商业银行业务连续性监管指引
为加强商业银行风险管理,提高业务连续性管理能力,促进商业银行有效履行社会责任,维护公众信心和银行业正常的运营秩序,银监会制定了《商业银行业务连续性监管指引》。
颁布时间年12月28日
实施时间年12月28日
发布单位中国银行业监督管理委员会
印发号银监发〔〕号
适用于国有银行、股份制商业银行等
内容简介
第一章总则
第一条
信息系统与信息科技是保障商业银行业务持续运营的重要基础。为降低或消除因信息系统服务异常导致重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和银行业正常运营秩序,提高商业银行业务连续性管理能力,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及相关法律法规,制定本指引。
第二条
本指引所称业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第三条
本指引所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对商业银行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第四条
本指引所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致信息系统服务异常、重要业务停止运营的事件。主要包括:
(一)信息技术故障:信息系统技术故障、配套设施故障;
(二)外部服务中断:第三方无法合作或提供服务等;
(三)人为破坏:黑客攻击、恐怖袭击等;
(四)自然灾害:火灾、雷击、海啸、地震、重大疫情等。
第五条
商业银行应当将业务连续性管理纳入全面风险管理体系,建立与本机构战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第六条
商业银行应当根据本行业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第七条
商业银行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。
第八条
业务连续性管理的基本原则是:
(一)切实履行社会责任,保护客户合法权益、维护金融秩序;
(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;
(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;
(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第九条
商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。
第二章业务连续性组织架构
第一节日常管理组织架构
第十条
董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。主要职责包括:
(一)审核和批准业务连续性管理战略、政策和程序;
(二)审批高级管理层业务连续性管理职责,定期听取高级管理层关于业务连续性管理的报告,监督、评价其履职情况;
(三)审批业务连续性管理年度审计报告。
第十一条
高级管理层负责执行经董(理)事会批准的业务连续性管理政策。主要职责包括:
(一)制定并定期审查和监督执行业务连续性管理政策、程序;
(二)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;
(三)确保配置足够的资源保障业务连续性管理的实施。
第十二条
商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会,统筹协调、落实各项管理职责。
第十三条
商业银行应当指定风险管理部门或其他综合管理部门为业务连续性管理主管部门,组织开展全行业务连续性管理工作,指导、评估、监督各部门的业务连续性管理工作;组织制定业务连续性计划,协调业务条线部门,汇总、确定重要业务的恢复目标和恢复策略;组织开展业务连续性计划的演练、评估与改进;开展业务连续性管理培训等。
第十四条
商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。
第十五条
商业银行应当明确业务连续性管理保障部门,包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等,为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。其中,公共关系部门应当制定对外媒体公关策略,制定和执行对外媒体公关的应急预案。
第十六条
商业银行各部门应当负责本部门业务连续性管理工作,制定相关规章制度,制定和执行本部门业务连续性计划,开展本部门业务连续性计划的演练、评估与改进工作。
第十七条
商业银行内部审计部门应当负责并定期开展全行业务连续性管理审计工作。
第二节应急处置组织架构
第十八条
商业银行应当建立运营中断事件应急处置的组织架构,包括应急决策层、应急指挥层、应急执行层和应急保障层。
第十九条
应急决策层由商业银行高级管理人员组成,负责决定应急处置重大事宜,包括:决定运营中断事件通报、对外报告和公告;批准启动总体应急预案等。
第二十条
应急指挥层由商业银行的业务连续性管理主管部门、执行部门和保障部门负责人组成,负责运营中断事件处置应急指挥和组织协调,督导应急处置实施。
第二十一条
应急执行层由商业银行业务连续性管理执行部门组成,负责业务条线与信息技术应急处置工作。
第二十二条
应急保障层由商业银行业务连续性管理保障部门组成,负责应急处置所需人力、物力和财力等资源的保障,应急处置对外报告、宣告、通报和沟通与协调,以及对外媒体公关、秩序维护、安全保障、法律咨询和人员安抚等相关工作。
第三章业务影响分析
第二十三条
商业银行应当通过业务影响分析识别和评估业务运营中断所造成的影响和损失,明确业务连续性管理重点,根据业务重要程度实现差异化管理,确定各业务恢复优先顺序和恢复指标。商业银行应当至少每三年开展一次全面业务影响分析,并形成业务影响分析报告。
第二十四条
商业银行应当识别重要业务,明确重要业务归口管理部门、所需关键资源及对应的信息系统,识别重要业务的相互依赖关系,分析、评估各项重要业务在运营中断事件发生时可能造成的经济损失和非经济损失。
第二十五条
商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本,结合业务服务时效性、服务周期等运行特点,确定重要业务恢复时间目标(业务RTO)、业务恢复点目标(业务RPO),原则上,重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。
第二十六条
商业银行应当明确业务重要程度和恢复优先级别,并识别重要业务恢复所需的必要资源。
第二十七条
商业银行应当通过分析业务与信息系统的对应关系、信息系统之间的依赖关系,根据业务恢复时间目标、业务恢复点目标、业务应急响应时间、业务恢复的验证时间,确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO),明确信息系统重要程度和恢复优先级别,并识别信息系统恢复所需的必要资源。
第二十八条
商业银行应当开展业务连续性风险评估,识别业务连续运营所需的关键资源,分析资源所面临的各类威胁以及资源自身的脆弱性,确定资源的风险敞口。关键资源应当包括关键信息系统及其运行环境,关键的人员、业务场地、业务办公设备、业务单据以及供应商等。
第二十九条
商业银行应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制的原则与措施。
第三十条
商业银行应当根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
第三十一条
商业银行应当依据业务恢复策略,确定灾难恢复资源获取方式和灾难恢复等级。
第四章业务连续性计划与资源建设
第一节业务连续性计划
第三十二条
商业银行应当依据业务恢复目标,制定覆盖所有重要业务的业务连续性计划。
第三十三条
业务连续性计划的主要内容应当包括:
(一)重要业务及关联关系、业务恢复优先次序;
(二)重要业务运营所需关键资源;
(三)应急指挥和危机通讯程序;
(四)各类预案以及预案维护、管理要求;
(五)残余风险。
第三十四条
商业银行应当制定总体应急预案。总体应急预案是商业银行应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。
第三十五条
商业银行应当制定重要业务专项应急预案,专项应急预案应当注重灾难场景的设计,明确在不同场景下的应急流程和措施。业务条线的专项应急预案,应当注重调动内部资源、采取业务应急手段尽快恢复业务,并和信息科技部门、保障部门的应急预案有效衔接。
第三十六条
专项应急预案的主要内容应当包括:
(一)应急组织架构及各部门、人员在预案中的角色、权限、职责分工;
(二)信息传递路径和方式;
(三)运营中断事件处置程序,包括预警、报告、决策、指挥、响应、回退等;
(四)运营中断事件处置过程中的风险控制措施;
(五)运营中断事件的危机处理机制;
(六)运营中断事件的内部沟通机制和联系方式;
(七)运营中断事件的外部沟通机制和联系方式;
(八)应急完成后的还原机制。
第三十七条
商业银行应当要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应当满足商业银行要求。
第三十八条
商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接;同时,应当积极采取风险缓释及转移措施,有效控制由于外部机构业务连续性管理不充分可能产生的风险。
第二节业务连续性资源建设
第三十九条
商业银行应当开展业务连续性计划所需的资源建设,满足业务恢复目标和重要业务持续运营的要求。
第四十条
商业银行应当重点加强信息系统关键资源的建设,实现信息系统的高可用性,保障信息系统的持续运行并减少信息系统中断后的恢复时间。
第四十一条
商业银行应当设立统一的运营中断事件指挥中心场所,用于应急决策、指挥与联络,指挥场所应当配置办公与通讯设备以及指挥执行文档、联系资料等。
第四十二条
商业银行应当建立符合业务连续性管理要求的备用资源,如备用业务和办公场所资源、备用信息系统运行场所资源、备用信息技术资源、备用人力资源等,以及电力、通讯、消防、安保等资源。
第四十三条
商业银行选择备用场地时,应当确保不会同时遭受同类型风险;应当综合分析备用场地所在地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素,以及灾难恢复所需的金融服务、通讯、设备、技术等外部服务供应商资源情况。
第四十四条
商业银行在建立备用业务和办公场所时,应当配备业务操作和办公所需资源,并确保其能够迅速启用。
第四十五条
商业银行应当建立灾备中心等备用信息技术资源和备用信息系统运行场所资源,并满足银监会关于数据中心相关监管要求。
第四十六条
商业银行应当明确关键岗位的备份人员及其备份方式,并确保备份人员可用,降低关键岗位人员无法及时履职风险。
第五章业务连续性演练与持续改进
第一节业务连续性计划演练
第四十七条
商业银行应当开展业务连续性计划演练,检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性,提高运营中断事件的综合处置能力。
第四十八条
制定业务连续性演练计划时,商业银行应当考虑业务的重要性和影响程度,包括客户范围、业务性质、业务时效性、经济与非经济影响等,演练频率、方式应当与业务的重要性和影响程度相匹配。
第四十九条
商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,也应当开展业务连续性计划的专项演练。
第五十条
商业银行应当加强业务应急预案的演练,重点加强业务和信息科技部门的协调、配合;应当注重以真实业务接管为目标,确保灾备系统能够有效接管生产系统并具备安全回切能力。
第五十一条
商业银行应当将外部供应商纳入演练范围并定期开展演练;同时,应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练,确保应急和协调措施的有效性。
第五十二条
商业银行应当对业务连续性计划的演练过程进行完整记录,及时总结、评估和改进。
第二节业务连续性管理评估与改进
第五十三条
商业银行应当建立业务连续性管理体系持续改进机制。
第五十四条
商业银行应当至少每年对业务连续性管理体系的完整性、合理性、有效性组织一次自评估,或者委托第三方机构进行评估,并向高级管理层提交评估报告。
第五十五条
商业银行应当每年对业务连续性管理文档进行修订,内容应当包含重要业务调整、制度调整、岗位职责与人员调整等,确保文档的真实性、有效性。
第五十六条
商业银行在开发新业务产品时,应当同步考虑是否将其纳入业务连续性管理范畴。对纳入业务连续性管理的,应当在上线前制定业务连续性计划并实施演练。
第五十七条
在业务功能或关键资源发生重大变更时,商业银行应当及时对业务连续性计划进行修订。
第五十八条
商业银行应当每年对本行业务连续性管理进行审计,每三年至少开展一次全面审计,发生大范围业务运营中断事件后应当及时开展专项审计。
第五十九条
商业银行业务连续性管理审计的内容应当包括:业务影响分析、风险评估、恢复策略及恢复目标的合理性和完整性;业务连续性计划的完整性和可操作性;业务连续性计划演练过程及报告的真实性和有效性;业务连续性管理相关部门及人员的履职情况等。
第六章运营中断事件应急处置
第一节监测、预警与报告
第六十条
商业银行应当建立运营中断事件的风险预警体系,设定风险预警指标,并纳入全行风险预警体系中。
第六十一条
商业银行应当建立业务运营的监测体系及监控机制,对信息系统运行环境进行日常监测,采取自动化措施重点加强对业务运行情况的监控。
第六十二条
商业银行应当建立关键时点的监测与预警机制,在重大业务和社会活动等关键时点,或在业务功能、关键资源发生重大变更时,加强风险监控和预警。业务条线部门与信息科技部门等相关部门之间应当相互通报信息、提示风险,协同做好应急准备。
第六十三条
发生运营中断事件后,商业银行应当及时进行沟通和报告,包括:按照报告路线在内部各部门及人员之间的报告,与业务运营的外包方、业务合作方之间的沟通、以及按照银监会有关报告要求,向银监会或其派出机构的报告等。
第二节运营中断事件处置
第六十四条
商业银行应当制定运营中断事件等级划分标准,根据事件影响范围、持续时间和损失程度定义事件等级,开展应急响应处置工作。
第六十五条
运营中断事件应急处置应当遵循“统一指挥、分类管理、分级处置、快速响应”的原则,在全行统一指挥下高效、有序应对;应当根据事件等级实施差别化处置,必要时可以越级汇报、紧急授权,保障信息传递和决策的及时性,将影响或损失最小化。
第六十六条
商业银行应当及时、有效地响应运营中断事件,对事件影响进行评估,确定事件等级,及时启动应急预案,确保业务快速恢复,防止事态升级或恶化。
第六十七条
商业银行在实施应急处置时,应当采取以下措施:
(一)加强运营中断事件处置中的对外沟通,开展告知、解释与安抚工作,最大程度降低负面影响;
(二)对重要业务可以通过减少服务功能、缩小服务范围、利用替代系统、手工记账、利用他行支付渠道等多种手段进行业务应急处置;
(三)采用程序化和标准化的手段,提高信息技术应急处置的效率和质量。
第六十八条
商业银行应当为应急处置做好场地、交通、通讯、资金等后勤保障工作。
第六十九条
商业银行应当对运营中断事件应急处置过程进行完整记录。
第三节灾难恢复
第七十条
对于导致或可能导致大范围业务运营中断的事件,商业银行应当迅速决策,确定是否实施灾难备份切换。
第七十一条
商业银行应当事先对备份资源进行技术验证,确保其可用性;在实施灾难备份切换时,信息科技部门应当向业务条线部门告知可能出现的数据损失情况,并对备份系统的运行情况实施监控,预警并防止出现二次中断风险。
第七十二条
商业银行在灾难备份切换、回切时,业务条线部门应当对中断时的重要业务数据进行核对,并在信息科技部门配合下,对丢失的数据进行追补;同时,应当进行测试和验证,确保交易的可靠性。
第四节危机处理
第七十三条
商业银行应当建立危机处理机制,从维护客户关系、履行告知义务、维护客户合法权益出发,运用公共关系策略、方法,加强与客户、媒体的沟通,适时向公众发布信息,消除或降低危机所造成的负面影响。
第七十四条
商业银行应当指定专门部门负责危机处理工作,加强舆情监测、信息沟通和发布。
第七十五条
商业银行应当制定针对社会公众、媒体、股东、客户等相关各方的预案,在运营中断事件发生时及时、准确披露信息,防止因信息不对称可能产生的负面影响。
第七十六条
商业银行应当实时