新版商业银行业务连续性管理办法.docx

商业银行业务连续性管理暂行办法第一章 总 则第一条 为加强商业银行业务连 续性管理，降低或消除 因信息系统服务异常导致重要业务运营中断的影响，快速恢 复被中断业务，根据银监会《商业银行信息科技风险管理指 引》和《商业银行业务连续性监管指引》以及相关法律法规， 制定本办法第二条 本办法所称业务连续性管理是指农信社为有效 应对重要业务运营中断事件，建设应急响应、恢复机制和管 理能力框架，保障重要业务持续运营的一整套管理过程，包 括策略、组织架构、方法、标准和程序第三条 本办法所称重要业务是指面向客户、涉及账务 处理、时效性要求较高的银行业务，其运营服务中断会对农 信社产生较大经济损失或声誉影响，或对公民、法人和其他 组织的权益、社会秩序和公共利益、国家安全造成严重影响 的业务第四条 本办法所称重要业务运营中断事件（以下简称 运营中断事件）是指因下述原因导致信息系统服务异常、重 要业务停止运营的事件主要包括：一）信息技术故障：信息系统技术故障、配套设施故障；二）外部服务中断：第三方无法合作或提供服务等；三）人为破坏：黑客攻击、恐怖袭击等；四）自然灾害：火灾、雷击、海啸、地震、重大疫情第五条 农信社应将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系， 确保重要业务在运营中断事件发生后快速恢复，降低或消除 因 重要业务运营中断造成的影响和损失，保障业务持续运营。

第六条 农信社应根据业务发展的总体目标、经营规模以 及风险控制的基本策略和风险偏好，确定适当的业务连续性 管理战略第七条 农信社应确定重要业务及其恢复目标，制定业务 连续性计划，配置必要的资源，有效处置运营中断事件，并 积极开展演练和业务连续性管理的评估改进第八条 业务连续性管理的基本原则是：一）切实履行社会责任，保护客户合法权益、维护金融秩序；二）坚持预防为主，建立预防、预警机制，将日常管理与应急处置有效结合；三）坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；（四）坚持联动协作，加强沟通协调，形成应对运营中 断 事件的整体有效机制第九条 农信社应将业务连续性管理融入到企业文化中， 使其成为日常运营管理的有机组成部分第二章 业务连续性组织架构 第一节 日常管理组织架构第十条 XXX 联社理事会和高级管理层是农信社业务连 续性管理的决策机构，对业务连续性管理承担最终责任主 要职责包括：（一）审核和批准业务连续性管理战略、政策和程序；（二）审定并定期审查和监督执行业务连续性管理政策、 程序；（三）明确各部门业务连续性管理职责，明确报告路线， 审 批重要业务恢复目标和恢复策略，督促各部门履行管理职 责， 确保业务连续性管理体系正常运行；四）确保配置足够的资源保障业务连续性管理的实施； 五）审批业务连续性管理年度审计报告。

第十一条 XXX 联社信息科技管理部的业务连续性管理 职 责是：一）制订业务连续性管理政策和基本管理制度并报理事会和高级管理层审定；（二）监督检查信息系统连续性管理成效三）履行向监管部门的报告职责等第十二条 XXX 联社数据中心的业务连续性管理职责是：一）确定重要信息系统恢复目标和恢复策略；二）负责信息技术应急响应与恢复，对重要业务系统 制定专项技术保障方案；三）做好信息系统营运监测和维护；四）开展业务连续性计划的演练、评估与改进 五）执行运营中断事件应急处第十三条 XXX 联社产品研发中心应制定技术支持方案验证重要业务系统灾备环境和应急切换流程的有效性第十四条 XXX 联社运营服务部、业务管理部、计划财 务部、电子银行中心等业务管理部门负责对各自分管的业务 进行风险评估、业务影响分析，确定重要业务恢复目标和恢 复策略，制定业务连续性计划和业务验证方案，负责业务条 线重要业务应急响应与恢复第十五条 XXX 联社办公室、人力资源部、发展研究部、 计 划财务部、合规与风险管理部、安全保卫部等作为业务连 续性财力管理保障部门，为业务连续性日常管理提供人力、物力、以及安全保障和法律咨询其中，发展研究部等舆情管理部门应制定对外媒体公关策略，制定和执行对外媒体公关的应急预案。

第十六条 XXX 联社各部门负责本部门业务连续性管理 工作，制定相关规章制度，制定和执行本部门业务连续性计 划，开展本部门业务连续性计划的演练、评估与改进工作第十七条 XXX 联社审计监察部负责并定期开展全行业 务连续性管理审计工作第二节应急处组织架构第十八条 农信社组建应急团队，在发生运营中断事件时，做到及时实施应急处置工作应急团队包括应急领导小组、应急执行小组、支持保障小组第十九条 XXX 联社信息安全保障委员会作为应急领导小组，主要职责是：一）领导和指挥运营中断事件处置工作；二）最终认定运营中断事件等级，决定是否启动处置预案；三）对运营中断事件重大处置措施进行决策；四）协调跨部门共同开展的处置工作重大事项；五）对运营中断事件处置的对外信息发布进行决策第二十条 应急执行小组由 XXX 联社数据中心、运营服务部、业务管理部、计划财务部、电子银行中心、产品研发 中心等部门及市州农商行信息科技部门组成，主要职责是：一）对运营中断事件进行业务条线与信息技术的应急处置；二）向应急领导小组报告运营中断事件、重大处置事项及事件进展情况第二十一条 支持保障小组由 XXX 联社办公室、人力资源部、发展研究部、计划财务部、合规与风险管理部、安全保卫部等部门组成，主要职责是：一）应急处置所需人力、物力和财力等资源的保障； 二）应急处置对外报告、宣告、通报和沟通与协调； 三）对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。

第三章 业务影响分析第二十二条 XXX 联社业务管理部门应通过业务影响分 析识别和评估业务运营中断所造成的影响和损失，明确业务 连续性管理重点，根据业务重要程度实现差异化管理，确定 各业务恢复优先顺序和恢复指标应至少每三年开展一次全 面业务影响分析，并形成业务影响分析报告第二十三条 XXX 联社业务管理部门应识别重要业务， 明确重要业务归口管理部门、所需关键资源及对应的信息系 统，识别重要业务的相互依赖关系，分析、评估各项重要业 务在运营中断事件发生时可能造成的经济损失和非经济损失第二十四条 XXX 联社业务管理部门应综合分析重要业务运营中断可能产生的损失与业务恢复成本，结合业务服务 时效性、服务周期等运行特点，确定重要业务恢复时间目标（业务R TO ）、业务恢复点目标（业务R P O）,原则上，重 要业务恢复时间目标不得大于 4 小时，重要业务恢复点目标 不得大于半小时第二十五条 XXX 联社业务管理部门应明确业务重要程 度 和恢复优先级别，并识别重要业务恢复所需的必要资源第二十六条 XXX 联社数据中心应通过分析业务与信息 系 统的对应关系、信息系统之间的依赖关系，根据业务恢复 时间 目标、业务恢复点目标、业务应急响应时间、业务恢复 的验证 时间，确定信息系统恢复时间目标（信息系统 R TO） 、信息系统 恢复点目标（信息系统 R P O） ，明确信息系统重要程度和恢复 优先级别，并识别信息系统恢复所需的必要资源。

第二十七条 XXX 联社数据中心及相关部门应开展业务连续性风险评估，识别业务连续运营所需的关键资源，分析资源所面临的各类威胁以及资源自身的脆弱性，确定资源的 风险敞口关键资源应包括关键信息系统及其运行环境，关 键的人员、业务场地、业务办公设备、业务单据以及供应商 等第二十八条 XXX 联社数据中心及相关部门应根据风险敞口制定降低、缓释、转移等应对策略依据防范或控制风 险的可行性和残余风险的可接受程度，确定风险防范和控制 的原则与措施第二十九条 XXX 联社业务管理部门应根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略， 主要包括关键资源恢复、业务替代手段、数据追补和恢复优 先级别等第三十条 XXX 联社数据中心及相关部门应依据业务恢 复 策略，确定灾难恢复资源获取方式和灾难恢复等级第四章 业务连续性计划与资源建设第一节 业务连续性计划第三十一条 XXX 联社业务管理部门应依据业务恢复目 标 制定覆盖所有重要业务的业务连续性计划第三十二条业务连续性计划的主要内容应包括：一）重要业务及关联关系、业务恢复优先次序；二）重要业务运营所需关键资源；三）应急指挥和危机通讯程序；四）各类预案以及预案维护、管理要求；五）残余风险。

第三十三条 XXX 联社业务管理部门应制定总体应急预 案总体应急预案是应对运营中断事件的总体方案，包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事 件的预警、报告、分析、决策、处理、恢复等处置程序总 体预案通常用于处置导致大范围业务运营中断的事件第三十四条 XXX 联社业务管理部门应制定重要业务专 项 应急预案，专项应急预案应注重灾难场景的设计，明确在 不 同场景下的应急流程和措施业务条线的专项应急预案， 应 注重调动内部资源、采取业务应急手段尽快恢复业务，并 和 信息科技部门、保障部门的应急预案有效街接第三十五条 专项应急预案的主要内容应包括：（一）应急组织架构及各部门、人员在预案中的角色 权限、职责分工；二）信息传递路径和方式； 三）运营中断事件处置程序，包括预警、报告、决策、指挥、响应、回退等；四）运营中断事件处置过程中的风险控制措施；五）运营中断事件的危机处理机制； 六）运营中断事件的内部沟通机制和联系方式七）运营中断事件的外部沟通机制和联系方式八）应急完成后的还原机制第三十六条 XXX 联社数据中心及相关部门应要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应满足商业银行要求。

第三十七条 XXX 联社数据中心及相关部门应注重与金 融同业单位、外部金融市场、金融服务平台和公共事业部门 等业务连续性计划的有效衔接；同时，应积极采取风险缓释 及转移措施，有效控制由于外部机构业务连续性管理不充分 可能产生的风险第二节 业务连续性资源建设第三十八条 XXX 联社数据中心及相关部门应开展业务 连续性计划所需的资源建设，满足业务恢复目标和重要业务 持续运营的要求第三十九条 XXX 联社数据中心应重点加强信息系统关持续运行并减少信息系统中断后的恢复时间第四十条 农信社应设立统一的运营中断事件指挥中心 场所，用于应急决策、指挥与联络，指挥场所应配置办公与 通讯设备以及指挥执行文档、联系资料等第四十一条 农信社应建立符合业务连续性管理要求的 备用资源，如备用业务和办公场所资源、备用信息系统运行 场所资源、备用信息技术资源、备用人力资源等，以及电力 通讯、消防、安保等资源第四十二条 农信社选择备用场地时，应确保不会同时遭受同类型风险；应综合分析备用场地所在地的自然环境、地 区配套设施、区域经济环境、交通条件、政策环境和成本等 各 方面因素，以及灾难恢复所需的金融服务、通讯、设备、 技 术等外部服务供应商资源情况。

第四十三条 农信社在建立备用业务和办公场所时，应配 备业务操作和办公所需资源，并确保其能够迅速启用第四十四条 农信社应建立灾备中心等备用信息技术资 源和备用信息系统运行场所资源，并满足银监。