业务连续性管理(Business Continuity Management,简称BCM),是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订响应、业务和连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地响应非计划的业务破坏并降低不良影响。
指引要求的落地,可以考虑参考被业界广泛认可的来自业务连续性协会BCI的《业务连续管理良好实践指南》,并基于BSI的业务连续管理生命周期模型来实现,共分为六部分工作。
一、方针和方案管理:
推动组织实施业务连续性管理需要组织在实施初期启动一个业务连续性Program,这一阶段的初始目的是成功的完成一个BCM的生命周期,但是BCM方案管理的长期目标是提高组织的BCM能力,并因此通过实现连续的BCM生命周期循环,加强组织的运营弹性。一旦实施,如果BCM方案有效,则应制定持续改善的周期对其进行管理,在指引中明确规定了持续改善的周期是3年。
二、将BCM融入组织文化:
指引第九条指出,商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。
实现文化融入的方法和途径在BS 25999的3.3有明确的叙述。
三、理解组织:
理解组织主要由业务影响分析BIA,风险评估RA和连续性资源分析CRA三部分组成。
由于指引针对的是银行这个特定行业,因此在指引中也具体规定了“重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。”的具体要求。
四、确定BCM策略:
在商业银行具体实施指引过程中要求根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
五、制定和实施BCM响应:
指引中要求商业银行应该制定覆盖所有重要业务的业务连续性计划,并建立制定总体应急预案和重要业务专项应急预案。同时还强调了应当要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应当满足商业银行要求。另外根据银行业同业间的特点,特别强调了商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接问题。
六、演练、保持和评审:
指引强调商业银行应当开展业务连续性计划演练,以检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性,提高运营中断事件的综合处置能力。商业银行应当将外部供应商纳入演练范围并定期开展演练;同时,应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练,确保应急和协调措施的有效性。指引要求商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。
指引的最后部分强调指出了银监会对业务连续性管理的监管要求。指引中要求商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务连续性管理的评估报告与审计报告。此类报告的完成可以自行完成,但考虑到专业性和公信力的问题,银行也可以考虑请BSI这样对标准有深入理解,对行业有丰富经验的专业第三方公司或组织来进行。
今年5月15日第一个业务连续性管理国际标准ISO 22301 [2] 正式发布,该标准是BSI对行业的再一个重大的贡献。作为行业的领先者BSI目前已经在100多个国家进行了ISO 22301的前身BS 25999相关服务的推广,并在43个国家开展了BS 25999的认证业务。借助BSI在业务连续性管理方面丰富的经验,必将为提升银行业业务连续性能力做出贡献。
