BCM實施指南-PPT課件

1、內(nèi)容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論1內(nèi)容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論2何為BCM3業(yè)務連續(xù)性（Business Continuity）：業(yè)務中斷事件發(fā)生后，在預先確定的可接受水平上持續(xù)交付產(chǎn)品或提供服務的能力。業(yè)務連續(xù)性管理（Business Continuity Management）是一套整體的管理流程，用以：識別潛在威脅，以及這些威脅對業(yè)務持續(xù)運行帶來的影響；建立有效應對威脅的自我恢復能力，保護關鍵相關方的利益、聲譽、品牌和創(chuàng)造價值的活動。BCM是一個跨多個專業(yè)領域的綜合性體系45BCM標準

2、發(fā)展新加坡標準SS540英國標準BS25999國際業(yè)務持續(xù)協(xié)會（BCI）業(yè)務持續(xù)管理良好實踐指南BCM GPG理論基礎理論基礎升級中國國家標準GB/T301462013年12月17日正式發(fā)布國際標準ISO223012012年5月15日正式發(fā)布對應商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引 2011年12月28日正式發(fā)布ISO22301標準全文結(jié)構64.組織環(huán)境5.領導力6.策劃7.支持8.實施9.績效評價10.改進理解組織及其環(huán)境理解相關方的需求和期望定義BCMS的范圍BCMS領導力與承諾管理承諾方針應對風險和機會的措施業(yè)務連續(xù)性目標和實現(xiàn)計劃資源能力意識溝通文件化信息實施策劃與控制業(yè)務影響分析和風險評估業(yè)務

3、連續(xù)性策略建立和實施業(yè)務連續(xù)性程序演練和測試監(jiān)視、測量、分析和評價內(nèi)部審計管理評審不合格項和糾正措施持續(xù)改進計劃（Plan）執(zhí)行（Do）檢查（Check）改進（Action）組織角色、職責和權限監(jiān)管指引與國際標準對應關系ISO22301:2012（GB/T30146-2013）商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引4 組織環(huán)境5 領導力6 策劃7.1 資源7.4 溝通7.5 文件化信息9 績效評價10 改進第一章總則第二章業(yè)務連續(xù)性組織架構7.2 能力7.3 意識第一章總則（第九條）8.2 業(yè)務影響分析和風險評估8.3 業(yè)務連續(xù)性策略第三章業(yè)務影響分析8.4 建立和實施業(yè)務連續(xù)性程序第四章業(yè)務連續(xù)性計劃與

4、資源建設第六章運營中斷事件應急處置8.5 演練和測試第五章業(yè)務連續(xù)性演練與持續(xù)改進-第七章監(jiān)管和處置7業(yè)務連續(xù)性與IT服務連續(xù)性8業(yè)務流程、業(yè)務活動IT服務（信息系統(tǒng)、IT基礎設施）技術支撐業(yè)務連續(xù)性（Business Continuity）：關注于一個組織提供產(chǎn)品、服務的業(yè)務流程、業(yè)務活動的持續(xù)運行。業(yè)務不連續(xù)的后果：客戶量/業(yè)務量減少、產(chǎn)品報廢、合同違約、監(jiān)管違規(guī)、財務損失、利益相關方施壓、社會譴責（環(huán)境/健康等）、喪失競爭力、破產(chǎn)業(yè)務連續(xù)性計劃（BCP）：從業(yè)務層面恢復中斷的業(yè)務流程和活動。IT災難恢復計劃（IT DRP）、應急預案通常用于支撐BCP。IT服務連續(xù)性（IT Service

5、 Continuity）：關注于保障信息系統(tǒng)、IT基礎設施持續(xù)運行。IT服務不連續(xù)的后果：直接表現(xiàn)：IT基礎設施癱瘓、信息系統(tǒng)停止服務；間接表現(xiàn)：依賴IT系統(tǒng)的業(yè)務活動停滯，部分業(yè)務切換到人工操作。IT災難恢復計劃：將中斷的IT系統(tǒng)服務恢復到可用狀態(tài)，通常涉及災備切換。應急預案：通常由一組具體的故障恢復場景構成，可能包含導致服務中斷的嚴重故障，也有可能涉及未導致服務中斷的一般故障。信息化技術越來越多地承載了組織的業(yè)務流程運行。業(yè)務連續(xù)性的恢復要求9最長可容忍中斷時間（MTPD, Maximum Tolerable Period Of Disruption）交付產(chǎn)品、服務的業(yè)務流程與活動的最長可

6、容忍中斷時間。如果超出此時間限制，帶來的負面影響將變得無法承受?；謴蜁r間目標（RTO）基于MTPD，在組織內(nèi)部協(xié)商后制定的恢復時間目標值。RTO應小于MTPD（30%為宜）。組織應在假設的最壞場景下，通過演練、測試，驗證自身達成RTO的實際能力。最長可容忍數(shù)據(jù)丟失點（MTDL , Maximum Tolerable Data Lost）交付產(chǎn)品、服務的業(yè)務流程與活動中斷后再次恢復時，能夠容忍的數(shù)據(jù)丟失時長。即：將數(shù)據(jù)恢復到中斷前多久的狀態(tài)?；謴忘c目標（RPO）基于MTDL，在組織內(nèi)部協(xié)商后制定的恢復點目標值。RPO應小于MTDL （30%為宜）。組織應通過適當?shù)膫浞輽C制，確保備份間隔時間小于R

7、PO，并通過演練、測試，驗證備份的有效性。業(yè)務最低運營要求維持業(yè)務運營的最低性能與容量要求；保證最核心的業(yè)務流程/活動/產(chǎn)品/服務/職能/區(qū)域恢復運行通常會作為災備建設依據(jù)業(yè)務運營能力時間業(yè)務完全運營要求最低運營要求與完全運營要求如果缺乏BCM按預期要求復原10最長可容忍中斷時間 MTPD24小時目標恢復時間RTO16小時最長可接受復原時間7天目標復原時間5天業(yè)務中斷突發(fā)事件0借助BCM快速恢復如果業(yè)務活動完全依賴于IT系統(tǒng)，則對于IT部門而言：業(yè)務部門以業(yè)務視角分析出系統(tǒng)的恢復目標MTPD、MTDL；IT部門應據(jù)此制定信息系統(tǒng)的RTO、RPO。允許的數(shù)據(jù)丟失時間復原 RTO業(yè)務復原到完全運營

8、水平3天11恢復 RTORPO恢復關鍵業(yè)務到最低運營水平最新的數(shù)據(jù)備份點-1小時4小時MTPD6小時MTDL-2小時事件上報與初判執(zhí)行恢復啟用備用資源復原或重建實施臨時變通方案信息系統(tǒng)的恢復與復原突發(fā)事件0系統(tǒng)中斷、實時數(shù)據(jù)丟失商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引要求的BCM治理結(jié)構條款要求條款理解日常管理組織架構決策機構：董(理)事會高級管理層、業(yè)務連續(xù)性管理委員會主管部門：風險管理部門或其他綜合管理部門執(zhí)行部門：業(yè)務條線部門、信息科技部門保障部門：辦公室、人事、公共關系、財務、法律合規(guī)、后勤保衛(wèi)內(nèi)部審計部門：定期開展審計工作各部門：制定/執(zhí)行本部門業(yè)務連續(xù)性計劃明確BCM日常組織架構最高管理層參與全

9、行各部門參與BCM主管部門牽頭運行BCMS信息科技部門是最關鍵的執(zhí)行部門應急處置組織架構應急決策層：高級管理層代為決策應急指揮層：主管部門及各部門負責人應急執(zhí)行層：執(zhí)行部門應急保障層：保障部門根據(jù)全行組織級BCP、部門級BCP的定義，各層級、各部門各司其職，負責具體應急處置工作12“業(yè)務連續(xù)性治理結(jié)構” 日常組織13治理層級角色職責BCM決策層理事會承擔BCM最終責任BCM管理層業(yè)務連續(xù)性管理委員會執(zhí)行決策層批準的BCM方針、方案統(tǒng)籌協(xié)調(diào)、落實各項BCM職責BCM執(zhí)行層BCM主管部門風險管理部門或其他綜合管理部門組織開展全行業(yè)務連續(xù)性管理工作，指導、評估、監(jiān)督各部門執(zhí)行工作BCM執(zhí)行部門各業(yè)務

10、條線部門業(yè)務影響分析；風險評估；確定恢復策略；負責業(yè)務條線重要業(yè)務應急響應與恢復（制定業(yè)務部門BCP）信息科技部門信息技術應急響應與恢復（制定信息科技部門BCP、IT連續(xù)性計劃）BCM保障部門辦公室、人力資源部門、公共關系部門、財務部門、法律合規(guī)部門、后勤部門、保衛(wèi)部門人力、物力、財力以及安全保障、法律咨詢、對外媒體公關（制定保障部門BCP）“業(yè)務連續(xù)性治理結(jié)構” 應急組織14應急管理層級角色職責應急決策層高級管理人員決定運營中斷事件通報、對外報告和公告；批準啟動BCP/總體應急預案應急指揮層BCM主管、執(zhí)行和保障部門負責人應急指揮和組織協(xié)調(diào)應急執(zhí)行層BCM執(zhí)行部門：各業(yè)務條線部門信息科技部門

11、業(yè)務條線與信息技術應急處置工作：執(zhí)行業(yè)務部門、信息科技部門BCP啟動應急預案應急保障層BCM保障部門：辦公室、人力資源部門、公共關系部門、財務部門、法律合規(guī)部門、后勤部門、保衛(wèi)部門資源保障：人、財、物秩序維護，安全保障，法律咨詢，人員安撫對外宣告、通報、溝通，對外媒體公關執(zhí)行保障部門BCP連續(xù)性管理的一般實施過程15識別業(yè)務活動評估業(yè)務活動中斷后隨著時間推移的影響分析業(yè)務活動在最低可接受水平上的可容忍中斷時間MTPD，確定恢復目標RTO，排定恢復順序識別業(yè)務活動依賴關系，確定恢復與復原所需資源業(yè)務影響分析風險評估針對需要優(yōu)先恢復的關鍵業(yè)務活動（CBF）：識別可能導致中斷的風險；識別中斷發(fā)生后，

12、業(yè)務活動及相關資源面臨的阻礙持續(xù)運行的風險；分析、評價風險；識別與RTO、RPO相適宜的風險處置措施。連續(xù)性策略制定明確風險偏好，制定風險處置計劃：明確業(yè)務活動恢復的策略（災備建設要求、連續(xù)性計劃的制定要求）；保障相關資源的配置。風險處置連續(xù)性計劃制定實施、跟蹤連續(xù)性風險處置；編制連續(xù)性計劃（BCP、IT DRP），包括：預警、響應、溝通上報、恢復、復原。連續(xù)性演練連續(xù)性計劃培訓；排定演練計劃；連續(xù)性計劃測試、演練。連續(xù)性管理改進演練總結(jié)，識別改進機會；連續(xù)性管理改進優(yōu)化。分析(Analysis)設計(Design)實施(Implementation)驗證(Validation)資源 包括但不

13、限于：人、信息/數(shù)據(jù)、設備設施耗材、IT系統(tǒng)、交通工具、資金、供應商/合作方。影響 例如：合規(guī)、聲譽、相關方利益、產(chǎn)品服務質(zhì)量、社會責任、財務Source：ISO22313商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引要求條款要求條款理解 & 待完成工作業(yè)務影響分析（BIA）識別重要業(yè)務，明確重要業(yè)務歸口管理部門、所需關鍵資源及對應的信息系統(tǒng)確定重要業(yè)務恢復時間目標(業(yè)務RTO)、業(yè)務恢復點目標(業(yè)務RPO)確定信息系統(tǒng)恢復時間目標(信息系統(tǒng)RTO)、信息系統(tǒng)恢復點目標(信息系統(tǒng)RPO)業(yè)務部門負責識別關鍵業(yè)務（CBF）、關鍵資源（關鍵資源包括關鍵信息系統(tǒng)及其運行環(huán)境，關鍵的人員、業(yè)務場地、業(yè)務辦公設備、業(yè)務單據(jù)

14、以及供應商）業(yè)務部門負責業(yè)務影響分析（業(yè)務RTO、業(yè)務RPO，相當于信息系統(tǒng)的MTPD、MTDL）信息科技部門負責信息系統(tǒng)RTO、RPO（應低于MTPD、MTDL）針對關鍵資源的連續(xù)性風險評估（RA）業(yè)務部門負責風險評估處置關鍵資源面臨的風險（預防性措施）制定差別化的業(yè)務恢復策略關鍵資源恢復、業(yè)務替代手段、數(shù)據(jù)追補和恢復優(yōu)先級別BCM策略：承上（BIA、RA）：恢復要求關鍵資源備份、選擇恢復方式、恢復優(yōu)先順序設置應急指揮中心（EOC）場所啟下（BCP）：BCP的總前提、總框架16銀行業(yè)務（某國有銀行樣例）17業(yè)務類別業(yè)務名稱公司金融業(yè)務存款業(yè)務貸款業(yè)務金融機構業(yè)務國際結(jié)算及貿(mào)易融資業(yè)務其他公司

15、金融業(yè)務個人金融業(yè)務儲蓄存款業(yè)務個人貸款業(yè)務個人中間業(yè)務“XX理財”服務私人銀行業(yè)務銀行卡業(yè)務渠道建設業(yè)務類別業(yè)務名稱金融市場業(yè)務全球投資全球交易資產(chǎn)管理債務資本市場基金代銷與托管企業(yè)年金管理銀行業(yè)務（某城商行樣例）18業(yè)務條線業(yè)務產(chǎn)品個人條線個人賬戶業(yè)務個人貸款業(yè)務個人支付結(jié)算業(yè)務代理繳費POS收單個人理財公司條線公司賬戶業(yè)務公司貸款業(yè)務公司支付結(jié)算業(yè)務公司類代收代付公司理財國內(nèi)信用證/保函國內(nèi)保理小企業(yè)條線小企業(yè)賬戶業(yè)務小企業(yè)貸款業(yè)務小企業(yè)支付結(jié)算業(yè)務小企業(yè)類代收代付業(yè)務條線業(yè)務產(chǎn)品資金條線債券交易拆借交易（本幣）同業(yè)存放/存放同業(yè)（本幣）貼現(xiàn)轉(zhuǎn)帖與再貼現(xiàn)買入返售/賣出回購理財和信托投資交

16、易國際業(yè)務條線同業(yè)存放/存放同業(yè)（外幣）同業(yè)拆借（外幣）結(jié)售匯外匯買賣代客外匯買賣國際保函國際貿(mào)易融資互聯(lián)網(wǎng)金融條線互聯(lián)網(wǎng)支付業(yè)務網(wǎng)絡預填單業(yè)務彩富業(yè)務業(yè)務影響分析(BIA)示例XXX業(yè)務的關鍵業(yè)務時段：58（工作日9:00-17:00）19業(yè)務活動影響業(yè)務中斷時長MTPDRTO5分鐘30分鐘1小時4小時8小時1天3天1周XXX業(yè)務客戶影響223344551小時45分鐘內(nèi)部相關方影響12223455合規(guī)影響11112333聲譽/競爭優(yōu)勢影響11112344財務影響11112344業(yè)務活動影響數(shù)據(jù)丟失時長MTDLRPO5分鐘30分鐘1小時4小時8小時1天3天1周XXX業(yè)務客戶影響33344455

17、5分鐘3分鐘內(nèi)部相關方影響12333455合規(guī)影響33333455聲譽/競爭優(yōu)勢影響11233455財務影響12334455示例BIA/RA（樣例）示例ICT為企業(yè)的業(yè)務持續(xù)做好準備（IRBC）Source：ISO/IEC 27031:2011 ISO27031 : 2011 是企業(yè)業(yè)務持續(xù)管理的重要組成部分 遵循PDCA方法論 可以與企業(yè)的業(yè)務務持續(xù)管理體系進行整合 IT部門主導21XXX系統(tǒng)最低運營要求分析22示例商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引要求條款要求條款理解 & 待完成工作制定業(yè)務連續(xù)性計劃（BCP）BCP應覆蓋所有重要業(yè)務各部門編寫本部門BCP下屬應急預案針對運營中斷事件，應急預案中的

18、溝通、上報機制應滿足運營中斷事件等級劃分標準BCP編寫、演練、回顧、改進：業(yè)務部門、信息科技部門、保障部門負責專項應急預案，并編寫本部門BCP主管部門負責匯總組織級BCP23BCP（樣例）示例商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引要求條款要求條款理解 & 待完成工作業(yè)務連續(xù)性管理文檔修訂每年修訂業(yè)務功能或關鍵資源發(fā)生重大變更評估與審計至少每年對管理體系評估1次對管理體系各項活動，每年審計1次，每三年全面審計作為管理體系，必不可少的組成部分：文檔管理評估、審計持續(xù)改進機制25內(nèi)容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論26GPG、ISO22313最佳實踐項目實施階段1BCM方案管理1項目啟動與管理2理解組織（BIA、RA）2評估與調(diào)研 3決定BCM策略3策略與設計 4開發(fā)與實施BCM響應（BCP）4開發(fā)與實施 5演練、維護和評審5推廣與演練 6體系維護與評審6將BCM融入組織文化中7培訓與知識轉(zhuǎn)移 BCM項目實施方法27項目實施階段28時間預估1-2周6-8周2周6-8周4-6周2周階段1：項目啟動與管理階段2：評估與調(diào)研 階段3：策略與設計 階段4：開發(fā)與實施 階段5：推廣與演練 階段6：體系維護與評審階段7：培訓與知識轉(zhuǎn)移 6個月以10個部門/條線的規(guī)模為例：內(nèi)容提要1解讀BCM2BCM項目實施方法3BCM實施難點與對策4BCM實施策略討論29BCM