实地培训后记录

业务连续性培训心得

业务连续性：在中断事件发生后，组织在预先确定的可接受水平上连续交付产品或提供服务的能力，实质是确保关键业务在规定时间内恢复到非正常时期最低可接受的程度。

业务连续性管理：Business Continuity Management（简称BCM）识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

所谓业务连续性，并不是规避或躲避风险，而是在灾难发生的时候通过一系列的管理手段如何把损失降低到最小，也就是避免遭受更大的损失。业务连续性管理工作不能简单做成一个常规项目，所谓项目是有开始，有结束，有边界，领导的支持和资源是有限度的，但是业务连续性管理应该是一个管理的闭环，是一个持续不断改进的管理过程，应当贯彻到日常管理工作中去。

业务连续性方案管理和计划编制的目的本质上首先应该是为了确保组织对外服务和关键业务持续运行问题和数据安全，保护人员、保护声誉、保护相关方利益、保护资产，进而提升客户满意度，提升核心竞争能力，最后才是为了满足监管部门的合规要求。当然，目前国内大部分银行推动其业务连续性管理发展的核心源动力还是应对监管部门的监管要求。

一、业务连续性管理的实践

实地培训后记录

按照国际惯例，BCM实践模型分为9个步骤，分别是BCM规划、风险评估与控制、业务影响分析、业务连续性策略制定、应急响应与运行、业务连续性计划编制、认知与培训、测试与演练、计划维护。

1、BCM规划

BCM规划的目标是明晰并组织项目规划各要素，并确认制定业务连续性计划所需的资源。此阶段主要为BCM项目的启动，按照银监会2011年104号文件要求，组织需设立相关组织架构，并行使对应职责。其中需注意的是一个好的BCM规划或方案并不强求一定要建立相应的组织，必要时可以和行内现有组织重合，并赋予相应职责即可。

在业务连续性计划制定过程中，分管行长作为高管层的代表，应作为BCM规划的主要负责人来进行恢复工作，并且一定要得到董事会的授权和高管层的支持。BC经理负责组织各部门、各机构，管理多个相互依赖的项目，具有组织召集会议的能力，并及时跟踪及时汇报，保持在整个过程中使高管层了解项目的进展情况。

2、风险评估与控制（简称RA）

风险评估的目的是识别和确定风险，改进现有控制措施，并需增加的控制措施，从而降低组织所面临的风险。确定的风险作为后期编制预案时的场景设置因素。风险评估可采用风险评估模型，按照可能性（高中低）、严重性（高中低）两重维度划分，形成风险评估矩阵。

实地培训后记录

影

响

低

低频率高

后期应急预案中场景设置应覆盖风险评估中风险级别较高的80%的风险。

3、业务影响分析（简称BIA）

BIA是在风险分析的基础上，分析业务功能依赖的重要信息系统资源、评估特定灾难场景下各种信息系统中断产生的经济损失和非财务因素影响。业务影响分析的结果主要有六项，分别是识别关键业务、确定关键业务的RPO/RTO、识别关键业务的相互依赖性、确定关键业务恢复的优先级、确定关键业务所需的资源，并确定关键业务持续运行是否有替代措施。

在业务影响分析过程中，容易出现下列问题：

（1）业务部门都认为自己的业务是最重要的。

重要业务的认定不应该是由BC经理或者某位高管来主观认定，BC经理应该通过定量经济损失、定性业务影响、业务贡献度及监管

实地培训后记录

法律法规要求等分析指标制定打分表，由各业务部门客观分析其业务，最后由高管层依打分表评定。

（2）业务部门都想把自己所属的业务尽快恢复，RPO、RTO要求近乎为零。

不同的RPO、RTO要求代表着不同的成本，对应着不同的技术手段和策略，业务部门出具RPO、RTO要求，技术部门根据要求出具可行性分析和成本效益分析，通过高管层确定各业务条线的RPO、RTO 值，同时必须满足监管要求。

通过进行风险评估和业务影响度分析，BCM小组分析、整理结果，完成RA/BIA分析报告，并向高管层汇报，获得其对分析报告的认可。

4、业务连续性策略的制定

从业务和技术两条线识别、梳理可用的业务连续性策略，首先保证所选策略满足制定的RPO、RTO要求，其次是经过成本效益分析进行比较，根据组织的风险偏好和风险容忍度选择业务连续性策略，并基于前期的业务影响分析结果验证策略的合理性和有效性，最终取得高管层的批准。

常见的备选业务连续性策略包括：

常见的备选技术连续性策略包括：

实地培训后记录

另外需要注意的是，并不是全采用高可用技术的恢复策略就是最好的，需要从多方面考虑。例如韩国某银行中心主机房与灾备机房采用实时同步技术，未采用快照，结果黑客入侵中心机房，对核心数据做了删除操作，导致灾备机房的数据同步删除，造成很大的损失。

基于选定的业务连续性策略，分析、识别并确定在此策略相关的关键资源与应急、持续和恢复程序等，主要包括关键人员/岗位、重要经营场所、重要供应商、关键设备或其他资源、应急响应、业务持续和恢复程序及可能的临时策略、手工程序和临时应对措施。

5、应急响应与运行

应急响应的核心在于保护生命和稳定事态。为应对可能会影响组织的员工、来访者或其他资产的紧急情形，制定好应急预案，以保障组织能够以协调一致的、及时有效的方式来响应紧急情况。为了在事件发生前、事件发生时，以及事件发生后进行有效的沟通，组织应建立一个框架来开发和演练危机沟通计划。通过与本地的、区域的和国家级的各类外部机构协调工作，进行相应，连续性和恢复活动，确保组织满足合规要求。

应急响应中很重要的一个内容就是危机沟通机制，危机沟通的要素包括：1、确定受危机影响的听众（社区公众、外部机构包括政府、

实地培训后记录

监管；外部群体包括客户、供应商、合伙人等、内部群体包括董事会、高层、员工）；2、根据目标听众选取合适的发言人；3、确定主要的沟通信息；4、确定主要的沟通渠道和方式；5、主动沟通信息。

沟通信息的原则主要包括：1、清晰并容易理解；2、预先注意应保密的信息；3、不断的重复；4、针对听众特别关心的问题发言；5、与发给其他听众的信息结合；6、表达出理解听众的情绪；7、保持一致性；8、可以个性化的回答。

6、业务连续性计划编制

业务连续性计划编制的步骤首先应是成立计划编制项目组，将重点业务部门人员涵盖在内，其次是确定业务连续性管理体系总体框架和主要覆盖内容，评估组织现有的业务连续性管理相关管理现状（包括应急管理、灾难备份、风险管理、信息安全、声誉公共关系、安全保卫、人力资源等），然后根据差距分析，明确计划编写内容，按小组分解进行计划编制。

7、认知和培训

实地培训后记录

认知和培训是为了增强如何准备和应对紧急情况的认识和知识，了解这些紧急情况会对以下方面产生冲击，包括组织、设施或场地、员工和供应商或第三方，了解如何保护组织以及如何应对突发事件将会增加组织的生存机会。将业务连续性管理融入企业文化，让风险意识成为日常工作的一部分。

认知和培训的成功要素包括：1、包含在新员工培训中；2、成为预算过程的一部分；3、明确各小组及其成员；4、成为员工年度考核的一部分；5、证明每个人都能回答有关BCM的问题；6、确保BCM成为企业文化的一部分。

8、测试与演练

测试和演练的意义在于检验物（包括设备、技术、服务器、通讯设备等）和人（撤离程序、呼叫树、临时应对程序等）的可用性、有效性。演练和测试BC计划的本质目的并不是要知道它能否工作，而是要知道它为什么不能工作。测试和演练需要从简单到复杂，从局部到整体，逐步深入，先动嘴（桌面演练），再动手（实战演练）。测试和演练每年至少进行一次，并需将外部机构纳入到测试演练的设计和实施中。

9、计划的审计和维护

评估业务连续性计划内部、业务连续性计划于整个业务连续性方案的其他部分之间、业务连续性计划于组织当前业务之间的一致性，通过预先明确的计划变更程序，及时变更业务连续性管理体系的文件体系，维护并保持上述多方面的一致性。

实地培训后记录

审计人员审计组织的BCM方案和规划，比较常用且简单的一个方法就是先通过方案中的呼叫树，随机拨打一个人的电话，验证电话号码是否正确，然后与被调查人核实其手头拥有的BCM方案或者应急预案的版本号是否一致。

二、工作建议

通过比较监管机构的监管要求脉络，逐步从单一的信息科技风险管理深入到整个组织的业务连续性管理，而且2013年12月17日，源于ISO 22301的国标GB/T30146正式发布，为商业银行如何进行业务连续性管理体系的建设提供了技术标准。目前，ISO 9700（质量管理体系）+ISO 20000（IT标准服务）+ISO27000（信息安全管理体系）+ISO 22301（业务连续性管理体系）的四标合一，逐步成为业内的流行趋势。具体建议主要包括以下几点：

1、强化认识，业务连续性管理是企业整体治理的重要组成部分。

2、理顺关系，注重机制建设及职责体系的有效衔接。

3、细化落实，细化政策，执行，协同，监督体系的分项落实与

资源建设。

4、注重演练，针对性、全面性、有效性验证与改进，注重全员

参与与内外协作。（911事件中，摩根斯坦利公司2500名员

实地培训后记录

工顺利的在20分钟内从70层逃生得益于其连续二十年每年

两次的演练形成的肌肉记忆）

5、持续优化，坚持持续评估与优化。

6、培育能力，从培育核心自主能力入手，稳妥深入外部协作，

扎实自身建设。

7、学习交流，关注国际国内研究动态及成果，持续学习，参与

交流。