业务连续性计划监管控制自我评估模板1.docx

1、业务连续性计划监管控制自我评估模板1风险点子风险点风险控制要求1. 高层监督和治理1.1高级治理层监督力度不敷 1.1.1. 制定战略、流程和职责1.1.2. 业务连续性筹划的组织1.1.3. 监测和陈诉机制1.1.4. 独立评估机制1.1.5. 治理层签报机制2. 业务筹划与开发2.1.业务连续性筹划笼罩范畴不敷2.1.1. 筹划的根本原则2.2.无效的业务影响阐发2.2.1. 重要部分设置2.2.2. 规复筹划的时间进度表2.3. 不完善的业务规复机制2.3.1. 业务规复机制2.3.2.业务连续性筹划最低要求2.4. 不适当的规复组织机构设置2.4.1. 危机治理小组2.4.2. 危机治

2、理指挥中心2.4.3. 业务重置和事情小组2.5.缺乏须要的文档记录治理2.5.1. 危机治理流程设置2.5.2. 业务重置2.5.3. 突发事件应急处理惩罚联络和规复项目列表2.5.4. 技能规复方案2.6无效的数据信息规复2.6.1.重要信息的界说2.6.2. 重要信息记录治理2.6.3. 联络相同机制2.7.风险化解和转移步伐不敷2.7.1. 其他风险化解和转移步伐3. 备份中心3.1. 备份中心的设置缺陷3.1.1. 业务重置备份中心的建立3.1.2. 备份中心的启动就绪要求3.1.3. 技能规复备份中心的建立3.1.4. 电信网络连接备份3.1.5. 外包备份中心的治理3.1.6.

3、互惠的业务规复协议4. 测试与维护4.1. 测试能力不敷4.1.1. 业务连续性筹划的测试频度4.1.2. 业务连续性筹划的测试范畴4.1.3. 测试文档治理4.1.4. 业务连续性筹划测试的后评价4.2. 缺乏定期维护事情4.2.1. 变动治理4.2.2. 业务连续性筹划文档的存取治理4.2.3. 外部办事提供商治理风险点1.高层监督和治理被羁系机构的业务连续性筹划缺乏高级治理层监督和支持，包罗羁系、监测、独立评估和可说明性子风险点1.1. 高级治理层监督力度不敷缺乏可说明性，清晰的指导偏向和治理层应包袱的义务.风险控制要求1.1.1. 制定战略、流程和职责高级治理层已创建业务连续性筹划的相

4、关战略、标准和流程，经由董事会讨论批准。被羁系机构的董事会和高级治理层对业务连续性筹划及其实施效果负最终责任。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字弥补性步伐最多1000字1.1.2. 业务连续性筹划的组织高级治理层已明确设立部分卖力业务连续性筹划的整体流程治理风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已

5、可控说明原因最多255字现有步伐最多1000字1.1.3. 监测与陈诉机制已制定并实施了正式的业务连续性筹划评估、监测和报告步伐。业务连续性筹划卖力部分定期向董事会报告业务连续性筹划的测试情况。任何业务连续性筹划的重要变动均向高级治理层陈诉。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字1.1.4. 独立评估机制被羁系机构的内部审计部分或其他独立机构，对业务连续性筹划的有效性进行定期评估，并评估业务连续性筹划是否与被羁系

6、机构的战略和标准相一致。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字1.1.5. 治理层签报机制被羁系机构的主要卖力人向董事会提交正式的年度陈诉，说明已采取的规复战略是否有效，已制定的业务连续性筹划是否进行了有效的测试和维护。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多25

7、5字现有步伐最多1000字风险点2. 筹划与开发因灾害或突发事件导致特定所在营业停止和办事中断而引发的风险。风险将导致财务损失和声誉受损。子风险点2.1. 业务连续性筹划的笼罩范畴不敷无法处理惩罚大范围或长时间的业务中断风险控制要求2.1.1. 筹划的基天性原则被羁系机构应充实考虑灾害的严重水平，包罗本机构或生意业务敌手和办事提供商的核心修建、设备被完全摧毁，失去要害人员以及备份设施需要延长使用期限等。被羁系机构应创建双层业务连续性筹划，一是针对近期问题，可通过提高硬件设施能力快速解决；二是针对长期战略性问题，需要制定书面筹划，并逐步实施。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字

8、说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字子风险点2.2. 无效的业务影响阐发无法确定在灾害产生时哪些重要部分和办事需要被迅速规复，以及如何规复风险控制要求2.2.1. 重要部分能够定期实施业务影响阐发已确定在灾害产生时必须包管连续有效运行的重要业务部分和背景部分。业务影响阐发包罗了客户、银行人员、声誉、内部运行以及财务和执法等方面的影响。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一

9、 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字2.2.2. 规复筹划的时间进度表凭据业务影响阐发，业务部分和背景部分可以确定灾害历程中银行对外提供重要办事的最低要求。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字子风险点2.3. 不完善的业务规复机制无法按最低要求对外提供重要银行办事风险控制要求2.3.1. 业务规复机制所有业务和背景部分已凭据业务规复时间进度表和对外重要办事最

10、低要求，制定本部分的规复步伐。步伐已充实考虑灾害状况下业务处理惩罚量可能凌驾日常水平。所有部分规复步伐均在业务连续性筹划中有书面体现。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字2.3.2. 业务连续性筹划最低要求所有重要的业务和背景部分已制定业务连续性筹划最低要求，以包管根本的业务和技能办事能力。最低要求在制定业务连续性筹划前已经高级治理层批准。高级治理层应确保所有新业务在策划和开发阶段已考虑了业务连续性要求。风险详

11、情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字子风险点2.4. 不适当的规复组织机构设置因要害人员损失或缺位导致的业务规复延误，或决策延误。风险控制要求2.4.1. 危机事件治理小组被羁系机构已创建了危机事件治理小组卖力治理各个阶段的危机事件。危机事件治理小组成员应包罗高级治理层和主要背景部分卖力人（如：基建部分、信息科技部分、办公室和人力资源部分）风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字

12、相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字2.4.2. 危机事件治理指挥中心被羁系机构已创建了指挥中心，为危机事件治理小组提供须要的事情园地和设施。指挥中心与被羁系机构的主要运营所在保持足够的物理距离，制止同时受到灾害影响。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字2.4.3. 业务重置和事情小组所有相关的业务和背景

13、部分（包罗信息科技部分）已创建了规复事情小组（同时可设立分小组卖力业务重新启动流程），并在所有的重要环节指定了替补人员。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字子风险点2.5. 缺乏完善的文档记录治理业务连续性筹划的规定内容与实际的规复历程不一致，对实施人员没有提供足够的操纵指引。风险控制要求2.5.1. 危机事件治理流程业务连续性筹划创建了一套危机事件治理流程，以成文形式宣布，帮助高级治理层应对突发事件，并有效制

14、止风险向整体业务传导。治理流程应包罗：早期的灾害苗头侦测和对危机事件治理小组的快速通知，影响评估和决策制定，业务所在地的撤离和疏散，实施业务连续性筹划，收罗状况信息，相同联络和受损设施的规复。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字2.5.2. 业务重置业务连续性筹划包罗详细的操纵守则和步伐，发动规复事情小组规复并延续重要业务的运行，并最终实现业务的正常运转风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明

15、性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控风险详情说明原因最多255字最多1000字现有步伐风险评级绿/黄/红/蓝2.5.3. 突发事件应急处理惩罚联络和规复项目列表卖力业务规复人员及备用人员的联系方法，包罗下班后的联络信息，并配备至人员手中。制定业务规复任务列表并纳入业务连续性筹划。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字风险控制要求

16、2.5.4. 技能规复方案业务规复历程中，所有业务和背景部分的技能需求在业务连续性筹划中均有详细说明。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字子风险点2.6. 无效的信息规复业务规复所需了解的情况和信息无法得到满足，或信息相同能力不敷风险控制要求2.6.1. 界说重要信息业务连续性筹划对灾害历程中重要业务和背景部分进行业务规复时需要的重要信息进行了明确界说，重要信息包罗存储在电子或非电子介质上的信息。风险详情风险评

17、级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字2.6.2. 重要信息记录治理对认定的重要信息档案实行有效备份和异地保管。严格控制重要信息档案的调取，包管其对业务重启的可靠性。制定了相关文件，规定重要信息档案在遗失、受损和破坏的情况下如何进行规复和再生，以及按何种序次进行规复和再生。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容

18、最多1000字风险已可控说明原因最多255字现有步伐最多1000字2.6.3. 联络相同机制被羁系机构与其他重要外部机构创建了正式的联络相同机制（如：羁系部分、投资者、客户、生意业务敌手、商业相助同伴、办事提供商、新闻媒体和其他股东等），对内部机构的相同联系机制（如：内部员工、母公司、总部、分支机构等）。业务连续性筹划应明确指定灾害期间的对外新闻发言人，重要外部机构的电话号码和电子邮件地点应被妥善生存并易于调用。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明

19、原因最多255字现有步伐最多1000字子风险点2.7. 风险化解和转移步伐不敷因保险笼罩范畴不敷导致损失风险控制要求2.7.1. 其他风险化解和转移步伐被羁系机构采取其他形式的风险化解和转移步伐，如通过保险低落因灾害产生的财务风险。被羁系机构应在业务连续性筹划中包罗增补流动性的步伐。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字风险点3. 备份中心业务连续性筹划无法实施子风险点3.1. 备份中心的设置缺陷因备份中心能力不

20、敷或成果缺陷导致业务连续性筹划无法实施风险控制要求3.1.1. 业务重置备份中心的建立用于业务重置的备份中心应与被羁系机构的主中心保持足够的物理距离，以制止同时受到灾害影响（如：使用相互断绝的电信网络和电力供给）风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字3.1.2. 备份中心的启动就绪要求备份中心应包管在业务连续性筹划的规定时间内启动使用。被羁系机构已摆设了备份中心运行所需的种种后勤保障。风险详情风险评级绿/黄/红/

21、蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字3.1.3. 技能规复备份中心的建立技能规复备份中心（数据备份中心）应配备足够的技能装备（事情站、办事器、打印机等）在型号、数量和容量等方面满足业务连续性筹划的规复要求。技能规复备份中心凭据筹划的要求应配备足够的通信网络和带宽设施，以及预装的网络线路，以应对预计出现的通话和数据传输岑岭。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50

22、字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字风险控制要求3.1.4. 电信网络连接备份被羁系机构已将自己的备份站点与其主要客户、生意业务敌手和办事提供商的备份站点创建了电子网络连接，制止因主中心距离较近而同时受到灾害影响。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字3.1.5. 外包备份中心的治理合约条款应包罗备份中心的使用期限和备份设施、技能支持或有关硬件的

23、办事允许。在某些情况下。办事提供商应证明其备份中心在灾难事件中的自身规复能力。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字3.1.6. 互惠的业务规复协议任何可行的互惠业务规复协议应经过被羁系机构充实的风险评估和存案，并正式提交董事会批准风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明

24、原因最多255字现有步伐最多1000字风险点4. 测试和维护未审批和逾期业务连续性筹划子风险点4.1. 测试能力不敷无法查找潜在问题和包管备份中心对业务的顺利规复风险控制要求4.1.1. 业务连续性筹划测试频度被羁系机构至少每年进行一次业务连续性筹划测试风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字4.1.2. 业务连续性筹划测试的范畴业务连续性筹划测试的范畴应全面笼罩筹划的主要组成部分，以及与重要外部机构的衔接部分。业

25、务连续性筹划测试已被验证有效：员工撤离和疏散、通讯联系、业务备份中心和技能备份中心的启用，外部机构提供的规复办事，重要档案的规复高级治理层实地参加年度测试并了解自己在业务连续性筹划中的职责。卖力规复的人员及其替补人员应参加测试以便熟悉相关职责。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字4.1.3. 测试文档治理创建正式的测试文档治理制度（包罗测试方案、测试情况、测试流程和测试结果）风险详情风险评级绿/黄/红/蓝问题或

26、差距最多1000字说明性资料最多1000字相关文件最多225字风险控制要求整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字4.1.4. 业务连续性筹划测试的后评价业务连续性筹划测试完成后，后续评估陈诉应提交被羁系机构的高级治理层审核。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内容最多1000字风险已可控说明原因最多255字现有步伐最多1000字子风险点4.2. 缺少定期维护逾期的业务连续性筹划.风险控制要求4.2.1. 变动治理被羁系机构应创建正式的变动治理机制，包管其业务连续性筹划通过有效的审批和存档步伐得到实时更新。步伐需要确保主要员工、生意业务敌手、客户和办事提供商的联络方法实时得到更新。风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改筹划标题最多50字完成日期统一 年月日格式整改筹划内