BCM实施指南优质PPT.pptx
《BCM实施指南优质PPT.pptx》由会员分享,可在线阅读,更多相关《BCM实施指南优质PPT.pptx(31页珍藏版)》请在冰豆网上搜索。
建立有效应对威胁的自我恢复能力,保护关键相关方的利益、声誉、品牌和创造价值的活动。
BCM是一个跨多个专业领域的综合性体系,4,5,BCM标准发展,新加坡标准SS540,英国标准BS25999,国际业务持续协会(BCI)业务持续管理良好实践指南BCMGPG,理论基础,理论基础,升级,中国国家标准GB/T301462013年12月17日正式发布,国际标准ISO223012012年5月15日正式发布,对应,商业银行业务连续性监管指引2011年12月28日正式发布,ISO22301标准全文结构,6,4.组织环境,5.领导力,6.策划,7.支持,8.实施,9.绩效评价,10.改进,理解组织及其环境,理解相关方的需求和期望,定义BCMS的范围,BCMS,领导力与承诺,管理承诺,方针,应对风险和机会的措施,业务连续性目标和实现计划,资源,能力,意识,沟通,文件化信息,实施策划与控制,业务影响分析和风险评估,业务连续性策略,建立和实施业务连续性程序,演练和测试,监视、测量、分析和评价,内部审计,管理评审,不合格项和纠正措施,持续改进,计划(Plan),执行(Do),检查(Check),改进(Action),组织角色、职责和权限,监管指引与国际标准对应关系,7,业务连续性与IT服务连续性,8,业务流程、业务活动,IT服务(信息系统、IT基础设施),技术支撑,业务连续性(BusinessContinuity):
关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。
业务不连续的后果:
客户量/业务量减少、产品报废、合同违约、监管违规、财务损失、利益相关方施压、社会谴责(环境/健康等)、丧失竞争力、破产业务连续性计划(BCP):
从业务层面恢复中断的业务流程和活动。
IT灾难恢复计划(ITDRP)、应急预案通常用于支撑BCP。
IT服务连续性(ITServiceContinuity):
关注于保障信息系统、IT基础设施持续运行。
IT服务不连续的后果:
直接表现:
IT基础设施瘫痪、信息系统停止服务;
间接表现:
依赖IT系统的业务活动停滞,部分业务切换到人工操作。
IT灾难恢复计划:
将中断的IT系统服务恢复到可用状态,通常涉及灾备切换。
应急预案:
通常由一组具体的故障恢复场景构成,可能包含导致服务中断的严重故障,也有可能涉及未导致服务中断的一般故障。
信息化技术越来越多地承载了组织的业务流程运行。
业务连续性的恢复要求,9,最长可容忍中断时间(MTPD,MaximumTolerablePeriodOfDisruption)交付产品、服务的业务流程与活动的最长可容忍中断时间。
如果超出此时间限制,带来的负面影响将变得无法承受。
恢复时间目标(RTO)基于MTPD,在组织内部协商后制定的恢复时间目标值。
RTO应小于MTPD(30%为宜)。
组织应在假设的最坏场景下,通过演练、测试,验证自身达成RTO的实际能力。
最长可容忍数据丢失点(MTDL,MaximumTolerableDataLost)交付产品、服务的业务流程与活动中断后再次恢复时,能够容忍的数据丢失时长。
即:
将数据恢复到中断前多久的状态。
恢复点目标(RPO)基于MTDL,在组织内部协商后制定的恢复点目标值。
RPO应小于MTDL(30%为宜)。
组织应通过适当的备份机制,确保备份间隔时间小于RPO,并通过演练、测试,验证备份的有效性。
最低运营要求与完全运营要求,10,如果业务活动完全依赖于IT系统,则对于IT部门而言:
业务部门以业务视角分析出系统的恢复目标MTPD、MTDL;
IT部门应据此制定信息系统的RTO、RPO。
允许的数据丢失,11,事件上报与初判,执行恢复,启用备用资源,复原或重建,实施临时变通方案,信息系统的恢复与复原,商业银行业务连续性监管指引要求的BCM治理结构,12,“业务连续性治理结构”日常组织,13,“业务连续性治理结构”应急组织,14,连续性管理的一般实施过程,15,分析(Analysis),设计(Design),实施(Implementation),验证(Validation),资源包括但不限于:
人、信息/数据、设备设施耗材、IT系统、交通工具、资金、供应商/合作方。
影响例如:
合规、声誉、相关方利益、产品服务质量、社会责任、财务,Source:
ISO22313,商业银行业务连续性监管指引要求,16,银行业务(某国有银行样例),17,银行业务(某城商行样例),18,业务影响分析(BIA)示例,XXX业务的关键业务时段:
58(工作日9:
00-17:
00),19,示例,BIA/RA(样例),示例,ICT为企业的业务持续做好准备(IRBC),Source:
ISO/IEC27031:
2011,ISO27031:
2011是企业业务持续管理的重要组成部分遵循PDCA方法论可以与企业的业务务持续管理体系进行整合IT部门主导,21,XXX系统最低运营要求分析,22,示例,商业银行业务连续性监管指引要求,23,BCP(样例),示例,商业银行业务连续性监管指引要求,25,内容提要,26,BCM项目实施方法,27,项目实施阶段,28,以10个部门/条线的规模为例:
内容提要,29,BCM实施难点与对策,30,内容提要,31,
升级会员 