銀行信息科技業(yè)務(wù)連續(xù)性管理辦法

1、銀行信息科技業(yè)務(wù)連續(xù)性管理辦法第一章總則第一條 信息系統(tǒng)與信息科技是保障商業(yè)銀行業(yè)務(wù)持續(xù)運(yùn)營的重 要基礎(chǔ)。為降低或消除因信息系統(tǒng)服務(wù)異常導(dǎo)致重要業(yè)務(wù)運(yùn)營中斷的 影響，快速恢復(fù)被中斷業(yè)務(wù)，維護(hù)公眾信心和銀行業(yè)正常運(yùn)營秩序， 提高商業(yè)銀行業(yè)務(wù)連續(xù)性管理能力，根據(jù)中華人民共和國銀行業(yè)監(jiān) 督管理法、中華人民共和國商業(yè)銀行法、商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān) 管指引以及相關(guān)法律法規(guī)，制定本管理辦法。第二條本管理辦法所稱業(yè)務(wù)連續(xù)性管理是指商業(yè)銀行為有效應(yīng) 對重要業(yè)務(wù)運(yùn)營中斷事件，建設(shè)應(yīng)急響應(yīng)、恢復(fù)機(jī)制和管理能力框架， 保障重要業(yè)務(wù)持續(xù)運(yùn)營的一整套管理過程，包括策略、組織架構(gòu)、方 法、標(biāo)準(zhǔn)和程序。第三條 本管理辦法所稱

2、重要業(yè)務(wù)是指面向客戶、涉及賬務(wù)處理、 時效性要求較高的銀行業(yè)務(wù)，其運(yùn)營服務(wù)中斷會對商業(yè)銀行產(chǎn)生較大 經(jīng)濟(jì)損失或聲譽(yù)影響，或?qū)?、法人和其他組織的權(quán)益、社會秩序 和公共利益、國家安全造成嚴(yán)重影響的業(yè)務(wù)。第四條 本管理辦法所稱重要業(yè)務(wù)運(yùn)營中斷事件（以下簡稱運(yùn)營中 斷事件）是指因下述原因?qū)е滦畔⑾到y(tǒng)服務(wù)異常、重要業(yè)務(wù)停止運(yùn)營 的事件。主要包括：（一）信息技術(shù)故障：信息系統(tǒng)技術(shù)故障、配套設(shè)施故障；（二）外部服務(wù)中斷：第三方無法合作或提供服務(wù)等；（三）人為破壞：黑客攻擊、恐怖襲擊等；（四）自然災(zāi)害：火災(zāi)、雷擊、海嘯、地震、重大疫情等。第五條業(yè)務(wù)連續(xù)性管理納入全面風(fēng)險管理體系，建立與本行戰(zhàn)略 目標(biāo)相適應(yīng)

3、的業(yè)務(wù)連續(xù)性管理體系，確保重要業(yè)務(wù)在運(yùn)營中斷事件發(fā) 生后快速恢復(fù)，降低或消除因重要業(yè)務(wù)運(yùn)營中斷造成的影響和損失， 保障業(yè)務(wù)持續(xù)運(yùn)營。第六條 根據(jù)本行業(yè)務(wù)發(fā)展的總體目標(biāo)、經(jīng)營規(guī)模以及風(fēng)險控制的 基本策略和風(fēng)險偏好，確定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性管理戰(zhàn)略。第七條建立業(yè)務(wù)連續(xù)性管理的組織架構(gòu)，確定重要業(yè)務(wù)及其恢復(fù) 目標(biāo)，制定業(yè)務(wù)連續(xù)性計劃，配置必要的資源，有效處置運(yùn)營中斷事 件，并積極開展演練和業(yè)務(wù)連續(xù)性管理的評估改進(jìn)。第八條業(yè)務(wù)連續(xù)性管理的基本原則是：（一）切實(shí)履行社會責(zé)任，保護(hù)客戶合法權(quán)益、維護(hù)金融秩序；（二）堅持預(yù)防為主，建立預(yù)防、預(yù)警機(jī)制，將日常管理與應(yīng)急處置 有效結(jié)合；（三）堅持以人為本，重點(diǎn)保障人

4、員安全；實(shí)施差異化管理，保障重 要業(yè)務(wù)有序恢復(fù)；兼顧業(yè)務(wù)連續(xù)性管理成本與效益；（四）堅持聯(lián)動協(xié)作，加強(qiáng)溝通協(xié)調(diào)，形成應(yīng)對運(yùn)營中斷事件的整體 有效機(jī)制。第九條將業(yè)務(wù)連續(xù)性管理融入到企業(yè)文化建設(shè)當(dāng)中，使其成為銀 行機(jī)構(gòu)日常運(yùn)營管理的有機(jī)組成部分。第二章業(yè)務(wù)連續(xù)性組織架構(gòu)第一節(jié)日常管理組織架構(gòu)第十條董事會是商業(yè)銀行業(yè)務(wù)連續(xù)性管理的決策機(jī)構(gòu)，對業(yè)務(wù)連 續(xù)性管理承擔(dān)最終責(zé)任。主要職責(zé)包括：（一）審核和批準(zhǔn)業(yè)務(wù)連續(xù)性管理戰(zhàn)略、政策和程序；（二）審批高級管理層業(yè)務(wù)連續(xù)性管理職責(zé)，定期聽取高級管理層關(guān) 于業(yè)務(wù)連續(xù)性管理的報告，監(jiān)督、評價其履職情況；（三）審批業(yè)務(wù)連續(xù)性管理年度審計報告。第十一條高級管理層負(fù)責(zé)執(zhí)

5、行經(jīng)董事會批準(zhǔn)的業(yè)務(wù)連續(xù)性管理 政策。主要職責(zé)包括：（一）制定并定期審查和監(jiān)督執(zhí)行業(yè)務(wù)連續(xù)性管理政策、程序；（二）明確各部門業(yè)務(wù)連續(xù)性管理職責(zé)，明確報告路線，審批重要業(yè) 務(wù)恢復(fù)目標(biāo)和恢復(fù)策略，督促各部門履行管理職責(zé)，確保業(yè)務(wù)連續(xù)性 管理體系正常運(yùn)行；（三）確保配置足夠的資源保障業(yè)務(wù)連續(xù)性管理的實(shí)施。第十二條 由高級管理層和業(yè)務(wù)連續(xù)性管理相關(guān)部門負(fù)責(zé)人組成 的業(yè)務(wù)連續(xù)性管理委員會，統(tǒng)籌協(xié)調(diào)、落實(shí)各項管理職責(zé)。委員會人 員組成包括：行長、各主管副行長、董事會秘書、財務(wù)總監(jiān)、信息官、 董事會辦公室、綜合辦公室、風(fēng)險管理委員會、計劃財務(wù)部、授信管 理部、公司業(yè)務(wù)部、小企業(yè)金融服務(wù)部、個人業(yè)務(wù)部、銀行卡

6、部、會 計管理部、資金清算部、稽核監(jiān)察部、科技開發(fā)部、后勤服務(wù)部、安 全保衛(wèi)部、人力資源部、法律合規(guī)部、黨委辦公室等部門負(fù)責(zé)人。第十三條 業(yè)務(wù)連續(xù)性管理主管部門為風(fēng)險控制委員會，組織開展 全行業(yè)務(wù)連續(xù)性管理工作，指導(dǎo)、評估、監(jiān)督各部門的業(yè)務(wù)連續(xù)性管 理工作；組織制定業(yè)務(wù)連續(xù)性計劃，協(xié)調(diào)業(yè)務(wù)條線部門，匯總、確定 重要業(yè)務(wù)的恢復(fù)目標(biāo)和恢復(fù)策略；組織開展業(yè)務(wù)連續(xù)性計劃的演練、 評估與改進(jìn)；開展業(yè)務(wù)連續(xù)性管理培訓(xùn)等。第十四條 業(yè)務(wù)連續(xù)性管理執(zhí)行部門，包括授信管理部、公司業(yè)務(wù) 部、小企業(yè)金融服務(wù)部、個人業(yè)務(wù)部、銀行卡部、會計管理部、資金 清算部、稽核監(jiān)察部、科技開發(fā)部等。業(yè)務(wù)條線部門負(fù)責(zé)風(fēng)險評估、 業(yè)務(wù)

7、影響分析，確定重要業(yè)務(wù)恢復(fù)目標(biāo)和恢復(fù)策略，負(fù)責(zé)業(yè)務(wù)條線重 要業(yè)務(wù)應(yīng)急響應(yīng)與恢復(fù)；信息科技部門負(fù)責(zé)信息技術(shù)應(yīng)急響應(yīng)與恢 復(fù)。第十五條 業(yè)務(wù)連續(xù)性管理保障部門，包括董事會辦公室、綜合管 理部、計劃財務(wù)部、人力資源部、法律合規(guī)部、后勤服務(wù)部、安全保 衛(wèi)部。為業(yè)務(wù)連續(xù)性日常管理提供人力、物力、財力以及安全保障和 法律咨詢。其中，董事會辦公室、綜合管理部、黨委辦公室負(fù)責(zé)制定 對外媒體公關(guān)策略，制定和執(zhí)行對外媒體公關(guān)的應(yīng)急預(yù)案。第十六條 各部門負(fù)責(zé)本部門業(yè)務(wù)連續(xù)性管理工作，制定相關(guān)規(guī)章 制度，制定和執(zhí)行本部門業(yè)務(wù)連續(xù)性計劃，開展本部門業(yè)務(wù)連續(xù)性計 劃的演練、評估與改進(jìn)工作。第十七條稽核檢查部負(fù)責(zé)并定期開展

8、全行業(yè)務(wù)連續(xù)性管理審計 工作。第二節(jié)應(yīng)急處置組織架構(gòu)第十八條 建立運(yùn)營中斷事件應(yīng)急處置的組織架構(gòu)，包括應(yīng)急決策 層、應(yīng)急指揮層、應(yīng)急執(zhí)行層和應(yīng)急保障層。第十九條 應(yīng)急決策層由商業(yè)銀行高級管理人員組成，包括：行長、 各主管副行長、董事會秘書。負(fù)責(zé)決定應(yīng)急處置重大事宜，包括：決 定運(yùn)營中斷事件通報、對外報告和公告；批準(zhǔn)啟動總體應(yīng)急預(yù)案等。第二十條 應(yīng)急指揮層業(yè)務(wù)連續(xù)性管理主管部門、執(zhí)行部門和保障 部門負(fù)責(zé)人組成，負(fù)責(zé)運(yùn)營中斷事件處置應(yīng)急指揮和組織協(xié)調(diào)，督導(dǎo) 應(yīng)急處置實(shí)施。第二十一條 應(yīng)急執(zhí)行層由商業(yè)銀行業(yè)務(wù)連續(xù)性管理執(zhí)行部門組 成，負(fù)責(zé)業(yè)務(wù)條線與信息技術(shù)應(yīng)急處置工作。第二十二條應(yīng)急保障層連續(xù)性管理

9、保障部門組成，負(fù)責(zé)應(yīng)急處置 所需人力、物力和財力等資源的保障，應(yīng)急處置對外報告、宣告、通 報和溝通與協(xié)調(diào)，以及對外媒體公關(guān)、秩序維護(hù)、安全保障、法律咨 詢和人員安撫等相關(guān)工作。第三章業(yè)務(wù)影響分析第二十三條 通過業(yè)務(wù)影響分析識別和評估業(yè)務(wù)運(yùn)營中斷所造成 的影響和損失，明確業(yè)務(wù)連續(xù)性管理重點(diǎn)，根據(jù)業(yè)務(wù)重要程度實(shí)現(xiàn)差 異化管理，確定各業(yè)務(wù)恢復(fù)優(yōu)先順序和恢復(fù)指標(biāo)。至少每三年開展一 次全面業(yè)務(wù)影響分析，并形成業(yè)務(wù)影響分析報告。第二十四條 識別重要業(yè)務(wù)，明確重要業(yè)務(wù)歸口管理部門、所需關(guān) 鍵資源及對應(yīng)的信息系統(tǒng)，識別重要業(yè)務(wù)的相互依賴關(guān)系，分析、評 估各項重要業(yè)務(wù)在運(yùn)營中斷事件發(fā)生時可能造成的經(jīng)濟(jì)損失和非經(jīng)

10、 濟(jì)損失。第二十五條綜合分析重要業(yè)務(wù)運(yùn)營中斷可能產(chǎn)生的損失與業(yè)務(wù) 恢復(fù)成本，結(jié)合業(yè)務(wù)服務(wù)時效性、服務(wù)周期等運(yùn)行特點(diǎn)，確定重要業(yè) 務(wù)恢復(fù)時間目標(biāo)（業(yè)務(wù)RTO）、業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)（業(yè)務(wù)RPO），原則上， 重要業(yè)務(wù)恢復(fù)時間目標(biāo)不得大于4小時，重要業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)不得大 于半小時。第二十六條明確業(yè)務(wù)重要程度和恢復(fù)優(yōu)先級別，并識別重要業(yè)務(wù) 恢復(fù)所需的必要資源。第二十七條分析業(yè)務(wù)與信息系統(tǒng)的對應(yīng)關(guān)系、信息系統(tǒng)之間的依 賴關(guān)系，根據(jù)業(yè)務(wù)恢復(fù)時間目標(biāo)、業(yè)務(wù)恢復(fù)點(diǎn)目標(biāo)、業(yè)務(wù)應(yīng)急響應(yīng)時 間、業(yè)務(wù)恢復(fù)的驗證時間，確定信息系統(tǒng)恢復(fù)時間目標(biāo)（信息系統(tǒng) RTO）、信息系統(tǒng)恢復(fù)點(diǎn)目標(biāo)（信息系統(tǒng)RPO），明確信息系統(tǒng)重要程度 和

11、恢復(fù)優(yōu)先級別，并識別信息系統(tǒng)恢復(fù)所需的必要資源。第二十八條 開展業(yè)務(wù)連續(xù)性風(fēng)險評估，識別業(yè)務(wù)連續(xù)運(yùn)營所需的 關(guān)鍵資源，分析資源所面臨的各類威脅以及資源自身的脆弱性，確定 資源的風(fēng)險敞口。關(guān)鍵資源應(yīng)當(dāng)包括關(guān)鍵信息系統(tǒng)及其運(yùn)行環(huán)境，關(guān) 鍵的人員、業(yè)務(wù)場地、業(yè)務(wù)辦公設(shè)備、業(yè)務(wù)單據(jù)以及供應(yīng)商等。第二十九條 根據(jù)風(fēng)險敞口制定降低、緩釋、轉(zhuǎn)移等應(yīng)對策略。依 據(jù)防范或控制風(fēng)險的可行性和殘余風(fēng)險的可接受程度，確定風(fēng)險防范 和控制的原則與措施。第三十條 根據(jù)業(yè)務(wù)影響分析結(jié)果，依據(jù)業(yè)務(wù)恢復(fù)指標(biāo)，制定差別 化的業(yè)務(wù)恢復(fù)策略，主要包括關(guān)鍵資源恢復(fù)、業(yè)務(wù)替代手段、數(shù)據(jù)追 補(bǔ)和恢復(fù)優(yōu)先級別等。第三十一條依據(jù)業(yè)務(wù)恢復(fù)策略，

12、確定災(zāi)難恢復(fù)資源獲取方式和災(zāi) 難恢復(fù)等級。第四章 業(yè)務(wù)連續(xù)性計劃與資源建設(shè)第一節(jié)業(yè)務(wù)連續(xù)性計劃第三十二條 依據(jù)業(yè)務(wù)恢復(fù)目標(biāo)，制定覆蓋所有重要業(yè)務(wù)的業(yè)務(wù)連 續(xù)性計劃。第三十三條 業(yè)務(wù)連續(xù)性計劃的主要內(nèi)容應(yīng)當(dāng)包括：（一）重要業(yè)務(wù)及關(guān)聯(lián)關(guān)系、業(yè)務(wù)恢復(fù)優(yōu)先次序；（二）重要業(yè)務(wù)運(yùn)營所需關(guān)鍵資源；（三）應(yīng)急指揮和危機(jī)通訊程序；（四）各類預(yù)案以及預(yù)案維護(hù)、管理要求；（五）殘余風(fēng)險。第三十四條 制定本行總體應(yīng)急預(yù)案?？傮w應(yīng)急預(yù)案是應(yīng)對運(yùn)營中 斷事件的總體方案，包括總體組織架構(gòu)、各層級預(yù)案的定位和銜接關(guān) 系及對運(yùn)營中斷事件的預(yù)警、報告、分析、決策、處理、恢復(fù)等處置 程序?？傮w預(yù)案通常用于處置導(dǎo)致大范圍業(yè)務(wù)運(yùn)營中

13、斷的事件。第三十五條 制定重要業(yè)務(wù)專項應(yīng)急預(yù)案，專項應(yīng)急預(yù)案應(yīng)當(dāng)注重 災(zāi)難場景的設(shè)計，明確在不同場景下的應(yīng)急流程和措施。業(yè)務(wù)條線的 專項應(yīng)急預(yù)案，應(yīng)當(dāng)注重調(diào)動內(nèi)部資源、采取業(yè)務(wù)應(yīng)急手段盡快恢復(fù) 業(yè)務(wù)，并和信息科技部門、保障部門的應(yīng)急預(yù)案有效銜接。第三十六條 專項應(yīng)急預(yù)案的主要內(nèi)容應(yīng)當(dāng)包括：（一）應(yīng)急組織架構(gòu)及各部門、人員在預(yù)案中的角色、權(quán)限、職責(zé)分工；（二）信息傳遞路徑和方式；（三）運(yùn)營中斷事件處置程序，包括預(yù)警、報告、決策、指揮、響應(yīng)、 回退等；（四）運(yùn)營中斷事件處置過程中的風(fēng)險控制措施；（五）運(yùn)營中斷事件的危機(jī)處理機(jī)制；（六）運(yùn)營中斷事件的內(nèi)部溝通機(jī)制和聯(lián)系方式；（七）運(yùn)營中斷事件的外部溝

14、通機(jī)制和聯(lián)系方式；（八）應(yīng)急完成后的還原機(jī)制。第三十七條重要業(yè)務(wù)及信息系統(tǒng)的外部供應(yīng)商建立業(yè)務(wù)連續(xù)性 計劃，證明其業(yè)務(wù)連續(xù)性計劃的有效性，其業(yè)務(wù)恢復(fù)目標(biāo)應(yīng)當(dāng)滿足商 業(yè)銀行要求。第三十八條 注重與金融同業(yè)單位、外部金融市場、金融服務(wù)平臺 和公共事業(yè)部門等業(yè)務(wù)連續(xù)性計劃的有效銜接；同時，應(yīng)當(dāng)積極采取 風(fēng)險緩釋及轉(zhuǎn)移措施，有效控制由于外部機(jī)構(gòu)業(yè)務(wù)連續(xù)性管理不充分 可能產(chǎn)生的風(fēng)險。第二節(jié) 業(yè)務(wù)連續(xù)性資源建設(shè)第三十九條開展業(yè)務(wù)連續(xù)性計劃所需的資源建設(shè)，滿足業(yè)務(wù)恢復(fù) 目標(biāo)和重要業(yè)務(wù)持續(xù)運(yùn)營的要求。第四十條重點(diǎn)加強(qiáng)信息系統(tǒng)關(guān)鍵資源的建設(shè)，實(shí)現(xiàn)信息系統(tǒng)的高 可用性，保障信息系統(tǒng)的持續(xù)運(yùn)行并減少信息系統(tǒng)中斷后的

15、恢復(fù)時 間。第四一條 設(shè)立統(tǒng)一的運(yùn)營中斷事件指揮中心場所，用于應(yīng)急決 策、指揮與聯(lián)絡(luò)，指揮場所應(yīng)當(dāng)配置辦公與通訊設(shè)備以及指揮執(zhí)行文 檔、聯(lián)系資料等。第四十二條 建立符合業(yè)務(wù)連續(xù)性管理要求的備用資源，如備用業(yè) 務(wù)和辦公場所資源、備用信息系統(tǒng)運(yùn)行場所資源、備用信息技術(shù)資源、 備用人力資源等，以及電力、通訊、消防、安保等資源。第四十三條 選擇備用場地時，應(yīng)當(dāng)確保不會同時遭受同類型風(fēng) 險；應(yīng)當(dāng)綜合分析備用場地所在地的自然環(huán)境、地區(qū)配套設(shè)施、區(qū)域 經(jīng)濟(jì)環(huán)境、交通條件、政策環(huán)境和成本等各方面因素，以及災(zāi)難恢復(fù)所需的金融服務(wù)、通訊、設(shè)備、技術(shù)等外部服務(wù)供應(yīng)商資源情況第四十四條 建立備用業(yè)務(wù)和辦公場所時，應(yīng)當(dāng)

16、配備業(yè)務(wù)操作和辦 公所需資源，并確保其能夠迅速啟用。第四十五條 建立災(zāi)備中心等備用信息技術(shù)資源和備用信息系統(tǒng) 運(yùn)行場所資源，并滿足銀監(jiān)會關(guān)于數(shù)據(jù)中心相關(guān)監(jiān)管要求。第四十六條明確關(guān)鍵崗位的備份人員及其備份方式，并確保備份 人員可用，降低關(guān)鍵崗位人員無法及時履職風(fēng)險。第五章業(yè)務(wù)連續(xù)性演練與持續(xù)改進(jìn)第一節(jié)業(yè)務(wù)連續(xù)性計劃演練第四十七條開展業(yè)務(wù)連續(xù)性計劃演練，檢驗應(yīng)急預(yù)案的完整性、 可操作性和有效性，驗證業(yè)務(wù)連續(xù)性資源的可用性，提高運(yùn)營中斷事 件的綜合處置能力。第四十八條 制定業(yè)務(wù)連續(xù)性演練計劃時，商業(yè)銀行應(yīng)當(dāng)考慮業(yè)務(wù) 的重要性和影響程度，包括客戶范圍、業(yè)務(wù)性質(zhì)、業(yè)務(wù)時效性、經(jīng)濟(jì) 與非經(jīng)濟(jì)影響等，演練頻

17、率、方式應(yīng)當(dāng)與業(yè)務(wù)的重要性和影響程度相 匹配。第四十九條至少每三年對全部重要業(yè)務(wù)開展一次業(yè)務(wù)連續(xù)性計 劃演練。在重大業(yè)務(wù)活動、重大社會活動等關(guān)鍵時點(diǎn)，或在關(guān)鍵資源 發(fā)生重大變化之前，也應(yīng)當(dāng)開展業(yè)務(wù)連續(xù)性計劃的專項演練。第五十條加強(qiáng)業(yè)務(wù)應(yīng)急預(yù)案的演練，重點(diǎn)加強(qiáng)業(yè)務(wù)和信息科技部 門的協(xié)調(diào)、配合；應(yīng)當(dāng)注重以真實(shí)業(yè)務(wù)接管為目標(biāo)，確保災(zāi)備系統(tǒng)能 夠有效接管生產(chǎn)系統(tǒng)并具備安全回切能力。第五十一條外部供應(yīng)商納入演練范圍并定期開展演練；同時，應(yīng) 當(dāng)積極參加金融同業(yè)單位、外部金融市場、金融服務(wù)平臺和公共事業(yè) 部門等組織的業(yè)務(wù)連續(xù)性計劃演練，確保應(yīng)急和協(xié)調(diào)措施的有效性。第五十二條對業(yè)務(wù)連續(xù)性計劃的演練過程進(jìn)行完整

18、記錄，及時總 結(jié)、評估和改進(jìn)。第二節(jié)業(yè)務(wù)連續(xù)性管理評估與改進(jìn)第五十三條應(yīng)當(dāng)建立業(yè)務(wù)連續(xù)性管理體系持續(xù)改進(jìn)機(jī)制。商業(yè)銀 行應(yīng)當(dāng)至少每年對業(yè)務(wù)連續(xù)性管理體系的完整性、合理性、有效性組 織一次自評估，或者委托第三方機(jī)構(gòu)進(jìn)行評估，并向高級管理層提交 評估報告。第五十四條每年對業(yè)務(wù)連續(xù)性管理文檔進(jìn)行修訂，內(nèi)容包含重要 業(yè)務(wù)調(diào)整、制度調(diào)整、崗位職責(zé)與人員調(diào)整等，確保文檔的真實(shí)性、 有效性。第五十五條 在開發(fā)新業(yè)務(wù)產(chǎn)品時，應(yīng)當(dāng)同步考慮是否將其納入業(yè) 務(wù)連續(xù)性管理范疇。對納入業(yè)務(wù)連續(xù)性管理的，應(yīng)當(dāng)在上線前制定業(yè) 務(wù)連續(xù)性計劃并實(shí)施演練。第五十六條在業(yè)務(wù)功能或關(guān)鍵資源發(fā)生重大變更時，商業(yè)銀行應(yīng) 當(dāng)及時對業(yè)務(wù)連續(xù)

19、性計劃進(jìn)行修訂。第五十七條每年對本行業(yè)務(wù)連續(xù)性管理進(jìn)行審計，每三年至少開 展一次全面審計，發(fā)生大范圍業(yè)務(wù)運(yùn)營中斷事件后應(yīng)當(dāng)及時開展專項 審計。第五十八條 業(yè)務(wù)連續(xù)性管理審計的內(nèi)容應(yīng)當(dāng)包括：業(yè)務(wù)影響分 析、風(fēng)險評估、恢復(fù)策略及恢復(fù)目標(biāo)的合理性和完整性；業(yè)務(wù)連續(xù)性 計劃的完整性和可操作性；業(yè)務(wù)連續(xù)性計劃演練過程及報告的真實(shí)性 和有效性；業(yè)務(wù)連續(xù)性管理相關(guān)部門及人員的履職情況等。第六章 運(yùn)營中斷事件應(yīng)急處置第一節(jié)監(jiān)測、預(yù)警與報告第五十九條 建立運(yùn)營中斷事件的風(fēng)險預(yù)警體系，設(shè)定風(fēng)險預(yù)警指 標(biāo)，并納入全行風(fēng)險預(yù)警體系中。建立業(yè)務(wù)運(yùn)營的監(jiān)測體系及監(jiān)控機(jī) 制，對信息系統(tǒng)運(yùn)行環(huán)境進(jìn)行日常監(jiān)測，采取自動化措施重

20、點(diǎn)加強(qiáng)對 業(yè)務(wù)運(yùn)行情況的監(jiān)控。第六十條建立關(guān)鍵時點(diǎn)的監(jiān)測與預(yù)警機(jī)制，在重大業(yè)務(wù)和社會活 動等關(guān)鍵時點(diǎn)，或在業(yè)務(wù)功能、關(guān)鍵資源發(fā)生重大變更時，加強(qiáng)風(fēng)險 監(jiān)控和預(yù)警。業(yè)務(wù)條線部門與信息科技部門等相關(guān)部門之間應(yīng)當(dāng)相互 通報信息、提示風(fēng)險，協(xié)同做好應(yīng)急準(zhǔn)備。第六十一條發(fā)生運(yùn)營中斷事件后，應(yīng)當(dāng)及時進(jìn)行溝通和報告，包 括：按照報告路線在內(nèi)部各部門及人員之間的報告，與業(yè)務(wù)運(yùn)營的外 包方、業(yè)務(wù)合作方之間的溝通、以及按照銀監(jiān)會有關(guān)報告要求，向銀 監(jiān)會或其派出機(jī)構(gòu)的報告等。第二節(jié)運(yùn)營中斷事件處置第六十二條制定運(yùn)營中斷事件等級劃分標(biāo)準(zhǔn)，根據(jù)事件影響范 圍、持續(xù)時間和損失程度定義事件等級，開展應(yīng)急響應(yīng)處置工作。第六十三條 運(yùn)營中斷事件應(yīng)急處置應(yīng)當(dāng)遵循“統(tǒng)一指揮、分類管 理、分級處置、快速響應(yīng)”的原則，在全行統(tǒng)一指揮下高效、有序應(yīng) 對；應(yīng)當(dāng)根據(jù)事件等級實(shí)施差別化處置，必要時可以越級匯報、緊急 授權(quán)，保障信息傳遞和決策的及時性，將影響或損失最小化。及時、 有效地響應(yīng)運(yùn)營中斷事件，對事件影響進(jìn)行評估，確定事件等級，及 時啟動應(yīng)急預(yù)案，確保業(yè)務(wù)快速恢復(fù)，防止事態(tài)升級或惡化。第六十四條 商業(yè)銀行在實(shí)施應(yīng)急處置時，應(yīng)當(dāng)采取以下措施：（一）加強(qiáng)運(yùn)營中斷事件處置中的對外溝通，開展告知、解釋與安撫 工作，最大程度降低負(fù)面影響；（二）對重要業(yè)務(wù)可以通過減少