第一篇:业务连续性计划实施方案
业务持续性计划实施方案
计划编制部门 质量中心 系统名称 财务管理系统、服务器、考勤管理系统 实
施
方
案
序 号 故障和 灾难描述 对关键业 务的影响 控 制 要 求(应急措施、系统恢复方法与步骤、时限要求等)责任分工 01 软件故障 无法访问核心数据、影响公司软件 开发和服务交付; 影响正常的财务业务操作及日常的运营管理。
首先要尝试能否进入安全模式,开机按 F8键,选择启动菜单里的第三项:Safe model(安全模式)。进入安全模式后,可以通过设备管理器和系统文件检查器来找寻故障,遇到有“!”号的可以查明正身再确定是否 del 或设置中断。也可以重装驱动程序,系统文件受损可以从安装文件恢复(建议事先就把 WINDOWS 的安装盘复制在硬盘里)。如果连安全模式都不能进入,就通过带启动的光盘或是软盘启动到 DOS,在 DOS 下先杀毒并且用 Dir 检查C盘内的系统文件是否完整,必要时可通过系统软盘进行 Sys C:,恢复相关的基本系统文件。如果 C 盘内没有发现文件,则只有对系统进行彻底重装。
IT 工程师完成,必要时请求软件供应商协助 02 病毒攻击 无法访问核心数据、影响公司软件 开发和服务交付; 影响正常的财务业务操作及日常的运营管理。
重新启动系统到 DOS,运行正版的杀毒软件(DOS 版)这样可以杀掉在 WINDOWS 下杀不了的病毒;而后再启动到系统桌面,运行杀毒软件的 WINDOWS 版本进行再杀毒。另一方面,由于病毒发作严重时会破坏一些文件;我们就在病毒发作之前把重要的文件备份到C盘之外其它驱动器,且把数据文件的属性设定为只读。
如上述依旧无效,按照软件故障车处置。
IT 工程师完成,必要时请求内部专家协助
03 硬件故障 无法访问核心数据、影响公司软件 开发和服务交付; 影响正常的财务业务操作及日常的运营管理。
首先确认外部连线和内部连线是否连接顺畅。外部连线有显示器,主机电源等。内部有主机电源和主机电源接口的连线(此处有时接触不良)。比较常见的原因是:显卡,内存由于使用时间过长,与空气中的粉尘长期接触,造成金手指上的氧化层,从而导致接触不良。对此,用棉花粘上适度的酒精来回擦拭金手指,待干后插回。除此外,观察 CPU 是否工作正常,开机半分钟左右,用手触摸 CPU 风扇的散热片是否有温度。有温度,则 CPU 坏掉的可能性就可基本排除。没温度就整理一下 CPU 的插座,确保接触到位。这之后还没温度,CPU 就可以升级了;除了上面的方法外,还有一招必杀技:用拔跳线的方法清除 BIOS 设置或更换主板的 CMOS 电池。当这些方法都尝试过并全部失败的话,立即联络供应商解决。
IT 工程师完成,必要时请求硬件供应商协助 04 火灾 无法访问核心数据、影响公司软件 开发和服务交付; 影响正常的财务业务操作及日常的运营管理。公司人员安全; 本公司办公楼安装了火灾自动报警系统及自动灭火系统,该系统具有自动、手动及机械应急操作三种启动方式。在自动状态下,当防护区发生火警时,火灾报警控制器接到防护区两独立火灾报警信号后立即发出联动信号。经过 30 秒时间延时,火灾报警控制输出信号,启动灭火系统,同时,报警控制器接收压力讯号器反馈信号,防护区内门灯显亮,避免人员误入。当防护区经常有人工作时,可以通过防护区门外的手动/自动转换开关,使系统自动状态转换到手状态,当防护区发生火警时,报警控制器只发出报警信号,不输出动作信号。由值班人员确认火警,按下控制面板或击碎防护区外紧急启动按钮,即可立即启动系统,喷发液体灭火剂。灭火完成后按照硬件故障逐一调试。
人资行政中心完成,必要时IT 工程师协助。
其他要求:无
拟制者:
***
日期:
2019 年 10 月 10 日
审
核:
***
日期:
2019 年 10 月 10 日
批
准:
***
日期:
2019 年 10 月 10 日
第二篇:业务连续性监管指引
商业银行业务连续性监管指引
第一章 总则
第一条 信息系统与信息科技是保障商业银行业务持续运营的重要基础。为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条 本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条 本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条 本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括:
(一)信息技术故障:信息系统技术故障、配套设施故障;
(二)外部服务中断:第三方无法合作或提供服务等;
(三)人为破坏:黑客攻击、恐怖袭击等;
(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条 商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条 商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条 商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配臵必要的资源,有效处臵运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条 业务连续性管理的基本原则是:
(一)切实履行社会责任,保护客户合法权益、维护金融秩序;
(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处臵有效结合;
(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;
(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第九条 商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。
第二章 业务连续性组织架构
第一节 日常管理组织架构
第十条 董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。主要职责包括:
(一)审核和批准业务连续性管理战略、政策和程序;
(二)审批高级管理层业务连续性管理职责,定期听取高级管理层关于业务连续性管理的报告,监督、评价其履职情况;
(三)审批业务连续性管理审计报告。
第十一条 高级管理层负责执行经董(理)事会批准的业务连续性管理政策。主要职责包括:
(一)制定并定期审查和监督执行业务连续性管理政策、程序;
(二)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;
(三)确保配臵足够的资源保障业务连续性管理的实施。
第十二条 商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会,统筹协调、落实各项管理职责。
第十三条 商业银行应当指定风险管理部门或其他综合管理部门为业务连续性管理主管部门,组织开展全行业务连续性管理工作,指导、评估、监督各部门的业务连续性管理工作;组织制定业务连续性计划,协调业务条线部门,汇总、确定重要业务的恢复目标和恢复策略;组织开展业务连续性计划的演练、评估与改进;开展业务连续性管理培训等。
第十四条 商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。
第十五条 商业银行应当明确业务连续性管理保障部门,包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等,为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。其中,公共关系部门应当制定对外媒体公关策略,制定和执行对外媒体公关的应急预案。
第十六条 商业银行各部门应当负责本部门业务连续性管理工作,制定相关规章制度,制定和执行本部门业务连续性计划,开展本部门业务连续性计划的演练、评估与改进工作。
第十七条 商业银行内部审计部门应当负责并定期开展全行业务连续性管理审计工作。
第二节 应急处臵组织架构
第十八条 商业银行应当建立运营中断事件应急处臵的组织架构,包括应急决策层、应急指挥层、应急执行层和应急保障层。
第十九条 应急决策层由商业银行高级管理人员组成,负责决定应急处臵重大事宜,包括:决定运营中断事件通报、对外报告和公告;批准启动总体应急预案等。
第二十条 应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门负责人组成,负责运营中断事件处臵应急指挥和组织协调,督导应急处臵实施。
第二十一条 应急执行层由商业银行业务连续性管理执行部门组成,负责业务条线与信息技术应急处臵工作。
第二十二条 应急保障层由商业银行业务连续性管理保障部门组成,负责应急处臵所需人力、物力和财力等资源的保障,应急处臵对外报告、宣告、通报和沟通与协调,以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。
第三章 业务影响分析
第二十三条 商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析,并形成业务影响分析报告。
第二十四条 商业银行应当识别重要业务,明确重要业务归口管理部门、所需关键资源及对应的信息系统,识别重要业务的相互依赖关系,分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。
第二十五条 商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本,结合业务服务时效性、服务周期等运行特点,确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO),原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。
第二十六条 商业银行应当明确业务重要程度和恢复优先级别,并识别重要业务恢复所需的必要资源。
第二十七条 商业银行应当通过分析业务与信息系统的对应关系、信息系统之间的依赖关系,根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO),明确信息系统重要程度和恢复优先级别,并识别信息系统恢复所需的必要资源。
第二十八条 商业银行应当开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。
第二十九条 商业银行应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施。
第三十条 商业银行应当根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
第三十一条 商业银行应当依据业务恢复策略,确定灾难恢复资源获取方式和灾难恢复等级。
第四章 业务连续性计划与资源建设
第一节 业务连续性计划
第三十二条 商业银行应当依据业务恢复目标,制定覆盖所有重要业务的业务连续性计划。
第三十三条 业务连续性计划的主要内容应当包括:
(一)重要业务及关联关系、业务恢复优先次序;
(二)重要业务运营所需关键资源;
(三)应急指挥和危机通讯程序;
(四)各类预案以及预案维护、管理要求;
(五)残余风险。
第三十四条 商业银行应当制定总体应急预案。总体应急预案是商业银行应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处臵程序。总体预案通常用于处臵导致大范围业务运营中断的事件。
第三十五条 商业银行应当制定重要业务专项应急预案,专项应急预案应当注重灾难场景的设计,明确在不同场景下的应急流程和措施。业务条线的专项应急预案,应当注重调动内部资源、采取业务应急手段尽快恢复业务,并和信息科技部门、保障部门的应急预案有效衔接。
第三十六条 专项应急预案的主要内容应当包括:
(一)应急组织架构及各部门、人员在预案中的角色、权限、职责分工;
(二)信息传递路径和方式;
(三)运营中断事件处臵程序,包括预警、报告、决策、指挥、响应、回退等;
(四)运营中断事件处臵过程中的风险控制措施;
(五)运营中断事件的危机处理机制;
(六)运营中断事件的内部沟通机制和联系方式;
(七)运营中断事件的外部沟通机制和联系方式;
(八)应急完成后的还原机制。
第三十七条 商业银行应当要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应当满足商业银行要求。
第三十八条 商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接;同时,应当积极采取风险缓释及转移措施,有效控制由于外部机构业务连续性管理不充分可能产生的风险。
第二节 业务连续性资源建设
第三十九条 商业银行应当开展业务连续性计划所需的资源建设,满足业务恢复目标和重要业务持续运营的要求。
第四十条 商业银行应当重点加强信息系统关键资源的建设,实现信息系统的高可用性,保障信息系统的持续运行并减少信息系统中断后的恢复时间。
第四十一条 商业银行应当设立统一的运营中断事件指挥中心场所,用于应急决策、指挥与联络,指挥场所应当配臵办公与通讯设备以及指挥执行文档、联系资料等。
第四十二条 商业银行应当建立符合业务连续性管理要求的备用资源,如备用业务和办公场所资源、备用信息系统运行场所资源、备用信息技术资源、备用人力资源等,以及电力、通讯、消防、安保等资源。
第四十三条 商业银行选择备用场地时,应当确保不会同时遭受同类型风险;应当综合分析备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素,以及灾难恢复所需的金融服务、通讯、设备、技术等外部服务供应商资源情况。
第四十四条 商业银行在建立备用业务和办公场所时,应当配备业务操作和办公所需资源,并确保其能够迅速启用。
第四十五条 商业银行应当建立灾备中心等备用信息技术资源和备用信息系统运行场所资源,并满足银监会关于数据中心相关监管要求。
第四十六条 商业银行应当明确关键岗位的备份人员及其备份方式,并确保备份人员可用,降低关键岗位人员无法及时履职风险。
第五章 业务连续性演练与持续改进
第一节 业务连续性计划演练
第四十七条 商业银行应当开展业务连续性计划演练,检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性,提高运营中断事件的综合处臵能力。
第四十八条 制定业务连续性演练计划时,商业银行应当考虑业务的重要性和影响程度,包括客户范围、业务性质、业务时效性、经济与非经济影响等,演练频率、方式应当与业务的重要性和影响程度相匹配。
第四十九条 商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。
第五十条 商业银行应当加强业务应急预案的演练,重点加强业务和信息科技部门的协调、配合;应当注重以真实业务接管为目标,确保灾备系统能够有效接管生产系统并具备安全回切能力。
第五十一条 商业银行应当将外部供应商纳入演练范围并定期开展演练;同时,应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练,确保应急和协调措施的有效性。
第五十二条 商业银行应当对业务连续性计划的演练过程进行完整记录,及时总结、评估和改进。
第二节 业务连续性管理评估与改进
第五十三条 商业银行应当建立业务连续性管理体系持续改进机制。
第五十四条 商业银行应当至少每年对业务连续性管理体系的完整性、合理性、有效性组织一次自评估,或者委托第三方机构进行评估,并向高级管理层提交评估报告。
第五十五条 商业银行应当每年对业务连续性管理文档进行修订,内容应当包含重要业务调整、制度调整、岗位职责与人员调整等,确保文档的真实性、有效性。
第五十六条 商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。
第五十七条 在业务功能或关键资源发生重大变更时,商业银行应当及时对业务连续性计划进行修订。
第五十八条 商业银行应当每年对本行业务连续性管理进行审计,每三年至少开展一次全面审计,发生大范围业务运营中断事件后应当及时开展专项审计。
第五十九条 商业银行业务连续性管理审计的内容应当包括:业务影响分析、风险评估、恢复策略及恢复目标的合理性和完整性;业务连续性计划的完整性和可操作性;业务连续性计划演练过程及报告的真实性和有效性;业务连续性管理相关部门及人员的履职情况等。
第六章 运营中断事件应急处臵
第一节 监测、预警与报告
第六十条 商业银行应当建立运营中断事件的风险预警体系,设定风险预警指标,并纳入全行风险预警体系中。
第六十一条 商业银行应当建立业务运营的监测体系及监控机制,对信息系统运行环境进行日常监测,采取自动化措施重点加强对业务运行情况的监控。
第六十二条 商业银行应当建立关键时点的监测与预警机制,在重大业务和社会活动等关键时点,或在业务功能、关键资源发生重大变更时,加强风险监控和预警。业务条线部门与信息科技部门等相关部门之间应当相互通报信息、提示风险,协同做好应急准备。
第六十三条 发生运营中断事件后,商业银行应当及时进行沟通和报告,包括:按照报告路线在内部各部门及人员之间的报告,与业务运营的外包方、业务合作方之间的沟通、以及按照银监会有关报告要求,向银监会或其派出机构的报告等。
第二节 运营中断事件处臵
第六十四条 商业银行应当制定运营中断事件等级划分标准,根据事件影响范围、持续时间和损失程度定义事件等级,开展应急响应处臵工作。
第六十五条 运营中断事件应急处臵应当遵循“统一指挥、分类管理、分级处臵、快速响应”的原则,在全行统一指挥下高效、有序应对;应当根据事件等级实施差别化处臵,必要时可以越级汇报、紧急授权,保障信息传递和决策的及时性,将影响或损失最小化。
第六十六条 商业银行应当及时、有效地响应运营中断事件,对事件影响进行评估,确定事件等级,及时启动应急预案,确保业务快速恢复,防止事态升级或恶化。
第六十七条 商业银行在实施应急处臵时,应当采取以下措施:
(一)加强运营中断事件处臵中的对外沟通,开展告知、解释与安抚工作,最大程度降低负面影响;
(二)对重要业务可以通过减少服务功能、缩小服务范围、利用替代系统、手工记账、利用他行支付渠道等多种手段进行业务应急处臵;
(三)采用程序化和标准化的手段,提高信息技术应急处臵的效率和质量。
第六十八条 商业银行应当为应急处臵做好场地、交通、通讯、资金等后勤保障工作。
第六十九条 商业银行应当对运营中断事件应急处臵过程进行完整记录。
第三节 灾难恢复
第七十条 对于导致或可能导致大范围业务运营中断的事件,商业银行应当迅速决策,确定是否实施灾难备份切换。
第七十一条 商业银行应当事先对备份资源进行技术验证,确保其可用性;在实施灾难备份切换时,信息科技部门应当向业务条线部门告知可能出现的数据损失情况,并对备份系统的运行情况实施监控,预警并防止出现二次中断风险。
第七十二条 商业银行在灾难备份切换、回切时,业务条线部门应当对中断时的重要业务数据进行核对,并在信息科技部门配合下,对丢失的数据进行追补;同时,应当进行测试和验证,确保交易的可靠性。
第四节 危机处理
第七十三条 商业银行应当建立危机处理机制,从维护客户关系、履行告知义务、维护客户合法权益出发,运用公共关系策略、方法,加强与客户、媒体的沟通,适时向公众发布信息,消除或降低危机所造成的负面影响。
第七十四条 商业银行应当指定专门部门负责危机处理工作,加强舆情监测、信息沟通和发布。
第七十五条 商业银行应当制定针对社会公众、媒体、股东、客户等相关各方的预案,在运营中断事件发生时及时、准确披露信息,防止因信息不对称可能产生的负面影响。
第七十六条 商业银行应当实时关注舆情信息,及时澄清虚假信息或不完整信息,消除社会疑虑,化解纠纷。
第七章 监管和处臵
第一节 监管处臵
第七十七条 银监会及其派出机构建立运营中断事件处臵领导小组和工作小组。
(一)领导小组主要职责为:
1.领导和指挥银行业运营中断事件处臵工作;
2.审批银行业运营中断事件处臵预案;
3.最终认定银行业运营中断事件等级,决定是否启动处臵预案;
4.对银行业运营中断事件重大处臵措施进行决策;
5.协调跨行业、跨部门共同开展的处臵工作重大事项;
6.对银行业运营中断事件处臵的对外信息发布进行决策。
(二)工作小组主要职责为:
1.制定银行业运营中断事件处臵预案;
2.对银行业金融机构运营中断事件进行监管处臵;
3.向处臵领导小组报告运营中断事件、重大处臵事项及事件进展情况;
4.依授权对外发布信息;
5.协调跨行业、跨部门资源。
第七十八条 银监会建立银行业信息科技风险预警体系,对可能导致银行业发生较大运营中断事件的风险进行分析和评估,进行风险提示和预警。
第七十九条 银监会及其派出机构对银行业运营中断事件进行分级。当运营中断事件同时满足多个级别的定级条件时,按最高级别确定事件等级。
(一)特别重大运营中断事件(Ⅰ级)
1.银行业金融机构重要信息系统服务中断,或重要数据损毁、丢失、泄露,造成经济秩序混乱或重大经济损失、影响金融稳定,或对公众利益、社会秩序、国家安全造成特别严重损害的事件;
2.在业务服务时段导致一个(含)以上省(自治区、直辖市)的多家金融机构业务无法正常开展达3个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达3个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(二)重大运营中断事件(Ⅱ级)
1.银行业金融机构重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成严重损害的事件;
2.在业务服务时段导致一个(含)以上省(自治区、直辖市)的多家金融机构业务无法正常开展达半个小时(含)以上的事件;
3.在业务服务时段导致单家金融机构两个(含)以上省(自治区、直辖市)业务无法正常开展达半个小时(含)以上,或一个省(自治区、直辖市)业务无法正常开展达3个小时(含)以上的事件;
4.业务服务时段以外,故障或事件救治未果、可能产生上述1至3类事件的事件。
(三)较大运营中断事件(Ⅲ级)
1.银行业金融机构重要信息系统服务中断,或重要数据损毁、丢失、泄露,对银行或客户利益造成较大损害的事件;
2.在业务服务时段导致一个省(自治区、直辖市)业务无法正常开展达半个小时(含)以上的事件;
3.业务服务时段以外,故障或事件救治未果、可能产生上述1至2类事件的事件。
第八十条 按照属地监管原则,银监会派出机构在商业银行运营中断事件发生后2小时内,将事件及处臵情况上报银监会处臵工作小组。事件报告至少包括:事发银行及事件发生时间、地点、现象、影响范围和程度、已采取的措施等。
银监会处臵工作小组应当将重大以上运营中断事件上报银监会运营中断事件处臵领导小组。
第八十一条 银监会根据国家有关网络与信息安全事件应急预案要求向相关部门通报运营中断事件;对其他行业有较大影响的运营中断事件,可以向该行业主管或监管部门通报事件情况;对于特别重大(Ⅰ级)的运营中断事件,将事件及处臵情况及时上报国务院。
第八十二条 银监会及其派出机构对商业银行报送的事件内容和事件等级进行分析、评估,认定运营中断事件的最终等级,及时启动处臵预案,实施运营中断事件监管处臵工作。
第八十三条 对于较大(Ⅲ级)运营中断事件,按照属地监管原则,由银监会或其派出机构组织开展处臵工作,处臵结束后银监会派出机构向银监会上报运营中断事件总结报告。
第八十四条 对于特别重大(Ⅰ级)和重大(Ⅱ级)运营中断事件,银监会处臵工作小组及时核实情况,指导协调银监会派出机构开展处臵;根据事件影响范围、紧急程度和事件处臵进展情况,银监会处臵工作小组可以赴事发银行现场进行督导。
第八十五条 银监会及其派出机构督导商业银行采取措施尽快恢复系统和业务,最大程度减少事件产生的负面影响。必要时,可以协调国家专业技术队伍或外部专家提供技术支援。
第八十六条 银监会及其派出机构督导商业银行积极采取风险隔离措施,防止事件恶化或向其他银行业金融机构扩散。对可能影响其他银行业金融机构业务开展或对银行业产生区域性、整体性影响的事件,银监会及其派出机构及时发布风险提示,加强风险防范。
第八十七条 银监会及其派出机构督促商业银行开展危机处理,做好舆情监测和媒体沟通,做好合理宣传解释工作,防止不实信息导致银行业金融机构声誉风险。涉及行业性运营中断事件处臵情况通报时,由银监会按照信息披露程序统一对外发布信息。
第八十八条 银监会及其派出机构加强与相关部门和监管机构的协作,协调各方力量开展处臵工作。
第八十九条 商业银行业务恢复正常运行后,应当将运营中断事件及其处臵工作的评估、总结和改进报告报送银监会或其派出机构。银监会或其派出机构对事件进行评估和现场调查,查明事件原因,进行责任认定。
第二节 持续监管
第九十条 银监会及其派出机构将商业银行业务连续性管理纳入其风险管理综合评估范围。
第九十一条 银监会及其派出机构对商业银行业务连续性管理工作进行监督和检查,对业务连续性工作进行综合评价,提出监管要求。
第九十二条 商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一业务连续性管理的评估报告与审计报告。
第九十三条 银监会及其派出机构对商业银行业务连续性管理报告进行审查,督导商业银行建立与其风险管控目标、机构规模、公众影响和所承担的社会责任相匹配的业务连续性管理体系。
第九十四条 银监会及其派出机构对商业银行业务连续性管理报告进行审查时,要综合考虑商业银行机构规模、业务范围以及风险状况。重点关注以下方面:
(一)业务连续性管理体系的完整性和合理性;
(二)业务连续性管理的实施情况;
(三)业务连续性计划的演练情况;
(四)业务连续性管理评估的完整性和准确性,审计覆盖领域和深度;
(五)业务连续性管理在执行过程中存在的问题及其整改情况。
第九十五条 商业银行在完成业务连续性计划的全行性演练后,应当在45个工作日内向监管机构提交演练总结报告。
第九十六条 商业银行业务连续性管理机制存在重大缺陷、日常管理工作存在严重违规的,因违反审慎经营规则导致业务运营中断的,或在运营中断事件中应急处臵不力导致事件恶化、蔓延的,银监会或其派出机构依法采取监管措施并追究有关责任人的责任。
第八章 附则
第九十七条 本指引适用于在中华人民共和国境内依法设立的法人商业银行和农村合作银行、城市信用社、农村信用社。
政策性银行、村镇银行、金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司等其他银行业金融机构参照执行。
第九十八条 本指引由中国银监会负责解释、修订。
第九十九条 本指引自公布之日起执行。
第三篇:某行2015业务连续性报告
抚顺某银行关于2015年 业务连续性评估报告
各支行(部)、分理处:
为全面了解我行业务连续性管理工作现状,巩固当前业务连续性管理成果,及时总结上一相关工作的开展情况,经董事会审议通过,现将我行2015业务连续性工作自评估报告下发给你们,请组织学习:
根据监管机构及省联社相关的通知要求,我行开展了“2015年业务连续性管理评估”的工作,现将自我评估情况汇报如下:
一、总体评价
我行重视业务连续性的管理,坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合。完善业务连续性管理日常组织构架,建立业务连续性管理工作责任人制度,从而保证业务连续性管理各项工作的顺利进行。
各网点内控合规部作为各网点业务连续性管理牵头部门负责组织落实辖内各项业务连续性管理工作,协同运营财务管理部、电子银行部、综合部、稽核监保部等各网点业务连续性管理的主要关联部门共同完成此次自我评估工作。
二、管理体系建设
为进一步完善我行业务连续性管理组织体系,确保业务连续性管理工作的高效开展,根据相关规定,建立完整的组织管理体系,明确业务业务连续性管理的牵头部门及各部门职责,明确应急处置组织架构。
三、预案建设及演练情况
我行注重应急预案的建设,要求各牵头部门不断完善应急预案,提高预案的可操作性,并指导和组织本条线开展应急演练,切实提高突发事件处置能力。
各牵头部门按照总各网点紧急突发事件处置和管理的相关要求,对照本条线应急预案进行梳理,不断完善预案体系,明确相关部门和人员的责任,进一步提高应急预案的完备性、合理性及可操作性。各网点下属各单位重视预案演练工作,在牵头部门的指导和组织下开展各项应急演练工作,确保各项演练目标的有效实现,逐步提高我行应急处置工作能力和水平。
1、各单位严格按照总各网点紧急重大事项报告制度要求和报告流程,对于符合各网点强调的紧急重大事项报告范围的,一经发现,应立即向各网点办公室及相关管理部门、单位负责人双线报告,不得迟报、瞒报。
2、各网点办公室做好网络舆情的监测和处置工作,对可能引发银行业系统性、区域性风险和社会不稳定事件的信息加强预警和分析,及时按应急预案要求报告并采取有效措施,避免负面信息进一步扩散,将负面影响降到最低。
在每重要活动如“两会期间”、“金融知识进万家活动”期间,我行均按照银监局及省联社的要求,提前做好各项服务保障应急预案。
3、进一步加强各网点服务投诉的管理工作。各网点相关部门加强对柜员和大堂经理进行优质服务专项培训,规范了服务投诉处理的方式方法和工作流程,并做好服务投诉处理的演练工作。
4、各网点业务营运部根据总行要求,逐步完善营运业务的各项预案和准备工作,针对各种物理和人为的突发事件,进一步加强对营运人员的应急培训和全面演练工作,保证业务的连续性,并做好客户安抚、媒体应对等相关全面工作。
5、各网点科技及安全人员严格落实信息系统运行、维护及应急处置等各项管理制度,对网点网络、操作终端设备、备份线路、UPS系统等运行中存在的故障和隐患进行严密排查,并及时予以排除,确保我行系统安全稳定运行及应急情况下持续运行。
6、稽核部持续加强各网点防火、防盗、防抢等突发恶性事件应急预案的培训和演练工作,每季度至少保持一次以上的“防抢劫、防盗窃,防诈骗,保护金融资产安全”的“三防一保”演练及消防安全知识培训,各单位演练力求接近实战,提高各单位应对和处置能力。同时,各网点安保部结合演练的实际情况,逐步完善和优化安保方面的应急预案。
7、各网点各部门按各网点各项应急预案的管理要求,层层落实,并根据各部门及各支行的实际情况,制定具体的预案措施并落实专人负责,按照各项预案进行操作和演练,并做好相关书面记录和报告,根据实际操作情况,加强信息交流和反馈,对各项预案提出意见和建议。
2016年3月16日
第四篇:业务实施方案
陕西移动陕西省社区矫正信息系统
技术方案
目录 2 技术方案.............................................................................................3 功能简介.............................................................................................3 业务流程.............................................................................................9
技术方案
1.1平台组网
1.2 设备配置
1.3 接口说明(涉及其他系统关联的接口说明)
1.3.1 LBMP接口:定位接口 1.3.2 GB接口:订购关系接口 1.3.3 短信:系统下发短信接口
1.3.4 E1:语音中继,声纹识别做外呼接口 功能简介
2.1 工作提醒
用户登录系统后,可以在工作提醒界面上浏览当前工作的提示信息,包括:
当日待接收人数 当日须报到人数 当日逾期未报到人数 当日须上交思想汇报人数
当日逾期未上交思想汇报人数 当日应解除矫正人数 未来30日内应解除矫正人数 待查收新信息条数 待查阅新文件条数 2.2 帐号管理
司法行政管理系统的管理员(由专人负责)可以根据实际需要在帐号管理功能下添加、修改、删除系统用户的帐号信息。
2.3 基础数据
司法行政管理系统用户可以在此功能下查询基础业务数据,包括: 下属单位个数 下属工作人员数
正在进行社区矫正的服刑人员数 已经解除社区矫正的前服刑人员数 正在进行社区矫正的管制人员数 正在进行社区矫正的缓刑人员数
正在进行社区矫正的暂予监外执行人员数 正在进行社区矫正的假释人员数
正在进行社区矫正的剥夺政治权利人员数 2.4 人员接收
进行司法行政管理系统的监管对象信息录入和档案管理,包括:
2.4.1 服刑人员接收
用户接收由其它司法机关移交过来的社区矫正服刑人员信息与档案,可以进行相应的添加、修改、删除操作,并在进行确认后接收。其人员信息中的手机号码必须先在BOSS注册计费SIM卡号,并签署相关的合同。
2.4.2 自行接收
用户在特定情况下可以自行将社区矫正服刑人员的信息与档案接收进司法行政管理系统,可以进行相应的添加、修改和删除操作,并在确认后接收。其人员信息中的手机号码必须先在BOSS注册计费SIM卡号,并签署
相关的合同。
2.4.3 矫正档案管理
用户对系统接收的社区矫正服刑人员基础档案进行管理,包括: 法律文书
社区矫正宣告书
接受社区矫正保证书
监督考查小组
社区服刑人员登记表
社区服刑人员首次谈话笔录
矫正方案
社区矫正监护责任书 社区矫正志愿者帮教协议书
法定不批准出境人员通报备案通知书 2.5 矫正措施
用户进行日常的社区矫正工作和记录,包括:2.5.1 监督考察 监督考察记录
日常报到记录 思想汇报记录
请假申批表(七天以下) 请假申批表(七天以上) 迁居审批记录(不跨区) 迁居审批记录(跨区县) 走访情况记录 脱管及死亡记录
异地委托管理 其它暂存资料
2.5.2 教育矫正 个别谈话记录
集中思想记录 公益劳动记录
心理矫正记录
帮困解难记录
就业情况记录
2.5.3 奖惩考核 日常考核记录 月评分记录 奖惩记录 积极分子记录 处遇等级记录 2.6 档案查询
用户查询社区矫正服刑人员的档案正卷和副卷,包括:2.6.1 正卷
刑事判决书、决定书、执行通知书
社区矫正宣告书
社区服刑人员登记表
接受社区矫正保证书
社区服刑人员矫正方案
社区矫正监护责任书
社区矫正志愿者帮教协议书 社区服刑人员奖惩审批表及相关材料 社区服刑人员奖励(处罚)通知书
社区服刑人员考核材料 脱管及死亡记录 服刑人员异地委拖管理
社区服刑人员期满鉴定表
服刑人员矫正期满合议表
社区矫正期满宣告书
2.9.1 声纹数据管理
用户对管辖范围内的社区矫正服刑人员进行声纹采集和管理,并将声纹数据保存在对应的数据库中。
2.9.2 声纹识别
用户随时可以对管辖范围内的社区矫正服刑人员发起声纹识别请求,在此请求下,系统拨打用户的手机并要求用户根据提示进行声纹实时采集,将采集的声纹数据和数据库中保存的服刑人员声纹数据进行比较并给出比较结果,据此判定声源是否来自于服刑人员本人。
2.10 对象监控
2.10.1 定位监控
即时定位:系统用户随时对社区矫正服刑人员进行定位,并通过地图和文本方式显示被监管对象的位置;
历史轨迹:系统用户进行社区服刑人员的历史轨迹查询。用户可以根据需要设定时间段和定位频率;
电子围栏:用户在地图上设定社区服刑人员的监管区域;
短信发送:用户可以根据需要向社区服刑人员的手机上发送短信息。
2.10.2 报警查询
用户一旦对社区服刑人员进行了电子围栏的划定,则系统会显示所有超出此区域的用户信息和时间;
2.10.3 定位查询
默认情况下,系统对每个社区服刑人员进行1次/每小时的定位,并将数据存在历史数据库中,用户可以通过地图或文本形式对社区服刑人员的位置信息进行查询。
2.11 信息管理
用户可以接收或发送在司法行政管理系统内部的互传信息,包括: 信息上报:用户向上级主管部门编辑并发送信息; 信息下发:用户向管辖范围内的下级部门编辑并发送信息; 上级信息:用户接收来自上级主管部门的信息; 下级信息:用户接收来自下级部门的汇报信息;
表格下载:用户可以下载常用的业务表格和相关文档。2.12 政策法规
用户查阅与司法行政管理相关的政策法规和最新消息,包括: 法律法规 相关规定 工作动态 2.13 审批评议
用户对权限范围内的社区矫正业务进行审批和评议,包括: 日奖惩考核审批 月度奖惩考核审批 社区服刑人员奖惩审批 社区服刑人员请假申请审批 社区服刑人员迁居审批 社区矫正积极分子审批
社区服刑人员矫正期满合议表审批 社区服刑人员期满鉴定审批 业务流程
3.1 司法行政开户业务流程
开户业务流程主体角色:司法行政管理用户
地市级司法行政管理部门(司法局)与辽宁移动公司签订书面协议 移动的营业厅BOSS系统开户登记SIM卡号作为集团计费号N开户是否成功Y BOSS系统通过车务通平台把集团计费号、SIM卡号、用户名及密码同步给车务通司法行政管理系统 司法行政管理用户通过用户名和密码登陆车务通司法行政管理系统 司法行政管理用户通过车务通司法行政管理系统,将社区矫正服刑人员手机号码录入到平台并同步给LBMP平台 LBMP平台返回同步的结果(成功、失败)给车务通司法行政管理系统结束
步骤1:在辽宁移动签订车务通业务合作协议书办理车务通司法行政管理系统业务。
步骤2:在辽宁移动营业厅BOSS系统进行开户,受理车务通司法行政管理系统产品业务,办理SIM卡号作为计费号码。(集团下受理1个成员(辽宁SIM卡号),正常办理CELLID终端套餐),该号码仅作计费号码,实际不会对其定位。
步骤3:营业厅开户成功后,BOSS系统把司法行政管理部门(地市级司法局)开户的数据(如:地市级司法局的集团计费号、SIM卡号、登录用户名、密码)同步给车务通,车务通再把数据同步给车务通司法行政管理系统。
步骤4:地市级司法局用户通过辽宁移动提供的用户名和密码登陆车务通司法行政管理系统,输入及修改基础数据。
步骤5:地市级司法局用户使用车务通司法行政管理系统的录入接口,将社区矫正服刑人员手机号码信息录入或批量导入到车务通司法行政管理系统,进行信息确认后通过LBMP实时接口,将社区矫正服刑人员手机号码同步给LBMP平台,完成开户。
3.2 司法行政销户业务流程
销户业务流程主体角色:司法行政管理用户
司法行政管理部门(地市级司法局)与辽宁移动公司解除协议移动BOSS系统销户N销户是否成功Y LBMP将被销户号码同步到车务通司法行政管理系统 司法行政管理系统将该司法行政管理部门(地市级司法局)停用结束
步骤1:与辽宁移动解除车务通业务合作协议。步骤2:在辽宁移动营业厅BOSS系统进行销户。
步骤3:LBMP平台将销户号码同步到车务通司法行政管理系统。步骤4:车务通司法行政管理系统将该地市级司法管理行政用户停用。3.3 被监管对象管理业务流程
被监管对象管理业务流程主体角色:司法行政管理用户
司法行政管理部门(地市级司法局)到移动营业厅办理服刑人员监管开户手续并提交有关文件通过用户名和密码登录车务通司法行政管理系统,输入服刑人员信息及手机号系统判断该人员是否已注册YN系统提供人员信息录入窗口,录入人员信息系统自动显示该人员信息服刑人员手机注册成功系统向服刑人员手机发送短信“您已被司法行政管理部门监管”结束
步骤1:司法行政管理部门注册社区矫正服刑人员手机。
步骤2:到辽宁移动营业厅办理服刑人员手机注册,并提交相关文件。步骤3:车务通司法行政管理系统提供服刑人员手机信息录入窗口,录入人员手机号码的基本信息。
步骤4:车务通司法行政管理系统通过手机号码判断该人员是否已注册过该手机号码。
步骤5:分支—:该人员已被注册过,车务通司法行政管理系统显示
该用户的已注册信息。
分支二:该人员未被注册过,车务通司法行政管理系统提供
服刑人员信息录入窗口,由司法行政管理用户录入该服刑人员相关信息。注册成功后,系统向服刑人员的手机发送短信“您已被司法行政管理部门进行位置监管”
3.4 监控定位业务流程
监控定位业务流程主体角色:司法行政管理用户
司法行政管理部门(地市级司法局)通过用户名和密码登陆车务通司法行政管理系统在列表中选择服刑人员或根据姓名、手机号码进行查询,系统返回查询结果司法行政管理用户为该人员设定监控计划,确定定位时间、频率和监控区域。系统返回监控计划设定成功页面,司法行政管理用户可以查询到该人员的实时位置及历史轨迹系统日志记录最终的定位结果、发送方、时间等信息结束
步骤1:司法行政管理用户登录司法行政管理系统。
步骤2:用户在车务通司法行政管理系统页面列表中选择需要设定定位计划的人员,或根据姓名、手机号码等条件进行查询,系统返回查询结果。
步骤3:用户通过车务通司法行政管理系统页面对该人员设定监控计划,确定定位时间、频率及报警区域。
步骤4:车务通司法行政管理系统返回该人员监控计划设定成功页面,司法行政管理用户可以查询到该人员的实时位置和轨迹。
步骤5:车务通司法行政管理系统日志记录最终的定位结果、发送方、时间等信息。
第五篇:银行业务连续性计划实施报告
XXX银行
2017年业务连续性计划实施报告
尊敬的行领导: 根据XXX银行重要业务连续性计划,我行在2017按照计划先后成功开展了三次模拟真实业务,贴近实战的应急演练。演练检验了灾难备份系统的可用性,验证了灾难切换的及时性和有效性,提升我行对突发事件的协同处置能力,检验了业务连续性计划的可用性,也促使我们不断更新完善业务连续性计划,现将业务连续性实施情况汇报如下:
一、基本情况
(一)业务连续性计划
为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断的重要业务,提高业务连续性管理能力,确保各项重要业务的连续性、高效性,我行于XXXX年制定了业务连续性计划。该计划中明确了业务连续性组织架构及职责,明确了我行重要业务系统,确定了业务恢复优先次序,制定了重要业务恢复目标,包含了各类突发事件的应急预案,制定了业务连续性计划演练的内容、流程及频率。
(二)灾难备份系统建设情况
我行于XXXX年XX月将核心业务系统托管于XXXXXX,同年XX月在XXXXXX建设了同城灾备中心,对核心业务系统、柜面业务系统、IC卡系统实现了、二代支付系统实现了应用级灾难备份,达到第五级灾备水平,RP0实现数据零丢失,RTO达到小于4小时。在XXX建立了数据级灾备对核心业务进行数据级备份,RPO小于等于24小时。
二、业务连续性计划实施情况
业务连续性计划测试与演练包含应急执行小组应急处理的有效性,故障解决的准确性,进行生产系统灾难恢复后的正确性与运行效率检验,使用用灾备系统接管系统服务后的正确性与运行效率,外部资源的协调情况等。由应急执行小组制定了演练方案,联合外包商由各成员按照演练计划、演练时间安排进行测试演练。
(一)二代支付系统应急切换演练
为保障XXX银行信息系统安全、可靠、稳定运行,提高应对各类信息系统突发事件的能力,X月XX日组织开展了二代支付系统应急演练。本次演练包括应用系统、网络系统等各类故障的应急处置。作为一年一度的应急演练,本次演练在往年基础上进行了完善补充,内容更加全面,场景更加真实,整个演练过程成功,达到了预期目的。
(二)核心系统、XXX柜面系统、XX系统切换演练 X月XX日凌晨X点到X点XX分,在总行科技信息部、风险管理部、运行管理部、零售业务部等部门与XXXX公司配合完成了对核心业务系统、XXX柜面业务系统、XXX系统、业务网络的同城灾备切换演练。本次演练模拟XXXX数据中心发生灾难性事件,启用XXX灾备中心进行生产,演练完成后,将业务回切到XXX数据机房。本次演练业务验证采用真实银行卡和银行账户进行测试,灾备切换和回切后的业务 验证均取得了成功。本次演练贴近实战场景,验证了同城灾备环境的可用性,同时通过演练检验了在重大突发事件发生时,我行的应急恢复团队能够按照应急处理预案中的角色分配,快速处理故障。
(三)流动性风险应急演练
X月XX日,由计划财务部牵头组织开展了流动性风险应急演练。本次演练由计划财务部牵头,董事会办公室、风险管理部、行政办公室、运行管理部、科技信息部、金融市场部、审计部、小微金融部、公司业务部、零售业务部积极配合并全程参与。前期准备阶段各部(室)多次协调,研究制定演练方案,推敲演练细节,共同制定了方案。演练场景一是网点搬迁,部分客户不知情,造成不良舆论,提前支取存款,产生挤兑,现金库存告急;演练场景二是同业市场资金紧张无法通过正回购筹借资金,导致我行流动资金紧张,资金缺口XX亿元,该信息被误传,大批储户围堵营业机构,要求提取存款,各网点现金库存告急。
通过此次演练,实战检验了我行流动性风险管理能力,对进一步增强流动性风险意识、提高流动性风险管理水平具有积极的推动作用。
三、下一步工作及建议
本按照业务连续性计划开展了几次应急演练取得了圆满成功,提高了我行业务连续性管理能力,下一步的业务连续性计划工作还有:
(一)修订业务连续性计划
我行使用的业务连续性计划是XXXX制定,在核心系统托管后,部分业务模式发生了变化,需要对业务连续性计划进行修订,要确保该计划的切实可行,最好专门指派一个或多个员工来履行业务连续性计划的编制以及定期测试和维护这个计划的职责。
(二)业务连续性计划的学习
业务连续性计划是一套基于业务运行规律的管理要求和规章流程,使一个组织在突发事件面前能够迅速作出反应,以确保关键业务功能可以持续,而不造成业务中断或业务流程本质的改变,它包含了确定关键业务、确定支持关键业务的资源和系统、估计潜在的灾难事件、选择计划策略、如何实施策略、测试和修订计划等方面。我行业务连续性计划方面还未与专业人才,需要培养一名或多名业务连续性计划的专业人才,可参加灾难恢复协会的相关培训,充实我行专业人才队伍。
(三)网银系统的应急切换演练
由于我行的网银同城灾备系统于XXXX年XX月完成建设,上一次的重要信息系统应急切换演练未包含网银系统,下一步需要制定网银系统的灾备应急切换演练的计划和方案。
科技信息部
2017年XX月XX日