业务连续性标准培训

⑴ 如何保证银行的业务连续性

行业监管不手软
银行业的运营高度依赖于信息系统，系统资源和金融数据也趋于集中化处理，这给银行连续性经营带来很大风险。一旦出现业务运营中断，其后果将导致单一银行业务停顿，极端情况下甚至产生可能诱发全行业的业务中断，所产生的损失不可预估。
为此，《指引》从行业监管的角度提出了商业银行应当建立业务连续性管理体系的战略规划，拓展了商业银行全面风险管理体系的理论和实践的内涵与外延，并从四个方面对我国商业银行建立业务连续性管理的体系和流程做出规定和论述。
首先，明确地指出了我国商业银行业务连续性组织架构的跨部门和多部门全力协作的统筹特征，设立专门的业务连续性管理委员会，将高级管理层和各业务条线部门、风险管理部门等有关业务连续性的业务单元进行统筹管理。
其次，明确了业务连续性计划的“系统性”特征。业务连续性计划是灾难事故的预防和反应机制，是一系列事先制定的策略和计划，提供了银行应对中断事件之弹性预防准备与快速应急响应、及时恢复重启的流程，包含危机沟通计划、安全、撤离计划、恢复计划等。
第三，强化计划的演练、维护和持续改进。明确商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练；在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，也应当开展业务连续性计划的专项演练等硬性要求。
最后，开发最坏情境假设，提高商业银行巨灾下灾难恢复和业务连续性的能力。目前，国内银行的业务连续性管理主要集中在系统故障、人员操作和电力中断等大概率事件上，对遭受自然灾害、传染病流行等小概率大破坏的巨灾缺乏应有的计划和尚未建立完善，对巨灾情境开发和应对准备程度不够，这些因素将成为制约商业银行业务连续性的瓶颈。
居安思危常演练
“业务连续性管理是个跨界的工作，不仅需要基于IT系统的灾难备份和恢复，更需要企业不同层级人员共同参与，各类资源协同工作，建立以危机管理为核心的全面业务连续性管理体系。”中金数据系统公司咨询服务部总经理尹晖告诉记者。目前，中金数据已经为建设银行、交通银行等多家国有大型商业银行及城商行提供BCM管理和咨询服务。
尹晖透露说，目前银监会对于商业银行业务连续性管理的监管重点，除了银行IT基础设施环境、灾备建设、应急管理和业务连续性体系建设外，还对演练的频度、类型进行了明确要求，其中商业银行需要开展多形式、跨部门、跨地域演练和实地演练，这对银行提出了更高要求。
为此，中金数据在中金业务持续管理软件CeBCM3.0版中增加了“应急和演练”功能，根据实际环境去检验、修正紧急预案的功能，通过演练，强化员工在发生紧急情况时进行应对的方法，并提高处理突发事件的能力。中金数据咨询服务部副总经理李可说，对于行业用户来说，灾备管理和多种情况的演练非常重要，生产和灾备的切换更应该多次演练。
测试和演练是验证银行业务连续性管理计划的有效性、完整性和可操作性，确保资源的可用性的必要保障和基础环节。通过对各种相关计划定期的进行测试和演练，根据发现的问题、变化了的人员、资源以及环境，不断对计划进行更新和维护，从而确保这些计划能够在中断事件中成功的实施。
2011年9月建设银行总行风险管理部协调总行安保部、总务部、营运管理部、电子银行部、公关部、个人存款与投资部、信息技术管理部等7个部门，先后前往四川、广西等省，组织分行开展了以地震、洪灾、火灾为场景的业务连续性综合演练，重点的内容包括极端灾难场景下的备用场地恢复、人员救治和疏散、手工业务恢复和替代以及媒体应对和危机公关等，实现其业务连续性管理体系贯穿总行、分行和支行各个层面。
此外，在演练中业务系统和灾备系统之间的切换是管理的重点和难点。李可告诉记者：“切换时有风险的，尤其是系统回退。”为了解决这个问题，交通银行在BCM项目中引入了面向日常演练和应急保障的业务持续性管理平台和相关资讯服务，提高了风险评估和业务影响分析的工作效率，改进了应急预案质量。
交通银行数据中心总经理高君表示：“我们开发的数据中心持续性管理系统，重点完成了应急演练和应急处理等功能，将传统的桌面演练变成了一个可记录模拟演练，并可进行事后评估。同时，让我们的工作人员可以按照固定周期进行演练，熟练演练过程和内容，提高了演练的有效率。”
目前，交通银行已经实现了大规模系统灾备切换的自动化，并且在国内银行中首次实现了数据中心与同城备份中心之间的业务系统切换运行和回切，业务恢复时间仅1.5小时，并做到了零数据丢失（RPO为0），达到了国际先进水平。

⑵ 如何建立有效的业务连续性计划

我们很难预测灾难什么时候会发生，即使有一些反应时间，仍然会有很多事情出错，毕竟，每个事故都是独特的，以意想不到的方式出现。
这正是业务连续性计划派上用场的地方。为了确保企业应对灾难，你需要部署一个可行的经过测试的计划，如果没有制定这种计划，不只是意味着你可能需要花更长的时间来从事故或事件中恢复过来，这甚至可能意味着你的企业永远无法恢复。
业务连续性计划和灾难恢复计划有何不同
业务连续性(BC)是指在发生重大中断的情况下，维持业务功能或者快速恢复功能，无论中断是源自火灾、水灾、流行性疾病还是互联网恶意攻击。业务连续性计划需要描述在面对这些灾难时，企业必须遵守的程序和指令，并且，它还改了业务流程、资产、人力资源、业务合作伙伴等各个方面。
很多人认为灾难恢复计划与业务连续性计划是同一件事情，但事实上，灾难恢复计划主要侧重于在灾难后恢复IT基础设施和业务，这只是完整的业务连续性计划的一个组成部分，业务连续性计划关注的是整个企业的连续性。在灾难发生后，你能否有办法让人力资源、生产制造、销售和支持团队保持正常运作，以确保公司可以继续赚钱?
例如，你的客户服务代表所在的建筑被龙卷风夷为平地，这些客户服务代表应该如何处理客户来电?他们能否暂时在家里办公，或者在备用场地办公?SunGard等公司专门向这些遭遇灾难性事故的企业出租隔间，其中包括桌子、电话和计算机，以及基于服务和设备的灾难恢复服务。
请注意，业务影响分析(BIA)是业务连续性计划的另一个组成部分。BIA能够确定突然失去业务功能带来的影响，它通常会量化这种影响。这种分析也可以帮助你评估你是否应该外包业务连续性计划中非核心业务。基本上，BIA可以帮助你查看整个企业的流程，并确定哪些流程是最重要的。
为什么业务连续性计划这么重要
无论你运营的是小型企业还是大型企业，你都需要不断保持竞争力。从这一点来看，留住现有客户以及增加客户群是至关重要的，因此，你必须确保业务的连续性。
对于大多数企业而言，恢复IT是关键，现在有很多灾难恢复解决方案。你可以依赖于IT来部署这些解决方案。但其余企业功能呢?你的企业的未来取决于你的员工和流程。能够有效地处理任何事故将对你企业的声誉和市场价值有着积极的作用，并且可以增加客户对你企业的信心。
首先创建一个业务连续性计划
如果你的企业还没有一个业务连续性计划，你可以先评估你的业务流程，确定哪些领域容易受到影响，以及如果这些流程出现问题(一天、几天或者一个星期)，企业会有什么影响，这基本上是业务影响分析。下一步，制定一个计划。你可以使用网上的免费模板，或者找到与你企业相似的企业的现有的计划，然后根据自己的需要进行修改。
创建业务连续性计划一般涉及下面六个步骤：
1. 确定该计划的范围。
2. 确定关键的业务领域。
3. 确定关键功能。
4. 确定各个业务领域和功能之间的依赖关系。
5. 确定每个关键功能的可接受的停机时间。
6. 创建一个计划来维持运营。
一个常见的业务连续性规划工具是一个清单，其中包括物质和设备、数据备份的位置和备份站点，紧急救援人员联系方式、主要人员和备份站点供应商等。
请记住，灾难恢复计划是业务连续性计划的一部分，所以请与你的IT部门确保他们已经有或者正在积极制定灾难恢复计划。
当你创建计划时，你可以询问企业中成功走出灾难的关键人员，他们通常都会乐于分享这种“灾难故事”以及帮助他们化险为夷的步骤和技术(或者巧妙的构思)。他们的见解将帮助你制定一个坚实的业务连续性计划。
测试你的业务连续性计划
你需要对业务连续性计划进行严格的测试，以确保这个计划的完整性以及它能够实现其与其目的。很多企业测试业务连续性计划的频率是一年两到四次，这个频率取决于你的企业类型、关键人员的流动率、业务流程的数量以及自最后一轮测试以来IT发生的变化。
常见的测试包括桌面演练、结构化穿行测试和模拟测试。测试团队通常包括恢复协调员以及来自每个部门的成员。
桌面演练通常发生在会议室内，各团队研读该计划，寻找计划中的问题，确保所有业务部门都参与其中。
在结构化穿行测试中，每个团队成员详细描述其计划来找出问题。通常情况下，在进行这种测试时，各团队会假设一个特定的灾难事件。一些企业在结构化穿行测试中还加入了演练和角色扮演。在测试中发现的任何错误都应予以纠正，并将更新的计划分发到所有相关人员。
企业每年至少执行一次全面的紧急疏散演练，这种测试类型让你可以确定你是否需要特别的安排来帮助身体不便的人员撤离。
最后，灾难模拟测试应该每年进行一次。对于这个测试，企业可以创建一个模拟实际灾难的环境，涉及所有设备、物质和人员(包括业务合作伙伴和供应商)等。这种模拟测试的目的是确定你在灾难事件中是否能够保持关键业务功能的运行。
在业务连续性测试的每个阶段，应该涵盖测试团队的一些新员工，“新鲜的眼睛”能够找出有经验的团队成员忽略的问题或者失效的信息。
最后审查和改善你的业务连续性计划
企业需要付出很多努力来制定计划以及初步测试计划。在完成这两项工作后，一些企业就开始“坐以待毙”，不再对计划进行改进，当发生这种情况时，计划可能会很快失效，在需要的时候无法发挥作用。
技术正在日新月异，人员也来来去去，计划当然也需要不断更新。企业应该至少每年对计划进行审查，并讨论需要修改和完善的部分。
在这种审查之前，征求员工对该计划的反馈意见。询问所有部门或业务但闻的意见来审查计划，包括分支机构或者其他远程单元。如果你不幸遭遇了灾难，并将计划付诸行动，请确保一定要从中吸取经验教训，并整合到计划中。很多企业通过结合桌面演习和结构化穿行测试来审查计划。
如何确保业务连续性计划的支持、意识
如果你对这种计划的重要性抱着漫不经心的态度的话，你的企业无法成功执行该计划。企业各个部门都应该支持业务连续性计划，这意味着高层管理人员必须参与计划的制定和改进;没有人可以将这种职责委托给下属。此外，如果高级管理人员提供足够的时间来审查和测试计划的话，这种机会将更加可行。
管理也是提高用户意识的关键。如果员工不知道这个业务连续性计划，当灾难发生时，他们如何能够做出正确的反应?虽然计划分配和培训可以有业务部门经理或者人力资源人员进行，企业高层管理人员也应该参与到培训中，这会对所有员工有着更大的影响，让他们意识到该计划的可信性和紧迫性。

⑶ 业务连续性管理的基本原则

确保当事机构的主要业务操作在任何时候都能够持续运转。
业务连续性管理系内统（BCMS）是经常进行的活容动的集合，业务连续性管理支持企业业务连续性管理活动，也支持技术灾难恢复活动。这些可以包括项目规划和管理、人员配备、计划、预测、预算编制、研究和开发、资源管理、通信、会议、教育活动、宣传和促销活动、活动网站、绩效评估活动、按天进行处理查询和许多其他活动。业务连续性管理也有利于多种项目性的活动，业务连续性管理执行业务影响分析和风险分析、进行评估、制定并记录BC/ DR计划、规划和执行BC/ DR演练、准备和进行应急队伍培训、准备记录事件响应计划，并设计BC/ DR策略。

⑷ 业务连续性计划和演练应该怎么做，有哪些专业机构可以咨询下

业务连续性计划不是单一的文档，业务连续性计划演练过程复杂，建议你还是找个好机构咨询一下比较好，去年和谷安天下合作过这方面的项目。

⑸ 业务连续性的业务连续性计划演练

划执行业务抄连续性（business continuity，BC）演练袭是业务连续性计划中一项最重要的活动之一。
每年执行一次或多次BC计划的演练是业务连续性管理系统（business continuity management system，BCMS）的一个关键组成部分。这个演练应该包括计划更新、应急小组训练、策略审查和审计、业务影响分析（BIA)、风险评估（RA）、宣传方案等各种BCMS活动。
BC计划演练和灾难恢复测试不同。举个例子来说，在BC计划演练中，你其实并没有进行失效转移（failover），而在典型的技术性灾难恢复测试中你会这么做，以处理IT系统、数据和数据库等的恢复工作。这是严格意义的业务连续性。

⑹ 什么是iso 22301业务连续性管理标准

业务连续性评估 识别整体风险和企业中存在的弱点 对连续性计划的方案专、流程、过程、角色和职责进属行评估 将 IT 与您的关键业务流程建立对应关系 业务连续性规划与设计 制定业务连续性实施计划 制定业务连续性计划方案，包括流程在内 业务连续性确...