BCM实施指南.ppt

内容提要 1 内容提要 2 何为BCM 3 业务连续性 BusinessContinuity 业务中断事件发生后 在预先确定的可接受水平上持续交付产品或提供服务的能力 业务连续性管理 BusinessContinuityManagement 是一套整体的管理流程 用以 识别潜在威胁 以及这些威胁对业务持续运行带来的影响 建立有效应对威胁的自我恢复能力 保护关键相关方的利益 声誉 品牌和创造价值的活动 BCM是一个跨多个专业领域的综合性体系 4 5 BCM标准发展 新加坡标准SS540 英国标准BS25999 国际业务持续协会 BCI 业务持续管理良好实践指南 BCMGPG 理论基础 理论基础 升级 中国国家标准GB T301462013年12月17日正式发布 国际标准ISO223012012年5月15日正式发布 对应 商业银行业务连续性监管指引 2011年12月28日正式发布 ISO22301标准全文结构 6 4 组织环境 5 领导力 6 策划 7 支持 8 实施 9 绩效评价 10 改进 理解组织及其环境 理解相关方的需求和期望 定义BCMS的范围 BCMS 领导力与承诺 管理承诺 方针 应对风险和机会的措施 业务连续性目标和实现计划 资源 能力 意识 沟通 文件化信息 实施策划与控制 业务影响分析和风险评估 业务连续性策略 建立和实施业务连续性程序 演练和测试 监视 测量 分析和评价 内部审计 管理评审 不合格项和纠正措施 持续改进 计划 Plan 执行 Do 检查 Check 改进 Action 组织角色 职责和权限 监管指引与国际标准对应关系 7 业务连续性与IT服务连续性 8 业务流程 业务活动 IT服务 信息系统 IT基础设施 技术支撑 业务连续性 BusinessContinuity 关注于一个组织提供产品 服务的业务流程 业务活动的持续运行 业务不连续的后果 客户量 业务量减少 产品报废 合同违约 监管违规 财务损失 利益相关方施压 社会谴责 环境 健康等 丧失竞争力 破产 业务连续性计划 BCP 从业务层面恢复中断的业务流程和活动 IT灾难恢复计划 ITDRP 应急预案通常用于支撑BCP IT服务连续性 ITServiceContinuity 关注于保障信息系统 IT基础设施持续运行 IT服务不连续的后果 直接表现 IT基础设施瘫痪 信息系统停止服务 间接表现 依赖IT系统的业务活动停滞 部分业务切换到人工操作 IT灾难恢复计划 将中断的IT系统服务恢复到可用状态 通常涉及灾备切换 应急预案 通常由一组具体的故障恢复场景构成 可能包含导致服务中断的严重故障 也有可能涉及未导致服务中断的一般故障 信息化技术越来越多地承载了组织的业务流程运行 业务连续性的恢复要求 9 最长可容忍中断时间 MTPD MaximumTolerablePeriodOfDisruption 交付产品 服务的业务流程与活动的最长可容忍中断时间 如果超出此时间限制 带来的负面影响将变得无法承受 恢复时间目标 RTO 基于MTPD 在组织内部协商后制定的恢复时间目标值 RTO应小于MTPD 30 为宜 组织应在假设的最坏场景下 通过演练 测试 验证自身达成RTO的实际能力 最长可容忍数据丢失点 MTDL MaximumTolerableDataLost 交付产品 服务的业务流程与活动中断后再次恢复时 能够容忍的数据丢失时长 即 将数据恢复到中断前多久的状态 恢复点目标 RPO 基于MTDL 在组织内部协商后制定的恢复点目标值 RPO应小于MTDL 30 为宜 组织应通过适当的备份机制 确保备份间隔时间小于RPO 并通过演练 测试 验证备份的有效性 最低运营要求与完全运营要求 10 如果业务活动完全依赖于IT系统 则对于IT部门而言 业务部门以业务视角分析出系统的恢复目标MTPD MTDL IT部门应据此制定信息系统的RTO RPO 允许的数据丢失 11 事件上报与初判 执行恢复 启用备用资源 复原或重建 实施临时变通方案 信息系统的恢复与复原 商业银行业务连续性监管指引 要求的BCM治理结构 12 业务连续性治理结构 日常组织 13 业务连续性治理结构 应急组织 14 连续性管理的一般实施过程 15 分析 Analysis 设计 Design 实施 Implementation 验证 Validation 资源 包括但不限于 人 信息 数据 设备设施耗材 IT系统 交通工具 资金 供应商 合作方 影响 例如 合规 声誉 相关方利益 产品服务质量 社会责任 财务 Source ISO22313 商业银行业务连续性监管指引 要求 16 银行业务 某国有银行样例 17 银行业务 某城商行样例 18 业务影响分析 BIA 示例 XXX业务的关键业务时段 5 8 工作日9 00 17 00 19 示例 BIA RA 样例 示例 ICT为企业的业务持续做好准备 IRBC Source ISO IEC27031 2011 ISO27031 2011是企业业务持续管理的重要组成部分遵循PDCA方法论可以与企业的业务务持续管理体系进行整合IT部门主导 21 XXX系统最低运营要求分析 22 示例 商业银行业务连续性监管