商业银行业务连续性管理办法.doc

PAGE PAGE 1 商业银行业务连续性管理办法 第一章 总 则 第一条 为了进一步规范、指导和推动我行业务连续建设工作，建立健全业务连续性管理体系，完善业务连续性管理机制，提高业务连续性管理水平，提升我行应对灾难事件的能力，保障我行业务持续、稳定运行，根据《中华人民共和国商业银行法》和银监会印发的《商业银行业务连续性监管指引》（银监办发[2011]104号）、《商业银行信息科技风险管理指引》（银监发[2009]19号）等相关监管制度，特制定本办法。 第二条 本办法适用于建立重要业务运营中断的有效应对和及时恢复框架体系，包括组织架构及职责、业务影响分析和风险评估、制定业务连续性策略和计划、开展业务连续性资源建设和计划演练、应急处置和持续改进等。 第三条 重要业务是指面向重要客户、涉及账务处理、时效性要求较高的银行业务，其运营服务中断会对我行产生较大经济损失或声誉影响，或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。 第四条 重要业务运营中断事件（以下简称运营中断事件）是指以下原因导致信息系统服务异常、重要业务停止运营的事件，主要包括： （一）信息技术故障：信息系统技术故障、配套设备故障； （二）外部服务中断：第三方无法合作或提供服务； （三）人为破坏：黑客攻击、恐怖袭击等； （四）自然灾害：火灾、雷击、海啸、地震、重大疫情等。 第五条 业务连续性管理是指为有效应对运营中断事件，建设应急响应、恢复机制和管理功能框架，保障重要业务持续运营的一整套管理过程，包括策略、组织架构、方法、标准和程序。 第六条 业务连续性管理是信息科技风险管理和企业文化建设的重要组成部分，是我行机构日常运营管理的有机组成部分，仅针对导致业务中断的相关操作风险突发事件，不包括流动性危机、声誉风险以及未导致业务中断的金融案件、治安案件等其他相关突发事件。业务连续性管理工作内容应贯穿于各项业务活动的始终，并重点关注可能导致业务中断、危及我行生存的重要业务功能。 第七条 业务连续性管理的基本原则： （一）职责明确、分工协作原则。通过建立完善的组织体系，明确和落实各级机构、部门和员工的具体责任，加强部门间协调配合、分工合作； （二）预防为主、防患未然原则。通过开展业务影响分析和风险评估，对各项业务进行全面分析，确定关键业务功能，建立预警机制，识别和控制风险，减少风险隐患； （三）控制损失、兼顾成本原则。权衡业务恢复所需关键资源配置成本，制定适当的业务连续性恢复策略，降低运营中断事件对业务的影响和损失； （四）分级管理、快速响应原则。不同类别的运营中断事件，由相关部门按照运营中断事件的严重程度实行差别化处理，并通过建立高效的运营中断事件应急响应机制，做好应对运营中断事件的各项准备工作，明确越级汇报、紧急授权等相关规定，保证重大事件信息传递和决策的及时性； （五）以人为本、保障安全原则。在针对运营中断事件的应急处置过程中，应坚持以人为本，重点保障人员安全； （六）周期维护、持续改进原则。通过定期进行业务影响分析和风险评估、修订业务连续性策略和预案，并进行定期演练、更新维护，以及对运营中断事件的事后总结和评估，持续改进完善业务连续性管理工作； （七）合规经营、规范管理原则。业务连续性管理应严格遵守国家相关法律、法规以及监管机构相关要求，切实履行社会责任，保护客户合法权益、维护金融秩序，并保障总行统一制定的业务连续性管理制度的贯彻执行。 第二章 组织架构及职责 第八条 本行业务连续性日常管理组织架构由董事会、业务连续性管理委员会、业务连续性管理主管部门、执行部门、保障部门和各级分支机构组成。 第九条 董事会是我行业务连续性管理的最高决策机构，对业务连续性管理承担最终责任。主要职责包括： （一）审核和审批我行业务连续性管理总体战略、政策和程序； （二）审批业务连续性管理委员会有关业务连续性的管理职责，定期听取业务连续性管理委员会关于业务连续性管理的报告，监督、评价其履职情况； （三）审批业务连续性管理年度审计报告。 第十条 总行成立由行领导和相关部门负责人组成的业务连续性管理委员会，统筹协调，落实各项管理职责，负责开展业务连续性管理的日常工作，执行董事会批准的业务连续性管理政策。主要职责包括： （一）制定并定期审查和监督执行与我行业务发展和风险管理战略目标相一致的业务连续性管理政策和程序； （二）明确各部门业务连续性管理职责，明确报告路线，审批重要业务恢复目标和恢复策略，督促各部门履行管理职责，确保业务连续性管理体系正常运行； （三）为业务连续性管理调配足够的资源，赋予业务连续性执行部门和保障部门相应的权限，确保业