Question

4.5.1　定义和标准

1.业务连续性管理定义

英国标准协会（British Standards Institution，BSI）：业务连续性管理（Business Continuity Management，BCM）是一个整体性的管理流程，它主要识别威胁组织的潜在影响，并且提供构建组织弹性和有效响应的框架，以保护组织关键利益相关方的利益、声誉、品牌以及价值创造的活动。（BSI，BS25999，ISO22301 的前身。）

中国银监会：商业银行为有效应对重要业务运营中断事件，建设应急响应、恢复机制和管理能力框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。（《商业银行业务连续性监管指引》银监发[2011]104 号）

2.ISO 22301

ISO22301 为第一份直接以业务连续性管理（Business Continuity Management，BCM）为主题的国际标准。该标准的性质为要求（Requirements），因此可用于审核与认证。除了 ISO 22301 外，另有属于指引（Guidance）的 ISO 22313，ISO 22313 与 ISO 22301 合为具有完整架构的业务连续性管理国际标准。

4.5.2　监管要求

1.银监会有关业务连续性管理要求

2007 年《商业银行操作风险管理指引》中，业务连续性要求的重点为实现从系统到业务的提升。

2008 年《银行业重要信息系统突发事件应急管理规范》中，明确了银行突发事件应对原则；日常管理以及应急管理组织架构；细化了危机事件预测预警和内外部上报流程。

2009 年《商业银行信息科技风险管理指引》中，商业银行应制订全面的信息科技风险管理策略，包括业务连续性计划和应急处置。

2010 年《商业银行数据中心监管指引》中，明确了数据中心的建设以及灾备中心的系统、数据建设目标，以满足业务连续性的需求。

2011 年《商业银行业务连续性监管指引》中，从全行层面明确规定了业务连续性管理建设各阶段的要求，具有较强的规范性与可操作性。

2013 年《商业银行资本管理办法》中，明确要求业务连续性管理实施是标准法计提操作风险资本的前提条件之一。

2.中国人民银行有关业务连续性管理要求

2002 年《关于加强银行数据集中安全工作的指导意见》中，规范了银行网络可靠率、UPS 供电时间、数据全备份频率、灾备中心建设、业务连续性计划和演练要求。

2006 年《关于进一步加强银行业金融机构信息安全保障工作的指导意见》中，强调了银行需建立灾备中心，并定期进行灾备演练。

2007 年《银行业信息系统灾备恢复管理流程》中，规范了信息系统应急响应和灾备恢复的具体要求，规范了灾备恢复组织架构，明确了各等级系统的恢复时间目标（Recovery-Time Objective，RTO）和恢复时间点目标（Recovery Point Objective，RPO）。

3.世界部分地区金融业监管机构发布的相关指引

部分国家及地区金融监管相关指引如表 4-1 所示。

表 4-1　部分地区金融监管相关指引

4.5.3　BCM 实施过程

根据国际良好实践以及 BCM 的实施经验，将 BCM 的实施过程总结为以下几个关键步骤：

1）制度和组织建设。建立 BCM 管理制度，组建总分支机构 BCM 管理组织架构，明确各部门职责。

2）业务影响分析（Business Impact Analysis，BIA）和风险评估（Risk Assessment，RA）。确定 BCM 的需求和管理策略，识别、分析、评价风险，确定防止、降低损失的控制措施。

3）资源建设、预案制订。为满足业务持续运营目标而开展的资源建设，根据 RA 的成果制订和完善预案。

4）演练、维护和评估。通过演练提高组织应急处置能力，验证资源可用性，评估 BCM 体系并持续改进。

5）BCM 企业文化建设。贯穿 BCM 整个过程，提高全员意识，将 BCM 融入企业文化中。

4.5.4　业务影响分析和风险评估

1.术语定义

（1）重要业务

《商业银行业务连续性监管指引》（银监发〔2011〕104 号）第三条规定重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

支持重要业务运行的系统，相应地就称为重要系统。

（2）RTO 和 RPO

恢复时间目标（RecoveryTime Objective，RTO）分业务 RTO 和系统 RTO，指业务或系统从中断到恢复所需要的时间，是业务或系统恢复及时性的指标。恢复时间点目标（Recovery Point Objective，RPO）分业务 RPO 和系统 RPO，指业务或系统数据恢复到的时间点，是业务或系统恢复数据完整性的指标。

（3）BIA

业务影响分析（Business Impact Analysis，BIA）是整个 BCM 流程建立的基础工作，在这一过程中，通常会利用定量和定性分析相结合的方法对业务中断可能导致的经济与运营损失进行科学的分析，从而制订重要业务的恢复优先级、恢复目标（RTO 与 RPO）以及重要信息系统的恢复优先级和恢复目标等，通过 BIA 确定业务连续性管理的策略。

BCM 就是解决运营中断事件发生时需要用多少资源、多长时间、什么方式、恢复什么业务的问题，其中资源、时间、业务都是 BIA 的成果。

《商业银行业务连续性监管指引》（银监发〔2011〕104 号）第二十三条规定，商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失，明确业务连续性管理重点，根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析，并形成业务影响分析报告。

（4）风险评估

风险评估（RA）是进行风险识别、风险分析和风险评价的整个过程，基于 BCM 的风险评估，关注于可能对 BIA 所识别的重要业务造成中断的各类威胁发生的可能性和影响程度，并针对潜在的威胁和影响制订进一步的风险管控措施。RA 是 BCM 开展的基础和主要需求来源之一。

《商业银行业务连续性监管指引》（银监发〔2011〕104 号）第二十八条规定，“商业银行应当开展业务连续性风险评估，识别业务连续运营所需的关键资源，分析资源所面临的各类威胁以及资源自身的脆弱性，确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境，以及关键的人员、业务场地、业务办公设备、业务单据以及供应商等”。第二十九条规定，“商业银行应当根据风险敞口制订降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度，确定风险防范和控制的原则与措施”。

2.业务影响分析实施过程

业务影响分析实施过程包括重要业务和重要系统的识别，重要业务的影响分析过程及结果，重要系统的影响分析过程及结果，从而得出整个 BIA 成果，具体流程如图 4-9 所示。

恢复时间目标和恢复时间点目标（RTO 和 RPO）：

·业务 RTO，是指业务恢复所需要的必需时间，是业务恢复及时性的指标。对于公司来说，就是允许我们用多长时间恢复中断的重要业务。

·业务 RPO，是指业务恢复到的时间点，是业务恢复数据完整性的指标。对于公司来说，就是允许我们重要业务丢失多长时间的数据。

图 4-9　业务影响分析实施流程

国家标准《信息安全技术信息系统灾难恢复规范》（GB/T20988—2007）附录 C RTO/RPO 与灾难恢复能力等级的关系，如表 4-2 所示。

表 4-2　RTO/RPO 与灾难恢复能力等级的关系

同时，通过收集和分析人民银行、银监会等监管机构发布的监管要求，得出银行业重要系统 RTO 和 RPO 的最低要求，其他金融企业可以参照执行，如表 4-3 所示。

表 4-3　RTO 和 RPO 监管要求

3.风险评估

1）实施前内部方案讨论，确定 RA 的范围和实施方式。

·参与范围：重要业务归属部门、数据中心、各一级分支机构（业务和 IT）。

·评估对象：重要业务、总部 IT 运营、分支机构业务运营整体、分支机构 IT 运营等。

·实施方式：现场、非现场沟通和培训/问卷调研分析等。

2）RA 调研问卷设计。根据业务和 IT 特点，结合评估对象差异性，有针对性地设计调研问卷和调研方式。

3）RA 试点反馈，优化问卷。选择几家总部部门、分支机构作为 RA 工作的试点，根据试点情况反馈调整整体实施方案和优化调研问卷。

4）全面启动 RA 工作。确定方案和问卷后统一组织总部各部门、各分支机构开展 RA 工作。

5）分析整理，撰写报告。各分支机构根据各自 RA 结果，撰写分支机构 RA 报告；总部根据各部门反馈撰写总部评估报告。再综合总部和分支机构 RA 报告完成企业 RA 报告。

RA 注意事项如下：

·BCM 风险评估关注点。各类风险对于业务或 IT 系统运营的中断威胁，而非经济损失。

·BCM 评估问卷。问卷只是工具，问卷上评估对象、可能性和影响打分规则、影响类别、威胁、高中低风险划分，都可以根据机构实际情况、风险偏好等进行客户化调整。

·BCM 评估核心。核心在于针对评估的中、高级风险制订管控措施，不需大而全的措施，但要保障措施的可实施性，改进周期可自定，但不建议超一年，在下次 RA 时可分析措施的有效性。

4.5.5　BCP、演练和改进

1.术语定义

业务连续性计划（Business Continuity Plan，BCP），是一种策略规划，当灾难发生致使组织关键业务或服务中断时，BCP 可以指导迅速恢复关键业务的正常与持续运作。BCP 是组织在实施 BCM 过程中的产出物，并在 BCM 过程中不断更新和完善。银监会监管指引要求 BCP 主要内容应包括：重要业务及关联关系、业务恢复优先次序；重要业务运营所需关键资源；应急指挥和危机通讯程序；各类预案以及预案维护、管理要求；残余风险。

总体应急预案，是商业银行应对运营中断事件的总体方案，包括总体组织架构、各层级预案的定位和衔接关系，及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。

重要业务专项应急预案，应当注重灾难场景的设计，明确在不同场景下的应急流程和措施。业务条线的专项应急预案，应当注重调动内部资源、采取业务应急手段尽快恢复业务，并和信息科技部门、保障部门的应急预案有效衔接。

2.内容

业务连续性计划的主要内容应当包括：

·重要业务及关联关系、业务恢复优先次序。

·重要业务运营所需关键资源。

·应急指挥和危机通信程序。

·各类预案以及预案维护、管理要求。

·残余风险。

专项应急预案的主要内容应当包括：

·应急组织架构及各部门、人员在预案中的角色、权限、职责分工。

·信息传递路径和方式。

·运营中断事件处置程序，包括预警、报告、决策、指挥、响应、回退等。

·运营中断事件处置过程中的风险控制措施。

·运营中断事件的危机处理机制。

·运营中断事件的内部沟通机制和联系方式。

·运营中断事件的外部沟通机制和联系方式。

·应急完成后的还原机制。

3.演练

演练的目的如下：

·检验应急预案的完整性、可操作性和有效性。

·验证业务连续性资源的可用性。资源包括人员、IT 系统、IT 灾备中心、办公和业务场地、基础公共资源、指挥中心、办公及业务开展所需的其他资源等。

·提高运营中断事件综合处置能力。

·提高应急参与人员处置能力、熟悉处置流程、提高全员应急意识、提高应对信心。

监管要求包括：《商业银行业务连续性监管指引》（银监发〔2011〕104 号）第五章规定，业务连续性计划演练中，对演练计划的制订、重要业务演练周期、演练时间点、演练重点（业务和 IT 配合、IT 系统接管能力）、演练参与者（外部供应商要求）、外部机构演练、演练的记录、总结、评估、改进等都提出要求。

演练方式如下。

桌面演练（说）：

·熟悉处置流程。

·检查角色分工。

·检查计划内容。

·为实战演练准备。

·场景简单。

实战演练（做）：

·真实资源调配。

·真实系统切换。

·真实场地转移。

·全方位检验应急处置的有效性。

·场景复杂。

4.持续改进

持续改进包括以下工作内容：

·每年需要针对业务连续性管理体系的完整性、合理性、有效性组织一次自评估，或者委托第三方机构进行评估，并向高管层提交评估报告。

·每年需要针对业务连续性管理文档进行修订，修订内容包括重要业务调整、制度调整、岗位职责与人员调整等，确保文档的真实性、有效性。

·开发新产品时，应同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的，应当在上线前制订业务连续性计划并实施演练。

·在业务功能或关键资源发生重大变更时，应当及时对业务连续性相关文档进行修订。

·每三年进行一次业务连续性管理的专项审计，在发生大范围业务运营中断事件后也要及时开展专项审计。

有部分企业采用了业务连续性管理系统（BCMS），进行业务连续性日常管理，也取得了不错的效果。

4.5.6　DRI 组织及认证

1.国际灾难恢复协会（DRI International）

DRI International（DRII）成立于 1988 年。其使命是通过提供教育和帮助，以及发布标准的基础资源，来推广业务连续性规划和灾难恢复行业的通用知识体系；协助建立公共和私营机构之间的合作，来推广相关行业标准；通过对业务持续领域的专业人员进行认证，来提高获认证人员的可信度和专业技能。

有关 DRI International 的更多信息见： http://www.drii.org 。

2.DRI 中国技术委员会

DRI 中国技术委员会（DRI China Technical Committee，DRICTC）是 DRI China 的核心机构，其宗旨是为 DRI China 的发展提供组织建设、战略规划等方面的建议和决策支持，帮助 DRI China 推进 BCM、突发公共事件应急管理（Emergency Management，EM）以及 IT 信息系统灾难恢复（Disaster Recovery，DR）在中国的发展，建立和完善相关行业标准，解决应用实践中的问题，跟踪国内外 BCM 的发展趋势，促进 BCM 向科学化、专业化、规范化和国际化方向发展；协助 DRI China 在中国培养更多符合国际标准的 BCM 人才；为国内外 BCM 专业人士、管理人员、政府主管部门、学术机构及厂商，搭建行业内外信息沟通与交流平台，促进相互合作，共同推进中国各行业 BCM 的应用和发展；提高中国政府和企业高层管理者对于防范及应对风险的认识和管理水平，增强其抵御灾难并持续发展的能力。

DRI 中国技术委员会的性质是以政府、金融、保险、证券、电信、交通、能源等 DR，EM，BCM 的主管，以及该领域的专家、学者等自愿组成的学术性、公益性、非营利性组织。

有关 DRI 中国技术委员会的更多信息见： http://www.drichina.org/ 。

3.有关业务连续性管理的国际认证

有关业务连续性管理的国际认证，认可度较高的是 DRI International 组织维护的国际认证体系，一共有以下四种。

·MBCP（Master Business Continuity Professional）—DRI 国际认证的最高级别，专门用于在业务连续性/灾难恢复行业具有高级知识和技能的个人。该认证是针对具有至少五年行业经验的个人。

·CBCP（Certified Business Continuity Professional）—CBCP 认证要求：1）在业务连续性/灾难恢复行业拥有丰富知识和工作经验的人员；2）该级别需要超过两年的经验；3）申请人必须能够在专业实践的五个主题领域中展示具体和实际的经验。

·CFCP（Certified Functional Continuity Professional）—CFCP 认证级别，适用于在业务连续性/灾难恢复行业具有知识和工作经验的个人。该级别需要超过两年的经验。申请人必须能够在专业实践的三个主题领域中展示具体的实践经验。

·ABCP（Associate Business Continuity Professional）—ABCP 级别，适用于行业经验少于两年的个人，对业务连续性管理知识最少且已成功通过资格考试的人员。

中国申请较多的 BCM 国际认证证书是 CBCP 由 DRII 为需要获得 DRII 国际标准资格认证的人员而设计的课程。