新闻资讯

从商业银行的业务连续性监管指引看BCM的发展

一、背景介绍
    2011年12月28日,中国银监会正式发布了《商业银行业务连续性监管指引》(以下简称“指引”或“监管指引”),对商业银行及相关金融机构的业务连续性管理工作提出了明确的要求。而在2012年的5月15日,国际标准化组织ISO正式发布了业务连续性管理 (Business Continuity Management,简称:BCM)的国际最新标准:ISO22301。作为它的前身,国际公认的由BSI发布的BCM英国标准BS25999也将于2012年9月正式被ISO22301所取代。
    以上国际国内的两则消息,透露出BCM领域的一个发展趋势:业务连续性的管理正受到各行各业的高度重视,越来越多的行业和机构将业务连续性管理工作纳入了机构日常运营管理的工作范围。《指引》的发布,标志着国内的银行业在业务连续性管理方面已经走在了最前沿,相信未来还会有更多的行业监管部门发布适合自己行业业务管理需要的业务连续性监管指引。
    在《指引》发布之前,实际上国内的业务连续性管理(BCM)工作已经走过了一段不短的历程:
    2003年9月:国信办发布了《关于加强信息安全保障工作的意见》,从保障信息安全的角度诠释了业务连续性管理的理念。
    2005年4月:国信办发布了《重要信息系统灾难恢复指南》,这是国内第一份针对灾难恢复的指南文件。
    2006年4月:中国人民银行发布了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》([2006]123号文件),在这份指导意见中第一次提到了业务连续性的概念(加强灾难恢复系统建设,提高业务持续运营能力)。
    2007年6月:国家标准《GB/T 20988-2007:信息系统灾难恢复规范》由国家标准化委员会正式发布,这份标准是在《重要信息系统灾难恢复指南》的基础上总结提炼而成的,也是国内第一个灾难恢复领域的国家标准。
    2008年2月:中国人民银行发布了《银行业信息系统灾难恢复管理规范》(JR/T0044-2008),这是国内金融行业发布的第一份针对灾难恢复和业务连续性的金融国家标准。
    在国内银行业,监管部门中国银监会从2006年至2011年也相继发布了以下的工作指引和管理规范:
    √ 2006年8月:《银行业金融机构信息系统风险管理指引》【2006】(63号)
    √ 2008年4月:《银行业重要信息系统突发事件应急管理规范(试行)》【2008】(53号)
    √ 2009年6月:《商业银行信息科技风险管理指引》
    √ 2010年4月:《商业银行数据中心监管指引》【2010】(114号)
    到了2011年12月:《商业银行业务连续性监管指引》【2011】(104号)的发布,标志着国家和行业监管部门对业务连续性的重视程度已经提升到了一 个新的高度。相信在未来的一段时间内,还会有更多的行业监管部门发布适合自己行业的业务连续性监管指引,指导各行业的业务连续性管理工作,从而提升整个国家和社会的风险防范水平。

二、商业银行业务连续性监管指引介绍
2.1 总体框架介绍

    中国银监会发布的《商业银行业务连续性监管指引》的总体框架如下图所示:


 

2.2 重点内容介绍
    整个《指引》包括八个章节的内容:

第一章:总则
    本章节是对本监管指引的总体描述。从总则中可以看到,本《指引》的关注点在于信息系统和信息科技与商业银行业务持续运营的关系,强调了“信息系统与信息科技是保障商业银行业务持续运营的重要基础”。整个总则主要从以下四个方面对商业银行的业务连续性管理工作提出了要求:
    1)体系化。《指引》的总则中明确提出:业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建立应急响应、恢复机制和管理能力框架,保障业务持续运营的一整套管理过程,包括了策略、组织架构、方法、标准和程序。《指引》同时要求商业银行应当将业务连续性管理纳入全面风险管理的体系中,建立与本机构战略目标相适应的业务连续性管理体系。
    2)企业文化。《指引》要求商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。
    3)以人为本。《指引》的基本原则中明确提出了以人为本的理念:坚持以人为本、重点保障人员安全。首次把人员安全的重要程度放在了系统安全的前面。
    4)重要业务。《指引》的总则对重要业务做了明确的定义:本指引所称重要业务是指面向客户、涉及账务处理、时效性要求高的银行业务,其运营服务中断会对商业银行产生较大经济损失或名誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益,国家安全造成严重影响的业务。

第二章:业务连续性组织架构
    《指引》将商业银行的业务连续性管理组织架构按照场景的不同划分为了以下两大类型:日常管理组织架构和应急处理组织架构,如下图所示:



    从上面的组织架构图中可以看到,商业银行的公司管理层已经被纳入了业务连续性管理的组织架构中,公司的董事会同时也是业务连续性管理组织架构的最高决策机构,同时“对业务连续性管理承担最终责任”。从这一点可以看出,《指引》已经把业务连续性管理工作确定为商业银行最重要的一部分工作内容。
    针对商业银行业务连续性管理工作的特点,《指引》在日常管理组织架构之外还增加了一个应急处置组织架构,强调了紧急情况下的工作要求和职责划分,使得商业银行的整个业务连续性组织架构能够更好地应对各种突发事件,更好地保障业务持续。

第三章:业务影响分析
    业务影响分析(BIA)是业务连续性管理的很重要的一部分工作内容。《指引》中详细描述了商业银行进行业务影响分析的方法和步骤,如下图所示:



    《指引》对商业银行的业务影响分析工作要求有以下几个关键点:
    ◆要求商业银行至少每三年要开展一次全面业务影响分析
    ◆识别重要业务,明确重要业务归口管理部门,所需关键资源及对应的信息系统,识别重要业务的相互依赖关系,分析评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失
    ◆原则上:重要业务恢复时间目标(RTO)不得大于4小时,重要业务恢复点目标(RPO)不得大于半小时
    ◆通过业务影响分析,确定信息系统RTO、信息系统RPO,明确信息系统重要程度恢复优先级别,并识别信息系统恢复所需的必要资源
    在上述业务影响分析的章节内容中,《指引》对商业银行的风险评估(RA)工作也作了一些定义和要求,包括:
    ◆识别业务连续运营所需的关键资源(包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等)
    ◆分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口
    ◆根据风险敞口制定降低、缓释、转移等应对策略
    ◆依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施
    从上面的描述中可以看到,《指引》对业务影响分析的工作要求已经细化到了可以操作的层面。商业银行按照上述要求,借助一些工具,已经能够很好地完成业务影响分析和分析评估的工作。

第四章:业务连续性计划与资源建设
    《指引》明确提出了商业银行的业务连续性计划(BCP)应当覆盖所有重要的业务,并包括以下主要内容:
    ◆重要业务及关联关系、业务恢复优先次序;
    ◆重要业务运营所需关键资源;
    ◆应急指挥和危机通讯程序;
    ◆各类预案以及预案维护、管理要求;
    ◆残余风险。
    《指引》还提出了总体应急预案和专项应急预案的概念,如下图所示:

 

 

    《指引》还明确定义了专项应急预案应包括的主要内容:
    ◆应急组织架构及各部门、人员在预案中的角色、权限、职责分工;
    ◆信息传递路径和方式;
    ◆运营中断事件处置程序,包括预警、报告、决策、指挥、响应、回退等;
    ◆运营中断事件处置过程中的风险控制措施;
    ◆运营中断事件的危机处理机制;
    ◆运营中断事件的内部沟通机制和联系方式;
    ◆运营中断事件的外部沟通机制和联系方式;
    ◆应急完成后的还原机制。
    在业务连续性的资源建设方面,《指引》给出了明确的指导意见,如下图所示:

 


    《指引》将业务连续性的资源建设工作划分了以下六个主要方面:关键资源建设、指挥中心场所建设、备用办公场所建设、备用场地建设、灾备中心建设和备份人员建设。其中的备用场地选择强调了“确保不会同时遭受同类型风险”,灾备中心的建设则强调了“满足银监会关于数据中心的相关监管要求”。

第五章:业务连续性计划演练与持续改进
    演练是维护业务连续性计划有效性的最重要的一种手段,《指引》对业务连续性计划的演练也提出了明确要求:



    《指引》从演练时间、演练目标和演练参与三个方面对商业银行的业务连续性演练提出了要求,其中的演练时间方面,要求至少每三年对全部重要业务进行一次业务连续性计划演练;演练目标方面,提出了“注重以真实业务接管为目标”;演练参与方面,提出了“将外部供应商纳入演练范围并定期开展演练”。
    在业务连续性计划的持续改进部分,《指引》主要从评估审计、日常监管和应急监管三个方面提出了要求,如下图所示:



    在应急监管部分,《指引》强调了:运营中断事件发生后2个小时内需上报,重大事件需上报国务院

第六章:运营中断事件应急处置
    在运营中断事件应急处置部分,《指引》主要从以下四个方面进行了描述:
    1)监测、预警和报告
    监测和预警工作是为了保证运营中断事件能够及时被发现,从而确保能够得到及时的处置,降低业务中断的时间和影响。《指引》要求商业银行建立运营中断事件的风险预警体系,设定风险预警指标,并纳入全行的风险预警体系中。
    在运营中断事件发生后,《指引》也规定了明确的报告机制,包括:按照报告路线在内部各部门及人员之间的报告,与业务运营的外包方、业务合作方之间的沟通、以及按照银监会有关报告要求,向银监会或其派出机构的报告等。
    2)运营中断事件处置
    《指引》提出了运营中断事件的十六字处置原则:“统一指挥、分类管理、分级处置、快速响应”,并要求商业银行制定运营中断事件等级划分标准,根据事件影响范围、持续时间和损失程度定义事件等级,开展应急响应处置工作。
    3)灾难恢复
    灾难恢复是应对导致运营中断的重大事件的一个有效手段,《指引》对商业银行面对重大灾难事件时的灾难恢复流程进行了规定,包括:迅速决策、技术验证、灾难备份切换、情况告知、运行情况监控、数据核对、测试验证等,并提出了“防止出现二次中断风险”的要求。
    4)危机处理
    《指引》要求商业银行应当建立危机处理机制,从维护客户关系、履行告知义务、维护客户合法权益出发,运用公共关系策略、方法,加强与客户、媒体的沟通,适时向公众发布信息,消除或降低危机所造成的负面影响。

第七章:监管与处置
    在本章节中,《指引》提出了“由银监会及其派出机构建立运营中断事件处置领导小组和工作小组”,并明确规定了领导小组和工作小组的主要职责。随后明确定义了运营中断事件的事件等级,包括以下三个等级:
    ◆特别重大运营中断事件(Ⅰ级)
    ◆重大运营中断事件(Ⅱ级)
    ◆较大运营中断事件(Ⅲ级)
    《指引》对上述三个等级的场景、影响和后续的处置工作都给出了明确的定义和要求。
    在持续监管部分,《指引》规定了“商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务连续性管理的评估报告与审计报告。”并要求商业银行“在完成业务连续性计划的全行性演练后,应当在45个工作日内向监管机构提交演练总结报告”。

第八章:附则
    本章节定义了本《指引》所适用的金融机构:
    本指引适用于在中华人民共和国境内依法设立的法人商业银行和农村合作银行、城市信用社、农村信用社。
    政策性银行、村镇银行、金融资产管理公司、信托公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司等其他银行业金融机构参照执行。

三、从指引看BCM的发展
    本次中国银监会发布的《商业银行业务连续性监管指引》强调了业务连续性管理(BCM)不仅是IT部门的工作职责,还需要由上而下地覆盖商业银行各个业务部门的日常工作。各商业银行的对外服务及支持对外服务的所有业务都必须建立配套的业务连续性计划,并通过内部审计等方式确保业务连续性计划的良好实施。
    从本次发布的《指引》中可以看到,信息系统在业务连续性管理中的作用是举足轻重的,这不仅是由于业务连续性管理脱胎于信息系统的灾难备份管理,更是由于信息系统故障所导致的业务中断在业务运行风险中是最常见也是最复杂的。因此,《指引》从业务连续性管理组织架构、执行层面、业务影响分析和风险评估、以及资源建设等方面强调了IT部门在业务连续性管理中的角色。
    本《指引》同时还强调了商业银行在遵从监管的过程中,在风险评估和业务影响分析、关键业务系统的判定、应急体系的组建、内部审核管理等方面都需要从各行的实际情况出发,制定符合各行需要的管理政策,不搞一刀切。从我国银行业的组成来看,国有五大银行、股份制商业银行、各城市商业银行、外资银行和其他银行业金融机构由于历史条件不同、管理理念差异、国家政策导向等关系,在业务连续性管理方面建设的成熟度差异很大,因此在《指引》的执行层面,也会面临不同的挑战。
    本次《指引》的发布让我们看到,BCM在国内已受到越来越多的重视,银行业已经走在了前面,率先将BCM纳入了商业银行的日常管理工作范围,并将相关的责任落到了商业银行的最高管理层的头上,确保了BCM工作在各个商业银行能够得到高度的重视。
    相信未来随着BCM理念的逐步推广和认可,会有越来越多的行业引入BCM理念和知识体系,建立符合公司业务发展需要的业务连续性管理体系,也会有越来越多的监管部门从保障业务持续的角度制定相应的规范和指引,指导行业机构的业务连续性管理工作,从而提升整个行业的风险防范水平。



    深圳市金慧科技数据服务有限公司(以下简称“金慧科技”)作为国内金融证券行业专业的灾备外包服务提供商,一直致力于为金融机构提供专业化的灾备外包运营服务。金慧科技从2004年至今,已经为数十家证券公司和基金公司提供了从BCM咨询、灾备系统建设到灾备系统运营的相关服务。2011年,金慧科技又与国际灾难恢复中国分会(DRIChina)建立了战略合作伙伴关系,借助DRIChina的BCM方面的资源和优势,共同为行业机构提供BCM咨询的相关服务。

四、结语
    末日之说的来源:
    幽深夜里,独坐于秘密的书斋
    黄铜三脚架之上
    幽暗的火苗微微闪烁
    难以置信的预言诞生了
    以上是享誉世界的著名占星家、预言家诺查丹玛斯(Nostradamus)在其传世巨著《诸世纪》中的第一首小诗。而从《死海古卷》到《圣经》,再到“玛雅人(Mayan)预言”;从唐朝李淳风、袁天罡所著的《推背图》,再到罗兰•艾默里奇(Roland Emmerich)的电影《2012》,仿佛都传递着一个令人恐怖的信息:世界末日快到了,人类将在2012年毁灭。
    2012年的12月21日,究竟会发生什么,我们现在还无从知道,其实也无法预知,但我们确实需要为这一天准备些什么。就像电影《2012》里的诺亚方舟一样,我们也需要为自己的将来提前准备船票了。
    业务连续性管理体系的建设,或许就是我们可以提前准备的船票。