TCCUA 012-2021 金融机构业务连续性管理能力模型与评估

ICS03.060CCSJ66.50T/CCUA中国计算机用户协会团体标准T/CCUA012-2021金融机构业务连续性管理能力模型与评估Financialinstitutionbusinesscontinuitymanagementcapabilitymodelandassessment2021–04–26发布2021–05–26实施中国计算机用户协会发布T/CCUA012—2021I目次前言...............................................................................................................................................II1范围.............................................................................................................................................12规范性引用文件.........................................................................................................................13术语、定义和缩略语.................................................................................................................13.1术语和定义.........................................................................................................................13.2缩略语.................................................................................................................................24能力模型.....................................................................................................................................24.1能力构造和能力指标.........................................................................................................24.2能力指标的评分.................................................................................................................24.3能力构造的定级.................................................................................................................24.3.1确定能力构造的成熟度等级.........................................................................................24.3.2定级规则应包括：.........................................................................................................34.4能力成熟度的等级.............................................................................................................34.5管理能力成熟度的定级.....................................................................................................45管理能力成熟度评估.................................................................................................................45.1确定评价方案.....................................................................................................................45.2提供评价实证.....................................................................................................................45.3评定管理能力成熟度等级.................................................................................................45.4评价结果分析及改进.........................................................................................................4附录A（规范性）能力框架......................................................................................................5附录B（规范性）能力指标评分规则......................................................................................9附录C（规范性）能力构造定级规则....................................................................................30附录D（规范性）能力构造定级方法....................................................................................34附录E（规范性）能力成熟度定级方法...............................................................................36附录F（资料性）能力成熟度等级定级示例.......................................................................37T/CCUA012—2021II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中国计算机用户协会提出并归口。本文件主要起草单位:中国计算机用户协会信息科技审计分会、上海浦东发展银行股份有限公司、中治研（北京）国际信息技术研究院、中国建设银行股份有限公司、中国银行股份有限公司、华夏银行股份有限公司、深圳前海微众银行股份有限公司、武汉众邦银行股份有限公司、陕西省农村信用社联合社、农信银资金清算中心有限责任公司、中国外汇交易中心（全国银行间同业拆借中心）、山东重工集团财务有限公司、华为技术有限公司、深圳前海普华永道商务咨询服务有限公司、建信金融科技有限责任公司、北京同创永益科技发展有限公司。本文件主要起草人:何乃煜、关继铮、于锋、杨晓平、孙卫东、吴磊、洪振龙、张桐、李晨、戴明、张少俊、窦春坦、颜涵、杨芳、王瑞峰、罗锋、谢乐、李治平、马巍、黄昱琪、尹君、李海龙、闫庞勇、李宁、姚皓轩、刘洋、梁康莹、樊宇、孙启仲。T/CCUA012—20211金融机构业务连续性管理能力模型与评估1范围本文件界定了金融机构业务连续性管理能力成熟度模型，描述了基于该模型的业务连续性管理能力成熟度评估方法。本文件适用于：a）金融机构对自身业务连续性管理能力进行自评估；注：金融机构包括：银行、保险、证券、基金等金融机构。b）第三方机构对金融机构业务连续性管理能力进行评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T30146-2013公共安全业务连续性管理体系要求GB/T31595-2015公共安全业务连续性管理体系指南3术语、定义和缩略语3.1术语和定义GB/T30146-2013界定的以及下列术语和定义适用于本文件。3.1.1金融业务连续性管理能力capabilityofbusinesscontinuitymanagementinfinancialindustry金融机构为有效应对重要业务运营中断事件，保障重要业务持续运营的能力。3.1.2能力构造constructionofcapability与金融业务连续性管理能力（3.1.3）有关的且存在结构联系的概念，对组织业务连续性管理的某一局部能力的认识和概括。3.1.3能力指标indexofcapability用于测量组织业务连续性管理某一局部能力的指标。注：本文件中能力指标均隶属于某一能力构造（3.1.2）并用于测度该能力构造。3.1.4重要业务活动importantbusinessactivities金融机构内部应当予以重点保障以避免中断或受到干扰的业务活动。T/CCUA012—20212注：重要业务活动的中断或受到干扰会对金融机构造成较大的财务或非财务影响。3.1.5管理能力成熟度managementcapabilitymaturity金融机构针对业务连续性管理开展的制度建设、资源建设、活动组织、演练及持续优化等业务连续性保障相关的管理活动及其体现的成熟度和可评评价性。本文件中以能力指标涵盖了能力建设、能力检验、能力维持、能力优化等表现及评价，以成熟度等级反映金融机构的业务连续性管理能力。3.1.6管理能力成熟度评估对象managementcapabilitymaturityassessmentobject管理能力成熟度评估评价采用能力成熟度模型及能力指标进行评分定级，具体的评估评价对象主要包括与业务连续性管理活动相关的制度文档、管理活动记录、资源建设记录、演练及评价记录、事件记录与报告、整改意见及落实记录、培训活动记录、业务连续性管理相关角色访谈、桌面演练或主题演练观察等。3.1.7资源敞口resourceexposure由于资源脆弱导致的缺失资源。3.2缩略语下列缩略语适用于本文件。RTO：恢复时间目标（RecoveryTimeObject）RPO：恢复点目标（RecoveryPointObject）4能力模型4.1能力构造和能力指标组织的业务连续性管理能力可分解为组织与驱动力、人员能力与文化、日常管理过程、应急管