业务连续性管理全套方法论

业务连续性管理

全套方法论汇报人：XX汇报日期：2020年XX月为什么做业务连续性管理（Why）01什么是业务连续性管理（What）02如何做业务连续性管理（How）03Q&A04目录CONTENTS企业运行业务IT基础设施网络通信操作平台系统应用负债业务资产业务中间业务依赖支撑风险管理业务IT风险管理基础设施网络通信操作平台系统应用负债业务资产业务中间业务依赖支撑引发保障引发保障所谓企业：就是在风险管理下，开展业务而盈利的组织！业务连续性管理为什么需要业务连续性管理频发的风险事件外部生存环境逐年恶化内部安全问题日趋复杂根源更加激烈的市场竞争要求更高的服务质量（SLA）“高效方便”与“安全可靠”并重从“数据不丢失”提升到“服务不中断”动力BCM国际惯例已成为相关法律和标准的基本要求《商业银行业务连续性监管指引》（银监发[2011]104号）中国BCM国标（GB/T30146-2013）已发布底线为什么做业务连续性管理（Why）01什么是业务连续性管理（What）02如何做业务连续性管理（How）03Q&A04目录CONTENTS什么是业务连续性管理（BCM）“B”–Business（业务）组织的各种有价值的活动（业务）--保护的对象“C”–Continuity（连续性）风险事件发生时，确保关键的活动（业务）不中断--满足的要求“M”–Management（管理）通过一体化的管理方法来保障关键活动（业务）的连续性--实现的方法BCM体系建设的发展历程概念重点可交付项目驱动因素典型事件决策灾难恢复业务恢复业务连续性和可用性数据中心运转中断现场故障（数据中心和/或办公室）重要业务过程（包括供应链）IT灾难恢复计划业务恢复计划业务连续性计划早期法规中央主机不断增加的重要性电子商务集中的ERP公司治理恐怖主义、生物威胁供应链管理数据中心火灾或管线故障关键呼叫中心运转中断关键供应商破产网站受到拒绝服务攻击70/80年代90年代2000年代可选法定相关标准和实践ISO22301《社会安全业务连续性管理体系要求》ISOGB/T30146-2013《公共安全业务连续性管理体系要求》GB/T20984-2007《信息安全技术信息安全风险评估规范》GB/T20988-2007《信息安全技术信息系统灾难恢复规范》国标BS25999-2006《业务连续性管理》英标银监发【2009】19号文《商业银行信息科技风险管理指引》银监办发【2010】114号《商业银行数据中心监管指引》银监发【2011】104号文《商业银行业务连续性管理指引》银监会《商业银行业务连续性监管指引》序号BCM体系主要内容特点1组织架构董事会最终负责风险管理部管理部门，细分成执行部门和保障部门明确各部门的职责、报告路径、频率、内容将BCM作为监管的一个重要部分要求比较全面2业务影响分析风险分析业务影响分析策略和规划制定3业务连续计划制定和资源建设计划制定；资源建设4计划演练和持续改进计划演练管理评估与改进5突发事件应急处置应急处置组织架构监测、预警与报告事件处置、危机处置、灾难处置；6监管和处置银监会本身及其派出机构银监会及派出机构应该将对商业银行的业务连续性管理的评价工作纳入到商业银行的综合风险评价事前检查，事后问责，事中协调、指挥、处置、决策；银监会强制性要求，2011年生效。BCM关注哪些事件对较大范围的实施有严重影响，生产中心无法正常运行，对外服务能力受到严重影响例如火灾、水灾、自然灾害、重大疫情，等等；重大灾难事件对局部或部分系统及业务有较严重的影响，对外服务有一定影响例如电力中断、网络故障、系统宕机、人为破坏、外部影响、等等；紧急突发事件高频低损事件，程度不太严重，对外服务影响开始时不明显例如技术故障，人为误操作，等等。运行异常事件RTO和RPORecoveryTimeObjective(RTO)–

恢复花费时间RecoveryPointObjective(RPO)–

恢复目标时间点数据DaysMinsHrsWksSecs恢复点（数据维度）MinsDaysHrsSecsWks恢复时间（业务维度）突发事件处置过程（业务恢复的6R模型）进行损失评估，判断是否灾难？满足条件：宣布灾难几分钟或几小时之内几小时或几天之内几周或几月之内预防事件Respond响应Reduce减少、降低Recover恢复Resume重启Restore重建Return返回时间线既要避免反应迟钝，也要避免反应过度！事前事中事后业务连续性涉及的部门公司科技部风险管理部各业务部门办公室财务部业务连续性为什么做业务连续性管理（Why）01什么是业务连续性管理（What）02如何做业务连续性管理（How）03Q&A04目录CONTENTS高管层的承诺和支持业务专家的协助认知、培训与演练建立危机与风险文化高管层的承诺和支持，可提高并增进效率。高管层的的参与将提升员工参与的积极性，进而提升他们的认知。使人员意识到业务持续管理的重要性，并使其具备快速响应、事件处理及业务恢复的能力。外部业务专家的协助，可加快组织BCM推进的进程，并确保BCM方案的合规性。通过在组织机构中植入业务连续性管理的文化和认知，使人员皆具备危机意识，若事故发生，可降低损害。业务连续性管理推进的重要成功要素管理业务连续性方法论1.持续改进第16页BCM持续改进风险分析业务影响分析BCM策略BCM管理制度及体系预案体系演练演练方案和话术培训和预演演练实施业务连续性总体预案专项预案操作预案风险识别风险等级管控措施建议业务与系统关联性识别重要业务和系统恢复指标和资源需求策略制定组织架构BCM日常工作业务连续性计划BCM体系文档清单文档类别交付物文档文档编号需求类文档《业务影响分析报告》BIA-BG-01《风险分析报告》RA-BG-01策略类文档《业务连续性管理策略》STG-BG-01管理办法类文档《业务连续性管理办法》STG-BG-02预案类文档总体预案《业务连续性总体应急预案》DRP-BG-01业务预案《XX条线应急预案》DRP-BG-02《XX业务条线应急预案》DRP-BG-03《XX业务条线应急预案》DRP-BG-04《XX业务条线应急预案》DRP-BG-05《XX业务条线应急预案》DRP-BG-06《XX业务条线应急预案》DRP-BG-07科技预案《信息科技总体应急预案》DRP-BG-08《信息系统应急预案》DRP-BG-09《网络及安全系统应急预案》DRP-BG-10《基础设施应急预案》DRP-BG-11保障预案《保障条线应急预案》DRP-BG-12演练类文档《业务连续性演练方案》EXC-FA-01业务连续性方法论持续改进第18页BCM持续改进风险分析业务影响分析BCM策略BCM管理制度及体系预案体系演练演练方案和话术培训和预演演练实施业务连续性总体预案专项预案操作预案风险识别风险等级管控措施建议业务与系统关联性识别重要业务和系统恢复指标和资源需求策略制定组织架构BCM日常工作业务连续性计划BCM体系风险分析目的识别XX企业关键资产；识别XX企业所面临的的潜在风险；识别为关键资产所面临的风险划分风险等级；等级为预案提供风险场景预案风险处置及改进建议；识别残余风险。处置风险分析对象信息系统基础设施关键人员业务场地业务办公设备业务单据供应商风险分析风险分析结果风险类别风险等级小计五级很高四级高三级中二级低一级很低自然灾害----3429基础设施--314311信息系统--352--10人为因素----13--4供应商----11--2小计0611145--合计3636业务连续性方法论持续改进第22页BCM持续改进风险分析业务影响分析BCM策略BCM管理制度及体系预案体系演练演练方案和话术培训和预演演练实施业务连续性总体预案专项预案操作预案风险识别风险等级管控措施建议业务与系统关联性识别重要业务和系统恢复指标和资源需求策略制定组织架构BCM日常工作业务连续性计划BCM体系业务影响分析目的识别XX企业的重要业务确定业务的恢复优先级和恢复顺序确定业务的恢复时间目标（RTO）和恢复点目标（RPO）业务确定应用系统的恢复时间目标（RTO）和恢复点目标（RPO）确定应用系统的恢复优先级系统安全确定业务恢复所需的关键资源资源业务恢复优先级一级7个业务品种业务恢复时间目标（RTO）≤4小时业务恢复时间点目标（RPO）≤30分钟二级8个业务品种业务恢复时间目标（RTO）≤14小时业务恢复点目标（RPO）≤30分钟三级16个业务品种业务恢复时间目标（RTO）≤48小时业务恢复点目标（RPO）≤30分钟四级3个业务品种业务恢复时间目标（RTO）≤72天业务恢复点目标（RPO）≤30分钟系统恢复优先级一级15个应用系统系统恢复时间目标（RTO）≤3小时系统恢复时间点目标（RPO）≤30分钟二级12个应用系统系统恢复时间目标（RTO）≤13小时系统恢复点目标（RPO）≤30分钟三级7个应用系统系统恢复时间目标（RTO）≤47小时系统恢复点目标（RPO）≤30分钟业务连续性方法论持续改进第26页BCM持续改进风险分析业务影响分析BCM策略BCM管理制度及体系预案体系演练演练方案和话术培训和预演演练实施业务连续性总体预案专项预案操作预案风险识别风险等级管控措施建议业务与系统关联性识别重要业务和系统恢复指标和资源需求策略制定组织架构BCM日常工作业务连续性计划BCM体系业务恢复策略目的业务恢复策略信息系统恢复策略供应商管理策略关键应急资源保障策略业务连续性管理组织机构的维护策略业务连续性管理的风险处置策略规则业务恢复策略业务恢复的基本原则依照恢复优先级和恢复顺序实现快速、有序恢复。业务恢复在先，渠道恢复在后。优先恢复本币业务。业务恢复优先级和恢复目标业务恢复的方式利用其它替代系统；利用他行支付渠道；手工记账。业务数据追补策略时间维度：遵循数据产生的时间顺序，从先到后进行追补。业务重要性维度：按照业务恢复优先级从高到低的顺序对相应的业务数据进行追补。业务连续性方法论持续改进第29页BCM持续改进风险分析业务影响分析BCM策略BCM管理制度及体系预案体系演练演练方案和话术培训和预演演练实施业务连续性总体预案专项预案操作预案风险识别风险等级管控措施建议业务与系统关联性识别重要业务和系统恢复指标和资源需求策略制定组织架构BCM日常工作业务连续性计划BCM体系业务连续性管理办法目的规范业务连续性日常管理工作保障业务连续性管理体系持续改进PDCA业务连续性管理办法内容组织架构：高级管理层业务连续性管理委员会执行部门保障部门业务连续性管理办法日常工作：业务影响分析风险评估业务连续性计划业务连续性资源建设业务连续性演练管理评估与持续改进监测、预警及汇报业务连续性方法论持续改进第32页BCM持续改进风险分析业务影响分析BCM策略BCM管理制度及体系预案体系演练演练方案和话术培训和预演演练实施业务连续性总体预案专项预案操作预案风险识别风险等级管控措施建议业务与系统关联性识别重要业务和系统恢复指标和资源需求策略制定组织架构BCM日常工作业务连续性计划BCM体系预案目的针对可能发生的事故，明确应急处置流程和各部门职责，有效控制事故风险。控制完善应急处置机制，最大限度减少人员和财产损失减少应急组织架构；对内对外的通知树；总体处置流程。应急处置预案结构（总体、专项、操作）；预案制定和修订流程预案清单预案体系预案结构应急处置组织架构综合管理部门负责人执行部门负责人保障部门负责人高管层（首席风险官）高管层执行部门保障部门决策层指挥层保障层执行层应急处置运营中断事件应急处置危机处理监测、预警与报告全行风险预警体系日常监测业务和IT加强专项监测协同报告内外部沟通与报告中断事件处置灾难恢复分级处置依据预案快速规范后勤保障全程记录决策及时配合切换监管机构媒体机构政府机构关注回切突发事件发生12344445预案使用业务连续性方法论持续改进第38页BCM持续改进风险分析业务影响分析BCM策略BCM管理制度及体系预案体系演练演练方案和话术培训和预演演练实施业务连续性总体预案专项预案操作预案风险识别风险等级管控措施建议