業(yè)務(wù)連續(xù)性培訓(xùn)心得

1、精選優(yōu)質(zhì)文檔-傾情為你奉上業(yè)務(wù)連續(xù)性培訓(xùn)心得 業(yè)務(wù)連續(xù)性：在中斷事件發(fā)生后，組織在預(yù)先確定的可接受水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力，實(shí)質(zhì)是確保關(guān)鍵業(yè)務(wù)在規(guī)定時(shí)間內(nèi)恢復(fù)到非正常時(shí)期最低可接受的程度。業(yè)務(wù)連續(xù)性管理：Business Continuity Management（簡稱BCM）識別對組織的潛在威脅以及這些威脅一旦發(fā)生可能對業(yè)務(wù)運(yùn)行帶來的影響的一整套管理過程。該過程為組織建立有效應(yīng)對威脅的自我恢復(fù)能力提供了框架，以保護(hù)關(guān)鍵相關(guān)方的利益、聲譽(yù)、品牌和創(chuàng)造價(jià)值的活動。所謂業(yè)務(wù)連續(xù)性，并不是規(guī)避或躲避風(fēng)險(xiǎn)，而是在災(zāi)難發(fā)生的時(shí)候通過一系列的管理手段如何把損失降低到最小，也就是避免遭受更大的損失

2、。業(yè)務(wù)連續(xù)性管理工作不能簡單做成一個(gè)常規(guī)項(xiàng)目，所謂項(xiàng)目是有開始，有結(jié)束，有邊界，領(lǐng)導(dǎo)的支持和資源是有限度的，但是業(yè)務(wù)連續(xù)性管理應(yīng)該是一個(gè)管理的閉環(huán)，是一個(gè)持續(xù)不斷改進(jìn)的管理過程，應(yīng)當(dāng)貫徹到日常管理工作中去。業(yè)務(wù)連續(xù)性方案管理和計(jì)劃編制的目的本質(zhì)上首先應(yīng)該是為了確保組織對外服務(wù)和關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行問題和數(shù)據(jù)安全，保護(hù)人員、保護(hù)聲譽(yù)、保護(hù)相關(guān)方利益、保護(hù)資產(chǎn)，進(jìn)而提升客戶滿意度，提升核心競爭能力，最后才是為了滿足監(jiān)管部門的合規(guī)要求。當(dāng)然，目前國內(nèi)大部分銀行推動其業(yè)務(wù)連續(xù)性管理發(fā)展的核心源動力還是應(yīng)對監(jiān)管部門的監(jiān)管要求。一、 業(yè)務(wù)連續(xù)性管理的實(shí)踐按照國際慣例，BCM實(shí)踐模型分為9個(gè)步驟，分別是BCM規(guī)

3、劃、風(fēng)險(xiǎn)評估與控制、業(yè)務(wù)影響分析、業(yè)務(wù)連續(xù)性策略制定、應(yīng)急響應(yīng)與運(yùn)行、業(yè)務(wù)連續(xù)性計(jì)劃編制、認(rèn)知與培訓(xùn)、測試與演練、計(jì)劃維護(hù)。1、 BCM規(guī)劃BCM規(guī)劃的目標(biāo)是明晰并組織項(xiàng)目規(guī)劃各要素，并確認(rèn)制定業(yè)務(wù)連續(xù)性計(jì)劃所需的資源。此階段主要為BCM項(xiàng)目的啟動，按照銀監(jiān)會2011年104號文件要求，組織需設(shè)立相關(guān)組織架構(gòu)，并行使對應(yīng)職責(zé)。其中需注意的是一個(gè)好的BCM規(guī)劃或方案并不強(qiáng)求一定要建立相應(yīng)的組織，必要時(shí)可以和行內(nèi)現(xiàn)有組織重合，并賦予相應(yīng)職責(zé)即可。在業(yè)務(wù)連續(xù)性計(jì)劃制定過程中，分管行長作為高管層的代表，應(yīng)作為BCM規(guī)劃的主要負(fù)責(zé)人來進(jìn)行恢復(fù)工作，并且一定要得到董事會的授權(quán)和高管層的支持。BC經(jīng)理負(fù)責(zé)組

4、織各部門、各機(jī)構(gòu)，管理多個(gè)相互依賴的項(xiàng)目，具有組織召集會議的能力，并及時(shí)跟蹤及時(shí)匯報(bào)，保持在整個(gè)過程中使高管層了解項(xiàng)目的進(jìn)展情況。2、 風(fēng)險(xiǎn)評估與控制（簡稱RA）風(fēng)險(xiǎn)評估的目的是識別和確定風(fēng)險(xiǎn)，改進(jìn)現(xiàn)有控制措施，并需增加的控制措施，從而降低組織所面臨的風(fēng)險(xiǎn)。確定的風(fēng)險(xiǎn)作為后期編制預(yù)案時(shí)的場景設(shè)置因素。風(fēng)險(xiǎn)評估可采用風(fēng)險(xiǎn)評估模型，按照可能性（高中低）、嚴(yán)重性（高中低）兩重維度劃分，形成風(fēng)險(xiǎn)評估矩陣。后期應(yīng)急預(yù)案中場景設(shè)置應(yīng)覆蓋風(fēng)險(xiǎn)評估中風(fēng)險(xiǎn)級別較高的80%的風(fēng)險(xiǎn)。3、 業(yè)務(wù)影響分析（簡稱BIA） BIA是在風(fēng)險(xiǎn)分析的基礎(chǔ)上，分析業(yè)務(wù)功能依賴的重要信息系統(tǒng)資源、評估特定災(zāi)難場景下各種信息系統(tǒng)中斷產(chǎn)

5、生的經(jīng)濟(jì)損失和非財(cái)務(wù)因素影響。業(yè)務(wù)影響分析的結(jié)果主要有六項(xiàng)，分別是識別關(guān)鍵業(yè)務(wù)、確定關(guān)鍵業(yè)務(wù)的RPO/RTO、識別關(guān)鍵業(yè)務(wù)的相互依賴性、確定關(guān)鍵業(yè)務(wù)恢復(fù)的優(yōu)先級、確定關(guān)鍵業(yè)務(wù)所需的資源，并確定關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行是否有替代措施。在業(yè)務(wù)影響分析過程中，容易出現(xiàn)下列問題：（1） 業(yè)務(wù)部門都認(rèn)為自己的業(yè)務(wù)是最重要的。重要業(yè)務(wù)的認(rèn)定不應(yīng)該是由BC經(jīng)理或者某位高管來主觀認(rèn)定，BC經(jīng)理應(yīng)該通過定量經(jīng)濟(jì)損失、定性業(yè)務(wù)影響、業(yè)務(wù)貢獻(xiàn)度及監(jiān)管法律法規(guī)要求等分析指標(biāo)制定打分表，由各業(yè)務(wù)部門客觀分析其業(yè)務(wù)，最后由高管層依打分表評定。（2） 業(yè)務(wù)部門都想把自己所屬的業(yè)務(wù)盡快恢復(fù)，RPO、RTO要求近乎為零。不同的RPO、

6、RTO要求代表著不同的成本，對應(yīng)著不同的技術(shù)手段和策略，業(yè)務(wù)部門出具RPO、RTO要求，技術(shù)部門根據(jù)要求出具可行性分析和成本效益分析，通過高管層確定各業(yè)務(wù)條線的RPO、RTO值，同時(shí)必須滿足監(jiān)管要求。通過進(jìn)行風(fēng)險(xiǎn)評估和業(yè)務(wù)影響度分析，BCM小組分析、整理結(jié)果，完成RA/BIA分析報(bào)告，并向高管層匯報(bào)，獲得其對分析報(bào)告的認(rèn)可。4、 業(yè)務(wù)連續(xù)性策略的制定從業(yè)務(wù)和技術(shù)兩條線識別、梳理可用的業(yè)務(wù)連續(xù)性策略，首先保證所選策略滿足制定的RPO、RTO要求，其次是經(jīng)過成本效益分析進(jìn)行比較，根據(jù)組織的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)容忍度選擇業(yè)務(wù)連續(xù)性策略，并基于前期的業(yè)務(wù)影響分析結(jié)果驗(yàn)證策略的合理性和有效性，最終取得高管層的

7、批準(zhǔn)。常見的備選業(yè)務(wù)連續(xù)性策略包括：什么也不做，等災(zāi)難發(fā)生時(shí)再修復(fù)或重建將人員和工作轉(zhuǎn)移到存活的工作場所暫停時(shí)間不敏感的業(yè)務(wù)，并將人員及工作轉(zhuǎn)移到存活的工作場所簽定互惠協(xié)議建立專用的后備站點(diǎn)采用雙用途場所，例如會議室、培訓(xùn)室、自助餐廳燈作為內(nèi)部備用場地讓員工在家辦公（soho）選用第三方外包服務(wù)商，使用外部備用站點(diǎn)作為工作場所制定生產(chǎn)恢復(fù)策略制定重要記錄及進(jìn)行中工作的恢復(fù)策略常見的備選技術(shù)連續(xù)性策略包括：什么也不做，等災(zāi)難發(fā)生時(shí)再修復(fù)或重建開發(fā)手工臨時(shí)程序采用雙活數(shù)據(jù)中心簽定互惠協(xié)議（鄭州銀行與東莞銀行目前已經(jīng)簽署互惠協(xié)議，互相管理其災(zāi)備機(jī)房）采用主備技術(shù)外包整個(gè)技術(shù)環(huán)境（云計(jì)算等）與第三方服

8、務(wù)提供商/外包商（例如熱站，云計(jì)算）簽訂協(xié)議確認(rèn)恢復(fù)時(shí)所需的溫站（僅具備空調(diào)通風(fēng)、電力、硬件等設(shè)備）確認(rèn)恢復(fù)時(shí)所需的冷站（僅當(dāng)災(zāi)難發(fā)生時(shí)才配備設(shè)備）-目前國外小銀行在用確定為滿足RPO要求所需的數(shù)據(jù)恢復(fù)策略另外需要注意的是，并不是全采用高可用技術(shù)的恢復(fù)策略就是最好的，需要從多方面考慮。例如韓國某銀行中心主機(jī)房與災(zāi)備機(jī)房采用實(shí)時(shí)同步技術(shù)，未采用快照，結(jié)果黑客入侵中心機(jī)房，對核心數(shù)據(jù)做了刪除操作，導(dǎo)致災(zāi)備機(jī)房的數(shù)據(jù)同步刪除，造成很大的損失?；谶x定的業(yè)務(wù)連續(xù)性策略，分析、識別并確定在此策略相關(guān)的關(guān)鍵資源與應(yīng)急、持續(xù)和恢復(fù)程序等，主要包括關(guān)鍵人員/崗位、重要經(jīng)營場所、重要供應(yīng)商、關(guān)鍵設(shè)備或其他資源、

9、應(yīng)急響應(yīng)、業(yè)務(wù)持續(xù)和恢復(fù)程序及可能的臨時(shí)策略、手工程序和臨時(shí)應(yīng)對措施。5、 應(yīng)急響應(yīng)與運(yùn)行 應(yīng)急響應(yīng)的核心在于保護(hù)生命和穩(wěn)定事態(tài)。為應(yīng)對可能會影響組織的員工、來訪者或其他資產(chǎn)的緊急情形，制定好應(yīng)急預(yù)案，以保障組織能夠以協(xié)調(diào)一致的、及時(shí)有效的方式來響應(yīng)緊急情況。為了在事件發(fā)生前、事件發(fā)生時(shí)，以及事件發(fā)生后進(jìn)行有效的溝通，組織應(yīng)建立一個(gè)框架來開發(fā)和演練危機(jī)溝通計(jì)劃。通過與本地的、區(qū)域的和國家級的各類外部機(jī)構(gòu)協(xié)調(diào)工作，進(jìn)行相應(yīng)，連續(xù)性和恢復(fù)活動，確保組織滿足合規(guī)要求。應(yīng)急響應(yīng)中很重要的一個(gè)內(nèi)容就是危機(jī)溝通機(jī)制，危機(jī)溝通的要素包括：1、確定受危機(jī)影響的聽眾（社區(qū)公眾、外部機(jī)構(gòu)包括政府、監(jiān)管；外部群體包

10、括客戶、供應(yīng)商、合伙人等、內(nèi)部群體包括董事會、高層、員工）；2、根據(jù)目標(biāo)聽眾選取合適的發(fā)言人；3、確定主要的溝通信息；4、確定主要的溝通渠道和方式；5、主動溝通 信息。溝通信息的原則主要包括：1、清晰并容易理解；2、預(yù)先注意應(yīng)保密的信息；3、不斷的重復(fù)；4、針對聽眾特別關(guān)心的問題發(fā)言；5、與發(fā)給其他聽眾的信息結(jié)合；6、表達(dá)出理解聽眾的情緒；7、保持一致性；8、可以個(gè)性化的回答。6、 業(yè)務(wù)連續(xù)性計(jì)劃編制業(yè)務(wù)連續(xù)性計(jì)劃編制的步驟首先應(yīng)是成立計(jì)劃編制項(xiàng)目組，將重點(diǎn)業(yè)務(wù)部門人員涵蓋在內(nèi)，其次是確定業(yè)務(wù)連續(xù)性管理體系總體框架和主要覆蓋內(nèi)容，評估組織現(xiàn)有的業(yè)務(wù)連續(xù)性管理相關(guān)管理現(xiàn)狀（包括應(yīng)急管理、災(zāi)難備份

11、、風(fēng)險(xiǎn)管理、信息安全、聲譽(yù)公共關(guān)系、安全保衛(wèi)、人力資源等），然后根據(jù)差距分析，明確計(jì)劃編寫內(nèi)容，按小組分解進(jìn)行計(jì)劃編制。清晰簡練具有保存、備份及異地存儲規(guī)劃與供應(yīng)商協(xié)調(diào)配合具有完整的文檔并定期演練高管層的支持和承諾風(fēng)險(xiǎn)得到控制持續(xù)的完善并成為企業(yè)戰(zhàn)略決策的一部分對脆弱性（風(fēng)險(xiǎn)）進(jìn)行了分級具有適當(dāng)?shù)念A(yù)算具有一定的靈活性和適應(yīng)性7、 認(rèn)知和培訓(xùn)認(rèn)知和培訓(xùn)是為了增強(qiáng)如何準(zhǔn)備和應(yīng)對緊急情況的認(rèn)識和知識，了解這些緊急情況會對以下方面產(chǎn)生沖擊，包括組織、設(shè)施或場地、員工和供應(yīng)商或第三方，了解如何保護(hù)組織以及如何應(yīng)對突發(fā)事件將會增加組織的生存機(jī)會。將業(yè)務(wù)連續(xù)性管理融入企業(yè)文化，讓風(fēng)險(xiǎn)意識成為日常工作的一部分

12、。認(rèn)知和培訓(xùn)的成功要素包括：1、包含在新員工培訓(xùn)中；2、成為預(yù)算過程的一部分；3、明確各小組及其成員；4、成為員工年度考核的一部分；5、證明每個(gè)人都能回答有關(guān)BCM的問題；6、確保BCM成為企業(yè)文化的一部分。8、 測試與演練測試和演練的意義在于檢驗(yàn)物（包括設(shè)備、技術(shù)、服務(wù)器、通訊設(shè)備等）和人（撤離程序、呼叫樹、臨時(shí)應(yīng)對程序等）的可用性、有效性。演練和測試BC計(jì)劃的本質(zhì)目的并不是要知道它能否工作，而是要知道它為什么不能工作。測試和演練需要從簡單到復(fù)雜，從局部到整體，逐步深入，先動嘴（桌面演練），再動手（實(shí)戰(zhàn)演練）。測試和演練每年至少進(jìn)行一次，并需將外部機(jī)構(gòu)納入到測試演練的設(shè)計(jì)和實(shí)施中。9、 計(jì)劃

13、的審計(jì)和維護(hù)評估業(yè)務(wù)連續(xù)性計(jì)劃內(nèi)部、業(yè)務(wù)連續(xù)性計(jì)劃于整個(gè)業(yè)務(wù)連續(xù)性方案的其他部分之間、業(yè)務(wù)連續(xù)性計(jì)劃于組織當(dāng)前業(yè)務(wù)之間的一致性，通過預(yù)先明確的計(jì)劃變更程序，及時(shí)變更業(yè)務(wù)連續(xù)性管理體系的文件體系，維護(hù)并保持上述多方面的一致性。審計(jì)人員審計(jì)組織的BCM方案和規(guī)劃，比較常用且簡單的一個(gè)方法就是先通過方案中的呼叫樹，隨機(jī)撥打一個(gè)人的電話，驗(yàn)證電話號碼是否正確，然后與被調(diào)查人核實(shí)其手頭擁有的BCM方案或者應(yīng)急預(yù)案的版本號是否一致。二、 工作建議時(shí)間制度文號備注2006.08銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引銀監(jiān)發(fā)【2006】63號已廢止2007.05商業(yè)銀行操作風(fēng)險(xiǎn)管理指引銀監(jiān)發(fā)【2007】42號200

14、8.04銀行業(yè)重要信息系統(tǒng)突發(fā)事件應(yīng)急管理規(guī)范銀監(jiān)辦發(fā)【2008】53號2009.06商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引銀監(jiān)發(fā)【2009】19號2010.04商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引銀監(jiān)發(fā)【2010】114號2011.12商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引銀監(jiān)發(fā)【2011】104號通過比較監(jiān)管機(jī)構(gòu)的監(jiān)管要求脈絡(luò)，逐步從單一的信息科技風(fēng)險(xiǎn)管理深入到整個(gè)組織的業(yè)務(wù)連續(xù)性管理，而且2013年12月17日，源于ISO 22301的國標(biāo)GB/T30146正式發(fā)布，為商業(yè)銀行如何進(jìn)行業(yè)務(wù)連續(xù)性管理體系的建設(shè)提供了技術(shù)標(biāo)準(zhǔn)。目前，ISO 9700（質(zhì)量管理體系）+ISO 20000（IT標(biāo)準(zhǔn)服務(wù)）+ISO27000（信息安全管理體系）+ISO 22301（業(yè)務(wù)連續(xù)性管理體系）的四標(biāo)合一，逐步成為業(yè)內(nèi)的流行趨勢。具體建議主要包括以下幾點(diǎn)：1、 強(qiáng)化認(rèn)識，業(yè)務(wù)連續(xù)性管理是企業(yè)整體治理的重要組成部分。2、 理順關(guān)系，注重機(jī)制建設(shè)及職責(zé)體系的有效銜接