業務連續性標准培訓

⑴ 如何保證銀行的業務連續性

行業監管不手軟
銀行業的運營高度依賴於信息系統，系統資源和金融數據也趨於集中化處理，這給銀行連續性經營帶來很大風險。一旦出現業務運營中斷，其後果將導致單一銀行業務停頓，極端情況下甚至產生可能誘發全行業的業務中斷，所產生的損失不可預估。
為此，《指引》從行業監管的角度提出了商業銀行應當建立業務連續性管理體系的戰略規劃，拓展了商業銀行全面風險管理體系的理論和實踐的內涵與外延，並從四個方面對我國商業銀行建立業務連續性管理的體系和流程做出規定和論述。
首先，明確地指出了我國商業銀行業務連續性組織架構的跨部門和多部門全力協作的統籌特徵，設立專門的業務連續性管理委員會，將高級管理層和各業務條線部門、風險管理部門等有關業務連續性的業務單元進行統籌管理。
其次，明確了業務連續性計劃的「系統性」特徵。業務連續性計劃是災難事故的預防和反應機制，是一系列事先制定的策略和計劃，提供了銀行應對中斷事件之彈性預防准備與快速應急響應、及時恢復重啟的流程，包含危機溝通計劃、安全、撤離計劃、恢復計劃等。
第三，強化計劃的演練、維護和持續改進。明確商業銀行應當至少每三年對全部重要業務開展一次業務連續性計劃演練；在重大業務活動、重大社會活動等關鍵時點，或在關鍵資源發生重大變化之前，也應當開展業務連續性計劃的專項演練等硬性要求。
最後，開發最壞情境假設，提高商業銀行巨災下災難恢復和業務連續性的能力。目前，國內銀行的業務連續性管理主要集中在系統故障、人員操作和電力中斷等大概率事件上，對遭受自然災害、傳染病流行等小概率大破壞的巨災缺乏應有的計劃和尚未建立完善，對巨災情境開發和應對准備程度不夠，這些因素將成為制約商業銀行業務連續性的瓶頸。
居安思危常演練
「業務連續性管理是個跨界的工作，不僅需要基於IT系統的災難備份和恢復，更需要企業不同層級人員共同參與，各類資源協同工作，建立以危機管理為核心的全面業務連續性管理體系。」中金數據系統公司咨詢服務部總經理尹暉告訴記者。目前，中金數據已經為建設銀行、交通銀行等多家國有大型商業銀行及城商行提供BCM管理和咨詢服務。
尹暉透露說，目前銀監會對於商業銀行業務連續性管理的監管重點，除了銀行IT基礎設施環境、災備建設、應急管理和業務連續性體系建設外，還對演練的頻度、類型進行了明確要求，其中商業銀行需要開展多形式、跨部門、跨地域演練和實地演練，這對銀行提出了更高要求。
為此，中金數據在中金業務持續管理軟體CeBCM3.0版中增加了「應急和演練」功能，根據實際環境去檢驗、修正緊急預案的功能，通過演練，強化員工在發生緊急情況時進行應對的方法，並提高處理突發事件的能力。中金數據咨詢服務部副總經理李可說，對於行業用戶來說，災備管理和多種情況的演練非常重要，生產和災備的切換更應該多次演練。
測試和演練是驗證銀行業務連續性管理計劃的有效性、完整性和可操作性，確保資源的可用性的必要保障和基礎環節。通過對各種相關計劃定期的進行測試和演練，根據發現的問題、變化了的人員、資源以及環境，不斷對計劃進行更新和維護，從而確保這些計劃能夠在中斷事件中成功的實施。
2011年9月建設銀行總行風險管理部協調總行安保部、總務部、營運管理部、電子銀行部、公關部、個人存款與投資部、信息技術管理部等7個部門，先後前往四川、廣西等省，組織分行開展了以地震、洪災、火災為場景的業務連續性綜合演練，重點的內容包括極端災難場景下的備用場地恢復、人員救治和疏散、手工業務恢復和替代以及媒體應對和危機公關等，實現其業務連續性管理體系貫穿總行、分行和支行各個層面。
此外，在演練中業務系統和災備系統之間的切換是管理的重點和難點。李可告訴記者：「切換時有風險的，尤其是系統回退。」為了解決這個問題，交通銀行在BCM項目中引入了面向日常演練和應急保障的業務持續性管理平台和相關資訊服務，提高了風險評估和業務影響分析的工作效率，改進了應急預案質量。
交通銀行數據中心總經理高君表示：「我們開發的數據中心持續性管理系統，重點完成了應急演練和應急處理等功能，將傳統的桌面演練變成了一個可記錄模擬演練，並可進行事後評估。同時，讓我們的工作人員可以按照固定周期進行演練，熟練演練過程和內容，提高了演練的有效率。」
目前，交通銀行已經實現了大規模系統災備切換的自動化，並且在國內銀行中首次實現了數據中心與同城備份中心之間的業務系統切換運行和回切，業務恢復時間僅1.5小時，並做到了零數據丟失（RPO為0），達到了國際先進水平。

⑵ 如何建立有效的業務連續性計劃

我們很難預測災難什麼時候會發生，即使有一些反應時間，仍然會有很多事情出錯，畢竟，每個事故都是獨特的，以意想不到的方式出現。
這正是業務連續性計劃派上用場的地方。為了確保企業應對災難，你需要部署一個可行的經過測試的計劃，如果沒有制定這種計劃，不只是意味著你可能需要花更長的時間來從事故或事件中恢復過來，這甚至可能意味著你的企業永遠無法恢復。
業務連續性計劃和災難恢復計劃有何不同
業務連續性(BC)是指在發生重大中斷的情況下，維持業務功能或者快速恢復功能，無論中斷是源自火災、水災、流行性疾病還是互聯網惡意攻擊。業務連續性計劃需要描述在面對這些災難時，企業必須遵守的程序和指令，並且，它還改了業務流程、資產、人力資源、業務合作夥伴等各個方面。
很多人認為災難恢復計劃與業務連續性計劃是同一件事情，但事實上，災難恢復計劃主要側重於在災難後恢復IT基礎設施和業務，這只是完整的業務連續性計劃的一個組成部分，業務連續性計劃關注的是整個企業的連續性。在災難發生後，你能否有辦法讓人力資源、生產製造、銷售和支持團隊保持正常運作，以確保公司可以繼續賺錢?
例如，你的客戶服務代表所在的建築被龍卷風夷為平地，這些客戶服務代表應該如何處理客戶來電?他們能否暫時在家裡辦公，或者在備用場地辦公?SunGard等公司專門向這些遭遇災難性事故的企業出租隔間，其中包括桌子、電話和計算機，以及基於服務和設備的災難恢復服務。
請注意，業務影響分析(BIA)是業務連續性計劃的另一個組成部分。BIA能夠確定突然失去業務功能帶來的影響，它通常會量化這種影響。這種分析也可以幫助你評估你是否應該外包業務連續性計劃中非核心業務。基本上，BIA可以幫助你查看整個企業的流程，並確定哪些流程是最重要的。
為什麼業務連續性計劃這么重要
無論你運營的是小型企業還是大型企業，你都需要不斷保持競爭力。從這一點來看，留住現有客戶以及增加客戶群是至關重要的，因此，你必須確保業務的連續性。
對於大多數企業而言，恢復IT是關鍵，現在有很多災難恢復解決方案。你可以依賴於IT來部署這些解決方案。但其餘企業功能呢?你的企業的未來取決於你的員工和流程。能夠有效地處理任何事故將對你企業的聲譽和市場價值有著積極的作用，並且可以增加客戶對你企業的信心。
首先創建一個業務連續性計劃
如果你的企業還沒有一個業務連續性計劃，你可以先評估你的業務流程，確定哪些領域容易受到影響，以及如果這些流程出現問題(一天、幾天或者一個星期)，企業會有什麼影響，這基本上是業務影響分析。下一步，制定一個計劃。你可以使用網上的免費模板，或者找到與你企業相似的企業的現有的計劃，然後根據自己的需要進行修改。
創建業務連續性計劃一般涉及下面六個步驟：
1. 確定該計劃的范圍。
2. 確定關鍵的業務領域。
3. 確定關鍵功能。
4. 確定各個業務領域和功能之間的依賴關系。
5. 確定每個關鍵功能的可接受的停機時間。
6. 創建一個計劃來維持運營。
一個常見的業務連續性規劃工具是一個清單，其中包括物質和設備、數據備份的位置和備份站點，緊急救援人員聯系方式、主要人員和備份站點供應商等。
請記住，災難恢復計劃是業務連續性計劃的一部分，所以請與你的IT部門確保他們已經有或者正在積極制定災難恢復計劃。
當你創建計劃時，你可以詢問企業中成功走出災難的關鍵人員，他們通常都會樂於分享這種「災難故事」以及幫助他們化險為夷的步驟和技術(或者巧妙的構思)。他們的見解將幫助你制定一個堅實的業務連續性計劃。
測試你的業務連續性計劃
你需要對業務連續性計劃進行嚴格的測試，以確保這個計劃的完整性以及它能夠實現其與其目的。很多企業測試業務連續性計劃的頻率是一年兩到四次，這個頻率取決於你的企業類型、關鍵人員的流動率、業務流程的數量以及自最後一輪測試以來IT發生的變化。
常見的測試包括桌面演練、結構化穿行測試和模擬測試。測試團隊通常包括恢復協調員以及來自每個部門的成員。
桌面演練通常發生在會議室內，各團隊研讀該計劃，尋找計劃中的問題，確保所有業務部門都參與其中。
在結構化穿行測試中，每個團隊成員詳細描述其計劃來找出問題。通常情況下，在進行這種測試時，各團隊會假設一個特定的災難事件。一些企業在結構化穿行測試中還加入了演練和角色扮演。在測試中發現的任何錯誤都應予以糾正，並將更新的計劃分發到所有相關人員。
企業每年至少執行一次全面的緊急疏散演練，這種測試類型讓你可以確定你是否需要特別的安排來幫助身體不便的人員撤離。
最後，災難模擬測試應該每年進行一次。對於這個測試，企業可以創建一個模擬實際災難的環境，涉及所有設備、物質和人員(包括業務合作夥伴和供應商)等。這種模擬測試的目的是確定你在災難事件中是否能夠保持關鍵業務功能的運行。
在業務連續性測試的每個階段，應該涵蓋測試團隊的一些新員工，「新鮮的眼睛」能夠找出有經驗的團隊成員忽略的問題或者失效的信息。
最後審查和改善你的業務連續性計劃
企業需要付出很多努力來制定計劃以及初步測試計劃。在完成這兩項工作後，一些企業就開始「坐以待斃」，不再對計劃進行改進，當發生這種情況時，計劃可能會很快失效，在需要的時候無法發揮作用。
技術正在日新月異，人員也來來去去，計劃當然也需要不斷更新。企業應該至少每年對計劃進行審查，並討論需要修改和完善的部分。
在這種審查之前，徵求員工對該計劃的反饋意見。詢問所有部門或業務但聞的意見來審查計劃，包括分支機構或者其他遠程單元。如果你不幸遭遇了災難，並將計劃付諸行動，請確保一定要從中吸取經驗教訓，並整合到計劃中。很多企業通過結合桌面演習和結構化穿行測試來審查計劃。
如何確保業務連續性計劃的支持、意識
如果你對這種計劃的重要性抱著漫不經心的態度的話，你的企業無法成功執行該計劃。企業各個部門都應該支持業務連續性計劃，這意味著高層管理人員必須參與計劃的制定和改進;沒有人可以將這種職責委託給下屬。此外，如果高級管理人員提供足夠的時間來審查和測試計劃的話，這種機會將更加可行。
管理也是提高用戶意識的關鍵。如果員工不知道這個業務連續性計劃，當災難發生時，他們如何能夠做出正確的反應?雖然計劃分配和培訓可以有業務部門經理或者人力資源人員進行，企業高層管理人員也應該參與到培訓中，這會對所有員工有著更大的影響，讓他們意識到該計劃的可信性和緊迫性。

⑶ 業務連續性管理的基本原則

確保當事機構的主要業務操作在任何時候都能夠持續運轉。
業務連續性管理系內統（BCMS）是經常進行的活容動的集合，業務連續性管理支持企業業務連續性管理活動，也支持技術災難恢復活動。這些可以包括項目規劃和管理、人員配備、計劃、預測、預算編制、研究和開發、資源管理、通信、會議、教育活動、宣傳和促銷活動、活動網站、績效評估活動、按天進行處理查詢和許多其他活動。業務連續性管理也有利於多種項目性的活動，業務連續性管理執行業務影響分析和風險分析、進行評估、制定並記錄BC/ DR計劃、規劃和執行BC/ DR演練、准備和進行應急隊伍培訓、准備記錄事件響應計劃，並設計BC/ DR策略。

⑷ 業務連續性計劃和演練應該怎麼做，有哪些專業機構可以咨詢下

業務連續性計劃不是單一的文檔，業務連續性計劃演練過程復雜，建議你還是找個好機構咨詢一下比較好，去年和谷安天下合作過這方面的項目。

⑸ 業務連續性的業務連續性計劃演練

劃執行業務抄連續性（business continuity，BC）演練襲是業務連續性計劃中一項最重要的活動之一。
每年執行一次或多次BC計劃的演練是業務連續性管理系統（business continuity management system，BCMS）的一個關鍵組成部分。這個演練應該包括計劃更新、應急小組訓練、策略審查和審計、業務影響分析（BIA)、風險評估（RA）、宣傳方案等各種BCMS活動。
BC計劃演練和災難恢復測試不同。舉個例子來說，在BC計劃演練中，你其實並沒有進行失效轉移（failover），而在典型的技術性災難恢復測試中你會這么做，以處理IT系統、數據和資料庫等的恢復工作。這是嚴格意義的業務連續性。

⑹ 什麼是iso 22301業務連續性管理標准

業務連續性評估 識別整體風險和企業中存在的弱點 對連續性計劃的方案專、流程、過程、角色和職責進屬行評估 將 IT 與您的關鍵業務流程建立對應關系 業務連續性規劃與設計 制定業務連續性實施計劃 制定業務連續性計劃方案，包括流程在內 業務連續性確...