《商业银行业务连续性监管指引》解读

《商业银行业务连续性监管指引》交流&研讨安永姚皓轩Page22《监管指引》解读与研讨3银行业BCM工作开展现状1《监管指引》出台的背景4市场机遇与挑战5问题交流讨论Page3思考与讨论►银监会为何第一个出台《业务连续性监管指引》？►银监会出台《监管指引》时机？►《监管指引》与银行业其他规范指引有何关系？►《监管指引》借鉴了哪些国际的相关标准及规范？Page4《监管指引》出台的背景Page5BCM&DR银监会人民银行国标委国信办2005.4《重要信息系统灾难恢复指南》2004.4《关于加强信息安全保障工作的意见》2008.2《银行业信息系统灾难恢复管理规范》（JR/T0044-2008）2006.4《关于进一步加强银行业金融机构信息安全保障工作的指导意见》（【2006】123号文件）2007.6《信息系统灾难恢复规范》（GB/T20988—2007）2011.12《商业银行业务连续性监管指引》银监发【2011】（104号）2010.4《商业银行数据中心监管指引》银监发【2010】（114号）2009.6《商业银行信息科技风险管理指引》2008.4《银行业重要信息系统突发事件应急管理规范（试行）》（【2008】53号）2006.8《银行业金融机构信息系统风险管理指引》【2006】(63号)背景1：业务连续性监管要求沿革（国内）Page6业务连续性监管指引背景1：重要标准之间的关系商业银行数据中心监管指引银行业重要信息系统突发事件应急管理规范银行业信息系统灾难恢复管理规范Page71983年OCC发布了指引要求银行制定护灾难恢复预案1989年FFIEC要求银行对灾难恢复预案进行测试和演习；2003年3月FFIEC《金融机构检查委员会业务连续计划手册》2002年8月NASD颁布了《NASDProposedRegulation》，该规范提出了BCP的八点最低要求；2003年5月28日，美国金融监管三大机构Board、SEC和OCC发布《InteragencyWhitePaperonSoundPracticestoStrengthentheResilienceoftheU.S.FinancialSystem》美国新加坡英国澳大利亚澳大利亚国家审计局(ANAO)：•《BusinessContinuityManagement,2000Betterpractice》•《BusinessContinuityManagementFollow-onAudit》，•《BusinessContinuityManagementandEmergencyManagementinCentrelink》；2001年7月在《INTERNETBANKINGTECHNOLOGYRISKMANAGEMENTGUIDELINES》；2003年7月发布了正式的《BusinessContinuityManagementGuideline》2005年，新加坡信息技术标准委员会出台了业务连续性/灾难恢复(BC/DR)服务提供商评定标准SS507。《TheFinancialServicesAuthorityIncidentmanagement:Agenericguide》，概括了制定业务连续管理计划的方法FSA对金融机构的业务连续性做出了规定：事先有合理的安排，充分考虑到业务的性质、规模和复杂程度，确保在发生不可预测的中断事件下，能够继续运作并符合相关法规。《CP142:Operationalrisksystemsandcontrols》包含了关于业务连续管理的内容。背景2：业务连续性监管要求（国外）Page8背景3：业务连续性管理国际标准►英国BSI（BritishStandardInstitution）出台了世界上第一个关于业务连续性管理(BCM)的英国标准—BS25999，该标准的目的是在最棘手和意外的情况下保证企业的业务持续运行，从而保护企业的员工、维护企业的声誉并提供持续运营的能力。►该标准为在组织内了解、开发和实施业务持续性提供了基础，它包含一套基于BCM最佳做法的全面控制措施，涵盖整个BCM生命周期。►BS25999分两部分制定：第1部分《BCM实践指南》于2006年底公布第2部分《BCM规范》于2007年底公布►BS25999适合于各种规模及各行各业的任何组织，尤其适合在高风险环境中运营的组织，例如金融、电信、运输和公共行业。BSI（BritishStandardInstitution）成立于1901年，它是世界领先的业务标准服务提供者。Page9背景4：业务连续性管理最佳实践►灾难恢复国际行业协会DRII（DisasterRecoveryInstituteInternational）制定了业务连续管理最佳实践的十个领域：项目启动和管理风险评估和控制业务影响分析制定业务连续策略应急响应和运作制定和实施业务连续计划意识培养和培训维护和演练业务连续计划公关关系危机通信与公共当局的协调灾难恢复国际行业协会DRII：1988年成立于美国，目标是建立业务连续性管理知识的通用框架，进行资质的认证，提升业务连续性管理从业人士的专业水准。Page10《监管指引》解读与研讨Page11《商业银行业务连续性监管指引》—概览►第一章：总则►第二章：业务连续性组织架构►第三章：业务影响分析►第四章：业务连续性计划与资源建设►第五章：业务连续性计划演练与持续改进►第六章：运营中断事件应急处置►第七章：监管和处置►第八章：附则Page12《监管指引》总则关注点：信息系统与信息科技是保障商业银行业务持续运营的重要基础„„体系化重要业务企业文化以人为本保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。将业务连续性管理纳入全面风险管理体系基本原则：坚持以人为本，重点保障人员安全；实施差异化管理，保障重要业务有序恢复；兼顾业务连续性管理成本与效益；重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对商业银行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。将业务连续性管理融入到企业文化中，使其成为银行机构日常运营管理的有机组成部分。Page13商业银行业务连续性干系人银监会及其派出机构属地监管每年一季度审查商业银行业务连续性管理报告及其评估报告与审计报告定期检查和评价商业银行审批战略、政策、程序监督高级管理层履职审核年度审计报告董（理）事会高级管理层主管部门执行部门制定并审查监督政策、程序审批策略、监督各部门履职确保资源配置组织制定管理办法协调确定恢复目标、恢复策略组织制定业务连续性计划组织开展演练评估改进培训业务部门IT部门保障部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复负责信息技术应急响应与恢复办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等关注点：1、如何理解风险管理部门或其他综合管理部门为业务连续性管理主管部门2、业务条线部门负责风险评估、业务影响分析，确定重要业务恢复目标和恢复策略，负责业务条线重要业务应急响应与恢复；信息科技部门负责信息技术应急响应与恢复Page14商业银行业务连续性组织架构董事会业务连续性管理委员会业务连续性主管部门执行部门（业务部门、信息技术部）保障部门（办公室、人力资源部门、审计部门）审计部门（内审部）日常管理组织架构应急决策层（高级管理人员）应急指挥层（主管部门、执行部门、保障部门负责人）应急执行层（业务部门、信息技术部）应急保障层（办公室、人力资源部门、财务部门）应急处置组织架构Page15业务影响分析方法与要求业务中断影响分析信息系统中断影响分析业务流程调研与业务人员访谈业务资料收集与分析整理业务中断财务影响分析业务中断非财务影响分析评估业务关键资源评估业务恢复优先级、RTO\RPO信息系统调研与管理员访谈技术资料收集与分析整理信息系统中断影响分析评估IT系统RTO值、RPO值评估IT系统恢复优先级BIA方法1、根据业务重要程度实现差异化管理，确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析。2、商业银行应当识别重要业务，明确重要业务归口管理部门、所需关键资源及对应的信息系统，识别重要业务的相互依赖关系，分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。3、原则上，重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时。4、通过分析业务与信息系统的对应关系、信息系统之间的依赖关系，根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间，确定信息系统恢复时间目标（信息系统RTO）、信息系统恢复点目标（信息系统RPO），明确信息系统重要程度和恢复优先级别，并识别信息系统恢复所需的必要资源。监管指引要求关注点：重要业务恢复时间目标不得大于4小时，重要业务恢复点目标不得大于半小时Page16风险评估方法与要求建立风险评估过程和方法定义风险评估过程的目标和范围制定评估方法并选择评估工具风险评估调研和信息收集调研关键的信息系统、IT环境、数据中心资源调研关键的业务人员，关键的业务场地，关键的业务办公资源等风险评估和撰写报告识别并评价业务运行所需的关键资源识别关键资源所面临的各类威胁识别关键资源本身的脆弱性采用定性或定量方法分析风险发生的可能性评价关键资源面临的风险大小或风险等级撰写评估报告信息系统架构风险分析数据中心基础设施风险分析RA方法1、识别业务连续运营所需的关键资源，分析资源所面临的各类威胁以及资源自身的脆弱性，确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境，关键的人员、业务场地、业务办公设备、业务单据以及供应商等。2、应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度，确定风险防范和控制的原则与措施。3、应当根据业务影响分析结果，依据业务恢复指标，制定差别化的业务恢复策略，主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。4、应当依据业务恢复策略，确定灾难恢复资源获取方式和灾难恢复等级。监管指引要求关注点：“以资产为核心的传统风险评估”与“业务连续性风险评估”的区别？Page17业务连续性计划（一）重要业务及关联关系、业务恢复优先次序；（二）重要业务运营所需关键资源；（三）应急指挥和危机通讯程序；（四）各类预案以及预案维护、管理要求；（五）残余风险。业务连续性计划1、应对运营中断事件的总体方案2、包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。3、总体预案通常用于处置导致大范围业务运营中断的事件。总体应急预案1、应当注重灾难场景的设计，明确在不同场景下的应急流程和措施。2、业务条线的专项应急预案，应当注重调动内部资源、采取业务应急手段尽快恢复业务，并和信息科技部门、保障部门的应急预案有效衔接。重要业务专项预案1、应当要求重要业务及信息系统的外部供应商建立业务连续性计划，证明其业务连续性计划的有效性，其业务恢复目标应当满足商业银行要求。2、应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接；同时，应当积极采取风险缓释及转移措施，有效控制由于外部机构业务连续性管理不充分可能产生的风险。外部供应商建立业务连续性计划关注点：业务连续性计划、总体预案及专项预案的区别与联系为何？Page18业务连续性资源建设实现信息系统的高可用性，保障信息系统的持续运行并减少信息系统中断后的恢复时间。信息系统关键资源的建设用于应急决策、指挥与联络，指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。运营中断事件指挥中心场所应当确保不会同时遭受同类型风险；应当综合分析备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素选择备用场地