商业银行业务连续性监管指引(征求意见稿).docx

商业银行业务连续性监管指引（征求意见稿）第一章 总则第一条 为加强商业银行风险管理，提高业务连续性管理能 力，降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业 务运营中断所产生的影响，快速恢复被中断业务，保障银行机构有效 履行社会责任，维护公众信心和银行业正常的运行秩序，根据《中华 人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制 定本指引第二条 在中华人民共和国境内设立的国有商业银行、股份 制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、 外商独资银行、中外合资银行适用本指引中国银监会监管的其他金融机构参照本指引执行第三条 本指引所称重要业务是指面向社会客户、涉及账务 处理及处理时效性要求较髙的业务，其运行服务的中断会给商业银行 造成重大经济损失或声誉影响，会对公民、法人或组织的权益、公共 利益甚至国家安全带来严重后果的业务第四条 本指引所称突发事件是指因下述原因，导致商业银行重要业务异常或中断，产生不良影响或资金损失的事件，包括：（一） 信息系统各类技术故障和配套设施故障；（二） 自然灾害（如火灾、雷击、海啸等）；（三） 外部影响（如发生黑客攻击、第三方无法提供合作或服务等）。

第五条 商业银行应根据突发事件造成的影响、损失程度和 范围划分事件等级第六条 本指引所称业务连续性是商业银行通过对突发事件 的规划和响应，使重要业务得到有序、快速恢复，实现持续、稳定运 行的能力第七条 本指引所称业务连续性管理是商业银行为保证重要 业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和 程序的有机整体第八条 商业银行应建立有效的业务连续性管理体系，使重 要业务在发生突发事件后能有序、快速恢复，消除或减少因重要业务 中断造成的影响和损失，实现业务的持续运营第九条 业务连续性管理的基本原则是：（一） 社会责任原则：应以切实有效履行社会责任为业务连续性管 理的重要目标二） 预防为主原则；应积极采取预防控制措施，提高重要业务所 依赖关键资源的健壮度，提升风险防御能力，消除或降低业务运营中 断发生的可能性三） 重要业务原则：应选择重要业务进行连续性管理；（四） 恢复优先次序原则：应根据重要业务的重要性和影响大小确定恢复的先后次序；（五） 成本效益平衡原则：商业银行在实施业务连续性管理过程中 应综合考虑投入成本和产出效益间的平衡第十条 商业银行应根据本行业务发展的总体目标、经营规 模以及风险控制的基本策略和风险偏好，确定合适的业务连续性管理 战略。

第十一条 商业银行应通过建立业务连续性管理组织架构，确定 重要业务、明确业务恢复目标，制定业务连续性计划、配置资源，对 业务连续性计划进行演练，建立突发事件处置和危机处理的高效机制第十二条 商业银行应构建业务连续性管理文化，使其成为全 行的核心价值和有效管理的组成部分，并通过必要的知识传递来提高 强化和维持员工的业务连续性管理意识第二章 组织架构第十三条 商业银行应建立业务连续性管理的日常组织架构 组织架构包括董事会、风险管理委员会、业务连续性管理主管部门、 执行部门和保障部门第十四条 董事会是本行业务连续性管理的最高决策机构，对 业务连续性管理负最终责任主要职责包括：（一） 制定与本行业务发展和风险管理战略目标相一致的业务连 续性管理总体战略；（二） 审批风险管理委员会在业务连续性管理过程中的职责、权限 及报告制度，审查风险管理委员会在业务连续性管理过程中的履职情 况；（三） 审批风险管理委员会制订的业务连续性管理的总体目标；（四） 审批风险管理委员会为业务连续性管理制订的人员、资金 重要设施等资源的总体配备方案；（五） 审核业务连续性管理主管部门撰写的业务连续性管理的评 估报告、内部审计部门撰写的业务连续性管理的审计报告。

第十五条 风险管理委员会应根据业务连续性管理战略，开展 业务连续性的总体管理主要职责包括：（一） 制订业务连续性管理的总体目标；（二） 审批业务连续性管理办法；（三） 审批需要恢复的重要业务范围；（四） 审批业务连续性管理的工作计划与评估报告；（五） 审批业务连续性计划的演练计划与总结报告；（六） 为业务连续性管理调配资源及赋予执行和保障部门相应的 权限等第十六条 商业银行应指派风险管理部门或其它综合管理部门 作为业务连续性管理的主管部门（简称业务连续性管理主管部门）， 组织、协调全行业务连续性管理的日常工作主要职责包括：（一） 制订和维护业务连续性管理办法；（二） 制定风险分析、业务影响分析的方法与流程；（三） 制订业务连续性管理的工作计划与评估报告；（四） 制订业务连续性计划的演练计划与总结报告；（五） 组织业务连续性计划的演练、评估、总结与改进；（六） 组织业务连续性管理的培训；（七） 指导和监督执行部门进行业务连续性管理活动 第十七条 商业银行的执行部门负责业务连续性管理相关工作 的具体实施，包括业务部门与信息科技部门等各相关部门第十八条 业务部门的主要职责包括：（一） 拟定需要恢复的重要业务及其恢复目标和恢复策略；负责风 险评估、业务影响分析，撰写风险评估报告和业务影响分析报告；（二） 负责业务部门的业务连续性计划的制订；参与业务连续性计 划的整体演练；负责本部门业务连续性计划的具体演练、评估、总结 与改进；（三） 参与业务连续性管理的培训；（四） 负责对本部门业务连续性管理的定期评估、改进。

第十九条 信息科技部门的主要职责包括：（一） 保障信息系统的高可用性；根据业务恢复策略，配置信息系 统资源；（二） 负责科技部门的业务连续性计划的制订；参与业务连续性计 划的整体演练；负责本部门业务连续性计划的演练、评估、总结与改 进；（三） 参与业务连续性管理的培训；负责对本部门业务连续性管理 的定期评估、改进；（四） 负责信息系统灾备中心的日常管理、灾难备份系统的运行和维护；（五） 配合业务部门进行业务连续性管理第二十条 保障部门由办公室、人力资源部门、财务部门、法 律合规部门、审计部门、对外联络部门、总务部门、保卫部门等组 成主要职责包括：（一） 制订本部门业务连续性计划；参与业务连续性计划的整体演 练；负责本部门业务连续性计划的具体演练、评估、总结与改进；（二） 为业务连续性管理提供必要的人员、物力、财力与安全保障（三） 对外联络部门负责危机处理；（四） 参与业务连续性管理的培训；负责对本部门业务连续性管理 的定期评估、改进；（五） 审计部门负责业务连续性管理的审计第三章 业务影响分析第二十一条 业务影响分析是指识别和评估业务中断所造成的影 响和损失的过程通过分析识别重要业务，明确业务连续性管理重点, 并根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢 复指标。

商业银行应至少每年一次进行业务影响分析，形成业务影响 分析报告第二十二条 商业银行应综合考虑以下因素，识别和确定重要业 务应明确重要业务的归口管理部门，以及所需的关键资源和对应的 信息系统一） 中断的影响范围及程度；（二） 恢复成本与中断损失的关系；（三）中断导致的声誉风险；（四）法律法规和监管要求第二十三条 商业银行应识别重要业务的相互依赖关系，对重要业 务所依赖的关键资源损失的场景进行设定，分析、评估各项银行重要 业务在突发事件发生时可能造成的经济损失和非经济损失第二十四条 商业银行应通过平衡业务中断产生的损失与业务恢 复成本，结合业务服务实时性、服务周期等运行特点，确定业务恢复 至正常服务水平的指标，即业务可容忍恢复时间（业务RTO）、业务 恢复时间点要求（业务RPO），明确业务重要程度和恢复优先级别， 并识别重要业务恢复所需最小资源第二十五条商业银行应通过分析业务与信息系统的对应关系、信 息系统之间的依赖关系，根据业务恢复指标并考虑业务应急响应时间、 业务恢复的验证时间，确定信息系统恢复至正常服务水平的指标，包 括信息系统可容忍恢复时间（信息系统RTO）、信息系统恢复时间点 要求（信息系统RPO），同时明确关键信息系统，制定信息系统恢复 优先级别。

信息系统的RTO 一般小于业务RTO第二十六条 原则上重要业务RT0不得大于4小时，重要业务RPO 不得大于半小时第二十七条 商业银行应开展风险评估，通过标识重要业务运行所 需关键资源，分析关键资源面临的威胁，识别关键资源本身的脆弱 性，分析威胁发生的可能性，并定量或定性描述可能造成的损失第二十八条 商业银行应对识别的各类风险制定缓释、消除、转移 等应对策略依据防范或控制风险的可行性和残余风险的可接受程 度，确定对风险防范和控制的原则措施第二十九条 风险评估应重点关注、优先评估业务运行所必要的 关键资源，包括关键的信息系统、IT环境、数据中心资源，关键的业 务人员，关键的业务场地，关键的业务办公资源，关键的业务单据 等第三十条 商业银行实施风险评估的关键步骤应包括：（一） 识别业务运行所需的关键资源；（二） 分析资源所面临的各类威胁；（三） 分析资源本身的脆弱性；（四） 通过综合分析资源的价值、自身的脆弱性、受到的威胁，评 价资源面临的风险值或风险等级第三十一条 商业银行应根据业务影响分析结果，制定业务恢复 策略，明确业务连续性资源获取方式，开展全行业务连续性管理建设 规划第三十二条 商业银行应根据重要业务的恢复指标，制定差别化 业务的恢复策略,如关键资源恢复策略，业务替代手段恢复策略，业 务数据追补策略,业务恢复优先策略等。

第三十三条 商业银行应依据重要业务的恢复策略，确定灾难恢 复资源的获取方式、灾难恢复的等级，指导业务连续性资源建设第四章 业务连续性计划制定与资源建设第一节 业务连续性计划的制订第三十四条 商业银行应依据业务恢复目标，制定应对不同突发 事件的业务连续性计划业务连续性计划由业务部门的业务连续性计 划、信息科技部门的业务连续性计划、其他管理与保障部门的业务连 续性计划等组成第三十五条 业务连续性计划主要内容应包括：（一） 涉及业务连续性的重要业务；（二） 重要业务执行连续性的优先次序；（三） 备份资源说明；（四） 总体应急预案和各类专项应急预案；（五） 对剩余风险的评估和说明第三十六条 总体应急预案和各类专项应急预案的主要内容应包 括：（一） 该预案中涉及的应急组织架构和架构中各部门、人员在计划 中的角色、权限；（二） 信息传递路径和方式；（三） 计划执行过程中的回退机制；（四） 计划执行完毕后的恢复机制；（五） 事件处置机制（包括：预警、报告、决策、指挥、响应、回 退等环节）；（六） 事件的危机处理机制和对外应答模版；（七） 事件的内部沟通机制及相应的联系方式；（八） 事件的外部（包括：监管机构、政府部门、业务合作方、服 务提供方等）沟通机制及相应的联系方式；第三十七条 商业银行在制订业务连续性计划时，应制订总体应 急预案。

总体应急预案是商业银行应对突发事件的总体方案，明确各 层级预案的定位、关系、衔接，体现处置各类突发事件的总体组织架 构，相关各方的职责与权限，也规定出对处置事件的预警、报告、分 析、决策、处置、恢复等全过程的机制和流程第三十八条 商业银行业务部门应制定所在业务条线中重要业务 的专项应急预案重点明确在不同突发事件场景下按照必要流程进行 应急响应所采取的必要措施和手段重要业务专项应急预案应和相关 信息科技部门、管理或保障部门的专项应急预案相衔接第三十九条 商业银行应建立针对大范围业务中断的恢复预案，通 过分析重要业务大范围、长期中断的风险承受。