業(yè)務(wù)連續(xù)性培訓心得

1、精選優(yōu)質(zhì)文檔-傾情為你奉上業(yè)務(wù)連續(xù)性培訓心得 業(yè)務(wù)連續(xù)性：在中斷事件發(fā)生后，組織在預先確定的可接受水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力，實質(zhì)是確保關(guān)鍵業(yè)務(wù)在規(guī)定時間內(nèi)恢復到非正常時期最低可接受的程度。業(yè)務(wù)連續(xù)性管理：Business Continuity Management（簡稱BCM）識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務(wù)運行帶來的影響的一整套管理過程。該過程為組織建立有效應對威脅的自我恢復能力提供了框架，以保護關(guān)鍵相關(guān)方的利益、聲譽、品牌和創(chuàng)造價值的活動。所謂業(yè)務(wù)連續(xù)性，并不是規(guī)避或躲避風險，而是在災難發(fā)生的時候通過一系列的管理手段如何把損失降低到最小，也就是避免遭受更大的損失

2、。業(yè)務(wù)連續(xù)性管理工作不能簡單做成一個常規(guī)項目，所謂項目是有開始，有結(jié)束，有邊界，領(lǐng)導的支持和資源是有限度的，但是業(yè)務(wù)連續(xù)性管理應該是一個管理的閉環(huán)，是一個持續(xù)不斷改進的管理過程，應當貫徹到日常管理工作中去。業(yè)務(wù)連續(xù)性方案管理和計劃編制的目的本質(zhì)上首先應該是為了確保組織對外服務(wù)和關(guān)鍵業(yè)務(wù)持續(xù)運行問題和數(shù)據(jù)安全，保護人員、保護聲譽、保護相關(guān)方利益、保護資產(chǎn)，進而提升客戶滿意度，提升核心競爭能力，最后才是為了滿足監(jiān)管部門的合規(guī)要求。當然，目前國內(nèi)大部分銀行推動其業(yè)務(wù)連續(xù)性管理發(fā)展的核心源動力還是應對監(jiān)管部門的監(jiān)管要求。一、 業(yè)務(wù)連續(xù)性管理的實踐按照國際慣例，BCM實踐模型分為9個步驟，分別是BCM規(guī)

3、劃、風險評估與控制、業(yè)務(wù)影響分析、業(yè)務(wù)連續(xù)性策略制定、應急響應與運行、業(yè)務(wù)連續(xù)性計劃編制、認知與培訓、測試與演練、計劃維護。1、 BCM規(guī)劃BCM規(guī)劃的目標是明晰并組織項目規(guī)劃各要素，并確認制定業(yè)務(wù)連續(xù)性計劃所需的資源。此階段主要為BCM項目的啟動，按照銀監(jiān)會2011年104號文件要求，組織需設(shè)立相關(guān)組織架構(gòu)，并行使對應職責。其中需注意的是一個好的BCM規(guī)劃或方案并不強求一定要建立相應的組織，必要時可以和行內(nèi)現(xiàn)有組織重合，并賦予相應職責即可。在業(yè)務(wù)連續(xù)性計劃制定過程中，分管行長作為高管層的代表，應作為BCM規(guī)劃的主要負責人來進行恢復工作，并且一定要得到董事會的授權(quán)和高管層的支持。BC經(jīng)理負責組

4、織各部門、各機構(gòu)，管理多個相互依賴的項目，具有組織召集會議的能力，并及時跟蹤及時匯報，保持在整個過程中使高管層了解項目的進展情況。2、 風險評估與控制（簡稱RA）風險評估的目的是識別和確定風險，改進現(xiàn)有控制措施，并需增加的控制措施，從而降低組織所面臨的風險。確定的風險作為后期編制預案時的場景設(shè)置因素。風險評估可采用風險評估模型，按照可能性（高中低）、嚴重性（高中低）兩重維度劃分，形成風險評估矩陣。后期應急預案中場景設(shè)置應覆蓋風險評估中風險級別較高的80%的風險。3、 業(yè)務(wù)影響分析（簡稱BIA） BIA是在風險分析的基礎(chǔ)上，分析業(yè)務(wù)功能依賴的重要信息系統(tǒng)資源、評估特定災難場景下各種信息系統(tǒng)中斷產(chǎn)

5、生的經(jīng)濟損失和非財務(wù)因素影響。業(yè)務(wù)影響分析的結(jié)果主要有六項，分別是識別關(guān)鍵業(yè)務(wù)、確定關(guān)鍵業(yè)務(wù)的RPO/RTO、識別關(guān)鍵業(yè)務(wù)的相互依賴性、確定關(guān)鍵業(yè)務(wù)恢復的優(yōu)先級、確定關(guān)鍵業(yè)務(wù)所需的資源，并確定關(guān)鍵業(yè)務(wù)持續(xù)運行是否有替代措施。在業(yè)務(wù)影響分析過程中，容易出現(xiàn)下列問題：（1） 業(yè)務(wù)部門都認為自己的業(yè)務(wù)是最重要的。重要業(yè)務(wù)的認定不應該是由BC經(jīng)理或者某位高管來主觀認定，BC經(jīng)理應該通過定量經(jīng)濟損失、定性業(yè)務(wù)影響、業(yè)務(wù)貢獻度及監(jiān)管法律法規(guī)要求等分析指標制定打分表，由各業(yè)務(wù)部門客觀分析其業(yè)務(wù)，最后由高管層依打分表評定。（2） 業(yè)務(wù)部門都想把自己所屬的業(yè)務(wù)盡快恢復，RPO、RTO要求近乎為零。不同的RPO、

6、RTO要求代表著不同的成本，對應著不同的技術(shù)手段和策略，業(yè)務(wù)部門出具RPO、RTO要求，技術(shù)部門根據(jù)要求出具可行性分析和成本效益分析，通過高管層確定各業(yè)務(wù)條線的RPO、RTO值，同時必須滿足監(jiān)管要求。通過進行風險評估和業(yè)務(wù)影響度分析，BCM小組分析、整理結(jié)果，完成RA/BIA分析報告，并向高管層匯報，獲得其對分析報告的認可。4、 業(yè)務(wù)連續(xù)性策略的制定從業(yè)務(wù)和技術(shù)兩條線識別、梳理可用的業(yè)務(wù)連續(xù)性策略，首先保證所選策略滿足制定的RPO、RTO要求，其次是經(jīng)過成本效益分析進行比較，根據(jù)組織的風險偏好和風險容忍度選擇業(yè)務(wù)連續(xù)性策略，并基于前期的業(yè)務(wù)影響分析結(jié)果驗證策略的合理性和有效性，最終取得高管層的

7、批準。常見的備選業(yè)務(wù)連續(xù)性策略包括：什么也不做，等災難發(fā)生時再修復或重建將人員和工作轉(zhuǎn)移到存活的工作場所暫停時間不敏感的業(yè)務(wù)，并將人員及工作轉(zhuǎn)移到存活的工作場所簽定互惠協(xié)議建立專用的后備站點采用雙用途場所，例如會議室、培訓室、自助餐廳燈作為內(nèi)部備用場地讓員工在家辦公（soho）選用第三方外包服務(wù)商，使用外部備用站點作為工作場所制定生產(chǎn)恢復策略制定重要記錄及進行中工作的恢復策略常見的備選技術(shù)連續(xù)性策略包括：什么也不做，等災難發(fā)生時再修復或重建開發(fā)手工臨時程序采用雙活數(shù)據(jù)中心簽定互惠協(xié)議（鄭州銀行與東莞銀行目前已經(jīng)簽署互惠協(xié)議，互相管理其災備機房）采用主備技術(shù)外包整個技術(shù)環(huán)境（云計算等）與第三方服

8、務(wù)提供商/外包商（例如熱站，云計算）簽訂協(xié)議確認恢復時所需的溫站（僅具備空調(diào)通風、電力、硬件等設(shè)備）確認恢復時所需的冷站（僅當災難發(fā)生時才配備設(shè)備）-目前國外小銀行在用確定為滿足RPO要求所需的數(shù)據(jù)恢復策略另外需要注意的是，并不是全采用高可用技術(shù)的恢復策略就是最好的，需要從多方面考慮。例如韓國某銀行中心主機房與災備機房采用實時同步技術(shù)，未采用快照，結(jié)果黑客入侵中心機房，對核心數(shù)據(jù)做了刪除操作，導致災備機房的數(shù)據(jù)同步刪除，造成很大的損失。基于選定的業(yè)務(wù)連續(xù)性策略，分析、識別并確定在此策略相關(guān)的關(guān)鍵資源與應急、持續(xù)和恢復程序等，主要包括關(guān)鍵人員/崗位、重要經(jīng)營場所、重要供應商、關(guān)鍵設(shè)備或其他資源、

9、應急響應、業(yè)務(wù)持續(xù)和恢復程序及可能的臨時策略、手工程序和臨時應對措施。5、 應急響應與運行 應急響應的核心在于保護生命和穩(wěn)定事態(tài)。為應對可能會影響組織的員工、來訪者或其他資產(chǎn)的緊急情形，制定好應急預案，以保障組織能夠以協(xié)調(diào)一致的、及時有效的方式來響應緊急情況。為了在事件發(fā)生前、事件發(fā)生時，以及事件發(fā)生后進行有效的溝通，組織應建立一個框架來開發(fā)和演練危機溝通計劃。通過與本地的、區(qū)域的和國家級的各類外部機構(gòu)協(xié)調(diào)工作，進行相應，連續(xù)性和恢復活動，確保組織滿足合規(guī)要求。應急響應中很重要的一個內(nèi)容就是危機溝通機制，危機溝通的要素包括：1、確定受危機影響的聽眾（社區(qū)公眾、外部機構(gòu)包括政府、監(jiān)管；外部群體包

10、括客戶、供應商、合伙人等、內(nèi)部群體包括董事會、高層、員工）；2、根據(jù)目標聽眾選取合適的發(fā)言人；3、確定主要的溝通信息；4、確定主要的溝通渠道和方式；5、主動溝通 信息。溝通信息的原則主要包括：1、清晰并容易理解；2、預先注意應保密的信息；3、不斷的重復；4、針對聽眾特別關(guān)心的問題發(fā)言；5、與發(fā)給其他聽眾的信息結(jié)合；6、表達出理解聽眾的情緒；7、保持一致性；8、可以個性化的回答。6、 業(yè)務(wù)連續(xù)性計劃編制業(yè)務(wù)連續(xù)性計劃編制的步驟首先應是成立計劃編制項目組，將重點業(yè)務(wù)部門人員涵蓋在內(nèi)，其次是確定業(yè)務(wù)連續(xù)性管理體系總體框架和主要覆蓋內(nèi)容，評估組織現(xiàn)有的業(yè)務(wù)連續(xù)性管理相關(guān)管理現(xiàn)狀（包括應急管理、災難備份

11、、風險管理、信息安全、聲譽公共關(guān)系、安全保衛(wèi)、人力資源等），然后根據(jù)差距分析，明確計劃編寫內(nèi)容，按小組分解進行計劃編制。清晰簡練具有保存、備份及異地存儲規(guī)劃與供應商協(xié)調(diào)配合具有完整的文檔并定期演練高管層的支持和承諾風險得到控制持續(xù)的完善并成為企業(yè)戰(zhàn)略決策的一部分對脆弱性（風險）進行了分級具有適當?shù)念A算具有一定的靈活性和適應性7、 認知和培訓認知和培訓是為了增強如何準備和應對緊急情況的認識和知識，了解這些緊急情況會對以下方面產(chǎn)生沖擊，包括組織、設(shè)施或場地、員工和供應商或第三方，了解如何保護組織以及如何應對突發(fā)事件將會增加組織的生存機會。將業(yè)務(wù)連續(xù)性管理融入企業(yè)文化，讓風險意識成為日常工作的一部分

12、。認知和培訓的成功要素包括：1、包含在新員工培訓中；2、成為預算過程的一部分；3、明確各小組及其成員；4、成為員工年度考核的一部分；5、證明每個人都能回答有關(guān)BCM的問題；6、確保BCM成為企業(yè)文化的一部分。8、 測試與演練測試和演練的意義在于檢驗物（包括設(shè)備、技術(shù)、服務(wù)器、通訊設(shè)備等）和人（撤離程序、呼叫樹、臨時應對程序等）的可用性、有效性。演練和測試BC計劃的本質(zhì)目的并不是要知道它能否工作，而是要知道它為什么不能工作。測試和演練需要從簡單到復雜，從局部到整體，逐步深入，先動嘴（桌面演練），再動手（實戰(zhàn)演練）。測試和演練每年至少進行一次，并需將外部機構(gòu)納入到測試演練的設(shè)計和實施中。9、 計劃

13、的審計和維護評估業(yè)務(wù)連續(xù)性計劃內(nèi)部、業(yè)務(wù)連續(xù)性計劃于整個業(yè)務(wù)連續(xù)性方案的其他部分之間、業(yè)務(wù)連續(xù)性計劃于組織當前業(yè)務(wù)之間的一致性，通過預先明確的計劃變更程序，及時變更業(yè)務(wù)連續(xù)性管理體系的文件體系，維護并保持上述多方面的一致性。審計人員審計組織的BCM方案和規(guī)劃，比較常用且簡單的一個方法就是先通過方案中的呼叫樹，隨機撥打一個人的電話，驗證電話號碼是否正確，然后與被調(diào)查人核實其手頭擁有的BCM方案或者應急預案的版本號是否一致。二、 工作建議時間制度文號備注2006.08銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引銀監(jiān)發(fā)【2006】63號已廢止2007.05商業(yè)銀行操作風險管理指引銀監(jiān)發(fā)【2007】42號200

14、8.04銀行業(yè)重要信息系統(tǒng)突發(fā)事件應急管理規(guī)范銀監(jiān)辦發(fā)【2008】53號2009.06商業(yè)銀行信息科技風險管理指引銀監(jiān)發(fā)【2009】19號2010.04商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引銀監(jiān)發(fā)【2010】114號2011.12商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引銀監(jiān)發(fā)【2011】104號通過比較監(jiān)管機構(gòu)的監(jiān)管要求脈絡(luò)，逐步從單一的信息科技風險管理深入到整個組織的業(yè)務(wù)連續(xù)性管理，而且2013年12月17日，源于ISO 22301的國標GB/T30146正式發(fā)布，為商業(yè)銀行如何進行業(yè)務(wù)連續(xù)性管理體系的建設(shè)提供了技術(shù)標準。目前，ISO 9700（質(zhì)量管理體系）+ISO 20000（IT標準服務(wù)）+ISO27000（信息安全管理體系）+ISO 22301（業(yè)務(wù)連續(xù)性管理體系）的四標合一，逐步成為業(yè)內(nèi)的流行趨勢。具體建議主要包括以下幾點：1、 強化認識，業(yè)務(wù)連續(xù)性管理是企業(yè)整體治理的重要組成部分。2、 理順關(guān)系，注重機制建設(shè)及職責體系的有效銜接