关于征求对《商业银行业务连续性监管指引》征求意见稿意见的函 银监办便函362号附件.docx
《关于征求对《商业银行业务连续性监管指引》征求意见稿意见的函 银监办便函362号附件.docx》由会员分享,可在线阅读,更多相关《关于征求对《商业银行业务连续性监管指引》征求意见稿意见的函 银监办便函362号附件.docx(17页珍藏版)》请在冰点文库上搜索。
关于征求对《商业银行业务连续性监管指引》征求意见稿意见的函银监办便函362号附件
商业银行业务连续性监管指引
(征求意见稿)
第一章总则
第一条为加强商业银行风险管理,提高业务连续性管理能力,降低或消除因自然灾害、人为破坏和技术故障等原因造成重要业务运营中断所产生的影响,快速恢复被中断业务,保障银行机构有效履行社会责任,维护公众信心和银行业正常的运行秩序,根据《中华人民共和国银行业监督管理法》及《中华人民共和国商业银行法》制定本指引。
第二条在中华人民共和国境内设立的国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、省级农村信用联合社、外商独资银行、中外合资银行适用本指引。
中国银监会监管的其他金融机构参照本指引执行。
第三条本指引所称重要业务是指面向社会客户、涉及账务处理及处理时效性要求较高的业务,其运行服务的中断会给商业银行造成重大经济损失或声誉影响,会对公民、法人或组织的权益、公共利益甚至国家安全带来严重后果的业务。
第四条本指引所称突发事件是指因下述原因,导致商业银行重要业务异常或中断,产生不良影响或资金损失的事件,包括:
(一)信息系统各类技术故障和配套设施故障;
(二)自然灾害(如火灾、雷击、海啸等);
(三)外部影响(如发生黑客攻击、第三方无法提供合作或服务等)。
第五条商业银行应根据突发事件造成的影响、损失程度和范围划分事件等级。
第六条本指引所称业务连续性是商业银行通过对突发事件的规划和响应,使重要业务得到有序、快速恢复,实现持续、稳定运行的能力。
第七条本指引所称业务连续性管理是商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体。
第八条商业银行应建立有效的业务连续性管理体系,使重要业务在发生突发事件后能有序、快速恢复,消除或减少因重要业务中断造成的影响和损失,实现业务的持续运营。
第九条业务连续性管理的基本原则是:
(一)社会责任原则:
应以切实有效履行社会责任为业务连续性管理的重要目标。
(二)预防为主原则;应积极采取预防控制措施,提高重要业务所依赖关键资源的健壮度,提升风险防御能力,消除或降低业务运营中断发生的可能性。
(三)重要业务原则:
应选择重要业务进行连续性管理;
(四)恢复优先次序原则:
应根据重要业务的重要性和影响大小确定恢复的先后次序;
(五)成本效益平衡原则:
商业银行在实施业务连续性管理过程中应综合考虑投入成本和产出效益间的平衡。
第一十条商业银行应根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定合适的业务连续性管理战略。
第一十一条商业银行应通过建立业务连续性管理组织架构,确定重要业务、明确业务恢复目标,制定业务连续性计划、配置资源,对业务连续性计划进行演练,建立突发事件处置和危机处理的高效机制。
第一十二条商业银行应构建业务连续性管理文化,使其成为全行的核心价值和有效管理的组成部分,并通过必要的知识传递来提高、强化和维持员工的业务连续性管理意识。
第二章组织架构
第一十三条商业银行应建立业务连续性管理的日常组织架构。
组织架构包括董事会、风险管理委员会、业务连续性管理主管部门、执行部门和保障部门。
第一十四条董事会是本行业务连续性管理的最高决策机构,对业务连续性管理负最终责任。
主要职责包括:
(一)制定与本行业务发展和风险管理战略目标相一致的业务连续性管理总体战略;
(二)审批风险管理委员会在业务连续性管理过程中的职责、权限及报告制度,审查风险管理委员会在业务连续性管理过程中的履职情况;
(三)审批风险管理委员会制订的业务连续性管理的总体目标;
(四)审批风险管理委员会为业务连续性管理制订的人员、资金、重要设施等资源的总体配备方案;
(五)审核业务连续性管理主管部门撰写的业务连续性管理的评估报告、内部审计部门撰写的业务连续性管理的审计报告。
第一十五条风险管理委员会应根据业务连续性管理战略,开展业务连续性的总体管理。
主要职责包括:
(一)制订业务连续性管理的总体目标;
(二)审批业务连续性管理办法;
(三)审批需要恢复的重要业务范围;
(四)审批业务连续性管理的工作计划与评估报告;
(五)审批业务连续性计划的演练计划与总结报告;
(六)为业务连续性管理调配资源及赋予执行和保障部门相应的权限等。
第一十六条商业银行应指派风险管理部门或其它综合管理部门作为业务连续性管理的主管部门(简称业务连续性管理主管部门),组织、协调全行业务连续性管理的日常工作。
主要职责包括:
(一)制订和维护业务连续性管理办法;
(二)制定风险分析、业务影响分析的方法与流程;
(三)制订业务连续性管理的工作计划与评估报告;
(四)制订业务连续性计划的演练计划与总结报告;
(五)组织业务连续性计划的演练、评估、总结与改进;
(六)组织业务连续性管理的培训;
(七)指导和监督执行部门进行业务连续性管理活动。
第一十七条商业银行的执行部门负责业务连续性管理相关工作的具体实施,包括业务部门与信息科技部门等各相关部门。
第一十八条业务部门的主要职责包括:
(一)拟定需要恢复的重要业务及其恢复目标和恢复策略;负责风险评估、业务影响分析,撰写风险评估报告和业务影响分析报告;
(二)负责业务部门的业务连续性计划的制订;参与业务连续性计划的整体演练;负责本部门业务连续性计划的具体演练、评估、总结与改进;
(三)参与业务连续性管理的培训;
(四)负责对本部门业务连续性管理的定期评估、改进。
第一十九条信息科技部门的主要职责包括:
(一)保障信息系统的高可用性;根据业务恢复策略,配置信息系统资源;
(二)负责科技部门的业务连续性计划的制订;参与业务连续性计划的整体演练;负责本部门业务连续性计划的演练、评估、总结与改进;
(三)参与业务连续性管理的培训;负责对本部门业务连续性管理的定期评估、改进;
(四)负责信息系统灾备中心的日常管理、灾难备份系统的运行和维护;
(五)配合业务部门进行业务连续性管理。
第二十条保障部门由办公室、人力资源部门、财务部门、法律合规部门、审计部门、对外联络部门、总务部门、保卫部门等组成。
主要职责包括:
(一)制订本部门业务连续性计划;参与业务连续性计划的整体演练;负责本部门业务连续性计划的具体演练、评估、总结与改进;
(二)为业务连续性管理提供必要的人员、物力、财力与安全保障;
(三)对外联络部门负责危机处理;
(四)参与业务连续性管理的培训;负责对本部门业务连续性管理的定期评估、改进;
(五)审计部门负责业务连续性管理的审计。
第三章业务影响分析
第二十一条业务影响分析是指识别和评估业务中断所造成的影响和损失的过程。
通过分析识别重要业务,明确业务连续性管理重点,并根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标。
商业银行应至少每年一次进行业务影响分析,形成业务影响分析报告。
第二十二条商业银行应综合考虑以下因素,识别和确定重要业务。
应明确重要业务的归口管理部门,以及所需的关键资源和对应的信息系统。
(一)中断的影响范围及程度;
(二)恢复成本与中断损失的关系;
(三)中断导致的声誉风险;
(四)法律法规和监管要求。
第二十三条商业银行应识别重要业务的相互依赖关系,对重要业务所依赖的关键资源损失的场景进行设定,分析、评估各项银行重要业务在突发事件发生时可能造成的经济损失和非经济损失。
第二十四条商业银行应通过平衡业务中断产生的损失与业务恢复成本,结合业务服务实时性、服务周期等运行特点,确定业务恢复至正常服务水平的指标,即业务可容忍恢复时间(业务RTO)、业务恢复时间点要求(业务RPO),明确业务重要程度和恢复优先级别,并识别重要业务恢复所需最小资源。
第二十五条商业银行应通过分析业务与信息系统的对应关系、信息系统之间的依赖关系,根据业务恢复指标并考虑业务应急响应时间、业务恢复的验证时间,确定信息系统恢复至正常服务水平的指标,包括信息系统可容忍恢复时间(信息系统RTO)、信息系统恢复时间点要求(信息系统RPO),同时明确关键信息系统,制定信息系统恢复优先级别。
信息系统的RTO一般小于业务RTO。
第二十六条原则上重要业务RTO不得大于4小时,重要业务RPO不得大于半小时。
第二十七条商业银行应开展风险评估,通过标识重要业务运行所需关键资源,分析关键资源面临的威胁,识别关键资源本身的脆弱性,分析威胁发生的可能性,并定量或定性描述可能造成的损失。
第二十八条商业银行应对识别的各类风险制定缓释、消除、转移等应对策略。
依据防范或控制风险的可行性和残余风险的可接受程度,确定对风险防范和控制的原则措施。
第二十九条风险评估应重点关注、优先评估业务运行所必要的关键资源,包括关键的信息系统、IT环境、数据中心资源,关键的业务人员,关键的业务场地,关键的业务办公资源,关键的业务单据等。
第三十条商业银行实施风险评估的关键步骤应包括:
(一)识别业务运行所需的关键资源;
(二)分析资源所面临的各类威胁;
(三)分析资源本身的脆弱性;
(四)通过综合分析资源的价值、自身的脆弱性、受到的威胁,评价资源面临的风险值或风险等级。
第三十一条商业银行应根据业务影响分析结果,制定业务恢复策略,明确业务连续性资源获取方式,开展全行业务连续性管理建设规划。
第三十二条商业银行应根据重要业务的恢复指标,制定差别化业务的恢复策略,如关键资源恢复策略,业务替代手段恢复策略,业务数据追补策略,业务恢复优先策略等。
第三十三条商业银行应依据重要业务的恢复策略,确定灾难恢复资源的获取方式、灾难恢复的等级,指导业务连续性资源建设。
第四章业务连续性计划制定与资源建设
第一节业务连续性计划的制订
第三十四条商业银行应依据业务恢复目标,制定应对不同突发事件的业务连续性计划。
业务连续性计划由业务部门的业务连续性计划、信息科技部门的业务连续性计划、其他管理与保障部门的业务连续性计划等组成。
第三十五条业务连续性计划主要内容应包括:
(一)涉及业务连续性的重要业务;
(二)重要业务执行连续性的优先次序;
(三)备份资源说明;
(四)总体应急预案和各类专项应急预案;
(五)对剩余风险的评估和说明。
第三十六条总体应急预案和各类专项应急预案的主要内容应包括:
(一)该预案中涉及的应急组织架构和架构中各部门、人员在计划中的角色、权限;
(二)信息传递路径和方式;
(三)计划执行过程中的回退机制;
(四)计划执行完毕后的恢复机制;
(五)事件处置机制(包括:
预警、报告、决策、指挥、响应、回退等环节);
(六)事件的危机处理机制和对外应答模版;
(七)事件的内部沟通机制及相应的联系方式;
(八)事件的外部(包括:
监管机构、政府部门、业务合作方、服务提供方等)沟通机制及相应的联系方式;
第三十七条商业银行在制订业务连续性计划时,应制订总体应急预案。
总体应急预案是商业银行应对突发事件的总体方案,明确各层级预案的定位、关系、衔接,体现处置各类突发事件的总体组织架构,相关各方的职责与权限,也规定出对处置事件的预警、报告、分析、决策、处置、恢复等全过程的机制和流程。
第三十八条商业银行业务部门应制定所在业务条线中重要业务的专项应急预案。
重点明确在不同突发事件场景下按照必要流程进行应急响应所采取的必要措施和手段。
重要业务专项应急预案应和相关信息科技部门、管理或保障部门的专项应急预案相衔接。
第三十九条商业银行应建立针对大范围业务中断的恢复预案,通过分析重要业务大范围、长期中断的风险承受能力,确定恢复范围、建设恢复资源,制定大范围中断恢复预案。
第四十条商业银行应要求其重要业务或信息系统运行所依赖的第三方关联机构建立业务连续性计划,业务恢复目标应遵从商业银行业务恢复目标的要求,第三方关联机构应向商业银行证明其业务连续性计划得到定期测试。
商业银行应积极采取风险缓释措施,消减第三方关联机构业务连续性管理不充分产生的风险。
第二节业务连续性资源建设
第四十一条商业银行应开展业务连续性计划所对应的资源建设,满足业务恢复的目标要求。
资源主要包括:
备用IT资源,备用人力资源,备用业务和办公场所资源,备用IT运行场所资源,备用通讯资源等。
其中备用IT资源应包括备用数据资源、备用数据处理系统软硬件资源、备用网络资源、备用存储资源等。
第四十二条商业银行应重点加强IT资源和IT基础设施的高可用性建设,实现和完善IT系统、网络系统、存储系统等IT资源的高可用,IT基础设施,如供配电、制冷、以及其它相关的环境支持系统的高可用,共同提升信息系统的可用性,降低信息系统的恢复时间。
第四十三条商业银行应建立符合业务连续性计划的备用IT场所资源,对于信息系统灾难备份中心等备用IT场所资源应满足《商业银行数据中心监管指引》的要求。
第四十四条人力资源和信息资源是突发事件发生时难以快速替代的重要资产,商业银行应积极采取分离措施降低其集中度过高的风险。
在业务连续性计划中应明确业务恢复所需关键岗位和人员,将关键人员备份并部署于不同地理区域,确保突发事件发生时业务可持续运行。
第四十五条商业银行应配备备用业务和办公场所资源,并在备用场所中配置业务操作和办公设备,确保备用业务和办公场所资源和内部设备处于可用状态,能够迅速启用。
第四十六条商业银行选择备用场地时,应确保不会同时遭受主用场地的同类型风险,同时应考虑备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素,以及灾难恢复所需的金融服务、通讯、设备、技术等外部服务供应商资源情况,在综合分析各种优势和不足后进行选择。
第五章 业务连续性计划演练与持续改进
第一节业务连续性计划的演练
第四十七条商业银行应开展业务连续性计划的演练,提高全行应急响应、组织协调及灾难恢复的能力,验证业务恢复资源的可用性,确保业务连续性计划的有效性。
第四十八条商业银行制订业务连续性演练计划时,应考虑业务的重要性和影响程度(客户范围、业务性质、时效性、经济与非经济影响、监管要求等),演练频率、方式应与业务的重要性和影响程度相匹配。
第四十九条对于优先级别高、公众影响广、实时要求强、一旦运行中断可能造成较大经济损失或社会影响的重要业务,商业银行应至少每三年对此类业务完成一次业务连续性计划演练。
在重大业务和社会活动以及商业银行自身业务与技术有重大调整前,也应开展业务连续性计划的针对性演练。
第五十条商业银行应积极开展业务连续性计划演练,检验业务、技术预案的完整性、易用性和可操作性。
商业银行应注重业务演练,核实业务准备程度、业务流程操作以及业务和技术的协调、配合;应注重以真实业务接管为目标,验证灾备系统有效接管生产系统及安全回切的能力。
第五十一条商业银行在进行业务连续性计划的演练时,应将外包方、其他关联方的服务、合作与联结情况纳入演练范围内。
第五十二条商业银行应对业务连续性计划的整个演练过程进行完整记录。
应对演练的组织、过程、效果进行评估,发现计划与执行之间存在的差距,及时对业务连续性计划进行维护和更新。
第二节业务连续性管理评估与改进
第五十三条商业银行的业务连续性管理主管部门应每年至少一次组织执行部门对业务连续性管理体系的完整性、合理性、有效性进行评估,并向董事会和高级管理层提交本行业务连续性管理的评估报告。
第五十四条商业银行在推出新业务产品时,应同步考虑是否将该业务纳入业务连续性管理的范围。
对于决定纳入业务连续性管理范围的,应在正式对外提供该项业务服务前完成该业务的连续性计划和演练。
第五十五条商业银行应建立业务连续性管理体系的定期维护机制,指派专人负责维护。
第五十六条商业银行的业务连续性管理主管部门应每年组织相关部门至少一次对既有的业务连续性管理进行完善,内容包括:
(一)增加或减少重要业务;
(二)修改应急备份的办法、相关应急预案和修改联系人表;
(三)修订规章制度、操作办法、流程;
(四)修改各部门、岗位的职责、权限;
(五)修改演练业务连续性的演练计划。
第五十七条对于做出重大变更(业务功能变更或资源需求变更)的业务,商业银行应在完成风险评估的基础上,及时对业务连续性计划进行变更。
第五十八条商业银行应对本行业务连续性管理开展专项或全面审计。
在发生组织架构、业务恢复所需资源的重大变更时,或发生导致大范围业务中断的重大突发事件时,需要及时进行专项审计。
全面审计每年进行一次。
审计工作可由内部审计部门实施,也可以委托外部第三方实施。
年度审计计划、审计报告应提交董事会和高管层审核。
第五十九条商业银行对业务连续性管理内外部审计的内容应包括:
业务影响分析、重要业务的确定、风险评估、恢复策略及恢复目标制定的合理性和完整性;业务连续性计划及其演练计划的完整性和有效性;业务连续性计划演练过程及其报告的完整性和有效性;业务连续性管理相关部门及其人员的履职情况。
第六章 突发事件应急处置
第一节应急处置组织架构
第六十条商业银行应建立应对突发事件的应急处置组织架构,有效处置突发事件,快速恢复重要业务。
应急组织架构应包括应急决策层、应急指挥层、应急执行层和应急保障层。
第六十一条应急决策层主要由商业银行高级管理者组成,决定突发事件处置的重大事宜,主要职责包括:
(一)决定是否对外报告、宣告、通报发生突发事件;
(二)审核、批准对外报告、宣告、通报的内容并授权实施;
(三)批准启动突发事件的应急预案;
(四)批准启动突发事件的回退预案;
(五)决定其它应急处置过程中的重大事宜。
第六十二条应急指挥层由商业银行的业务部门、信息科技部门、其他管理和保障部门的负责人组成,在决策层的授权下或在职能范围内指挥和协调突发事件的应急处置工作,主要职责包括:
(一)负责突发事件处置的应急指挥和组织协调;
(二)监督执行层和保障层实施应急处置工作;
(三)在突发事件处置期间向决策层汇报事件处置进展情况和事态发展情况;
(四)在应急处置完成后,组织执行层和保障层对应急处置的执行情况进行分析、总结,对总结报告进行审阅并向决策层报告。
第六十三条应急执行层由商业银行业务连续性管理执行部门组成,实施具体的应急处置工作,主要职责包括:
(一)实施处置突发事件的业务与技术应急预案;
(二)向应急指挥层报告应急处置进展情况和事态发展情况。
第六十四条应急保障层由商业银行业务连续性管理保障部门组成,负责突发事件处置的应急保障工作,主要职责包括:
(一)实施处置突发事件的应急保障预案;
(二)负责报告和对外通报;
(三)负责所需人力、物力和财力等资源的保障和供应;
(四)负责秩序维护、安全保障、法律咨询等工作;
(五)负责与外部机构的沟通与协调;
(六)向应急指挥层报告应急处置进展情况和事态发展情况。
第二节监测、预警与报告
第六十五条商业银行应建立突发事件风险的预警体系,并纳入全行风险预警体系中。
第六十六条商业银行应建立业务运行的监控体系,采取技术措施对业务系统运行有关的环境及系统的运行情况进行日常监测。
第六十七条商业银行应建立关键时点的预警机制,在重大业务和社会活动前,或在业务功能、资源发生重大变更前,进行风险预警。
第六十八条商业银行应设立突发事件指挥中心,配置指挥所需的办公与通讯设备。
第六十九条商业银行应建立清晰的报告流程,发生突发事件后及时进行报告和沟通。
(一)应及时按照内部报告路线向行内相关部门、人员报告;
(二)应依据银监会的突发事件报告要求,及时向银监会或其派出机构进行相应的报告;
(三)应及时与业务运行的外包方、业务合作方、交易联接方进行沟通。
第三节事件处置
第七十条商业银行应及时、有效地对突发事件作出响应,启动应急预案,实施处置,以防止事态升级,确保业务运行能够尽快得到恢复。
第七十一条商业银行在实施应急处置时,应考虑以下重要内容:
(一)重视突发事件发生时及处置过程期间的对外沟通,开展告知、安抚与解释工作,最大程度地降低负面影响;
(二)对重要业务可通过缩小运行功能、减少服务范围、利用替代系统、手工记账、利用他行支付渠道等不同手段进行应急处理;
(三)商业银行应通过过程化、程序化的方法,进行突发事件的信息技术应急处置。
第七十二条商业银行的保障部门应做好各项应急保障工作,为应急处置提供场地、交通、通讯、资金及其他后勤保障。
第四节灾难恢复
第七十三条对于可能导致大范围业务运行中断的突发事件,商业银行应立即启动灾难应急预案,实施灾难备份的切换。
第七十四条商业银行的信息科技部门在实施灾难备份切换时,应注意以下几点:
(一)对切换后的备份资源先进行技术验证,确保可用性;
(二)向业务部门告知可能出现的数据损失情况;
(三)对启用的备份系统的运行情况实施监控,预警并防止出现二次中断。
第七十五条商业银行的业务部门在灾难备份切换、回切时,应注意以下几点:
(一)对中断时的重要业务数据进行核对;
(二)对丢失的数据进行追补;
(三)如果条件容许,先在小范围内进行交易。
第七十六条商业银行应安排专门人员对突发事件的整个应急处置过程进行记录。
第五节危机处置
第七十七条商业银行应指定专门部门负责危机处理,应对突发事件带来的危机,采用公共关系的策略和方法化解危机,消除或降低危机所带来的负面影响。
第七十八条商业银行应建立必要的应对危机的处理机制,处理好与社会公众、媒体、股东、客户等的关系。
第七十九条商业银行应预先制订对社会公众、媒体、股东、客户等各方关于突发事件的书面通告,确保应对突发事件时能及时、规范、有效地对外报告与解释,必要时提供信息更新与补充,争取主动,防止因信息不对称及猜测造成的负面影响。
第七章监管和处置
第一节事件处置
第八十条为降低突发事件对商业银行业务正常运营带来的影响,指导和规范处置措施,最大程度的减轻由于业务中断给金融消费者权益带来的损害,银监会及其派出机构应建立相应的应急组织架构,建立各级应急工作小组。
主要职责为:
(一)对突发事件进行应急响应和处置。
(二)接收商业银行的突发事件报告,认定事件级别。
(三)与相关部门沟通和协调跨行业、跨部门应急资源。
(四)对外发布信息。
(五)进行事件的事实认定并提出处理意见。
第八十一条银监会应对可能威胁整个银行业业务正常运行的突发事件,如社会基础设施瘫痪、外部严重信息安全事件和自然灾害等,加强跟踪、监测、分析,包括重大业务活动、重大社会活动等关键时点的监测,及时向商业银行和社会发布风险预警信息。
第八十二条商业银行发生突发事件时,按照属地监管原则,银监会或其派出机构应急组织应立即启动应急预案,迅速实施事件处置工作。
第八十三条商业银行发生突发事件时,银监会或其派出机构应依据银监会应急管理政策对事件进行评估,确定事件等级,并据此采取相应的报告路线、处置预案和措施。
突发事件的等级可分为:
特别重大(I级)、重大(Ⅱ级)、较大(Ⅲ级)。
第八十四条银监会或其派出机构应督导商业银行积极采取应对措施,隔离风险源,防止突发事件恶化或向其它银行业金融机构、整个行业扩散。
第八十五条银监会或其派出机构在处置突发事件时,应及时跟踪商业银行业务连续性计划的启动情况和关键实施环节的执行情况,根据事件发展态势,督导商业银行积极采取措施,按照优先顺序恢复业务,最大程度减少事件带来的负面影响。
第八十六条商业银行发生突发事件时,如涉及其他非银行业金融机构,或
升级会员 