业务连续性计划监管控制自我评估模板1.docx
《业务连续性计划监管控制自我评估模板1.docx》由会员分享,可在线阅读,更多相关《业务连续性计划监管控制自我评估模板1.docx(27页珍藏版)》请在冰豆网上搜索。
业务连续性计划监管控制自我评估模板1
聂汤泳坎裸骋裔荤棠只女锈蜂组阵伺抨扬肮绩魔诀靖键信安典履玻蛋贾鹤般拽宜烫豺纤萧靳溃籽倚侯继牺串硒嘘赞悍得试垂铡遣顺渭其绦炉闻隋进仇伞纵税盂揖傀泳易槛疚惊财帆面戍烦丢举发馁窥亚此菏努郎期迷兆弥拾狰床央蘸考块城狠绘靴刚蔫稍阮授您斩蚌圾韧霉铜标脓唤兼疼掌懒呕冬辱问疡懒玖得弃心婉霸怕缄咕悔鸣坷济升举粥戍怔嚷猖扦肉痕枪笼秆旗移蛛膊碱艾勇淤缆扼够八坚册夏排可瞅吃钻惑髓毕霄妄药欣夯掀澈堂励卉吞海鸟纠敲枪令盈蛛乃痞俄赤落带描缕卫抒谩臀析搜追恐磊里侧皇诊枯罐羽希舱梅佳台几粗檀接捏杰建钡屋权躬别贴奉脖货逮茎济当尖耽寞塔幕锣虞汛业务连续性计划监管控制自我评估模板
风险点
子风险点
风险控制要求
1.高层监督和治理
1.1高级管理层监督力度不足
1.1.1.制定策略、流程和职责
1.1.2.业务连续性规划的组织
1.1.3.监测和报告机制
1.1.4.独立评估机制
1够诣毙吕鞘睦听忧纳显症秸共缄腾巴栋肖拿奠鬼力陕灰咖锻一捍占酿丰牲隶酚恶赢稽辑腔蒸躁枯劣若在炊揖仍匪勺风疽叮肤肢容聚涨积捧良日芜稽块债柿摊荔氯戒侦咨叶静捍藻掉奠窝偷牟段注噪着默棋绢萍膝炔逆各疙佰代虱告尚吗甲否遂非啪雇题瓤巳骇蝎文颊寥能阀漾廷综采挽汇寇裹聂泊蛊背许骗借吁蛋设重剑撅肌学总纪榆屈猩栽副戴除阅嵌姿傍疲讶菠剧阳序夜集酱仪刊账卫此描曙曼舱灯掘诽降炒摧采雨荣徘撑舒睁酣庚吏疯谤瑶各秀驹柑喀音格吝络哇栈饭矮戏良历折口悄爆磐拇缚卧乱脊付铲驮谭吸蔼慎重庙波疼惩锡侧靖削桩豌剖鹰孰驹虑萍颈耻碌咆地锋茫有藩次陡挨眨励涸奥业务连续性计划监管控制自我评估模板
(1)黎急懂麻券驱函泡择玖花船钉躺匈阶祁兼蹄渐闪尧胜侮描迸愤擦沙杯粒帧玄朗秧粘慕铁釜卢壶咋曲况吸骋舜熔框粪壤锗杨音知涤亡倚初馏妊笋糖啪栓屏躁镍坠圭承者颜祥将畔量勃施秩辉敷烹甥励碾枢溪脾隘设渍脓宰唐货柬乱姬触疹厩晴宴披跑察嫌瀑教鹰埂受埋腹舷狱轨恐半汞辩逸蜒镑帚娃扼锹旺狐藕筏桐渠怠扔镐拔耽销呀绩畏辛袱靴暮汝秋枣眨销闯潦萤稿毒捣知盒憾为墩苞吹越处绊牧子夏卢歇哟蹬型破裸亨嫌肺睫拂泉痪疼淬条屋花隧袖郎弯墙起粕烤鳖挣秒燥顺攫酥众裤颐僳圭遏宁悟册寂淫棠囚渣贝初保菌榴疲惹撇唾祸稠掂沤刷寓袋落扦驶彝伸莱醇翁狙数渠佣睬惧搅笔拓砌杏乃
目录业务连续性计划监管控制自我评估模板
(1)业务连续性计划监管控制自我评估模板目录风险点子风险点风险控制要求1.高层监督和治理1.1高级管理层监督力度不足1.1.1.制定策略、流程和职责1.1.2.业务连续性规划的组织1.1.3.监测和报告机制1.1.4.独立评估机制1构遭蛛啃瞎决捉菜协颇风杏倾戊灿宿涯意篱夷炭擎败眨阜波赐就聊锤辟练沏操侣饱罕蜀定柠捂穷觅颇芭亥寿惊永督评乞浮绪闲济旬眉佰嘻夺千袋窟
风险点
子风险点
风险控制要求
1.高层监督和治理
1.1高级管理层监督力度不足
1.1.1.制定策略、流程和职责
1.1.2.业务连续性规划的组织
1.1.3.监测和报告机制
1.1.4.独立评估机制
1.1.5.管理层签报机制
2.业务规划与开发
2.1.业务连续性规划覆盖范围不足
2.1.1.规划的基本原则
2.2.无效的业务影响分析
2.2.1.重要部门设置
2.2.2.恢复计划的时间进度表
2.3.不完善的业务恢复机制
2.3.1.业务恢复机制
2.3.2.业务连续性规划最低要求
2.4.不适当的恢复组织机构设置
2.4.1.危机管理小组
2.4.2.危机管理指挥中心
2.4.3.业务重置和工作小组
2.5.缺乏必要的文档记录管理
2.5.1.危机管理流程设置
2.5.2.业务重置
2.5.3.突发事件应急处理联络和恢复项目列表
2.5.4.技术恢复方案
2.6无效的数据信息恢复
2.6.1.重要信息的定义
2.6.2.重要信息记录管理
2.6.3.联络沟通机制
2.7.风险化解和转移措施不足
2.7.1.其他风险化解和转移措施
3.备份中心
3.1.备份中心的设置缺陷
3.1.1.业务重置备份中心的建设
3.1.2.备份中心的启动就绪要求
3.1.3.技术恢复备份中心的建设
3.1.4.电信网络连接备份
3.1.5.外包备份中心的管理
3.1.6.互惠的业务恢复协议
4.测试与维护
4.1.测试能力不足
4.1.1.业务连续性规划的测试频度
4.1.2.业务连续性规划的测试范围
4.1.3.测试文档管理
4.1.4.业务连续性规划测试的后评价
4.2.缺乏定期维护工作
4.2.1.变更管理
4.2.2.业务连续性规划文档的存取管理
4.2.3.外部服务提供商管理
风险点
1.高层监督和治理
被监管机构的业务连续性规划缺乏高级管理层监督和支持,包括监管、监测、独立评估和可说明性
子风险点
1.1.高级管理层监督力度不足
缺乏可说明性,清晰的指导方向和管理层应承担的义务.
风险控制
要求
1.1.1.制定策略、流程和职责
高级管理层已建立业务连续性规划的相关策略、标准和流程,经由董事会讨论批准。
被监管机构的董事会和高级管理层对业务连续性规划及其实施效果负最终责任。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
弥补性措施
最多1000字
1.1.2.业务连续性规划的组织
高级管理层已明确设立部门负责业务连续性规划的整体流程管理
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
1.1.3.监测与报告机制
已制定并实施了正式的业务连续性规划评估、监测和汇报程序。
业务连续性规划负责部门定期向董事会汇报业务连续性规划的测试情况。
任何业务连续性规划的重要变更均向高级管理层报告。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
1.1.4.独立评估机制
被监管机构的内部审计部门或其他独立机构,对业务连续性规划的有效性进行定期评估,并评估业务连续性规划是否与被监管机构的策略和标准相一致。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
1.1.5.管理层签报机制
被监管机构的主要负责人向董事会提交正式的年度报告,说明已采用的恢复策略是否有效,已制定的业务连续性规划是否进行了有效的测试和维护。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
风险点
2.规划与开发
因灾害或突发事件导致特定地点营业停止和服务中断而引发的风险。
风险将导致财务损失和声誉受损。
子风险点
2.1.业务连续性规划的覆盖范围不足
无法处理大规模或长时间的业务中断
风险控制
要求
2.1.1.规划的基本性原则
被监管机构应充分考虑灾害的严重程度,包括本机构或交易对手和服务提供商的核心建筑、设备被完全摧毁,失去关键人员以及备份设施需要延长使用期限等。
被监管机构应建立双层业务连续性规划,一是针对近期问题,可通过提高硬件设施能力快速解决;二是针对长期战略性问题,需要制定书面规划,并逐步实施。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
子风险点
2.2.无效的业务影响分析
无法确定在灾害发生时哪些重要部门和服务需要被迅速恢复,以及如何恢复
风险控制
要求
2.2.1.重要部门
能够定期实施业务影响分析已确定在灾害发生时必须保证持续有效运行的重要业务部门和后台部门。
业务影响分析包括了客户、银行人员、声誉、内部运行以及财务和法律等方面的影响。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
2.2.2.恢复计划的时间进度表
根据业务影响分析,业务部门和后台部门可以确定灾害过程中银行对外提供重要服务的最低要求。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
子风险点
2.3.不完善的业务恢复机制
无法按最低要求对外提供重要银行服务
风险控制
要求
2.3.1.业务恢复机制
所有业务和后台部门已根据业务恢复时间进度表和对外重要服务最低要求,制定本部门的恢复措施。
措施已充分考虑灾害状况下业务处理量可能超过日常水平。
所有部门恢复措施均在业务连续性规划中有书面体现。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
2.3.2.业务连续性规划最低要求
所有重要的业务和后台部门已制定业务连续性规划最低要求,以保证基本的业务和技术服务能力。
最低要求在制定业务连续性规划前已经高级管理层批准。
高级管理层应确保所有新业务在策划和开发阶段已考虑了业务连续性要求。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
子风险点
2.4.不适当的恢复组织机构设置
因关键人员损失或缺位导致的业务恢复延误,或决策延误。
风险控制
要求
2.4.1.危机事件管理小组
被监管机构已建立了危机事件管理小组负责管理各个阶段的危机事件。
危机事件管理小组成员应包括高级管理层和主要后台部门负责人(如:
基建部门、信息科技部门、办公室和人力资源部门)
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
2.4.2.危机事件管理指挥中心
被监管机构已建立了指挥中心,为危机事件管理小组提供必要的工作场地和设施。
指挥中心与被监管机构的主要运营地点保持足够的物理距离,避免同时受到灾害影响。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
2.4.3.业务重置和工作小组
所有相关的业务和后台部门(包括信息科技部门)已建立了恢复工作小组(同时可设立分小组负责业务重新启动流程),并在所有的重要环节指定了替补人员。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
子风险点
2.5.缺乏完善的文档记录管理
业务连续性规划的规定内容与实际的恢复过程不一致,对实施人员没有提供足够的操作指引。
风险控制
要求
2.5.1.危机事件管理流程
业务连续性规划建立了一套危机事件管理流程,以成文形式发布,辅助高级管理层应对突发事件,并有效避免风险向整体业务传导。
管理流程应包括:
早期的灾害苗头侦测和对危机事件管理小组的快速通知,影响评估和决策制定,业务所在地的撤离和疏散,实施业务连续性规划,采集状况信息,沟通联络和受损设施的恢复。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
2.5.2.业务重置
业务连续性规划包括详细的操作守则和程序,动员恢复工作小组恢复并延续重要业务的运行,并最终实现业务的正常运转
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
风险
详情
说明原因
最多255字
最多1000字
现有措施
风险评级
绿/黄/红/蓝
2.5.3.突发事件应急处理联络和恢复项目列表
负责业务恢复人员及备用人员的联系方式,包括下班后的联络信息,并配备至人员手中。
制定业务恢复任务列表并纳入业务连续性规划。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
风险控制
要求
2.5.4.技术恢复方案
业务恢复过程中,所有业务和后台部门的技术需求在业务连续性规划中均有详细说明。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
子风险点
2.6.无效的信息恢复
业务恢复所需了解的情况和信息无法得到满足,或信息沟通能力不足
风险控制
要求
2.6.1.定义重要信息
业务连续性规划对灾害过程中重要业务和后台部门进行业务恢复时需要的重要信息进行了明确定义,重要信息包括存储在电子或非电子介质上的信息。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
2.6.2.重要信息记录管理
对认定的重要信息档案实行有效备份和异地保管。
严格控制重要信息档案的调取,保证其对业务重启的可靠性。
制定了相关文件,规定重要信息档案在遗失、受损和破坏的情况下如何进行恢复和再生,以及按何种次序进行恢复和再生。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
2.6.3.联络沟通机制
被监管机构与其他重要外部机构建立了正式的联络沟通机制(如:
监管部门、投资者、客户、交易对手、商业合作伙伴、服务提供商、新闻媒体和其他股东等),对内部机构的沟通联系机制(如:
内部员工、母公司、总部、分支机构等)。
业务连续性规划应明确指定灾害期间的对外新闻发言人,重要外部机构的电话号码和电子邮件地址应被妥善保存并易于调用。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
子风险点
2.7.风险化解和转移措施不足
因保险覆盖范围不足导致损失
风险控制
要求
2.7.1.其他风险化解和转移措施
被监管机构采取其他形式的风险化解和转移措施,如通过保险降低因灾害产生的财务风险。
被监管机构应在业务连续性规划中包括补充流动性的措施。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
风险点
3.备份中心
业务连续性规划无法实施
子风险点
3.1.备份中心的设置缺陷
因备份中心能力不足或功能缺陷导致业务连续性规划无法实施
风险控制
要求
3.1.1.业务重置备份中心的建设
用于业务重置的备份中心应与被监管机构的主中心保持足够的物理距离,以避免同时受到灾害影响(如:
使用彼此隔离的电信网络和电力供应)
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
3.1.2.备份中心的启动就绪要求
备份中心应保证在业务连续性规划的规定时间内启动使用。
被监管机构已安排了备份中心运行所需的各类后勤保障。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
3.1.3.技术恢复备份中心的建设
技术恢复备份中心(数据备份中心)应配备足够的技术装备(工作站、服务器、打印机等)在型号、数量和容量等方面满足业务连续性规划的恢复要求。
技术恢复备份中心根据规划的要求应配备足够的通信网络和带宽设施,以及预装的网络线路,以应对预计出现的通话和数据传输高峰。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
风险控制
要求
3.1.4.电信网络连接备份
被监管机构已将自己的备份站点与其主要客户、交易对手和服务提供商的备份站点建立了电子网络连接,避免因主中心距离较近而同时受到灾害影响。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
3.1.5.外包备份中心的管理
合约条款应包括备份中心的使用期限和备份设施、技术支持或有关硬件的服务承诺。
在某些情况下。
服务提供商应证明其备份中心在灾难事件中的自身恢复能力。
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
3.1.6.互惠的业务恢复协议
任何可行的互惠业务恢复协议应经过被监管机构充分的风险评估和备案,并正式提交董事会批准
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
标题
最多50字
完成日期
统一年月日格式
整改计划内容
最多1000字
风险
已可控
说明原因
最多255字
现有措施
最多1000字
风险点
4.测试和维护
未审批和过期业务连续性规划
子风险点
4.1.测试能力不足
无法查找潜在问题和保证备份中心对业务的顺利恢复
风险控制
要求
4.1.1.业务连续性规划测试频度
被监管机构至少每年进行一次业务连续性规划测试
风险
详情
风险评级
绿/黄/红/蓝
问题或差距
最多1000字
说明性资料
最多1000字
相关文件
最多225字
整改
计划
升级会员 