業務連續性管理businesscontinuitymanagement（BCM）培訓講師：周武業務連續性管理businesscontinuityma內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論2內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對BCMBCM何為BCM4業務連續性（BusinessContinuity）：

業務中斷事件發生后，在預先確定的可接受水平上持續交付產品或提供服務的能力。業務連續性管理（BusinessContinuityManagement）是一套整體的管理流程，用以：識別潛在威脅，以及這些威脅對業務持續運行帶來的影響；建立有效應對威脅的自我恢復能力，保護關鍵相關方的利益、聲譽、品牌和創造價值的活動。何為BCM4業務連續性（BusinessContinuitBCM是一個跨多個專業領域的綜合性體系5BCM是一個跨多個專業領域的綜合性體系56BCM標準發展新加坡標準SS540英國標準BS25999國際業務持續協會（BCI）《業務持續管理良好實踐指南》BCMGPG理論基礎理論基礎升級中國國家標準GB/T301462013年12月17日正式發布國際標準ISO223012012年5月15日正式發布對應《商業銀行業務連續性監管指引》2011年12月28日正式發布6BCM標準發展新加坡標準英國標準國際業務持續協會（BCI）ISO22301標準全文結構74.組織環境5.領導力6.策劃7.支持8.實施9.績效評價10.改進理解組織及其環境理解相關方的需求和期望定義BCMS的范圍BCMS領導力與承諾管理承諾方針應對風險和機會的措施業務連續性

目標和實現計劃資源能力意識溝通文件化信息實施策劃與控制業務影響分析

和風險評估業務連續性策略建立和實施

業務連續性程序演練和測試監視、測量、分析和評價內部審計管理評審不合格項和糾正措施持續改進計劃（Plan）執行（Do）檢查（Check）改進（Action）組織角色、職責和權限ISO22301標準全文結構74.組織環境5.領導力6.策劃監管指引與國際標準對應關系ISO22301:2012（GB/T30146-2013）《商業銀行業務連續性監管指引》4組織環境5領導力6策劃7.1資源7.4溝通7.5文件化信息9績效評價10改進第一章總則第二章業務連續性組織架構7.2能力7.3意識第一章總則（第九條）8.2業務影響分析和風險評估8.3業務連續性策略第三章業務影響分析8.4建立和實施業務連續性程序第四章業務連續性計劃與資源建設第六章運營中斷事件應急處置8.5演練和測試第五章業務連續性演練與持續改進-第七章監管和處置8監管指引與國際標準對應關系ISO22301:2012（GB業務連續性與IT服務連續性9業務流程、業務活動IT服務

（信息系統、IT基礎設施）技術支撐業務連續性（BusinessContinuity）：

關注于一個組織提供產品、服務的業務流程、業務活動的持續運行。業務不連續的后果：客戶量/業務量減少、產品報廢、合同違約、監管違規、財務損失、利益相關方施壓、社會譴責（環境/健康等）、喪失競爭力、破產……業務連續性計劃（BCP）：從業務層面恢復中斷的業務流程和活動。IT災難恢復計劃（ITDRP）、應急預案通常用于支撐BCP。IT服務連續性（ITServiceContinuity）：關注于保障信息系統、IT基礎設施持續運行。IT服務不連續的后果：直接表現：IT基礎設施癱瘓、信息系統停止服務；間接表現：依賴IT系統的業務活動停滯，部分業務切換到人工操作。IT災難恢復計劃：將中斷的IT系統服務恢復到可用狀態，通常涉及災備切換。應急預案：通常由一組具體的故障恢復場景構成，可能包含導致服務中斷的嚴重故障，也有可能涉及未導致服務中斷的一般故障。信息化技術越來越多地承載了組織的業務流程運行。業務連續性與IT服務連續性9業務流程、業務活動IT服務

（信業務連續性的恢復要求10最長可容忍中斷時間（MTPD,MaximumTolerablePeriodOfDisruption）

交付產品、服務的業務流程與活動的最長可容忍中斷時間。

如果超出此時間限制，帶來的負面影響將變得無法承受。恢復時間目標（RTO）

基于MTPD，在組織內部協商后制定的恢復時間目標值。RTO應小于MTPD（30%為宜）。

組織應在假設的最壞場景下，通過演練、測試，驗證自身達成RTO的實際能力。最長可容忍數據丟失點（MTDL,MaximumTolerableDataLost）

交付產品、服務的業務流程與活動中斷后再次恢復時，能夠容忍的數據丟失時長。即：將數據恢復到中斷前多久的狀態。恢復點目標（RPO）

基于MTDL，在組織內部協商后制定的恢復點目標值。RPO應小于MTDL（30%為宜）。

組織應通過適當的備份機制，確保備份間隔時間小于RPO，并通過演練、測試，驗證備份的有效性。業務連續性的恢復要求10最長可容忍中斷時間（MTPD,Ma業務最低運營要求維持業務運營的最低性能與容量要求；保證最核心的業務流程/活動/產品/服務/職能/區域恢復運行通常會作為災備建設依據業務運營能力時間業務完全運營要求最低運營要求與完全運營要求如果缺乏BCM按預期要求復原11最長可容忍中斷時間MTPD24小時目標恢復時間RTO16小時最長可接受復原時間7天目標復原時間5天業務中斷突發事件0借助BCM快速恢復業務最低運營要求業務運營能力時間業務完全運營要求最低運營要求如果業務活動完全依賴于IT系統，則對于IT部門而言：業務部門以業務視角分析出系統的恢復目標MTPD、MTDL；IT部門應據此制定信息系統的RTO、RPO。允許的數據丟失時間復原RTO業務復原到完全運營水平3天12恢復RTORPO恢復關鍵業務到最低運營水平最新的數據備份點-1

小時4小時MTPD6小時MTDL-2

小時事件上報與初判執行恢復啟用備用資源復原或重建實施臨時變通方案信息系統的恢復與復原突發事件0系統中斷、實時數據丟失如果業務活動完全依賴于IT系統，則對于IT部門而言：允許的時《商業銀行業務連續性監管指引》要求的BCM治理結構條款要求條款理解日常管理組織架構決策機構：董(理)事會高級管理層、業務連續性管理委員會主管部門：風險管理部門或其他綜合管理部門執行部門：業務條線部門、信息科技部門保障部門：辦公室、人事、公共關系、財務、法律合規、后勤保衛內部審計部門：定期開展審計工作各部門：制定/執行本部門業務連續性計劃明確BCM日常組織架構最高管理層參與全行各部門參與BCM主管部門牽頭運行BCMS信息科技部門是最關鍵的執行部門應急處置組織架構應急決策層：高級管理層代為決策應急指揮層：主管部門及各部門負責人應急執行層：執行部門應急保障層：保障部門根據全行組織級BCP、部門級BCP的定義，各層級、各部門各司其職，負責具體應急處置工作13《商業銀行業務連續性監管指引》要求的BCM治理結構條款要求條“業務連續性治理結構”—日常組織14治理層級角色職責BCM決策層理事會承擔BCM最終責任BCM管理層業務連續性管理委員會執行決策層批準的BCM方針、方案統籌協調、落實各項BCM職責BCM

執行層BCM主管部門風險管理部門或其他綜合管理部門組織開展全行業務連續性管理工作，指導、評估、監督各部門執行工作BCM執行部門各業務條線部門業務影響分析；風險評估；確定恢復策略；

負責業務條線重要業務應急響應與恢復（制定業務部門BCP）信息科技部門

信息技術應急響應與恢復（制定信息科技部門BCP、IT連續性計劃）BCM保障部門辦公室、人力資源部門、公共關系部門、財務部門、法律合規部門、后勤部門、保衛部門人力、物力、財力以及安全保障、法律咨詢、對外媒體公關（制定保障部門BCP）“業務連續性治理結構”—日常組織14治理層級角色職責BCM“業務連續性治理結構”—應急組織15應急管理層級角色職責應急決策層高級管理人員決定運營中斷事件通報、對外報告和公告；批準啟動BCP/總體應急預案應急指揮層BCM主管、執行和保障部門負責人應急指揮和組織協調應急執行層BCM執行部門：各業務條線部門信息科技部門業務條線與信息技術應急處置工作：執行業務部門、信息科技部門BCP啟動應急預案應急保障層BCM保障部門：辦公室、人力資源部門、公共關系部門、財務部門、法律合規部門、后勤部門、保衛部門資源保障：人、財、物秩序維護，安全保障，法律咨詢，人員安撫對外宣告、通報、溝通，對外媒體公關執行保障部門BCP“業務連續性治理結構”—應急組織15應急管理層級角色職責應連續性管理的一般實施過程16識別業務活動評估業務活動中斷后隨著時間推移的影響分析業務活動在最低可接受水平上的可容忍中斷時間MTPD，確定恢復目標RTO，排定恢復順序識別業務活動依賴關系，確定恢復與復原所需資源業務影響分析風險評估針對需要優先恢復的關鍵業務活動（CBF）：識別可能導致中斷的風險；識別中斷發生后，業務活動及相關資源面臨的阻礙持續運行的風險；分析、評價風險；識別與RTO、RPO相適宜的風險處置措施。連續性策略

制定明確風險偏好，制定風險處置計劃：明確業務活動恢復的策略（災備建設要求、連續性計劃的制定要求）；保障相關資源的配置。風險處置連續性計劃

制定實施、跟蹤連續性風險處置；編制連續性計劃（BCP、ITDRP），包括：預警、響應、溝通上報、恢復、復原。連續性演練連續性計劃培訓；排定演練計劃；連續性計劃測試、演練。連續性管理

改進演練總結，識別改進機會；連續性管理改進優化。分析

(Analysis)設計

(Design)實施

(Implementation)驗證(Validation)資源—包括但不限于：人、信息/數據、設備設施耗材、IT系統、交通工具、資金、供應商/合作方。影響—例如：合規、聲譽、相關方利益、產品服務質量、社會責任、財務……Source：ISO22313連續性管理的一般實施過程16識別業務活動業務影響分析風險評估《商業銀行業務連續性監管指引》要求條款要求條款理解&待完成工作業務影響分析（BIA）識別重要業務，明確重要業務歸口管理部門、所需關鍵資源及對應的信息系統確定重要業務恢復時間目標(業務RTO)、業務恢復點目標(業務RPO)確定信息系統恢復時間目標(信息系統RTO)、信息系統恢復點目標(信息系統RPO)業務部門負責識別關鍵業務（CBF）、關鍵資源

（關鍵資源包括關鍵信息系統及其運行環境，關鍵的人員、業務場地、業務辦公設備、業務單據以及供應商）業務部門負責業務影響分析

（業務RTO、業務RPO，相當于信息系統的MTPD、MTDL）信息科技部門負責信息系統RTO、RPO

（應低于MTPD、MTDL）針對關鍵資源的連續性風險評估（RA）業務部門負責風險評估處置關鍵資源面臨的風險（預防性措施）制定差別化的業務恢復策略關鍵資源恢復、業務替代手段、數據追補和恢復優先級別BCM策略：承上（BIA、RA）：恢復要求關鍵資源備份、選擇恢復方式、恢復優先順序設置應急指揮中心（EOC）場所啟下（BCP）：BCP的總前提、總框架17《商業銀行業務連續性監管指引》要求條款要求條款理解&待完銀行業務（某國有銀行樣例）18業務類別業務名稱公司金融業務存款業務貸款業務金融機構業務國際結算及貿易融資業務其他公司金融業務個人金融業務儲蓄存款業務個人貸款業務個人中間業務“XX理財”服務私人銀行業務銀行卡業務渠道建設業務類別業務名稱金融市場業務全球投資全球交易資產管理債務資本市場基金代銷與托管企業年金管理銀行業務（某國有銀行樣例）18業務類別業務名稱公司金融業務存銀行業務（某城商行樣例）19業務條線業務產品個人條線個人賬戶業務個人貸款業務個人支付結算業務代理繳費POS收單個人理財公司條線公司賬戶業務公司貸款業務公司支付結算業務公司類代收代付公司理財國內信用證/保函國內保理小企業條線小企業賬戶業務小企業貸款業務小企業支付結算業務小企業類代收代付業務條線業務產品資金條線債券交易拆借交易（本幣）同業存放/存放同業（本幣）貼現轉帖與再貼現買入返售/賣出回購理財和信托投資交易國際業務條線同業存放/存放同業（外幣）同業拆借（外幣）結售匯外匯買賣代客外匯買賣國際保函國際貿易融資互聯網金融條線互聯網支付業務網絡預填單業務彩富業務銀行業務（某城商行樣例）19業務條線業務產品個人條線個人賬戶業務影響分析(BIA)示例XXX業務的關鍵業務時段：5×8（工作日9:00-17:00）20業務活動影響業務中斷時長MTPDRTO5分鐘30分鐘1小時4小時8小時1天3天>1周XXX業務客戶影響223344551小時45分鐘內部相關方影響12223455合規影響11112333聲譽/競爭優勢影響11112344財務影響11112344業務活動影響數據丟失時長MTDLRPO5分鐘30分鐘1小時4小時8小時1天3天>1周XXX業務客戶影響333444555分鐘3分鐘內部相關方影響12333455合規影響33333455聲譽/競爭優勢影響11233455財務影響12334455示例業務影響分析(BIA)示例XXX業務的關鍵業務時段：5×8（BIA/RA（樣例）示例BIA/RA（樣例）示例ICT為企業的業務持續做好準備（IRBC）Source：ISO/IEC27031:2011

ISO27031:2011是企業業務持續管理的重要組成部分遵循PDCA方法論可以與企業的業務務持續管理體系進行整合IT部門主導22ICT為企業的業務持續做好準備（IRBC）Source：ISXXX系統最低運營要求分析23示例XXX系統最低運營要求分析23示例《商業銀行業務連續性監管指引》要求條款要求條款理解&待完成工作制定業務連續性計劃（BCP）BCP應覆蓋所有重要業務各部門編寫本部門BCP下屬應急預案針對運營中斷事件，應急預案中的溝通、上報機制應滿足運營中斷事件等級劃分標準BCP編寫、演練、回顧、改進：業務部門、信息科技部門、保障部門負責專項應急預案，并編寫本部門BCP主管部門負責匯總組織級BCP24《商業銀行業務連續性監管指引》要求條款要求條款理解&待完BCP（樣例）示例BCP（樣例）示例《商業銀行業務連續性監管指引》要求條款要求條款理解&待完成工作業務連續性管理文檔修訂每年修訂業務功能或關鍵資源發生重大變更評估與審計至少每年對管理體系評估1次對管理體系各項活動，每年審計1次，每三年全面審計作為管理體系，必不可少的組成部分：文檔管理評估、審計持續改進機制26《商業銀行業務連續性監管指引》要求條款要求條款理解&待完內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論27內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對GPG、ISO22313最佳實踐項目實施階段1BCM方案管理1項目啟動與管理2理解組織（BIA、RA）2評估與調研3決定BCM策略3策略與設計4開發與實施BCM響應（BCP）4開發與實施5演練、維護和評審5推廣與演練6體系維護與評審6將BCM融入組織文化中7培訓與知識轉移BCM項目實施方法28GPG、ISO22313最佳實踐項目實施階段1BCM方案管理項目實施階段29時間預估1-2周6-8周2周6-8周4-6周2周階段1：項目啟動與管理階段2：評估與調研階段3：策略與設計階段4：開發與實施階段5：推廣與演練階段6：體系維護與評審階段7：培訓與知識轉移6個月以10個部門/條線的規模為例：項目實施階段29時間預估1-2周6-8周2周6-8周4-6周內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論30內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對BCM實施難點與對策難點對策1項目協調性工作量較大，高層領導、業務條線全線參與項目啟動階段，請高層（一把手）介入；獲得高層領導授權，要求各部門全力配合；各部門負責人任命資深員工為BCM體系協調員，協助其參與體系建設工作。2體系建設易，充分落地難優先落實最核心的關鍵業務的BCP，分步驟實施。3體系主管部門與科技部門的工作銜接科技部門經驗更豐富，BCM體系建設階段可以多參與，但體系主管部門必須全程參與，掌控全局；BCM體系投入運行后，必須明確體系主管部門的地位和職責，科技部門的BCP、DRP僅是全行BCP的分支。31BCM實施難點與對策難點對策1項目協調性工作量較大，項目啟動內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論32內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對哪些場合適合用PPT？BCM實施策略討論哪些場合適合用PPT？BCM實施策略討論業務連續性管理businesscontinuitymanagement（BCM）培訓講師：周武業務連續性管理businesscontinuityma內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論35內容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對BCMBCM何為BCM37業務連續性（BusinessContinuity）：

業務中斷事件發生后，在預先確定的可接受水平上持續交付產品或提供服務的能力。業務連續性管理（BusinessContinuityManagement）是一套整體的管理流程，用以：識別潛在威脅，以及這些威脅對業務持續運行帶來的影響；建立有效應對威脅的自我恢復能力，保護關鍵相關方的利益、聲譽、品牌和創造價值的活動。何為BCM4業務連續性（BusinessContinuitBCM是一個跨多個專業領域的綜合性體系38BCM是一個跨多個專業領域的綜合性體系539BCM標準發展新加坡標準SS540英國標準BS25999國際業務持續協會（BCI）《業務持續管理良好實踐指南》BCMGPG理論基礎理論基礎升級中國國家標準GB/T301462013年12月17日正式發布國際標準ISO223012012年5月15日正式發布對應《商業銀行業務連續性監管指引》2011年12月28日正式發布6BCM標準發展新加坡標準英國標準國際業務持續協會（BCI）ISO22301標準全文結構404.組織環境5.領導力6.策劃7.支持8.實施9.績效評價10.改進理解組織及其環境理解相關方的需求和期望定義BCMS的范圍BCMS領導力與承諾管理承諾方針應對風險和機會的措施業務連續性

目標和實現計劃資源能力意識溝通文件化信息實施策劃與控制業務影響分析

和風險評估業務連續性策略建立和實施

業務連續性程序演練和測試監視、測量、分析和評價內部審計管理評審不合格項和糾正措施持續改進計劃（Plan）執行（Do）檢查（Check）改進（Action）組織角色、職責和權限ISO22301標準全文結構74.組織環境5.領導力6.策劃監管指引與國際標準對應關系ISO22301:2012（GB/T30146-2013）《商業銀行業務連續性監管指引》4組織環境5領導力6策劃7.1資源7.4溝通7.5文件化信息9績效評價10改進第一章總則第二章業務連續性組織架構7.2能力7.3意識第一章總則（第九條）8.2業務影響分析和風險評估8.3業務連續性策略第三章業務影響分析8.4建立和實施業務連續性程序第四章業務連續性計劃與資源建設第六章運營中斷事件應急處置8.5演練和測試第五章業務連續性演練與持續改進-第七章監管和處置41監管指引與國際標準對應關系ISO22301:2012（GB業務連續性與IT服務連續性42業務流程、業務活動IT服務

（信息系統、IT基礎設施）技術支撐業務連續性（BusinessContinuity）：

關注于一個組織提供產品、服務的業務流程、業務活動的持續運行。業務不連續的后果：客戶量/業務量減少、產品報廢、合同違約、監管違規、財務損失、利益相關方施壓、社會譴責（環境/健康等）、喪失競爭力、破產……業務連續性計劃（BCP）：從業務層面恢復中斷的業務流程和活動。IT災難恢復計劃（ITDRP）、應急預案通常用于支撐BCP。IT服務連續性（ITServiceContinuity）：關注于保障信息系統、IT基礎設施持續運行。IT服務不連續的后果：直接表現：IT基礎設施癱瘓、信息系統停止服務；間接表現：依賴IT系統的業務活動停滯，部分業務切換到人工操作。IT災難恢復計劃：將中斷的IT系統服務恢復到可用狀態，通常涉及災備切換。應急預案：通常由一組具體的故障恢復場景構成，可能包含導致服務中斷的嚴重故障，也有可能涉及未導致服務中斷的一般故障。信息化技術越來越多地承載了組織的業務流程運行。業務連續性與IT服務連續性9業務流程、業務活動IT服務

（信業務連續性的恢復要求43最長可容忍中斷時間（MTPD,MaximumTolerablePeriodOfDisruption）

交付產品、服務的業務流程與活動的最長可容忍中斷時間。

如果超出此時間限制，帶來的負面影響將變得無法承受。恢復時間目標（RTO）

基于MTPD，在組織內部協商后制定的恢復時間目標值。RTO應小于MTPD（30%為宜）。

組織應在假設的最壞場景下，通過演練、測試，驗證自身達成RTO的實際能力。最長可容忍數據丟失點（MTDL,MaximumTolerableDataLost）

交付產品、服務的業務流程與活動中斷后再次恢復時，能夠容忍的數據丟失時長。即：將數據恢復到中斷前多久的狀態。恢復點目標（RPO）

基于MTDL，在組織內部協商后制定的恢復點目標值。RPO應小于MTDL（30%為宜）。

組織應通過適當的備份機制，確保備份間隔時間小于RPO，并通過演練、測試，驗證備份的有效性。業務連續性的恢復要求10最長可容忍中斷時間（MTPD,Ma業務最低運營要求維持業務運營的最低性能與容量要求；保證最核心的業務流程/活動/產品/服務/職能/區域恢復運行通常會作為災備建設依據業務運營能力時間業務完全運營要求最低運營要求與完全運營要求如果缺乏BCM按預期要求復原44最長可容忍中斷時間MTPD24小時目標恢復時間RTO16小時最長可接受復原時間7天目標復原時間5天業務中斷突發事件0借助BCM快速恢復業務最低運營要求業務運營能力時間業務完全運營要求最低運營要求如果業務活動完全依賴于IT系統，則對于IT部門而言：業務部門以業務視角分析出系統的恢復目標MTPD、MTDL；IT部門應據此制定信息系統的RTO、RPO。允許的數據丟失時間復原RTO業務復原到完全運營水平3天45恢復RTORPO恢復關鍵業務到最低運營水平最新的數據備份點-1

小時4小時MTPD6小時MTDL-2

小時事件上報與初判執行恢復啟用備用資源復原或重建實施臨時變通方案信息系統的恢復與復原突發事件0系統中斷、實時數據丟失如果業務活動完全依賴于IT系統，則對于IT部門而言：允許的時《商業銀行業務連續性監管指引》要求的BCM治理結構條款要求條款理解日常管理組織架構決策機構：董(理)事會高級管理層、業務連續性管理委員會主管部門：風險管理部門或其他綜合管理部門執行部門：業務條線部門、信息科技部門保障部門：辦公室、人事、公共關系、財務、法律合規、后勤保衛內部審計部門：定期開展審計工作各部門：制定/執行本部門業務連續性計劃明確BCM日常組織架構最高管理層參與全行各部門參與BCM主管部門牽頭運行BCMS信息科技部門是最關鍵的執行部門應急處置組織架構應急決策層：高級管理層代為決策應急指揮層：主管部門及各部門負責人應急執行層：執行部門應急保障層：保障部門根據全行組織級BCP、部門級BCP的定義，各層級、各部門各司其職，負責具體應急處置工作46《商業銀行業務連續性監管指引》要求的BCM治理結構條款要求條“業務連續性治理結構”—日常組織47治理層級角色職責BCM決策層理事會承擔BCM最終責任BCM管理層業務連續性管理委員會執行決策層批準的BCM方針、方案統籌協調、落實各項BCM職責BCM

執行層BCM主管部門風險管理部門或其他綜合管理部門組織開展全行業務連續性管理工作，指導、評估、監督各部門執行工作BCM執行部門各業務條線部門業務影響分析；風險評估；確定恢復策略；

負責業務條線重要業務應急響應與恢復（制定業務部門BCP）信息科技部門

信息技術應急響應與恢復（制定信息科技部門BCP、IT連續性計劃）BCM保障部門辦公室、人力資源部門、公共關系部門、財務部門、法律合規部門、后勤部門、保衛部門人力、物力、財力以及安全保障、法律咨詢、對外媒體公關（制定保障部門BCP）“業務連續性治理結構”—日常組織14治理層級角色職責BCM“業務連續性治理結構”—應急組織48應急管理層級角色職責應急決策層高級管理人員決定運營中斷事件通報、對外報告和公告；批準啟動BCP/總體應急預案應急指揮層BCM主管、執行和保障部門負責人應急指揮和組織協調應急執行層BCM執行部門：各業務條線部門信息科技部門業務條線與信息技術應急處置工作：執行業務部門、信息科技部門BCP啟動應急預案應急保障層BCM保障部門：辦公室、人力資源部門、公共關系部門、財務部門、法律合規部門、后勤部門、保衛部門資源保障：人、財、物秩序維護，安全保障，法律咨詢，人員安撫對外宣告、通報、溝通，對外媒體公關執行保障部門BCP“業務連續性治理結構”—應急組織15應急管理層級角色職責應連續性管理的一般實施過程49識別業務活動評估業務活動中斷后隨著時間推移的影響分析業務活動在最低可接受水平上的可容忍中斷時間MTPD，確定恢復目標RTO，排定恢復順序識別業務活動依賴關系，確定恢復與復原所需資源業務影響分析風險評估針對需要優先恢復的關鍵業務活動（CBF）：識別可能導致中斷的風險；識別中斷發生后，業務活動及相關資源面臨的阻礙持續運行的風險；分析、評價風險；識別與RTO、RPO相適宜的風險處置措施。連續性策略

制定明確風險偏好，制定風險處置計劃：明確業務活動恢復的策略（災備建設要求、連續性計劃的制定要求）；保障相關資源的配置。風險處置連續性計劃

制定實施、跟蹤連續性風險處置；編制連續性計劃（BCP、ITDRP），包括：預警、響應、溝通上報、恢復、復原。連續性演練連續性計劃培訓；排定演練計劃；連續性計劃測試、演練。連續性管理

改進演練總結，識別改進機會；連續性管理改進優化。分析

(Analysis)設計

(Design)實施

(Implementation)驗證(Validation)資源—包括但不限于：人、信息/數據、設備設施耗材、IT系統、交通工具、資金、供應商/合作方。影響—例如：合規、聲譽、相關方利益、產品服務質量、社會責任、財務……Source：ISO22313連續性管理的一般實施過程16識別業務活動業務影響分析風險評估《商業銀行業務連續性監管指引》要求條款要求條款理解&待完成工作業務影響分析（BIA）識別重要業務，明確重要業務歸口管理部門、所需關鍵資源及對應的信息系統確定重要業務恢復時間目標(業務RTO)、業務恢復點目標(業務RPO)確定信息系統恢復時間目標(信息系統RTO)、信息系統恢復點目標(信息系統RPO)業務部門負責識別關鍵業務（CBF）、關鍵資源

（關鍵資源包括關鍵信息系統及其運行環境，關鍵的人員、業務場地、業務辦公設備、業務單據以及供應商）業務部門負責業務影響分析

（業務RTO、業務RPO，相當于信息系統的MTPD、MTDL）信息科技部門負責信息系統RTO、RPO

（應低于MTPD、MTDL）針對關鍵資源的連續性風險評估（RA）業務部門負責風險評估處置關鍵資源面臨的風險（預防性措施）制定差別化的業務恢復策略關鍵資源恢復、業務替代手段、數據追補和恢復優先級別BCM策略：承上（BIA、RA）：恢復要求關鍵資源備份、選擇恢復方式、恢復優先順序設置應急指揮中心（EOC）場所啟下（BCP）：BCP的總前提、總框架50《商業銀行業務連續性監管指引》要求條款要求條款理解&待完銀行業務（某國有銀行樣例）51業務類別業務名稱公司金融業務存款業務貸款業務金融機構業務國際結算及貿易融資業務其他公司金融業務個人金融業務儲蓄存款業務個人貸款業務個人中間業務“XX理財”服務私人銀行業務銀行卡業務渠道建設業務類別業務名稱金融市場業務全球投資全球交易資產管理債務資本市場基金代銷與托管企業年金管理銀行業務（某國有銀行樣例）18業務類別業務名稱公司金融業務存銀行業務（某城商行樣例）52業務條線業務產品個人條線個人賬戶業務個人貸款業務個人支付結算業務代理繳費POS收單個人理財公司條線公司賬戶業務公司貸款業務公司支付結算業務公司類代收代付公司理財國內信用證/保函國內保理小企業條線小企業賬戶業務小企業貸款業務小企業支付結算業務小企業類代收代付業務條線業務產品資金條線債券交易拆借交易（本幣）同業存放/存放同業（本幣）貼現轉帖與再貼現買入返售/賣出回購理財和信托投資交易國際業務條線同業存放/存放同業（外幣）同業拆借（外幣）結售匯外匯買賣代客外匯買賣國際保函國際貿易融資互聯網金融條線互聯網支付業務網絡預填單業務彩富業務銀行業務（某城商行樣例）19業務條線業務產品個人條線個人賬戶業務影響分析(BIA)示例XXX業務的關鍵業務時段：5×8（工作日9:00-17:00）53業務活動影響業務中斷時長MTPDRTO5分鐘30分鐘1小時4小時8小時1天3天>1周XXX業務客戶影響223344551小時45分鐘內部相關方影響12223455合規影響11112333聲譽/競爭優勢影響11112344財務影響11112344業務活動影響數據丟失時長MTDLRPO5分鐘30分鐘1小時4小時8小時1天3天>1周XXX業務客戶影響333444555分鐘3分鐘內部相關方影響12333455合規影響33333455聲譽/競爭優勢影響11233455財務影響12334455示例業務影響分析(BIA)示例XXX業務的關鍵業務時段：5×8（BIA/RA（樣例）示例BIA/RA（樣例）示例ICT為企業的業務持續做好準備（IRBC）Source：ISO/IEC27031:2011

ISO27031:2011是企業業