1、精選優質文檔-傾情為你奉上業務連續性培訓心得 業務連續性：在中斷事件發生后，組織在預先確定的可接受水平上連續交付產品或提供服務的能力，實質是確保關鍵業務在規定時間內恢復到非正常時期最低可接受的程度。業務連續性管理：Business Continuity Management（簡稱BCM）識別對組織的潛在威脅以及這些威脅一旦發生可能對業務運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關鍵相關方的利益、聲譽、品牌和創造價值的活動。所謂業務連續性，并不是規避或躲避風險，而是在災難發生的時候通過一系列的管理手段如何把損失降低到最小，也就是避免遭受更大的損失

2、。業務連續性管理工作不能簡單做成一個常規項目，所謂項目是有開始，有結束，有邊界，領導的支持和資源是有限度的，但是業務連續性管理應該是一個管理的閉環，是一個持續不斷改進的管理過程，應當貫徹到日常管理工作中去。業務連續性方案管理和計劃編制的目的本質上首先應該是為了確保組織對外服務和關鍵業務持續運行問題和數據安全，保護人員、保護聲譽、保護相關方利益、保護資產，進而提升客戶滿意度，提升核心競爭能力，最后才是為了滿足監管部門的合規要求。當然，目前國內大部分銀行推動其業務連續性管理發展的核心源動力還是應對監管部門的監管要求。一、 業務連續性管理的實踐按照國際慣例，BCM實踐模型分為9個步驟，分別是BCM規

3、劃、風險評估與控制、業務影響分析、業務連續性策略制定、應急響應與運行、業務連續性計劃編制、認知與培訓、測試與演練、計劃維護。1、 BCM規劃BCM規劃的目標是明晰并組織項目規劃各要素，并確認制定業務連續性計劃所需的資源。此階段主要為BCM項目的啟動，按照銀監會2011年104號文件要求，組織需設立相關組織架構，并行使對應職責。其中需注意的是一個好的BCM規劃或方案并不強求一定要建立相應的組織，必要時可以和行內現有組織重合，并賦予相應職責即可。在業務連續性計劃制定過程中，分管行長作為高管層的代表，應作為BCM規劃的主要負責人來進行恢復工作，并且一定要得到董事會的授權和高管層的支持。BC經理負責組

4、織各部門、各機構，管理多個相互依賴的項目，具有組織召集會議的能力，并及時跟蹤及時匯報，保持在整個過程中使高管層了解項目的進展情況。2、 風險評估與控制（簡稱RA）風險評估的目的是識別和確定風險，改進現有控制措施，并需增加的控制措施，從而降低組織所面臨的風險。確定的風險作為后期編制預案時的場景設置因素。風險評估可采用風險評估模型，按照可能性（高中低）、嚴重性（高中低）兩重維度劃分，形成風險評估矩陣。后期應急預案中場景設置應覆蓋風險評估中風險級別較高的80%的風險。3、 業務影響分析（簡稱BIA） BIA是在風險分析的基礎上，分析業務功能依賴的重要信息系統資源、評估特定災難場景下各種信息系統中斷產

5、生的經濟損失和非財務因素影響。業務影響分析的結果主要有六項，分別是識別關鍵業務、確定關鍵業務的RPO/RTO、識別關鍵業務的相互依賴性、確定關鍵業務恢復的優先級、確定關鍵業務所需的資源，并確定關鍵業務持續運行是否有替代措施。在業務影響分析過程中，容易出現下列問題：（1） 業務部門都認為自己的業務是最重要的。重要業務的認定不應該是由BC經理或者某位高管來主觀認定，BC經理應該通過定量經濟損失、定性業務影響、業務貢獻度及監管法律法規要求等分析指標制定打分表，由各業務部門客觀分析其業務，最后由高管層依打分表評定。（2） 業務部門都想把自己所屬的業務盡快恢復，RPO、RTO要求近乎為零。不同的RPO、

6、RTO要求代表著不同的成本，對應著不同的技術手段和策略，業務部門出具RPO、RTO要求，技術部門根據要求出具可行性分析和成本效益分析，通過高管層確定各業務條線的RPO、RTO值，同時必須滿足監管要求。通過進行風險評估和業務影響度分析，BCM小組分析、整理結果，完成RA/BIA分析報告，并向高管層匯報，獲得其對分析報告的認可。4、 業務連續性策略的制定從業務和技術兩條線識別、梳理可用的業務連續性策略，首先保證所選策略滿足制定的RPO、RTO要求，其次是經過成本效益分析進行比較，根據組織的風險偏好和風險容忍度選擇業務連續性策略，并基于前期的業務影響分析結果驗證策略的合理性和有效性，最終取得高管層的

7、批準。常見的備選業務連續性策略包括：什么也不做，等災難發生時再修復或重建將人員和工作轉移到存活的工作場所暫停時間不敏感的業務，并將人員及工作轉移到存活的工作場所簽定互惠協議建立專用的后備站點采用雙用途場所，例如會議室、培訓室、自助餐廳燈作為內部備用場地讓員工在家辦公（soho）選用第三方外包服務商，使用外部備用站點作為工作場所制定生產恢復策略制定重要記錄及進行中工作的恢復策略常見的備選技術連續性策略包括：什么也不做，等災難發生時再修復或重建開發手工臨時程序采用雙活數據中心簽定互惠協議（鄭州銀行與東莞銀行目前已經簽署互惠協議，互相管理其災備機房）采用主備技術外包整個技術環境（云計算等）與第三方服

8、務提供商/外包商（例如熱站，云計算）簽訂協議確認恢復時所需的溫站（僅具備空調通風、電力、硬件等設備）確認恢復時所需的冷站（僅當災難發生時才配備設備）-目前國外小銀行在用確定為滿足RPO要求所需的數據恢復策略另外需要注意的是，并不是全采用高可用技術的恢復策略就是最好的，需要從多方面考慮。例如韓國某銀行中心主機房與災備機房采用實時同步技術，未采用快照，結果黑客入侵中心機房，對核心數據做了刪除操作，導致災備機房的數據同步刪除，造成很大的損失。基于選定的業務連續性策略，分析、識別并確定在此策略相關的關鍵資源與應急、持續和恢復程序等，主要包括關鍵人員/崗位、重要經營場所、重要供應商、關鍵設備或其他資源、

9、應急響應、業務持續和恢復程序及可能的臨時策略、手工程序和臨時應對措施。5、 應急響應與運行 應急響應的核心在于保護生命和穩定事態。為應對可能會影響組織的員工、來訪者或其他資產的緊急情形，制定好應急預案，以保障組織能夠以協調一致的、及時有效的方式來響應緊急情況。為了在事件發生前、事件發生時，以及事件發生后進行有效的溝通，組織應建立一個框架來開發和演練危機溝通計劃。通過與本地的、區域的和國家級的各類外部機構協調工作，進行相應，連續性和恢復活動，確保組織滿足合規要求。應急響應中很重要的一個內容就是危機溝通機制，危機溝通的要素包括：1、確定受危機影響的聽眾（社區公眾、外部機構包括政府、監管；外部群體包

10、括客戶、供應商、合伙人等、內部群體包括董事會、高層、員工）；2、根據目標聽眾選取合適的發言人；3、確定主要的溝通信息；4、確定主要的溝通渠道和方式；5、主動溝通 信息。溝通信息的原則主要包括：1、清晰并容易理解；2、預先注意應保密的信息；3、不斷的重復；4、針對聽眾特別關心的問題發言；5、與發給其他聽眾的信息結合；6、表達出理解聽眾的情緒；7、保持一致性；8、可以個性化的回答。6、 業務連續性計劃編制業務連續性計劃編制的步驟首先應是成立計劃編制項目組，將重點業務部門人員涵蓋在內，其次是確定業務連續性管理體系總體框架和主要覆蓋內容，評估組織現有的業務連續性管理相關管理現狀（包括應急管理、災難備份

11、、風險管理、信息安全、聲譽公共關系、安全保衛、人力資源等），然后根據差距分析，明確計劃編寫內容，按小組分解進行計劃編制。清晰簡練具有保存、備份及異地存儲規劃與供應商協調配合具有完整的文檔并定期演練高管層的支持和承諾風險得到控制持續的完善并成為企業戰略決策的一部分對脆弱性（風險）進行了分級具有適當的預算具有一定的靈活性和適應性7、 認知和培訓認知和培訓是為了增強如何準備和應對緊急情況的認識和知識，了解這些緊急情況會對以下方面產生沖擊，包括組織、設施或場地、員工和供應商或第三方，了解如何保護組織以及如何應對突發事件將會增加組織的生存機會。將業務連續性管理融入企業文化，讓風險意識成為日常工作的一部分

12、。認知和培訓的成功要素包括：1、包含在新員工培訓中；2、成為預算過程的一部分；3、明確各小組及其成員；4、成為員工年度考核的一部分；5、證明每個人都能回答有關BCM的問題；6、確保BCM成為企業文化的一部分。8、 測試與演練測試和演練的意義在于檢驗物（包括設備、技術、服務器、通訊設備等）和人（撤離程序、呼叫樹、臨時應對程序等）的可用性、有效性。演練和測試BC計劃的本質目的并不是要知道它能否工作，而是要知道它為什么不能工作。測試和演練需要從簡單到復雜，從局部到整體，逐步深入，先動嘴（桌面演練），再動手（實戰演練）。測試和演練每年至少進行一次，并需將外部機構納入到測試演練的設計和實施中。9、 計劃

13、的審計和維護評估業務連續性計劃內部、業務連續性計劃于整個業務連續性方案的其他部分之間、業務連續性計劃于組織當前業務之間的一致性，通過預先明確的計劃變更程序，及時變更業務連續性管理體系的文件體系，維護并保持上述多方面的一致性。審計人員審計組織的BCM方案和規劃，比較常用且簡單的一個方法就是先通過方案中的呼叫樹，隨機撥打一個人的電話，驗證電話號碼是否正確，然后與被調查人核實其手頭擁有的BCM方案或者應急預案的版本號是否一致。二、 工作建議時間制度文號備注2006.08銀行業金融機構信息系統風險管理指引銀監發【2006】63號已廢止2007.05商業銀行操作風險管理指引銀監發【2007】42號200

14、8.04銀行業重要信息系統突發事件應急管理規范銀監辦發【2008】53號2009.06商業銀行信息科技風險管理指引銀監發【2009】19號2010.04商業銀行數據中心監管指引銀監發【2010】114號2011.12商業銀行業務連續性監管指引銀監發【2011】104號通過比較監管機構的監管要求脈絡，逐步從單一的信息科技風險管理深入到整個組織的業務連續性管理，而且2013年12月17日，源于ISO 22301的國標GB/T30146正式發布，為商業銀行如何進行業務連續性管理體系的建設提供了技術標準。目前，ISO 9700（質量管理體系）+ISO 20000（IT標準服務）+ISO27000（信息安全管理體系）+ISO 22301（業務連續性管理體系）的四標合一，逐步成為業內的流行趨勢。具體建議主要包括以下幾點：1、 強化認識，業務連續性管理是企業整體治理的重要組成部分。2、 理順關系，注重機制建設及職責體系的有效銜接