业务连续性管理规定.docx

1、业务连续性管理规定业务连续性管理规定第一章总则第一条为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划，将预防和恢复控制相结合，积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系，根据中华人民共和国银行业监督管理法、中华人民共和国突发事件应对法、银行业重要信息系统突发事件应急管理规范以及相关法律法规、业界规范标准，特制定本规定。第二条本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。第二章组

2、织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围，为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证，并对执行情况进行监督。第四条科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。第五条各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。第六条各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围，审批本部门业务连续性计划，为相关管理活动提供资源和管理保证。第七条各部门负责制定本部门的业务连续性计划、突发事件

3、应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。第三章业务连续性管理规定第八条各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：（一） 确定业务连续性管理的目标和范围。（二） 确定业务连续性管理的组织结构和职责。（三） 确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。第九条各部门的业务连续性管理策略不得与科技发展部的策略相背离，当目标和范围扩展到科技发展部范围时，应严格遵守科技发展部的业务连续性管理策略。第十条各

4、部门应根据本部门的业务连续性管理策略，实施业务影响分析，主要包括：（一） 识别本部门的关键性业务功能。（二） 识别关键性业务功能所依赖的资源，包括人员、设备、数据、软件和服务（含第三方）。（三） 识别关键业务功能所有的潜在突发信息安全事件。（四） 识别这些突发信息安全事件会给关键性业务功能造成的损失和影响。（五） 识别突发信息安全事件引起的业务中断时，业务的恢复时间目标，针对业务数据制定恢复点目标。（六） 对关键业务功能的恢复制定优先级排序。第十一条各部门应该根据业务影响分析及风险分析的结果、业务连续性管理策略等制定本部门的业务连续性计划，实施业务连续性措施。第十二条业务连续性计划和措施针对科

5、技发展部而言，主要体现在如何保障信息系统及其提供的服务的连续性，一般包括如下几方面的计划和措施：（一） 预防和准备性措施，指事故或灾难前的准备、防范性措施，目标是降低风险发生的可能或者降低风险发生时的破坏性，减少事故或灾难带来的损失。一般包括站点冗余、设备冗余、数据备份、人员角色备份、资源措施准备等，具体要求参见附件2：预防与准备性措施实施指南。（二） 应急响应流程和预案，指事故或灾难发生时的应急处理流程，目标是尽快恢复目标系统和服务，减少事故或灾难带来的损失。主要措施是建立事件应急响应流程和具体系统、设备设施的应急预案，具体应急处理流程参见哈尔滨银行信息系统应急管理办法和相应预案。（三） 灾

6、难恢复流程和措施，指事故或灾难发生时，根据业务需要在规定时间内紧急启用备用站点并尽快恢复服务的处理流程和措施，目标是尽快在紧急的状态下提供必要的服务，降低事故或灾难带来的影响，具体处理流程参见数据备份及恢复管理规定和相应预案。（四） 恢复后措施，指系统、服务恢复后，还需要进行测试、总结报告并根据需要修订、完善原有计划和预案，目标是使业务连续性管理能够持续改进。第十三条各部门根据业务连续性计划的要求，建立相应的业务连续性组织，并建立有关的工作制度，协调与政府主管部门、新闻媒体等相关部门之间的关系，保证业务连续性计划的建立、实施。第十四条业务连续性决策组织的主要职责是决定科技发展部的业务连续性管理

7、策略，重要预防和准备性措施的决策，业务连续性管理的资源保证与协调。在科技发展部现有信息安全保障体系中可由信息安全指挥小组承担该职责。第十五条预防准备措施实施的组织主要负责预防和准备性措施的实施，在科技发展部现有信息安全保障体系中由各相应的对口部门承担，将分别负责责任范围内设备、设施及其提供服务的预防性措施实施和相应应急预案的制定。具体工作参见哈尔滨银行信息系统应急管理办法和数据备份及恢复管理规定。第十六条应急相应处置和灾难恢复的相关组织参见哈尔滨银行信息系统应急管理办法。第十七条附件3：业务连续性组织建设指南中给出以上各组织的一般职责定义，具体职责和处理流程参见哈尔滨银行信息系统应急管理办法和

8、数据备份及恢复管理规定。第十八条各部门需要定期开展业务连续性管理意识培训，提高各部门员工的业务连续性管理意识，确保所有参与业务连续性管理的人员知道并理解其角色与责任，培训相关人员满足业务连续性管理所要求的管理职能与技术技能。第十九条各部门需要制定应急计划演练的频率、演练计划、演练时间表和演练的目的，定期开展业务连续性管理演练，用以检查业务连续性管理的各类事项，主要包括：（一） 各类技术方案的可行度和执行度。（二） 突发信息安全事件响应流程的正确性。（三） 各类计划执行的逻辑性。（四） 各类计划的执行是否满足目标恢复时间要求。（五） 各类计划的管理性。（六） 人员的意识与技能。第二十条演练方式包

9、括桌面演练、交互演练、模拟演练、并行式演练和完全演练等多种方式，各部门的演练方式可以根据情况自行选择。（一） 桌面式演练：主要由各类计划的拟定人复查计划的可执行性，由信息安全指挥小组确认。（二） 交互式演练：一种扩展式的桌面式演练，由各部门信息安全指挥小组和信息安全部门检查明确各计划之间参与者的协调性与职责。（三） 模拟演练：针对某个突发信息安全事件的模拟场景，对此进行模拟的业务连续性管理演练。（四） 并行式演练：保证科技发展部业务功能的正常运行前提下，对业务连续性管理包含的各类计划进行全面的实战演练。（五） 完全演练：完全测试在遭遇了各类突发信息安全事件后的响应与各类计划。第二十一条完全演练

10、需采用事前通告的方式进行，其它演练可采用事前通告也可采用非事前通告的方式。第二十二条对于存在较大风险的演练（如完全演练），应按属地监管原则，在实施演练前将演练计划向银监会或其派出机构报备。第二十三条业务连续性管理演练应尽量选择在非办公时间进行。除了完全演练，其他演练方式尽量减少对生产系统的影响。第二十四条各部门需要针对演练的过程与结果，提交演练报告给本部门的信息安全指挥小组和科技发展部风险管理组。第二十五条针对演练中出现的问题，相关责任部门应实施必要的改进与完善。第二十六条每年至少组织一至两次业务连续性管理演练。第二十七条各部门需要定期或面临重大变更时全面评估、审核业务连续性策略以及各类计划，

11、以确保所制定的业务连续性管理的持续有效，包括但不限于以下情况：（一） 购置新的关键设备或者系统升级。（二） 企业的整个管理战略发生改变。（三） 企业的环境、重要设备或资源发生改变。（四） 法律法规发生改变。（五） 关键的业务流程发生改变。（六） 距上一次审核时间相隔1年以上。（七） 关键供应商的改变。（八） 重要的人员发生改变。第二十八条在演练或实际启动业务连续性计划后，需要对业务连续性计划进行评估、总结及学习，作出相应的修订和更新。第四章附则第二十九条本规定由科技发展部负责制定、解释和修改。第三十条本规定自印发之日起实行。附件一：修订记录日期(年月日)版本描述作者审批人审批日期附件二：预防与

12、准备性措施实施指南预防和准备性措施：预防和准备性措施是业务连续性管理的重要内容，它可以降低系统的发生风险的可能性或降低系统发生故障时的破坏性，有利于尽快恢复系统的运行。主要有以下内容：一、 站点备份：根据对重要站点的风险评估，建立灾难备份中心等备份站点，当主站点发生灾难或故障而不能提供服务时，备份站点提供相应的设备设施和服务。二、 设备及系统冗余：根据风险分析结果，对可能导致全局性故障的单点故障的设备、系统、应用，考虑采用冗余的措施，避免设备、系统及应用的单点故障。三、 安全产品部署：根据风险评估结果，对存在的安全弱点进行分析，选用合适的控制措施，通过技术和管理的手段消除安全弱点。需要在信息系

13、统部署网络安全产品，提供防御和检测安全事件的作用，有效降低安全风险。四、 数据备份措施：在进行数据备份时，应对备份的数据进行测试，确保数据的可靠、有效、便于恢复，同时，应根据具体系统，备份适当时间段和关键日期的数据，保证在发生系统故障导致数据破坏时，可以用于恢复或更换的系统，为有关的机构、需求者或接受者能简单、准确地恢复被破坏的记录，数据备份完成后应予以安全保护。五、 人员保障：关键信息系统操作及管理人员需采取备份措施，一旦事件发生，可保证关键信息人员能赶赴现场并采取恢复措施，同时需要确保人员能够胜任应急处置工作。在人员保障方面应达到以下要求：（一） 确保突发信息安全事件处置人员具备应急工作必

14、要的技术资质，定期组织人员培训以满足应急处置要求，并通过业务连续性演练，保证处置人员的熟练度。（二） 确保主、备岗机制的落实。（三） 确保主、备岗人员定期进行互换。（四） 避免一人兼过多的岗位。六、 物质保障：各部门应建立有效的物质保障机制，确保在突发信息安全事件应急相应过程中不会因物质缺乏而导致应急处置中断或延长应急处置时间。在物质保障方面应达到以下要求：（一） 储备一定数量应急设备或物资，并确保物资供应渠道畅通。（二） 建立突发信息安全事件应急专项资金预算管理与审批制度，确保应急响应过程中及时进行应急物资采购。七、 预警技术保障：各部门应建立有效的技术保障机制，确保在应急响应过程中不会因技

15、术能力缺乏而导致应急处置中断或延长应急处置事件。建立应急事件预警平台，确保及时发现应急事件，并及时通知有关人员启动应急响应。八、 通讯保障：各部门应采取必要的通讯保障措施，确保应急相应通讯及时有效。在通讯保障方面应达到以下要求：（一） 适时更新各级应急管理机构联络人和联络方式。（二） 建立多种通讯渠道，避免单一通讯风险，并明确各通讯渠道使用的优先顺序。九、 服务水平协议：关键信息系统需与设备、服务提供商（或系统集成商）签定对应服务水平协议，明确相关厂商的技术支持服务水平，确保应急处置过程中相关厂商能够提供及时有效的技术支持。十、 保险措施：对关键设施及关键业务，可考虑购买保险，进行风险转嫁。附

16、件三：业务连续性组织建设指南一、IT范围业务连续性决策组织决策小组是IT范围业务连续性管理的决策部门，负责做出重大决策，提供资源、管理保证，在科技发展部现有信息安全保障体系中可由信息安全保障指挥小组承担该职责。预防和准备措施阶段，负责：（一）决定科技发展部IT范围的业务连续性管理策略。（二）重大预防和准备性措施决策，比如备份站点的建立和选择。（三）提供资源和管理保证。二、突发事件管理小组应急响应指挥小组是紧急状态下的指挥中心，负责突发事故、灾难发生时的指挥协调。应急响应和灾难恢复阶段，负责：（四）灾难宣告决策。（五）备份站点启用决策。（六）外部沟通决策。（七）其它重大事件决策。（八）提供资源和

17、管理保证。三、应急处置指挥小组应急处置指挥小组的组长视事件级别由科技发展部领导或行领导担任，组员由IT范围及相关业务各部门负责人组成。应急处置指挥小组的主要职责是在科技发展部突发事件管理指挥小组的领导下，负责执行信息安全类突发事件处置方案的指挥和协调工作，决定突发事件升级或降级，向突发事件管理指挥小组及时报告应急处置进展状况和事态发展情况。应急响应和灾难恢复阶段，负责：（九）突发事件应急管理工作的指挥协调。（十）决定突发事件升级或降级。（十一）下达突发事件应急管理工作指挥指令。（十二）跟踪和监督各小组突发事件应急管理工作。（十三）向突发事件管理领导小组及时报告应急处置进展状况和事态发展情况。四

18、、应急处置保障小组突发事件应急处置保障小组由总务部、会计部、法律部、保卫部、物业管理部门等相关职能部门构成。保障小组的主要职责是提供应急所需人力和物力等资源保障，做好秩序维护、安全保障、法律咨询和支援等工作，建立与电力、通讯、公安和消防等相关外部机构的应急协调机制和应急联动机制，以及其他为降低事件负面影响或损失提供的应急支持保障等。预防和准备措施阶段，负责：（十四）提供人力、物力资源的准备。应急响应和灾难恢复阶段，负责：（十五）负责与政府相关部门、上级主管部门等相关部门及下级分支机构之间的联络协调工作。（十六）负责协调后勤资源，提供快速的和充足的后勤支持。（十七）提供安全保卫工作。（十八）提供

19、法律知识支持，审查对外公告的信息的法律符合性。一、预警与评估小组本小组一般由跨部门专家、代表联合组成，作为事故、灾难的第一反应团队，负责接收事故、灾难预警，评估事态发展和影响，为指挥小组、决策小组提供决策依据。应急响应和灾难恢复阶段，负责：（十九）接收事故、灾难预警。（二十）定位突发事故、灾难并进行初始处理和保护。（二十一）对事故、灾难发展事态、影响范围、严重程度、恢复情况等进行评估。（二十二）提供事故定级、备份站点切换等决策建议。二、应急处置执行团队应急处置执行团队由一线工作组、二线专业和后缓组、三线协助开发组构成。其中一线工作组主要是运维中心一线人员和相关业务部门一线工作人员；二线专业和后

20、缓组主要是相关项目组的二线专业人员；三线协助开发组主要是供应商技术支持专家。应急处置执行团队的主要职责是实施信息系统突发事件的具体应急处置工作，对信息系统突发事件业务影响情况进行分析和评估，收集分析信息系统突发事件应急处置过程中的数据信息和日志，向应急处置指挥小组及时报告应急工作情况。本小组由负责具体设备设施及系统维护的团队组成，主要负责责任范围内设备设施及系统的预防和准备性措施计划、实施，预案管理及事故、灾难发生时应急预案的实施。预防和准备措施阶段，负责：（二十三）计划、实施各种预防和准备性措施。（二十四）制定、演练和维护相应的应急预案。应急响应和灾难恢复阶段，负责：（二十五）实施所负责的应急预案。（二十六）实施所负责范围内的其它应急措施。（二十七）提供所负责范围内应急预案的实施情况通报。（二十八）如果需要切换到备用站点，实施所负责范围内系统、设备设施的恢复和相应预案的实施。