业务连续性管理-(BCM)实务培训-课件.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,-,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,-,*,业务连续性管理 business continuity management（BCM）,培训讲师：周武,1,-,业务连续性管理 business continuity ma,内容提要,2,-,内容提要2-,BCM,3,-,BCM3-,何为,BCM,业务连续性（,Business Continuity,）：,业务中断,事件发生后，在预先确定的,可接受水平上,持续交付产品或提供服务的能力业务连续性管理（,Business Continuity Management,）,是一套整体的管理流程，用以：,识别潜在威胁,，以及这些威胁,对业务持续运行带来的影响,；,建立,有效应对威胁的自我恢复能力,，,保护关键相关方的利益、声誉、品牌和创造价值的活动4,-,何为BCM业务连续性（Business Continuity,BCM,是一个跨多个专业领域的综合性体系,5,-,BCM是一个跨多个专业领域的综合性体系5-,BCM,标准发展,新加坡标准,SS540,英国标准,BS25999,国际业务持续协会（,BCI,）,业务持续管理良好实践指南,BCM GPG,理论基础,理论基础,升级,中国国家标准,GB/T30146,2013,年,12,月,17,日正式发布,国际标准,ISO22301,2012,年,5,月,15,日正式发布,对应,商业银行业务连续性监管指引,2011,年,12,月,28,日正式发布,6,-,BCM标准发展新加坡标准英国标准国际业务持续协会（BCI）理,ISO22301,标准全文结构,4.,组织环境,5.,领导力,6.,策划,7.,支持,8.,实施,9.,绩效评价,10.,改进,理解组织,及其环境,理解相关,方的需求和,期望,定义,BCMS,的,范围,BCMS,领导力与承诺,管理承诺,方针,应对风险和,机会的措施,业务连续性,目标和实现计划,资源,能力,意识,沟通,文件化信息,实施策划与控制,业务影响分析,和风险评估,业务连续性策略,建立和实施,业务连续性程序,演练和测试,监视、测量、,分析和评价,内部审计,管理评审,不合格项和,纠正措施,持续改进,计划（,Plan,）,执行（,Do,）,检查（,Check,）,改进（,Action,）,组织角色、,职责和权限,7,-,ISO22301标准全文结构4.组织环境5.领导力6.策划7,监管指引与国际标准对应关系,ISO22301:2012,（,GB/T30146-2013,）,商业银行业务连续性监管指引,4,组织环境,5,领导力,6,策划,7.1,资源,7.4,沟通,7.5,文件化信息,9,绩效评价,10,改进,第一章总则,第二章业务连续性组织架构,7.2,能力,7.3,意识,第一章总则,（,第九条,）,8.2,业务影响分析和风险评估,8.3,业务连续性策略,第三章业务影响分析,8.4,建立和实施业务连续性程序,第四章业务连续性计划与资源建设,第六章,运营中断事件应急处置,8.5,演练和测试,第五章业务连续性演练与持续改进,-,第七章监管和处置,8,-,监管指引与国际标准对应关系ISO22301:2012（GB,业务连续性与,IT,服务连续性,业务流程、业务活动,IT,服务,（信息系统、,IT,基础设施）,技术支撑,业务连续性（,Business Continuity,）：,关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。

业务不连续的后果：,客户量,/,业务量减少、产品报废、合同违约、监管违规、财务损失、利益相关方施压、社会谴责（环境,/,健康等）、丧失竞争力、破产,业务连续性计划（,BCP,）,：从业务层面恢复中断的业务流程和活动IT,灾难恢复计划（,IT DRP,）、应急预案通常用于支撑,BCP,IT,服务连续性（,IT Service Continuity,）：,关注于保障信息系统、,IT,基础设施持续运行IT,服务不连续的后果：,直接表现：,IT,基础设施瘫痪、信息系统停止服务；,间接表现：依赖,IT,系统的业务活动停滞，部分业务切换到人工操作IT,灾难恢复计划,：将中断的,IT,系统服务恢复到可用状态，通常涉及灾备切换应急预案,：通常由一组具体的故障恢复场景构成，可能包含导致服务中断的严重故障，也有可能涉及未导致服务中断的一般故障信息化技术越来越多地承载了组织的业务流程运行9,-,业务连续性与IT服务连续性业务流程、业务活动IT服务（信息,业务连续性的恢复要求,最长可容忍中断时间（,MTPD,Maximum Tolerable Period Of Disruption,）,交付产品、服务的业务流程与活动的最长可容忍中断时间。

如果超出此时间限制，带来的负面影响将变得无法承受恢复时间目标（,RTO,）,基于,MTPD,，在组织内部协商后制定的恢复时间目标值RTO,应小于,MTPD,（,30%,为宜）组织应在假设的最坏场景下，通过演练、测试，验证自身达成,RTO,的实际能力最长可容忍数据丢失点（,MTDL,Maximum Tolerable Data Lost,）,交付产品、服务的业务流程与活动中断后再次恢复时，能够容忍的数据丢失时长即：将数据恢复到中断前多久的状态恢复点目标（,RPO,）,基于,MTDL,，在组织内部协商后制定的恢复点目标值RPO,应小于,MTDL,（,30%,为宜）组织应通过适当的备份机制，确保备份间隔时间小于,RPO,，并通过演练、测试，验证备份的有效性10,-,业务连续性的恢复要求最长可容忍中断时间（MTPD,Maxi,业务最低运营要求,维持业务运营的最低性能与容量要求；,保证最核心的业务流程,/,活动,/,产品,/,服务,/,职能,/,区域恢复运行,通常会作为灾备建设依据,业务运营能力,时间,业务完全运营要求,最低运营要求与完全运营要求,如果缺乏,BCM,按预期要求复原,11,最长可容忍中断时间,MTPD,24,小时,目标恢复时间,RTO,16,小时,最长可接受复原时间,7,天,目标复原时间,5,天,业务中断,突发事件,0,借助,BCM,快速恢复,11,-,业务最低运营要求业务运营能力时间业务完全运营要求最低运营要求,如果业务活动完全依赖于,IT,系统，则对于,IT,部门而言：,业务部门以业务视角分析出系统的恢复目标,MTPD,、,MTDL,；,IT,部门应据此制定信息系统的,RTO,、,RPO,。

允许的,数据丢失,时间,复原,RTO,业务复原,到,完全运营水平,3,天,恢复,RTO,RPO,恢复关键业务,到,最低运营水平,最新的,数据备份点,-1,小时,4,小时,MTPD,6,小时,MTDL,-2,小时,事件上报与初判,执行恢复,启用备用资源,复原或重建,实施临时变通方案,信息系统的恢复与复原,突发事件,0,系统中断、实时数据丢失,12,-,如果业务活动完全依赖于IT系统，则对于IT部门而言：允许的时,商业银行业务连续性监管指引,要求的,BCM,治理结构,条款要求,条款理解,日常管理组织架构,决策机构：董,(,理,),事会,高级管理层、业务连续性管理委员会,主管部门：风险管理部门或其他综合管理部门,执行部门：业务条线部门、信息科技部门,保障部门：办公室、人事、公共关系、财务、法律合规、后勤保卫,内部审计部门：定期开展审计工作,各部门：制定,/,执行本部门业务连续性计划,明确,BCM,日常组织架构,最高管理层参与,全行,各部门参与,BCM,主管部门牵头运行,BCMS,信息科技部门是最关键的执行部门,应急处置组织架构,应急决策层,：高级管理层代为决策,应急指挥层,：主管部门及各部门负责人,应急执行层,：,执行部门,应急保障层,：,保障部门,根据全行组织级,BCP,、部门级,BCP,的定义，各层级、,各部门各司其职，负责具体应急处置工作,13,-,商业银行业务连续性监管指引要求的BCM治理结构条款要求条,“,业务连续性,治理结构”,日常组织,治理层级,角色,职责,BCM,决策,层,理事会,承担,BCM,最终责任,BCM,管理层,业务连续性管理委员会,执行决策层批准的,BCM,方针、方案,统筹协调、落实各项,BCM,职责,BCM,执行层,BCM,主管部门,风险管理部门,或其他综合管理部门,组织开展,全行业务连续性管理工作，指导、评估、监督,各部门执行工作,BCM,执行部门,各业务条线部门,业务影响分析；,风险评估；,确定恢复策略；,负责业务条线重要业务应急响应与恢复（制定业务部门,BCP,）,信息科技部门,信息技术应急响应与恢复（制定信息科技部门,BCP,、,IT,连续性计划）,BCM,保障部门,办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门,人力、物力、财力以及安全保障、法律咨询、对外媒体公关,（制定保障部门,BCP,）,14,-,“业务连续性治理结构”日常组织治理层级角色职责BCM决策,“,业务连续性,治理结构”,应急组织,应急管理层级,角色,职责,应急决策层,高级管理人员,决定运营中断事件通报、对外报告和公告；,批准启动,BCP/,总体应急预案,应急指挥层,BCM,主管、执行和保障,部门负责人,应急指挥和组织协调,应急执行层,BCM,执行部门：,各业务条线部门,信息科技部门,业务条线与信息技术应急处置工作,：,执行业务部门、信息科技部门,BCP,启动应急预案,应急保障层,BCM,保障部门：,办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门,资源保障：人、财、物,秩序维护，安全保障，法律咨询，人员安抚,对外宣告、通报、沟通，对外媒体公关,执行保障部门,BCP,15,-,“业务连续性治理结构”应急组织应急管理层级角色职责应急决,连续性管理的一般实施过程,识别业务活动,评估业务活动中断后随着时间推移的,影响,分析业务活动在最低可接受水平上的可容忍中断时间,MTPD,，确定恢复目标,RTO,，排定恢复顺序,识别业务活动依赖关系，确定恢复与复原,所需资源,业务影响分析,风险评估,针对需要优先恢复的关键业务活动（,CBF,）：,识别可能导致中断的风险；,识别中断发生后，业务活动及相关资源面临的阻碍持续运行的风险；,分析、评价风险；,识别与,RTO,、,RPO,相适宜的风险处置措施。

连续性策略,制定,明确风险偏好，制定风险处置计划：,明确业务活动恢复的策略（灾备建设要求、连续性计划的制定要求）；,保障相关资源的配置风险处置,连续性计划,制定,实施、跟踪连续性风险处置；,编制连续性计划（,BCP,、,IT DRP,），包括：预警、响应、沟通上报、恢复、复原连续性演练,连续性计划培训；,排定演练计划；,连续性计划测试、演练连续性管理,改进,演练总结，识别改进机会；,连续性管理改进优化分析,(Analysis),设计,(Design),实施,(Implementation),验证,(Validation),资源,包括但不限于：人、信息,/,数据、设备设施耗材、,IT,系统、交通工具、资金、供应商,/,合作方影响,例如：合规、声誉、相关方利益、产品服务质量、社会责任、财务,Source,：,ISO22313,16,-,连续性管理的一般实施过程识别业务活动业务影响分析风险评估针对,商业银行业务连续性监管指引,要求,条款要求,条款理解,&,待完成工作,业务影响分析（,BIA,）,识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统,确定重要业务恢复时间目标,(,业务,RTO),、业务恢复点目标,(,业务,RPO),确定信息系统恢复时间目标,(,信息系统,RTO),、信息系统恢复点目标,(,信息系统,RPO),业务部门,负责,识别,关键业务,（,CBF,）、,关键资源,（,关键资源,包括关键,信。