1、业务连续性管理 business continuity management (BCM)内容提要 解读BCM1 BCM项目实施方法2 BCM实施难点与对策3 BCM实施策略讨论42何为BCM4业务业务连续性(连续性(Business ContinuityBusiness Continuity):):业务中断事件发生后,在预先确定的可接受水平上持续交付产品或提供服务的能力。业务业务连续性连续性管理(管理(Business Business Continuity ManagementContinuity Management)是一套整体的管理流程,用以:识别潜在威胁,以及这些威胁对业务持续运行带来
2、的影响;建立有效应对威胁的自我恢复能力,保护关键相关方的利益、声誉、品牌和创造价值的活动。BCM是一个跨多个专业领域的综合性体系56BCM标准发展新加坡标准SS540英国标准BS25999国际业务持续协会(BCI)业务持续管理良好实践指南BCM GPG理论基础理论基础升级中国国家标准GB/T301462013年12月17日正式发布国际标准ISO223012012年5月15日正式发布对应商业银行业务连续性监管指引 2011年12月28日正式发布ISO22301标准全文结构74.组织环境5.领导力6.策划7.支持8.实施9.绩效评价10.改进理解组织及其环境理解相关方的需求和期望定义BCMS的范围
3、BCMS领导力与承诺管理承诺方针应对风险和机会的措施业务连续性目标和实现计划资源能力意识沟通文件化信息实施策划与控制业务影响分析和风险评估业务连续性策略建立和实施业务连续性程序演练和测试监视、测量、分析和评价内部审计管理评审不合格项和纠正措施持续改进计划(Plan)执行(Do)检查(Check)改进(Action)组织角色、职责和权限监管指引与国际标准对应关系ISO22301:2012(GB/T30146-2013)商业银行业务连续性监管指引4 组织环境5 领导力6 策划7.1 资源7.4 沟通7.5 文件化信息9 绩效评价10 改进第一章总则第二章业务连续性组织架构7.2 能力7.3 意识第
4、一章总则(第九条)8.2 业务影响分析和风险评估8.3 业务连续性策略第三章业务影响分析8.4 建立和实施业务连续性程序第四章业务连续性计划与资源建设第六章运营中断事件应急处置8.5 演练和测试第五章业务连续性演练与持续改进-第七章监管和处置8业务连续性与IT服务连续性9业务流程、业务活动业务流程、业务活动IT IT服务服务(信息系统、IT基础设施)技术技术支撑支撑业务连续性(业务连续性(Business ContinuityBusiness Continuity):):关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。业务不连续的后果:客户量/业务量减少、产品报废、合同违约、监管违
5、规、财务损失、利益相关方施压、社会谴责(环境/健康等)、丧失竞争力、破产业务连续性计划(业务连续性计划(BCPBCP):从业务层面恢复中断的业务流程和活动。IT灾难恢复计划(IT DRP)、应急预案通常用于支撑BCP。IT IT服务连续性服务连续性(IT Service ContinuityIT Service Continuity):关注于保障信息系统、IT基础设施持续运行。IT服务不连续的后果:直接表现:IT基础设施瘫痪、信息系统停止服务;间接表现:依赖IT系统的业务活动停滞,部分业务切换到人工操作。IT IT灾难恢复计划灾难恢复计划:将中断的IT系统服务恢复到可用状态,通常涉及灾备切换。
6、应急应急预案预案:通常由一组具体的故障恢复场景构成,可能包含导致服务中断的严重故障,也有可能涉及未导致服务中断的一般故障。信息化技术越来越多地承载了组织的业务流程运行。业务连续性的恢复要求10 最长可容忍中断时间(MTPD, Maximum Tolerable Period Of Disruption)交付产品、服务的业务流程与活动的最长可容忍中断时间。如果超出此时间限制,带来的负面影响将变得无法承受。 恢复时间目标(RTO)基于MTPD,在组织内部协商后制定的恢复时间目标值。RTO应小于MTPD(30%为宜)。组织应在假设的最坏场景下,通过演练、测试,验证自身达成RTO的实际能力。 最长可容
7、忍数据丢失点(MTDL , Maximum Tolerable Data Lost)交付产品、服务的业务流程与活动中断后再次恢复时,能够容忍的数据丢失时长。即:将数据恢复到中断前多久的状态。 恢复点目标(RPO)基于MTDL,在组织内部协商后制定的恢复点目标值。RPO应小于MTDL (30%为宜)。组织应通过适当的备份机制,确保备份间隔时间小于RPO,并通过演练、测试,验证备份的有效性。业务最低运营要求维持业务运营的最低性能与容量要求;保证最核心的业务流程/活动/产品/服务/职能/区域恢复运行通常会作为灾备建设依据业务运营能力业务完全运营要求最低运营要求与完全运营要求如果缺乏BCM按预期要求复
8、原11最长可容忍中断时间 MTPD24小时目标恢复时间RTO16小时最长可接受复原时间7天目标复原时间5天0借助BCM快速恢复 如果业务活动完全依赖于IT系统,则对于IT部门而言: 业务部门以业务视角分析出系统的恢复目标MTPD、MTDL; IT部门应据此制定信息系统的RTO、RPO。允许的数据丢失时间复原 RTO业务复原到完全运营水平3天12恢复 RTORPO恢复关键业务到最低运营水平最新的数据备份点-1小时4小时MTPD6小时MTDL-2小时事件上报与初判执行恢复启用备用资源复原或重建实施临时变通方案信息系统的恢复与复原突发事件0系统中断、实时数据丢失商业银行业务连续性监管指引要求的BCM
9、治理结构条款要求条款理解日常管理组织架构决策机构:董(理)事会高级管理层、业务连续性管理委员会主管部门:风险管理部门或其他综合管理部门执行部门:业务条线部门、信息科技部门保障部门:办公室、人事、公共关系、财务、法律合规、后勤保卫内部审计部门:定期开展审计工作各部门:制定/执行本部门业务连续性计划明确BCM日常组织架构最高管理层参与全行各部门参与BCM主管部门牵头运行BCMS信息科技部门是最关键的执行部门应急处置组织架构应急决策层:高级管理层代为决策应急指挥层:主管部门及各部门负责人应急执行层:执行部门应急保障层:保障部门根据全行组织级BCP、部门级BCP的定义,各层级、各部门各司其职,负责具体
10、应急处置工作13“业务连续性治理结构” 日常组织14治理层级角色职责BCM决策层理事会承担BCM最终责任BCM管理层业务连续性管理委员会执行决策层批准的BCM方针、方案统筹协调、落实各项BCM职责BCM执行层BCM主管部门风险管理部门或其他综合管理部门组织开展全行业务连续性管理工作,指导、评估、监督各部门执行工作BCM执行部门各业务条线部门业务影响分析;风险评估;确定恢复策略;负责业务条线重要业务应急响应与恢复(制定业务部门BCP)信息科技部门信息技术应急响应与恢复(制定信息科技部门BCP、IT连续性计划)BCM保障部门办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫
11、部门人力、物力、财力以及安全保障、法律咨询、对外媒体公关(制定保障部门BCP)“业务连续性治理结构” 应急组织15应急管理层级角色职责应急决策层高级管理人员决定运营中断事件通报、对外报告和公告;批准启动BCP/总体应急预案应急指挥层BCM主管、执行和保障部门负责人应急指挥和组织协调应急执行层BCM执行部门:各业务条线部门信息科技部门业务条线与信息技术应急处置工作:执行业务部门、信息科技部门BCP启动应急预案应急保障层BCM保障部门:办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门资源保障:人、财、物秩序维护,安全保障,法律咨询,人员安抚对外宣告、通报、沟通,对外媒
12、体公关执行保障部门BCP连续性管理的一般实施过程161. 识别业务活动2. 评估业务活动中断后随着时间推移的影响3. 分析业务活动在最低可接受水平上的可容忍中断时间MTPD,确定恢复目标RTO,排定恢复顺序4. 识别业务活动依赖关系,确定恢复与复原所需资源针对需要优先恢复的关键业务活动(CBF):1. 识别可能导致中断的风险;2. 识别中断发生后,业务活动及相关资源面临的阻碍持续运行的风险;3. 分析、评价风险;4. 识别与RTO、RPO相适宜的风险处置措施。明确风险偏好,制定风险处置计划:1. 明确业务活动恢复的策略(灾备建设要求、连续性计划的制定要求);2. 保障相关资源的配置。1. 实施
13、、跟踪连续性风险处置;2. 编制连续性计划(BCP、IT DRP),包括:预警、响应、沟通上报、恢复、复原。1. 连续性计划培训;2. 排定演练计划;3. 连续性计划测试、演练。1. 演练总结,识别改进机会;2. 连续性管理改进优化。分析(Analysis)设计(Design)实施(Implementation)验证(Validation)资源 包括但不限于:人、信息/数据、设备设施耗材、IT系统、交通工具、资金、供应商/合作方。影响 例如:合规、声誉、相关方利益、产品服务质量、社会责任、财务Source:ISO22313商业银行业务连续性监管指引要求条款要求条款理解 & 待完成工作业务影响分
14、析(BIA)识别重要业务,明确重要业务归口管理部门、所需关键资源及对应的信息系统确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO)确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO)业务部门负责识别关键业务(CBF)、关键资源(关键资源包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商)业务部门负责业务影响分析(业务RTO、业务RPO,相当于信息系统的MTPD、MTDL)信息科技部门负责信息系统RTO、RPO(应低于MTPD、MTDL)针对关键资源的连续性风险评估(RA)业务部门负责风险评估处置关键资源面临的风险(
15、预防性措施)制定差别化的业务恢复策略关键资源恢复、业务替代手段、数据追补和恢复优先级别BCM策略:承上(BIA、RA):恢复要求关键资源备份、选择恢复方式、恢复优先顺序设置应急指挥中心(EOC)场所启下(BCP):BCP的总前提、总框架17银行业务(某国有银行样例)18业务类别业务名称公司金融业务存款业务贷款业务金融机构业务国际结算及贸易融资业务其他公司金融业务个人金融业务储蓄存款业务个人贷款业务个人中间业务“XX理财”服务私人银行业务银行卡业务渠道建设业务类别业务名称金融市场业务全球投资全球交易资产管理债务资本市场基金代销与托管企业年金管理银行业务(某城商行样例)19业务条线业务产品个人条线
16、个人账户业务个人贷款业务个人支付结算业务代理缴费POS收单个人理财公司条线公司账户业务公司贷款业务公司支付结算业务公司类代收代付公司理财国内信用证/保函国内保理小企业条线小企业账户业务小企业贷款业务小企业支付结算业务小企业类代收代付业务条线业务产品资金条线债券交易拆借交易(本币)同业存放/存放同业(本币)贴现转帖与再贴现买入返售/卖出回购理财和信托投资交易国际业务条线同业存放/存放同业(外币)同业拆借(外币)结售汇外汇买卖代客外汇买卖国际保函国际贸易融资互联网金融条线互联网支付业务网络预填单业务彩富业务业务影响分析(BIA)示例XXX业务的关键业务时段:业务的关键业务时段:58(工作日(工作日
17、9:00-17:00)20业务活动影响业务中断时长MTPDRTO5分钟30分钟1小时4小时8小时1天3天1周XXX业务客户影响223344551小时45分钟内部相关方影响12223455合规影响11112333声誉/竞争优势影响11112344财务影响11112344业务活动影响数据丢失时长MTDLRPO5分钟30分钟1小时4小时8小时1天3天1周XXX业务客户影响333444555分钟3分钟内部相关方影响12333455合规影响33333455声誉/竞争优势影响11233455财务影响12334455示例示例BIA/RA(样例)示例示例ICT为企业的业务持续做好准备(IRBC)Source:
18、ISO/IEC 27031:2011 ISO27031 : 2011 是企业业务持续管理的重要组成部分 遵循PDCA方法论 可以与企业的业务务持续管理体系进行整合 IT部门主导22XXX系统最低运营要求分析23示例示例商业银行业务连续性监管指引要求条款要求条款理解 & 待完成工作制定业务连续性计划(BCP)BCP应覆盖所有重要业务各部门编写本部门BCP下属应急预案针对运营中断事件,应急预案中的沟通、上报机制应满足运营中断事件等级划分标准BCP编写、演练、回顾、改进:业务部门、信息科技部门、保障部门负责专项应急预案,并编写本部门BCP主管部门负责汇总组织级BCP24BCP(样例)示例示例商业银行
19、业务连续性监管指引要求条款要求条款理解 & 待完成工作业务连续性管理文档修订每年修订业务功能或关键资源发生重大变更评估与审计至少每年对管理体系评估1次对管理体系各项活动,每年审计1次,每三年全面审计作为管理体系,必不可少的组成部分:文档管理评估、审计持续改进机制26内容提要 解读BCM1 BCM项目实施方法2 BCM实施难点与对策3 BCM实施策略讨论427GPG、ISO22313最佳实践项目实施阶段1BCM方案管理1项目启动与管理2理解组织(BIA、RA)2评估与调研 3决定BCM策略3策略与设计 4开发与实施BCM响应(BCP)4开发与实施 5演练、维护和评审5推广与演练 6体系维护与评审
20、6将BCM融入组织文化中7培训与知识转移 BCM项目实施方法28项目实施阶段29时间预估1-2周6-8周2周6-8周4-6周2周阶段1:项目启动与管理阶段2:评估与调研 阶段3:策略与设计 阶段4:开发与实施 阶段5:推广与演练 阶段6:体系维护与评审阶段7:培训与知识转移 6个月以10个部门/条线的规模为例:内容提要 解读BCM1 BCM项目实施方法2 BCM实施难点与对策3 BCM实施策略讨论430BCM实施难点与对策难点对策1项目协调性工作量较大,高层领导、业务条线全线参与项目启动阶段,请高层(一把手)介入;获得高层领导授权,要求各部门全力配合;各部门负责人任命资深员工为BCM体系协调员,协助其参与体系建设工作。2体系建设易,充分落地难优先落实最核心的关键业务的BCP,分步骤实施。3体系主管部门与科技部门的工作衔接科技部门经验更丰富,BCM体系建设阶段可以多参与,但体系主管部门必须全程参与,掌控全局;BCM体系投入运行后,必须明确体系主管部门的地位和职责,科技部门的BCP、DRP仅是全行BCP的分支。31内容提要 解读BCM1 BCM项目实施方法2 BCM实施难点与对策3 BCM实施策略讨论432哪些场合适合用PPT?BCM实施策略讨论