商业的银行业务连续性监管指引.docx
22页
中国银行业监督管理委员会关于印发商业银行业务连续性监管指引的通知(银监发[2011]104 号)各银监局,各政策性银行、国有商业银行、股份制商业银行 金融资产管理公司,邮政储蓄银行,各省级农村信用联社, 银监会直接监管的信托公司、企业集团财务公司、金融租赁 公司:为加强商业银行风险管理,提高业务连续性管理能力, 促进商业银行有效履行社会责任,维护公众信心和银行业正 常的运营秩序,银监会制定了《商业银行业务连续性监管指 引》,现印发给你们,请遵照执行请各银监局将本通知转发至辖内银监分局及银行业金 融机构中国银行业监督管理委员会二 0 一一年十二月二十八日商业银行业务连续性监管指引第一章 总则第一条 信息系统与信息科技是保障商业银行业务持 续运营的重要基础为降低或消除因信息系统服务异常导致 重要业务运营中断的影响,快速恢复被中断业务,维护公众 信心和银行业正常运营秩序,提高商业银行业务连续性管理 能力,根据《中华人民共和国银行业监督管理法》、《中华人 民共和国商业银行法》以及相关法律法规,制定本指引第二条 本指引所称业务连续性管理是指商业银行为 有效应对重要业务运营中断事件,建设应急响应、恢复机制 和管理能力框架,保障重要业务持续运营的一整套管理过 程,包括策略、组织架构、方法、标准和程序。
第三条 本指引所称重要业务是指面向客户、涉及账务 处理、时效性要求较高的银行业务,其运营服务中断会对商 业银行产生较大经济损失或声誉影响,或对公民、法人和其 他组织的权益、社会秩序和公共利益、国家安全造成严重影 响的业务第四条 本指引所称重要业务运营中断事件 (以下简称 运营中断事件)是指因下述原因导致信息系统服务异常、重 要业务停止运营的事件主要包括:(一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等;(三)人为破坏:黑客攻击、恐怖袭击等;(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等 第五条 商业银行应当将业务连续性管理纳入全面风 险管理体系,建立与本机构战略目标相适应的业务连续性管 理体系,确保重要业务在运营中断事件发生后快速恢复,降 低或消除因重要业务运营中断造成的影响和损失,保障业务 持续运营第六条 商业银行应当根据本行业务发展的总体目标、 经营规模以及风险控制的基本策略和风险偏好,确定适当的 业务连续性管理战略第七条 商业银行应当建立业务连续性管理的组织架 构,确定重要业务及其恢复目标,制定业务连续性计划,配 置必要的资源,有效处置运营中断事件,并积极开展演练和 业务连续性管理的评估改进。
第八条 业务连续性管理的基本原则是:(一)切实履行社会责任,保护客户合法权益、维护金融 秩序;(二)坚持预防为主,建立预防、预警机制,将日常管理 与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管 理,保障重要业务有序恢复;兼顾业务连续性管理成本与效 益;(四)坚持联动协作,加强沟通协调,形成应对运营中断 事件的整体有效机制第九条 商业银行应当将业务连续性管理融入到企业 文化中,使其成为银行机构日常运营管理的有机组成部分第二章 业务连续性组织架构第一节 日常管理组织架构第十条 董(理)事会是商业银行业务连续性生管理的 决策机构,对业务连续性管理承担最终责任主要职责包括:(一)审核和批准业务连续性管理战略、政策和程序;(二)审批高级管理层业务连续性管理职责,定期听取高 级管理层关于业务连续性管理的报告,监督、评价其履职情 况;(三)审批业务连续性管理年度审计报告第十一条 高级管理层负责执行经董 (理)事会批准的 业务连续性管理政策主要职责包括:(一)制定并定期审查和监督执行业务连续性管理政策、 程序;(二)明确各部门业务连续性管理职责,明确报告路线, 审批重要业务恢复目标和恢复策略,督促各部门履行管理职 责,确保业务连续性管理体系正常运行;(三)确保配置足够的资源保障业务连续性管理的实施。
第十二条 商业银行应当设立由高级管理层和业务连 续性管理相关部门负责人组成的业务连续性管理委员会,统 筹协调、落实各项管理职责第十三条 商业银行应当指定风险管理部门或其他综 合管理部门为业务连续性管理主管部门,组织开展全行业务 连续性管理工作,指导、评估、监督各部门的业务连续性管 理工作;组织制定业务连续性计划,协调业务条线部门,汇 总、确定重要业务的恢复目标和恢复策略;组织开展业务连 续性计划的演练、评估与改进;开展业务连续性管理培训等第十四条 商业银行应当明确业务连续性管理执行部 门,包括业务条线部门与信息科技部门业务条线部门负责 风险评估、业务影响分析,确定重要业务恢复目标和恢复策 略,负责业务条线重要业务应急响应与恢复;信息科技部门 负责信息技术应急响应与恢复第十五条 商业银行应当明确业务连续性管理保障部 门,包括办公室、人力资源部门、公共关系部门、财务部门、 法律合规部门、后勤部门、保卫部门等,为业务连续性日常 管理提供人力、物力、财力以及安全保障和法律咨询其中, 公共关系部门应当制定对外媒体公关策略,制定和执行对外 媒体公关的应急预案第十六条 商业银行各部门应当负责本部门业务连续 性管理工作,制定相关规章制度,制定和执行本部门业务连 续性计划,开展本部门业务连续性计划的演练、评估与改进 工作。
第十七条 商业银行内部审计部门应当负责并定期开 展全行业务连续性管理审计工作第二节 应急处置组织架构第十八条 商业银行应当建立运营中断事件应急处置 的组织架构,包括应急决策层、应急指挥层、应急执行层和 应急保障层第十九条 应急决策层由商业银行高级管理人员组成, 负责决定应急处置重大事宜,包括:决定运营中断事件通报、 对外报告和公告;批准启动总体应急预案等第二十条 应急指挥层由商业银行的业务连续性管理 主管部门、执行部门和保障部门负责人组成,负责运营中断 事件处置应急指挥和组织协调,督导应急处置实施第二十一条 应急执行层由商业银行业务连续性管理 执行部门组成,负责业务条线与信息技术应急处置工作第二十二条 应急保障层由商业银行业务连续性管理 保障部门组成,负责应急处置所需人力、物力和财力等资源 的保障,应急处置对外报告、宣告、通报和沟通与协调,以 及对外媒体公关、秩序维护、安全保障、法律咨询和人员安 抚等相关工作第三章 业务影响分析第二十三条 商业银行应当通过业务影响分析识别和 评估业务运营中断所造成的影响和损失,明确业务连续性管 理重点,根据业务重要程度实现差异化管理,确定各业务恢 复优先顺序和恢复指标。
商业银行应当至少每三年开展一次 全面业务影响分析,并形成业务影响分析报告第二十四条 商业银行应当识别重要业务,明确重要业 务归口管理部门、所需关键资源及对应的信息系统,识别重 要业务的相互依赖关系,分析、评估各项重要业务在运营中 断事件发生时可能造成的经济损失和非经济损失第二十五条 商业银行应当综合分析重要业务运营中 断可能产生的损失与业务恢复成本,结合业务服务时效性、 服务周期等运行特点,确定重要业务恢复时间目标 (业务 RTO)、业务恢复点目标(业务RPO),原则上,重要业务恢复 时间目标不得大于 4 小时,重要业务恢复点目标不得大于半 小时第二十六条 商业银行应当明确业务重要程度和恢复 优先级别,并识别重要业务恢复所需的必要资源第二十七条 商业银行应当通过分析业务与信息系统 的对应关系、信息系统之间的依赖关系,根据业务恢复时间 目标、业务恢复点目标、业务应急响应时间、业务恢复的验 证时间,确定信息系统恢复时间目标(信息系统RTO)、信息 系统恢复点目标(信息系统RPO),明确信息系统重要程度和 恢复优先级别,并识别信息系统恢复所需的必要资源第二十八条 商业银行应当开展业务连续性风险评估, 识别业务连续运营所需的关键资源,分析资源所面临的各类 威胁以及资源自身的脆弱性,确定资源的风险敞口。
关键资 源应当包括关键信息系统及其运行环境,关键的人员、业务 场地、业务办公设备、业务单据以及供应商等第二十九条 商业银行应当根据风险敞口制定降低、缓 释、转移等应对策略依据防范或控制风险的可行性和残余 风险的可接受程度,确定风险防范和控制的原则与措施第三十条 商业银行应当根据业务影响分析结果,依据 业务恢复指标,制定差别化的业务恢复策略,主要包括关键 资源恢复、业务替代手段、数据追补和恢复优先级别等第三十一条 商业银行应当依据业务恢复策略,确定灾 难恢复资源获取方式和灾难恢复等级第四章 业务连续性计划与资源建设第一节 业务连续性计划第三十二条 商业银行应当依据业务恢复目标,制定覆 盖所有重要业务的业务连续性计划第三十三条 业务连续性计划的主要内容应当包括:(一)重要业务及关联关系、业务恢复优先次序;(二)重要业务运营所需关键资源;(三)应急指挥和危机通讯程序;(四)各类预案以及预案维护、管理要求;(五)残余风险第三十四条 商业银行应当制定总体应急预案总体应 急预案是商业银行应对运营中断事件的总体方案,包括总体 组织架构、各层级预案的定位和衔接关系及对运营中断事件 的预警、报告、分析、决策、处理、恢复等处置程序。
总体 预案通常用于处置导致大范围业务运营中断的事件第三十五条 商业银行应当制定重要业务专项应急预 案,专项应急预案应当注重灾难场景的设计,明确在不同场 景下的应急流程和措施业务条线的专项应急预案,应当注 重调动内部资源、采取业务应急手段尽快恢复业务,并和信 息科技部门、保障部门的应急预案有效衔接第三十六条 专项应急预案的主要内容应当包括:(一)应急组织架构及各部门、人员在预案中的角色、权 限、职责分工;(二)信息传递路径和方式;(三)运营中断事件处置程序,包括预警、报告、决策、 指挥、响应、回退等;(四)运营中断事件处置过程中的风险控制措施;(五)运营中断事件的危机处理机制;(六)运营中断事件的内部沟通机制和联系方式;(七)运营中断事件的外部沟通机制和联系方式;(八)应急完成后的还原机制第三十七条 商业银行应当要求重要业务及信息系统 的外部供应商建立业务连续性计划,证明其业务连续性计划 的有效性,其业务恢复目标应当满足商业银行要求第三十八条 商业银行应当注重与金融同业单位、外部 金融市场、金融服务平台和公共事业部门等业务连续性计划 的有效衔接;同时,应当积极采取风险缓释及转移措施,有 效控制由于外部机构业务连续性管理不充分可能产生的风 险。
第二节 业务连续性资源建设第三十九条 商业银行应当开展业务连续性计划所需 的资源建设,满足业务恢复目标和重要业务持续运营的要 求第四十条 商业银行应当重点加强信息系统关键资源 的建设,实现信息系统的高可用性,保障信息系统的持续运 行并减少信息系统中断后的恢复时间第四十一条 商业银行应当设立统一的运营中断事件 指挥中心场所,用于应急决策、指挥与联络,指挥场所应当 配置办公与通讯设备以及指挥执行文档、联系资料等第四十二条 商业银行应当建立符合业务连续性管理 要求的备用资源,如备用业务和办公场所资源、备用信息系 统运行场所资源、备用信息技术资源、备用人力资源等,以 及电力、通讯、消防、安保等资源第四十三条 商业银行选择备用场地时,应当确保不会 同时遭受同类型风险;应当综合分析备用场地所在地的自然 环境、地区配套设施、区域经济环境、交通条件、政策环境 和成本等各方面因素,以及灾难恢复所需的金融服务、通讯、 设备、技术等外部服务供应商资源情况第四十四条 商业银行在建立备用业务和办公场所时, 应当配备业务操作和办公所需资源,并确保。
