发布时间 : 星期一 文章(银监发[2011]104号)中国银监会关于印发商业银行业务连续性监管指引的通知更新完毕开始阅读
资源恢复、业务替代手段、数据追补和恢复优先级别等。
第三十一条 商业银行应当依据业务恢复策略,确定灾难恢复资源获取方式和灾难恢复等级。
第四章 业务连续性计划与资源建设
第一节 业务连续性计划
第三十二条 商业银行应当依据业务恢复目标,制定覆盖所有重要业务的业务连续性计划。 第三十三条 业务连续性计划的主要内容应当包括: (一)重要业务及关联关系、业务恢复优先次序; (二)重要业务运营所需关键资源; (三)应急指挥和危机通讯程序; (四)各类预案以及预案维护、管理要求; (五)残余风险。
第三十四条 商业银行应当制定总体应急预案。总体应急预案是商业银行应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。
第三十五条 商业银行应当制定重要业务专项应急预案,专项应急预案应当注重灾难场景的设计,明确在不同场景下的应急流程和措施。业务条线的专项应急预案,应当注重调动内部资源、采取业务应急手段尽快恢复业务,并和信息科技部门、保障部门的应急预案有效衔接。
第三十六条 专项应急预案的主要内容应当包括:
(一)应急组织架构及各部门、人员在预案中的角色、权限、职责分工; (二)信息传递路径和方式;
(三)运营中断事件处置程序,包括预警、报告、决策、指挥、响应、回退等; (四)运营中断事件处置过程中的风险控制措施; (五)运营中断事件的危机处理机制;
(六)运营中断事件的内部沟通机制和联系方式; (七)运营中断事件的外部沟通机制和联系方式;
(八)应急完成后的还原机制。
第三十七条 商业银行应当要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应当满足商业银行要求。
第三十八条 商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接;同时,应当积极采取风险缓释及转移措施,有效控制由于外部机构业务连续性管理不充分可能产生的风险。
第二节 业务连续性资源建设
第三十九条 商业银行应当开展业务连续性计划所需的资源建设,满足业务恢复目标和重要业务持续运营的要求。 第四十条 商业银行应当重点加强信息系统关键资源的建设,实现信息系统的高可用性,保障信息系统的持续运行并减少信息系统中断后的恢复时间。
第四十一条 商业银行应当设立统一的运营中断事件指挥中心场所,用于应急决策、指挥与联络,指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。
第四十二条 商业银行应当建立符合业务连续性管理要求的备用资源,如备用业务和办公场所资源、备用信息系统运行场所资源、备用信息技术资源、备用人力资源等,以及电力、通讯、消防、安保等资源。
第四十三条 商业银行选择备用场地时,应当确保不会同时遭受同类型风险;应当综合分析备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素,以及灾难恢复所需的金融服务、通讯、设备、技术等外部服务供应商资源情况。
第四十四条 商业银行在建立备用业务和办公场所时,应当配备业务操作和办公所需资源,并确保其能够迅速启用。 第四十五条 商业银行应当建立灾备中心等备用信息技术资源和备用信息系统运行场所资源,并满足银监会关于数据中心相关监管要求。
第四十六条 商业银行应当明确关键岗位的备份人员及其备份方式,并确保备份人员可用,降低关键岗位人员无法及时履职风险。
第五章 业务连续性演练与持续改进
第一节 业务连续性计划演练
第四十七条 商业银行应当开展业务连续性计划演练,检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性,提高运营中断事件的综合处置能力。
第四十八条 制定业务连续性演练计划时,商业银行应当考虑业务的重要性和影响程度,包括客户范围、业务性质、业务时效性、经济与非经济影响等,演练频率、方式应当与业务的重要性和影响程度相匹配。
第四十九条 商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。
第五十条 商业银行应当加强业务应急预案的演练,重点加强业务和信息科技部门的协调、配合;应当注重以真实业务接管为目标,确保灾备系统能够有效接管生产系统并具备安全回切能力。
第五十一条 商业银行应当将外部供应商纳入演练范围并定期开展演练;同时,应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练,确保应急和协调措施的有效性。 第五十二条 商业银行应当对业务连续性计划的演练过程进行完整记录,及时总结、评估和改进。
第二节 业务连续性管理评估与改进
第五十三条 商业银行应当建立业务连续性管理体系持续改进机制。
第五十四条 商业银行应当至少每年对业务连续性管理体系的完整性、合理性、有效性组织一次自评估,或者委托第三方机构进行评估,并向高级管理层提交评估报告。
第五十五条 商业银行应当每年对业务连续性管理文档进行修订,内容应当包含重要业务调整、制度调整、岗位职责与人员调整等,确保文档的真实性、有效性。
第五十六条 商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。
第五十七条 在业务功能或关键资源发生重大变更时,商业银行应当及时对业务连续性计划进行修订。
第五十八条 商业银行应当每年对本行业务连续性管理进行审计,每三年至少开展一次全面审计,发生大范围业务运营中断事件后应当及时开展专项审计。
第五十九条 商业银行业务连续性管理审计的内容应当包括:业务影响分析、风险评估、恢复策略及恢复目标的合理性和完整性;业务连续性计划的完整性和可操作性;业务连续性计划演练过程及报告的真实性和有效性;业务连续性管理相关部门及人员的履职情况等。
第六章 运营中断事件应急处置
第一节 监测、预警与报告
第六十条 商业银行应当建立运营中断事件的风险预警体系,设定风险预警指标,并纳入全行风险预警体系中。 第六十一条 商业银行应当建立业务运营的监测体系及监控机制,对信息系统运行环境进行日常监测,采取自动化措施重点加强对业务运行情况的监控。
第六十二条 商业银行应当建立关键时点的监测与预警机制,在重大业务和社会活动等关键时点,或在业务功能、关键资源发生重大变更时,加强风险监控和预警。业务条线部门与信息科技部门等相关部门之间应当相互通报信息、提示风险,协同做好应急准备。
第六十三条 发生运营中断事件后,商业银行应当及时进行沟通和报告,包括:按照报告路线在内部各部门及人员之间的报告,与业务运营的外包方、业务合作方之间的沟通、以及按照银监会有关报告要求,向银监会或其派出机构的报告等。
第二节 运营中断事件处置
第六十四条 商业银行应当制定运营中断事件等级划分标准,根据事件影响范围、持续时间和损失程度定义事件等级,开展应急响应处置工作。
第六十五条 运营中断事件应急处置应当遵循“统一指挥、分类管理、分级处置、快速响应”的原则,在全行统一指挥下高效、有序应对;应当根据事件等级实施差别化处置,必要时可以越级汇报、紧急授权,保障信息传递和决策的及时性,将影响或损失最小化。
第六十六条 商业银行应当及时、有效地响应运营中断事件,对事件影响进行评估,确定事件等级,及时启动应急预案,确保业务快速恢复,防止事态升级或恶化。
第六十七条 商业银行在实施应急处置时,应当采取以下措施:
(一)加强运营中断事件处置中的对外沟通,开展告知、解释与安抚工作,最大程度降低负面影响;
(二)对重要业务可以通过减少服务功能、缩小服务范围、利用替代系统、手工记账、利用他行支付渠道等多种手段进行业务应急处置;
(三)采用程序化和标准化的手段,提高信息技术应急处置的效率和质量。