《商业银行业务连续性监管指引》

交流&研讨

安永 姚皓轩

Page 2

2 《监管指引》解读与研讨

3 银行业BCM工作开展现状

1 《监管指引》出台的背景

4 市场机遇与挑战

5 问题交流讨论

Page 3

思考与讨论

► 银监会为何第一个出台《业务连续性监管指引》？

► 银监会出台《监管指引》时机？

► 《监管指引》与银行业其他规范指引有何关系？

► 《监管指引》借鉴了哪些国际的相关标准及规范？

Page 4

《监管指引》出台的背景

Page 5

BCM&DR

银监会

人民银行

国标委

国信办 2005.4 《重要信息系统灾难恢复指南》

2004.4 《关于加强信息安全保障工作的意见》

2008.2 《银行业信息系统灾难恢复管理规范》（JR/T0044-2008）

2006.4 《关于进一步加强银行业金融机构信息安全保障工作的指导意见》

（【2006】123号文件）

2007.6 《信息系统灾难恢复规范》

（GB/T 20988—2007）

2011.12 《商业银行业务连续性监管指引》银监发【2011】 （104号）

2010.4 《商业银行数据中心监管指引》银监发【2010】 （114号）

2009.6 《商业银行信息科技风险管理指引》

2008.4 《银行业重要信息系统突发事件应急管理规范（试行）》（【2008】53号）

2006.8 《银行业金融机构信息系统风险管理指引》【2006】(63号)

背景1：业务连续性监管要求沿革（国内）

Page 6

业务连续性监管指引

背景1：重要标准之间的关系

商业银行数据中心监管指引

银行业重要信息系统突发事件应急管理规范

银行业信息系统灾难恢复管理规范

Page 7

1983年OCC发布了指引要求银行制定护灾难恢复预案

1989年FFIEC要求银行对灾难恢复预案进行测试和演习；

2003年3月FFIEC《金融机构检查委员会业务连续计划手册》

2002年8月NASD颁布了《NASD Proposed Regulation》，该规范

提出了BCP的八点最低要求；

2003年5月28日，美国金融监管三大机构Board、SEC和OCC发布

《Interagency White Paper on Sound Practices to

Strengthen the Resilience of the U.S. Financial System》

美国 新加坡 英国 澳大利亚

澳大利亚国家审计局(ANAO) ：

•《Business Continuity Management, 2000 Better practice》

•《Business Continuity Management Follow-on Audit》，

•《Business Continuity Management and Emergency

Management in Centrelink》；

2001 年 7 月 在 《INTERNET BANKING TECHNOLOGY RISK

MANAGEMENT GUIDELINES》；

2003 年 7 月 发 布 了 正 式 的 《Business Continuity

Management Guideline》

2005年，新加坡信息技术标准委员会出台了业务连续性/灾

难恢复(BC/DR)服务提供商评定标准SS 507。

《The Financial Services Authority Incident

management: A generic guide》，概括了制定业务连续

管理计划的方法

FSA对金融机构的业务连续性做出了规定：事先有合理的

安排，充分考虑到业务的性质、规模和复杂程度，确保在

发生不可预测的中断事件下，能够继续运作并符合相关法

规。

《CP142: Operational risk systems and controls》包

含了关于业务连续管理的内容。

背景2：业务连续性监管要求（国外）

Page 8

背景3：业务连续性管理国际标准

► 英国BSI（British Standard Institution）出台了世界上第一个关于业务连续性管理

(BCM) 的英国标准—BS 25999，该标准的目的是在最棘手和意外的情况下保证企业的

业务持续运行，从而保护企业的员工、维护企业的声誉并提供持续运营的能力。

► 该标准为在组织内了解、开发和实施业务持续性提供了基础，它包含一套基于 BCM 最

佳做法的全面控制措施，涵盖整个 BCM 生命周期。

► BS 25999 分两部分制定：

第 1 部分《BCM实践指南》于2006年底公布

第 2 部分《BCM规范》于 2007 年底公布

► BS 25999 适合于各种规模及各行各业的任何组织， 尤其适合在高风险环境中运营的

组织，例如金融、电信、运输和公共行业。

BSI（British Standard Institution）成立于1901年，它是世界领先的业务标准服务提供者。

Page 9

背景4：业务连续性管理最佳实践

► 灾难恢复国际行业协会 DRII（Disaster Recovery Institute International）制定了业务连

续管理最佳实践的十个领域：

项目启动和管理 风险评估和控制

业务影响分析

制定业务连续策略

应急响应和运作

制定和实施业务连续计划

意识培养和培训

维护和演练业务连续计划

公关关系危机通信

与公共当局的协调

灾难恢复国际行业协会 DRII： 1988年成立于美国，目标是建立业务

连续性管理知识的通用框架，进行资质的认证，提升业务连续性管理从业人士的专业水准。

Page 10

《监管指引》解读与研讨

Page 11

《商业银行业务连续性监管指引》—概览

► 第一章：总则

► 第二章：业务连续性组织架构

► 第三章：业务影响分析

► 第四章：业务连续性计划与资

源建设

► 第五章：业务连续性计划演练

与持续改进

► 第六章：运营中断事件应急处

置

► 第七章：监管和处置

► 第八章：附则

Page 12

《监管指引》总则

关注点：信息系统与信息科技是保障商业银行业务持续运营的重要基础„„

体系化

重要业务

企业文化

以人为本

保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。

将业务连续性管理纳入全面风险管理体系

基本原则：坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；

重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。

将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。

Page 13

商业银行业务连续性干系人

银监会及其派出机构 属地监管

每年一季度审查商业银行业务连续性管理报告及其评估报告与审计报告

定期检查和评价

商业银行 审批战略、政策、程序

监督高级管理层履职

审核年度审计报告

董（理）事会

高级管理层

主管部门

执行部门

制定并审查监督政策、程序

审批策略、监督各部门履职

确保资源配置

组织制定管理办法

协调确定恢复目标、恢复策略

组织制定业务连续性计划

组织开展演练评估改进培训

业务部门

IT部门

保障部门

负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复

负责信息技术应急响应与恢复

办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等

关注点： 1、如何理解风险管理部门或其他综合管理部门为业务连续性管理主管部门 2、业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复

Page 14

商业银行业务连续性组织架构

董事会

业务连续性管理委员会

业务连续性主管部门

执行部门 （业务部门、信息技术部）

保障部门 （办公室、人力资源部门、审计部门）

审计部门 （内审部）

日常管理组织架构

应急决策层 （高级管理人员）

应急指挥层 （主管部门、执行部门、

保障部门负责人）

应急执行层 （业务部门、信息技术

部）

应急保障层 （办公室、人力资源部

门、财务部门）

应急处置组织架构

Page 15

业务影响分析方法与要求

业务中断影响分析 信息系统中断影响分析

业务流程调研与业务人员访谈

业务资料收集与分析整理

业务中断财务影响分析

业务中断非财务影响分析

评估业务关键资源

评估业务恢复优先级、RTO\RPO

信息系统调研与管理员访谈

技术资料收集与分析整理

信息系统中断影响分析

评估IT系统RTO值、

RPO值

评估IT系统恢复优先级

BIA方法

1、根据业务重要程度实现差异化管理，确定各业务恢复优

先顺序和恢复指标。商业银行应当至少每三年开展一次全

面业务影响分析。

2、商业银行应当识别重要业务，明确重要业务归口管理部

门、所需关键资源及对应的信息系统，识别重要业务的相

互依赖关系，分析、评估各项重要业务在运营中断事件发

生时可能造成的经济损失和非经济损失。

3、原则上，重要业务恢复时间目标不得大于4小时，重要

业务恢复点目标不得大于半小时。

4、通过分析业务与信息系统的对应关系、信息系统之间的

依赖关系，根据业务恢复时间目标、业务恢复点目标、业

务应急响应时间、业务恢复的验证时间，确定信息系统恢

复时间目标（信息系统RTO）、信息系统恢复点目标（信息

系统RPO），明确信息系统重要程度和恢复优先级别，并识

别信息系统恢复所需的必要资源。

监管指引要求

关注点：重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时

Page 16

风险评估方法与要求

建立风险评估过程和方法

定义风险评估过程的目标和范围

制定评估方法并选择评估工具

风险评估调研和信息收集

调研关键的信息系统、IT环境、数据中心资源

调研关键的业务人员，关键的业务场地，关键的

业务办公资源等

风险评估和撰写报告

识别并评价业务运行所需的关键资源

识别关键资源所面临的各类威胁

识别关键资源本身的脆弱性

采用定性或定量方法分析风险发生的可能性

评价关键资源面临的风险大小或风险等级

撰写评估报告

信息系统架构风险分析 数据中心基础设施风险分析

RA方法

1、识别业务连续运营所需的关键资源，分析资源所面临的

各类威胁以及资源自身的脆弱性，确定资源的风险敞口。

关键资源应当包括关键信息系统及其运行环境，关键的人

员、业务场地、业务办公设备、业务单据以及供应商等。

2、应当根据风险敞口制定降低、缓释、转移等应对策略。

依据防范或控制风险的可行性和残余风险的可接受程度，

确定风险防范和控制的原则与措施。

3、应当根据业务影响分析结果，依据业务恢复指标，制定

差别化的业务恢复策略，主要包括关键资源恢复、业务替

代手段、数据追补和恢复优先级别等。

4、应当依据业务恢复策略，确定灾难恢复资源获取方式和

灾难恢复等级。

监管指引要求

关注点：“以资产为核心的传统风险评估”与“业务连续性风险评估”的区别？

Page 17

业务连续性计划

（一）重要业务及关联关系、业务恢复优先次

序；

（二）重要业务运营所需关键资源；

（三）应急指挥和危机通讯程序；

（四）各类预案以及预案维护、管理要求；

（五）残余风险。

业务连续性计划

1、应对运营中断事件的总体方案

2、包括总体组织架构、各层级预案的定位和

衔接关系及对运营中断事件的预警、报告、

分析、决策、处理、恢复等处置程序。

3、总体预案通常用于处置导致大范围业务运

营中断的事件。

总体应急预案

1、应当注重灾难场景的设计，明确在不

同场景下的应急流程和措施。

2、业务条线的专项应急预案，应当注重

调动内部资源、采取业务应急手段尽快

恢复业务，并和信息科技部门、保障部

门的应急预案有效衔接。

重要业务专项预案

1、应当要求重要业务及信息系统的外部供应商

建立业务连续性计划，证明其业务连续性计划的

有效性，其业务恢复目标应当满足商业银行要求。

2、应当注重与金融同业单位、外部金融市场、

金融服务平台和公共事业部门等业务连续性计划

的有效衔接；同时，应当积极采取风险缓释及转

移措施，有效控制由于外部机构业务连续性管理

不充分可能产生的风险。

外部供应商建立业务连续性计划

关注点：业务连续性计划、总体预案及专项预案的区别与联系为何？

Page 18

业务连续性资源建设

实现信息系统的高可用性，

保障信息系统的持续运行并

减少信息系统中断后的恢复

时间。

信息系统关键资源的建设

用于应急决策、指挥与联络

，指挥场所应当配置办公与

通讯设备以及指挥执行文档

、联系资料等。

运营中断事件指挥中心场所

应当确保不会同时遭受同类

型风险；应当综合分析备用

场地所在地的自然环境、地

区配套设施、区域经济环境

、交通条件、政策环境和成

本等各方面因素

选择备用场地

备用信息技术资源和备用信

息系统运行场所资源，并满

足银监会关于数据中心相关

监管要求。

建立灾备中心

应当配备业务操作和办公所

需资源，并确保其能够迅速

启用。

以及电力、通讯、消防、安

保等资源

备用业务和办公场所

确保备份人员可用，降低关

键岗位人员无法及时履职风

险

关键岗位的备份人员

关注点：目前商业银行普遍存在的资源建设存在哪些缺失？

Page 19

业务连续性演练

应当至少每三年对全部重要业务开展一次业务连续性计划演练

重大业务活动、重大社会活动等关键时点

关键资源发生重大变化之前

重点加强业务和信息科技部门的协调、配合

应当注重以真实业务接管为目标

确保灾备系统能够有效接管生产系统并具备安全回切能力

演练时间

演练目标

应当将外部供应商纳入演练范围并定期开展演练

应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练 演练参与

关注点：“真实业务接管”意味着什么，截止目前商业银行有哪些做到了？

Page 20

评估审计与持续监管

商业银行应当至少每年对业务连续性

管理体系的完整性、合理性、有效性组织

一次自评估，或者委托第三方机构进行评

估，并向高级管理层提交评估报告。

商业银行应当每年对本行业务连续

性管理进行审计，每三年至少开展一次

全面审计，发生大范围业务运营中断事

件后应当及时开展专项审计。

商业银行应当于每年一季度向银监会

或其派出机构提交业务连续性管理报告，

包括上一年度业务连续性管理的评估报告

与审计报告。

商业银行在完成业务连续性计划的

全行性演练后，应当在45个工作日内向

监管机构提交演练总结报告。

运营中断事件发生后2小时内上报，对于特别重大（I级）的运营中断事件，上报国

务院。

特别重大（I级）和重大（Ⅱ级）运营中断事件，银监会处置工作小组可以赴事发

银行现场进行督导。必要时，可以协调国家专业技术队伍或外部专家提供技术支援。

评估审计

日常监管

应急监管

关注点：年度审计、全面审计及专项审计的区别是什么？

Page 21

《监管指引》总结

监管

指引

涉及层面

多

覆盖范围

全

规范要求

细

监管要求

严

指引定位

高

几乎囊括全行所有部门

覆盖BCM全部范围

开展周期、工作流程等

属地监管、持续监管

重要业务、全面风险、体系

化

Page 22

银行业BCM工作开展现状

Page 23

银行业BCM工作现状分析

建设现状 成熟度

国有四大银行、国开 DR成熟、BC待完善

股份制商业银行 DR趋于成熟、BC待完

善

城市商业银行 DR起步、基本无BC

外资银行 部分DR、BC完善

其他银行业金融机构 部分DR、基本无BC

低 中 高

Page 24

工作开展思路及方法

完成合规性评估 Assessment

制定工作基准 Baseline

落实合规工作 Compliance

“明确”工作内容 What

“把握”开展时间 When

“厘清”分工界面 Who

差距评估 体系更新 演练验证 合规审计

► BIA补全

► RA补全

► BC合规性评估

► BC规划

► DR补全

► BC补全

► 预案更新

► 体系更新

► 桌面演练

► 模拟演练

► 真实演练

► 内部审计

► 外部审计

Page 25

市场机遇与挑战

Page 26

市场机遇与挑战

机遇

BCM在银行治理与风险管理中的突出地位

银行业及监管部门高度重视

良好的DR建设基础及BC开展时机

亟待BC合规性评估与审计

挑战

人员配置及数量不足

缺乏专业BC技能

缺乏完善的持续性评估与改进机制

迅速组建并培养团队

CBCP认证 实践锻炼

建立标准工具、模板、

流程

甲方 乙方

Page 27

问题交流讨论

Page 28

思考

1、商业银行：“自给自足”VS“他山之石”？

2、外部各方：“授人以鱼”VS“授人以渔”？

关于安永

安永是全球领先的审计,税务,财务交易和咨询服务机构之一。拥有共同的信念以及对优质服务坚定不移的承诺把我们全球各地141,000 名员工联系在一起。亦因安永能为员工,客户和社会各界发展潜能，我们在行业中别树一帜。

如欲进一步了解安永，请浏览 www.ey.com。

安永是指Ernst & Young Global Limited 的全球成员机构组成的组织，各成员机构都是独立的法人实体。Ernst & Young Global Limited 是英国一家担保有限公司，并不向客户提供服务。

www.ey.com/china

© 2011 Ernst & Young, China 版权所有。

免责声明

本刊物所载资料以概要方式呈列,旨在用作一般性指引,不能替代详细研究或作出专业判断。Ernst & Young China practice 或安永全球机构中任何成员概不对任何人士根据本刊物的任何资料采取或不采取行动而引致的损失承担任何责任。阁下应向适当顾问查询任何具体事宜。

Ernst & Young 安永

Assurance 审计| Tax 税务| Transactions 财务交易 | Advisory 咨询