业务连续性培训心得

时间：2025-03-11

实地培训后记录

业务连续性培训心得

业务连续性：在中断事件发生后，组织在预先确定的可接受水平上连续交付产品或提供服务的能力，实质是确保关键业务在规定时间内恢复到非正常时期最低可接受的程度。

业务连续性管理：Business Continuity Management（简称BCM）识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运行带来的影响的一整套管理过程。该过程为组织建立有效应对威胁的自我恢复能力提供了框架，以保护关键相关方的利益、声誉、品牌和创造价值的活动。

所谓业务连续性，并不是规避或躲避风险，而是在灾难发生的时候通过一系列的管理手段如何把损失降低到最小，也就是避免遭受更大的损失。业务连续性管理工作不能简单做成一个常规项目，所谓项目是有开始，有结束，有边界，领导的支持和资源是有限度的，但是业务连续性管理应该是一个管理的闭环，是一个持续不断改进的管理过程，应当贯彻到日常管理工作中去。

业务连续性方案管理和计划编制的目的本质上首先应该是为了确保组织对外服务和关键业务持续运行问题和数据安全，保护人员、保护声誉、保护相关方利益、保护资产，进而提升客户满意度，提升核心竞争能力，最后才是为了满足监管部门的合规要求。当然，目前国内大部分银行推动其业务连续性管理发展的核心源动力还是应对监管部门的监管要求。

一、业务连续性管理的实践

实地培训后记录

按照国际惯例，BCM实践模型分为9个步骤，分别是BCM规划、风险评估与控制、业务影响分析、业务连续性策略制定、应急响应与运行、业务连续性计划编制、认知与培训、测试与演练、计划维护。

1、BCM规划

BCM规划的目标是明晰并组织项目规划各要素，并确认制定业务连续性计划所需的资源。此阶段主要为BCM项目的启动，按照银监会2011年104号文件要求，组织需设立相关组织架构，并行使对应职责。其中需注意的是一个好的BCM规划或方案并不强求一定要建立相应的组织，必要时可以和行内现有组织重合，并赋予相应职责即可。

在业务连续性计划制定过程中，分管行长作为高管层的代表，应作为BCM规划的主要负责人来进行恢复工作，并且一定要得到董事会的授权和高管层的支持。BC经理负责组织各部门、各机构，管理多个相互依赖的项目，具有组织召集会议的能力，并及时跟踪及时汇报，保持在整个过程中使高管层了解项目的进展情况。

2、风险评估与控制（简称RA）

风险评估的目的是识别和确定风险，改进现有控制措施，并需增加的控制措施，从而降低组织所面临的风险。确定的风险作为后期编制预案时的场景设置因素。风险评估可采用风险评估模型，按照可能性（高中低）、严重性（高中低）两重维度划分，形成风险评估矩阵。

实地培训后记录

影

响

低

低频率高

后期应急预案中场景设置应覆盖风险评估中风险级别较高的80%的风险。

3、业务影响分析（简称BIA）

BIA是在风险分析的基础上，分析业务功能依赖的重要信息系统资源、评估特定灾难场景下各种信息系统中断产生的经济损失和非财务因素影响。业务影响分析的结果主要有六项，分别是识别关键业务、确定关键业务的RPO/RTO、识别关键业务的相互依赖性、确定关键业务恢复的优先级、确定关键业务所需的资源，并确定关键业务持续运行是否有替代措施。

在业务影响分析过程中，容易出现下列问题：

（1）业务部门都认为自己的业务是最重要的。

重要业务的认定不应该是由BC经理或者某位高管来主观认定，BC经理应该通过定量经济损失、定性业务影响、业务贡献度及监管

实地培训后记录

法律法规要求等分析指标制定打分表，由各业务部门客观分析其业务，最后由高管层依打分表评定。

（2）业务部门都想把自己所属的业务尽快恢复，RPO、RTO要求近乎为零。

不同的RPO、RTO要求代表着不同的成本，对应着不同的技术手段和策略，业务部门出具RPO、RTO要求，技术部门根据要求出具可行性分析和成本效益分析，通过高管层确定各业务条线的RPO、RTO 值，同时必须满足监管要求。

通过进行风险评估和业务影响度分析，BCM小组分析、整理结果，完成RA/BIA分析报告，并向高管层汇报，获得其对分析报告的认可。

4、业务连续性策略的制定

从业务和技术两条线识别、梳理可用的业务连续性策略，首先保证所选策略满足制定的RPO、RTO要求，其次是经过成本效益分析进行比较，根据组织的风险偏好和风险容忍度选择业务连续性策略，并基于前期的业务影响分析结果验证策略的合理性和有效性，最终取得高管层的批准。

常见的备选业务连续性策略包括：

常见的备选技术连续性策略包括：