)应急组织架构及各部门、人员在预案中的角色、权限、 职责分工;(二)信息传递路径和方式;(三)运营中断事件处置程序,包括预警、报告、决策、指 挥、响应、回退等;(四)运营中断事件处置过程中的风险控制措施;(五)运营中断事件的危机处理机制;(六)运营中断事件的内部沟通机制和联系方式;(七)运营中断事件的外部沟通机制和联系方式;(八)应急完成后的还原机制。第三十七条商业银行应当要求重要业务及信息系统的外部 供应商建立业务连续性计划,证明其业务连续性计划的有效性, 其业务恢复目标应当满足商业银行要求
14、。第三十八条商业银行应当注重与金融同业单位、外部金融市 场、金融服务平台和公共事业部门等业务连续性计划的有效衔接 同时,应当积极采取风险缓释及转移措施,有效控制由于外部机 构业务连续性管理不充分可能产生的风险。第二节业务连续性资源建设第三十九条商业银行应当开展业务连续性计划所需的资源 建设,满足业务恢复目标和重要业务持续运营的要求。第四十条商业银行应当重点加强信息系统关键资源的建设, 实现信息系统的高可用性,保障信息系统的持续运行并减少信息 系统中断后的恢复时间。第四十一条商业银行应当设立统一的运营中断事件指挥中 心场所,用于应急决策、指挥与联络,指挥场所应当配置办公与 通讯设备以及指挥执行文
15、档、联系资料等。第四十二条商业银行应当建立符合业务连续性管理要求的 备用资源,如备用业务和办公场所资源、备用信息系统运行场所 资源、备用信息技术资源、备用人力资源等,以及电力、通讯、 消防、安保等资源。第四十三条商业银行选择备用场地时,应当确保不会同时遭 受同类型风险;应当综合分析备用场地所在地的自然环境、地区 配套设施、区域经济环境、交通条件、政策环境和成本等各方面 因素,以及灾难恢复所需的金融服务、通讯、设备、技术等外部 服务供应商资源情况。第四十四条商业银行在建立备用业务和办公场所时,应当配备业务操作和办公所需资源,并确保其能够迅速启用。第四十五条商业银行应当建立灾备中心等备用信息技术资
16、 源和备用信息系统运行场所资源,并满足银监会关于数据中心相 关监管要求。第四十六条商业银行应当明确关键岗位的备份人员及其备 份方式,并确保备份人员可用,降低关键岗位人员无法及时履职 风险。第五章业务连续性演练与持续改进第一节业务连续性计划演练第四十七条商业银行应当开展业务连续性计划演练,检验应 急预案的完整性、可操作性和有效性,验证业务连续性资源的可 用性,提高运营中断事件的综合处置能力。第四十八条制定业务连续性演练计划时,商业银行应当考虑 业务的重要性和影响程度,包括客户范围、业务性质、业务时效 性、经济与非经济影响等,演练频率、方式应当与业务的重要性 和影响程度相匹配。第四十九条商业银行应当至少每三年对全部重要业务开展 一次业务连续性计划演
