业务连续性监管指引分析.docx
《业务连续性监管指引分析.docx》由会员分享,可在线阅读,更多相关《业务连续性监管指引分析.docx(18页珍藏版)》请在冰豆网上搜索。
业务连续性监管指引分析
商业银行业务连续性监管指引
第一章 总则
第一条 信息系统与信息科技是保障商业银行业务持续
运营的重要基础。
为降低或消除因信息系统服务异常导致重
要业务运营中断的影响,快速恢复被中断业务,维护公众信
心和银行业正常运营秩序,提高商业银行业务连续性管理能
力,根据《中华人民共和国银行业监督管理法》、《中华人民共
和国商业银行法》以及相关法律法规,制定本指引。
第二条 本指引所称业务连续性管理是指商业银行为有
效应对重要业务运营中断事件,建设应急响应、恢复机制和
管理能力框架,保障重要业务持续运营的一整套管理过程,
包括策略、组织架构、方法、标准和程序。
第三条 本指引所称重要业务是指面向客户、涉及账务
处理、时效性要求较高的银行业务,其运营服务中断会对商
业银行产生较大经济损失或声誉影响,或对公民、法人和其
他组织的权益、社会秩序和公共利益、国家安全造成严重影
响的业务。
第四条 本指引所称重要业务运营中断事件(以下简称运
营中断事件)是指因下述原因导致信息系统服务异常、重要
业务停止运营的事件。
主要包括:
(一)信息技术故障:
信息系统技术故障、配套设施故障;
(二)外部服务中断:
第三方无法合作或提供服务等;
(三)人为破坏:
黑客攻击、恐怖袭击等;
(四)自然灾害:
火灾、雷击、海啸、地震、重大疫情等。
第五条 商业银行应当将业务连续性管理纳入全面风险
管理体系,建立与本机构战略目标相适应的业务连续性管理
体系,确保重要业务在运营中断事件发生后快速恢复,降低
或消除因重要业务运营中断造成的影响和损失,保障业务持
续运营。
第六条 商业银行应当根据本行业务发展的总体目标、
经营规模以及风险控制的基本策略和风险偏好,确定适当的
业务连续性管理战略。
第七条 商业银行应当建立业务连续性管理的组织架构,
确定重要业务及其恢复目标,制定业务连续性计划,配置必
要的资源,有效处置运营中断事件,并积极开展演练和业务
连续性管理的评估改进。
第八条 业务连续性管理的基本原则是:
(一)切实履行社会责任,保护客户合法权益、维护金融秩
序;
(二)坚持预防为主,建立预防、预警机制,将日常管理与
应急处置有效结合;
(三)坚持以人为本,重点保障人员安全;实施差异化管理,
保障重要业务有序恢复;兼顾业务连续性管理成本与效益;
(四)坚持联动协作,加强沟通协调,形成应对运营中断事
件的整体有效机制。
第九条 商业银行应当将业务连续性管理融入到企业文
化中,使其成为银行机构日常运营管理的有机组成部分。
第二章 业务连续性组织架构
第一节 日常管理组织架构
第十条 董(理)事会是商业银行业务连续性生管理的决
策机构,对业务连续性管理承担最终责任。
主要职责包括:
(一)审核和批准业务连续性管理战略、政策和程序;
(二)审批高级管理层业务连续性管理职责,定期听取高级
管理层关于业务连续性管理的报告,监督、评价其履职情况;
(三)审批业务连续性管理年度审计报告。
第十一条 高级管理层负责执行经董(理)事会批准的业
务连续性管理政策。
主要职责包括:
(一)制定并定期审查和监督执行业务连续性管理政策、程
序;
(二)明确各部门业务连续性管理职责,明确报告路线,审
批重要业务恢复目标和恢复策略,督促各部门履行管理职责,
确保业务连续性管理体系正常运行;
(三)确保配置足够的资源保障业务连续性管理的实施。
第十二条 商业银行应当设立由高级管理层和业务连续
性管理相关部门负责人组成的业务连续性管理委员会,统筹
协调、落实各项管理职责。
第十三条 商业银行应当指定风险管理部门或其他综合
管理部门为业务连续性管理主管部门,组织开展全行业务连
续性管理工作,指导、评估、监督各部门的业务连续性管理
工作;组织制定业务连续性计划,协调业务条线部门,汇总、
确定重要业务的恢复目标和恢复策略;组织开展业务连续性
计划的演练、评估与改进;开展业务连续性管理培训等。
第十四条 商业银行应当明确业务连续性管理执行部门,
包括业务条线部门与信息科技部门。
业务条线部门负责风险
评估、业务影响分析,确定重要业务恢复目标和恢复策略,
负责业务条线重要业务应急响应与恢复;信息科技部门负责
信息技术应急响应与恢复。
第十五条 商业银行应当明确业务连续性管理保障部门,
包括办公室、人力资源部门、公共关系部门、财务部门、法律
合规部门、后勤部门、保卫部门等,为业务连续性日常管理
提供人力、物力、财力以及安全保障和法律咨询。
其中,公共
关系部门应当制定对外媒体公关策略,制定和执行对外媒体
公关的应急预案。
第十六条 商业银行各部门应当负责本部门业务连续性
管理工作,制定相关规章制度,制定和执行本部门业务连续
性计划,开展本部门业务连续性计划的演练、评估与改进工
作。
第十七条 商业银行内部审计部门应当负责并定期开展
全行业务连续性管理审计工作。
第二节 应急处置组织架构
第十八条 商业银行应当建立运营中断事件应急处置的
组织架构,包括应急决策层、应急指挥层、应急执行层和应
急保障层。
第十九条 应急决策层由商业银行高级管理人员组成,
负责决定应急处置重大事宜,包括:
决定运营中断事件通报、
对外报告和公告;批准启动总体应急预案等。
第二十条 应急指挥层由商业银行的业务连续性管理主
管部门、执行部门和保障部门负责人组成,负责运营中断事
件处置应急指挥和组织协调,督导应急处置实施。
第二十一条 应急执行层由商业银行业务连续性管理执
行部门组成,负责业务条线与信息技术应急处置工作。
第二十二条 应急保障层由商业银行业务连续性管理保
障部门组成,负责应急处置所需人力、物力和财力等资源的
保障,应急处置对外报告、宣告、通报和沟通与协调,以及对
外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等
相关工作。
第三章 业务影响分析
第二十三条 商业银行应当通过业务影响分析识别和评
估业务运营中断所造成的影响和损失,明确业务连续性管理
重点,根据业务重要程度实现差异化管理,确定各业务恢复
优先顺序和恢复指标。
商业银行应当至少每三年开展一次全
面业务影响分析,并形成业务影响分析报告。
第二十四条 商业银行应当识别重要业务,明确重要业
务归口管理部门、所需关键资源及对应的信息系统,识别重
要业务的相互依赖关系,分析、评估各项重要业务在运营中
断事件发生时可能造成的经济损失和非经济损失。
第二十五条 商业银行应当综合分析重要业务运营中断
可能产生的损失与业务恢复成本,结合业务服务时效性、服
务周期等运行特点,确定重要业务恢复时间目标(业务 RTO)、
业务恢复点目标(业务 RPO),原则上,重要业务恢复时间目
标不得大于 4 小时,重要业务恢复点目标不得大于半小时。
第二十六条 商业银行应当明确业务重要程度和恢复优
先级别,并识别重要业务恢复所需的必要资源。
第二十七条 商业银行应当通过分析业务与信息系统的
对应关系、信息系统之间的依赖关系,根据业务恢复时间目
标、业务恢复点目标、业务应急响应时间、业务恢复的验证
时间,确定信息系统恢复时间目标(信息系统 RTO)、信息系
统恢复点目标(信息系统 RPO),明确信息系统重要程度和恢
复优先级别,并识别信息系统恢复所需的必要资源。
第二十八条 商业银行应当开展业务连续性风险评估,
识别业务连续运营所需的关键资源,分析资源所面临的各类
威胁以及资源自身的脆弱性,确定资源的风险敞口。
关键资
源应当包括关键信息系统及其运行环境,关键的人员、业务
场地、业务办公设备、业务单据以及供应商等。
第二十九条 商业银行应当根据风险敞口制定降低、缓
释、转移等应对策略。
依据防范或控制风险的可行性和残余
风险的可接受程度,确定风险防范和控制的原则与措施。
第三十条 商业银行应当根据业务影响分析结果,依据
业务恢复指标,制定差别化的业务恢复策略,主要包括关键
资源恢复、业务替代手段、数据追补和恢复优先级别等。
第三十一条 商业银行应当依据业务恢复策略,确定灾
难恢复资源获取方式和灾难恢复等级。
第四章 业务连续性计划与资源建设
第一节 业务连续性计划
第三十二条 商业银行应当依据业务恢复目标,制定覆
盖所有重要业务的业务连续性计划。
第三十三条 业务连续性计划的主要内容应当包括:
(一)重要业务及关联关系、业务恢复优先次序;
(二)重要业务运营所需关键资源;
(三)应急指挥和危机通讯程序;
(四)各类预案以及预案维护、管理要求;
(五)残余风险。
第三十四条 商业银行应当制定总体应急预案。
总体应
急预案是商业银行应对运营中断事件的总体方案,包括总体
组织架构、各层级预案的定位和衔接关系及对运营中断事件
的预警、报告、分析、决策、处理、恢复等处置程序。
总体预
案通常用于处置导致大范围业务运营中断的事件。
第三十五条 商业银行应当制定重要业务专项应急预案,
专项应急预案应当注重灾难场景的设计,明确在不同场景下
的应急流程和措施。
业务条线的专项应急预案,应当注重调
动内部资源、采取业务应急手段尽快恢复业务,并和信息科
技部门、保障部门的应急预案有效衔接。
第三十六条 专项应急预案的主要内容应当包括:
(一)应急组织架构及各部门、人员在预案中的角色、权限、
职责分工;
(二)信息传递路径和方式;
(三)运营中断事件处置程序,包括预警、报告、决策、指挥、
响应、回退等;
(四)运营中断事件处置过程中的风险控制措施;
(五)运营中断事件的危机处理机制;
(六)运营中断事件的内部沟通机制和联系方式;
(七)运营中断事件的外部沟通机制和联系方式;
(八)应急完成后的还原机制。
第三十七条 商业银行应当要求重要业务及信息系统的
外部供应商建立业务连续性计划,证明其业务连续性计划的
有效性,其业务恢复目标应当满足商业银行要求。
第三十八条 商业银行应当注重与金融同业单位、外部
金融市场、金融服务平台和公共事业部门等业务连续性计划
的有效衔接;同时,应当积极采取风险缓释及转移措施,有效
控制由于外部机构业务连续性管理不充分可能产生的风险。
第二节 业务连续性资源建设
第三十九条 商业银行应当开展业务连续性计划所需的
资源建设,满足业务恢复目标和重要业务持续运营的要求。
第四十条 商业银行应当重点加强信息系统关键资源的
建设,实现信息系统的高可用性,保障信息系统的持续运行
并减少信息系统中断后的恢复时间。
第四十一条 商业银行应当设立统一的运营中断事件指
挥中心场所,用于应急决策、指挥与联络,指挥场所应当配
置办公与通讯设备以及指挥执行文档、联系资料等。
第四十二条 商业银行应当建立符合业务连续性管理要
求的备用资源,如备用业务和办公场所资源、备用信息系统
运行场所资源、备用信息技术资源、备用人力资源等,以及
电力、通讯、消防、安保等资源。
第四十三条 商业银行选择备用场地时,应当确保不会
同时遭受同类型风险;应当综合分析备用场地所在地的自然
环境、地区配套设施、区域经济环境、交通条件、政策环境和
成本等各方面因素,以及灾难恢复所需的金融服务、通讯、
设备、技术等外部服务供应商资源情况。
第四十四条 商业银行在建立备用业务和办公场所时,
应当配备业务操作和办公所需资源,并确保其能够迅速启用。
第四十五条 商业银行应当建立灾备中心等备用信息技
术资源和备用信息系统运行场所资源,并满足银监会关于数
据中心相关监管要求。
第四十六条 商业银行应当明确关键岗位的备份人员及
其备份方式,并确保备份人员可用,降低关键岗位人员无法
及时履职风险。
第五章 业务连续性演练与持续改进
第一节 业务连续性计划演练
第四十七条 商业银行应当开展业务连续性计划演练,
检验应急预案的完整性、可操作性和有效性,验证业务连续
性资源的可用性,提高运营中断事件的综合处置能力。
第四十八条 制定业务连续性演练计划时,商业银行应
当考虑业务的重要性和影响程度,包括客户范围、业务性质、
业务时效性、经济与非经济影响等,演练频率、方式应当与
业务的重要性和影响程度相匹配。
第四十九条 商业银行应当至少每三年对全部重要业务
开展一次业务连续性计划演练。
在重大业务活动、重大社会
活动等关键时点,或在关键资源发生重大变化之前,也应当
开展业务连续性计划的专项演练。
第五十条 商业银行应当加强业务应急预案的演练,重
点加强业务和信息科技部门的协调、配合;应当注重以真实
业务接管为目标,确保灾备系统能够有效接管生产系统并具
备安全回切能力。
第五十一条 商业银行应当将外部供应商纳入演练范围
并定期开展演练;同时,应当积极参加金融同业单位、外部金
融市场、金融服务平台和公共事业部门等组织的业务连续性
计划演练,确保应急和协调措施的有效性。
第五十二条 商业银行应当对业务连续性计划的演练过
程进行完整记录,及时总结、评估和改进。
第二节 业务连续性管理评估与改进
第五十三条 商业银行应当建立业务连续性管理体系持
续改进机制。
第五十四条 商业银行应当至少每年对业务连续性管理
体系的完整性、合理性、有效性组织一次自评估,或者委托
第三方机构进行评估,并向高级管理层提交评估报告。
第五十五条 商业银行应当每年对业务连续性管理文档
进行修订,内容应当包含重要业务调整、制度调整、岗位职
责与人员调整等,确保文档的真实性、有效性。
第五十六条 商业银行在开发新业务产品时,应当同步
考虑是否将其纳入业务连续性管理范畴。
对纳入业务连续性
管理的,应当在上线前制定业务连续性计划并实施演练。
第五十七条 在业务功能或关键资源发生重大变更时,
商业银行应当及时对业务连续性计划进行修订。
第五十八条 商业银行应当每年对本行业务连续性管理
进行审计,每三年至少开展一次全面审计,发生大范围业务
运营中断事件后应当及时开展专项审计。
第五十九条 商业银行业务连续性管理审计的内容应当
包括:
业务影响分析、风险评估、恢复策略及恢复目标的合理
性和完整性;业务连续性计划的完整性和可操作性;业务连
续性计划演练过程及报告的真实性和有效性;业务连续性管
理相关部门及人员的履职情况等。
第六章 运营中断事件应急处置
第一节 监测、预警与报告
第六十条 商业银行应当建立运营中断事件的风险预警
体系,设定风险预警指标,并纳入全行风险预警体系中。
第六十一条 商业银行应当建立业务运营的监测体系及
监控机制,对信息系统运行环境进行日常监测,采取自动化
措施重点加强对业务运行情况的监控。
第六十二条 商业银行应当建立关键时点的监测与预警
机制,在重大业务和社会活动等关键时点,或在业务功能、
关键资源发生重大变更时,加强风险监控和预警。
业务条线
部门与信息科技部门等相关部门之间应当相互通报信息、提
示风险,协同做好应急准备。
第六十三条 发生运营中断事件后,商业银行应当及时
进行沟通和报告,包括:
按照报告路线在内部各部门及人员
之间的报告,与业务运营的外包方、业务合作方之间的沟通、
以及按照银监会有关报告要求,向银监会或其派出机构的报
告等。
第二节 运营中断事件处置
第六十四条 商业银行应当制定运营中断事件等级划分
标准,根据事件影响范围、持续时间和损失程度定义事件等
级,开展应急响应处置工作。
第六十五条 运营中断事件应急处置应当遵循“统一指挥、
分类管理、分级处置、快速响应”的原则,在全行统一指挥下
高效、有序应对;应当根据事件等级实施差别化处置,必要时
可以越级汇报、紧急授权,保障信息传递和决策的及时性,
将影响或损失最小化。
第六十六条 商业银行应当及时、有效地响应运营中断
事件,对事件影响进行评估,确定事件等级,及时启动应急
预案,确保业务快速恢复,防止事态升级或恶化。
第六十七条 商业银行在实施应急处置时,应当采取以
下措施:
(一)加强运营中断事件处置中的对外沟通,开展告知、解
释与安抚工作,最大程度降低负面影响;
(二)对重要业务可以通过减少服务功能、缩小服务范围、
利用替代系统、手工记账、利用他行支付渠道等多种手段进
行业务应急处置;
(三)采用程序化和标准化的手段,提高信息技术应急处置
的效率和质量。
第六十八条 商业银行应当为应急处置做好场地、交通、
通讯、资金等后勤保障工作。
第六十九条 商业银行应当对运营中断事件应急处置过
程进行完整记录。
第三节 灾难恢复
第七十条 对于导致或可能导致大范围业务运营中断的
事件,商业银行应当迅速决策,确定是否实施灾难备份切换。
第七十一条 商业银行应当事先对备份资源进行技术验
证,确保其可用性;在实施灾难备份切换时,信息科技部门应
当向业务条线部门告知可能出现的数据损失情况,并对备份
系统的运行情况实施监控,预警并防止出现二次中断风险。
第七十二条 商业银行在灾难备份切换、回切时,业务条
线部门应当对中断时的重要业务数据进行核对,并在信息科
技部门配合下,对丢失的数据进行追补;同时,应当进行测试
和验证,确保交易的可靠性。
第四节 危机处理
第七十三条 商业银行应当建立危机处理机制,从维护
客户关系、履行告知义务、维护客户合法权益出发,运用公
共关系策略、方法,加强与客户、媒体的沟通,适时向公众发
布信息,消除或降低危机所造成的负面影响。
第七十四条 商业银行应当指定专门部门负责危机处理
工作,加强舆情监测、信息沟通和发布。
第七十五条 商业银行应当制定针对社会公众、媒体、股
东、客户等相关各方的预案,在运营中断事件发生时及时、
准确披露信息,防止因信息不对称可能产生的负面影响。
第七十六条 商业银行应当实时关注舆情信息,及时澄
清虚假信息或不完整信息,消除社会疑虑,化解纠纷。
第七章 监管和处置
第一节 监管处置
第七十七条 银监会及其派出机构建立运营中断事件处
置领导小组和工作小组。
(一)领导小组主要职责为:
1.领导和指挥银行业运营中断事件处置工作;
2.审批银行业运营中断事件处置预案;
3.最终认定银行业运营中断事件等级,决定是否启动处
置预案;
4.对银行业运营中断事件重大处置措施进行决策;
5.协调跨行业、跨部门共同开展的处置工作重大事项;
6.对银行业运营中断事件处置的对外信息发布进行决策。
(二)工作小组主要职责为:
1.制定银行业运营中断事件处置预案;
2.对银行业金融机构运营中断事件进行监管处置;
3.向处置领导小组报告运营中断事件、重大处置事项及
事件进展情况;
4.依授权对外发布信息;
5.协调跨行业、跨部门资源。
第七十八条 银监会建立银行业信息科技风险预警体系,
对可能导致银行业发生较大运营中断事件的风险进行分析
和评估,进行风险提示和预警。
第七十九条 银监会及其派出机构对银行业运营中断事
件进行分级。
当运营中断事件同时满足多个级别的定级条件
时,按最高级别确定事件等级。
(一)特别重大运营中断事件(Ⅰ级)
1.银行业金融机构重要信息系统服务中断,或重要数据
损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响
金融稳定,或对公众利益、社会秩序、国家安全造成特别严
重损害的事件;
2.在业务服务时段导致一个(含)以上省(自治区、直辖市)
的多家金融机构业务无法正常开展达 3 个小时(含)以上的事
件;
3.在业务服务时段导致单家金融机构两个(含)以上省(自
治区、直辖市)业务无法正常开展达 3 个小时(含)以上,或一
个省(自治区、直辖市)业务无法正常开展达 6 个小时(含)以
上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生
上述 1 至 3 类事件的事件。
(二)重大运营中断事件(Ⅱ级)
1.银行业金融机构重要信息系统服务中断,或重要数据
损毁、丢失、泄露,对银行或客户利益造成严重损害的事件;
2.在业务服务时段导致一个(含)以上省(自治区、直辖市)
的多家金融机构业务无法正常开展达半个小时(含)以上的事
件;
3.在业务服务时段导致单家金融机构两个(含)以上省(自
治区、直辖市)业务无法正常开展达半个小时(含)以上,或一
个省(自治区、直辖市)业务无法正常开展达 3 个小时(含)以
上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生
上述 1 至 3 类事件的事件。
(三)较大运营中断事件(Ⅲ级)
1.银行业金融机构重要信息系统服务中断,或重要数据
损毁、丢失、泄露,对银行或客户利益造成较大损害的事件;
2.在业务服务时段导致一个省(自治区、直辖市)业务无
法正常开展达半个小时(含)以上的事件;
3.业务服务时段以外,故障或事件救治未果、可能产生
上述 1 至 2 类事件的事件。
第八十条 按照属地监管原则,银监会派出机构在商业
银行运营中断事件发生后 2 小时内,将事件及处置情况上报
银监会处置工作小组。
事件报告至少包括:
事发银行及事件
发生时间、地点、现象、影响范围和程度、已采取的措施等。
银监会处置工作小组应当将重大以上运营中断事件上报
银监会运营中断事件处置领导小组。
第八十一条 银监会根据国家有关网络与信息安全事件
应急预案要求向相关部门通报运营中断事件;对其他行业有
较大影响的运营中断事件,可以向该行业主管或监管部门通
报事件情况;对于特别重大(Ⅰ级)的运营中断事件,将事件及
处置情况及时上报国务院。
第八十二条 银监会及其派出机构对商业银行报送的事
件内容和事件等级进行分析、评估,认定运营中断事件的最
终等级,及时启动处置预案,实施运营中断事件监管处置工
作。
第八十三条 对于较大(Ⅲ级)运营中断事件,按照属地监
管原则,由银监会或其派出机构组织开展处置工作,处置结
束后银监会派出机构向银监会上报运营中断事件总结报告。
第八十四条 对于特别重大(Ⅰ级)和重大(Ⅱ级)运营中断事
件,银监会处置工作小组及时核实情况,指导协调银监会派
出机构开展处置;根据事件影响范围、紧急程度和事件处置
进展情况,银监会处置工作小组可以赴事发银行现场进行督
导。
第八十五条 银监会及其派出机构督导商业银行采取措
施尽快恢复系统和业务,最大程度减少事件产生的负面影响。
必要时,可以协调国家专业技术队伍或外部专家提供技术支
援。
第八十六条 银监会及其派出机构督导商业银行积极采
取风险隔离措施,防止事件恶化或向其他银行业金融机构扩
散。
对可能影响其他银行业金融机构业务开展或对银行业产
生区域性、整体性影响的事件,银监会及其派出机构及时发
升级会员 