内容提要•解读BCM1•BCM项目实施方法2•BCM实施难点与对策3•BCM实施策略讨论41内容提要•解读BCM1•BCM项目实施方法2•BCM实施难点与对策3•BCM实施策略讨论42何为BCM3业务连续性(BusinessContinuity):业务中断事件发生后,在预先确定的可接受水平上持续交付产品或提供服务的能力。•业务连续性管理(BusinessContinuityManagement)是一套整体的管理流程,用以:•识别潜在威胁,以及这些威胁对业务持续运行带来的影响;•建立有效应对威胁的自我恢复能力,•保护关键相关方的利益、声誉、品牌和创造价值的活动。BCM是一个跨多个专业领域的综合性体系45BCM标准发展新加坡标准SS540英国标准BS25999国际业务持续协会(BCI)《业务持续管理良好实践指南》BCMGPG理论基础理论基础升级中国国家标准GB/T301462013年12月17日正式发布国际标准ISO223012012年5月15日正式发布对应《商业银行业务连续性监管指引》2011年12月28日正式发布ISO22301标准全文结构64.组织环境5.领导力6.策划7.支持8.实施9.绩效评价10.改进理解组织及其环境理解相关方的需求和期望定义BCMS的范围BCMS领导力与承诺管理承诺方针应对风险和机会的措施业务连续性目标和实现计划资源能力意识沟通文件化信息实施策划与控制业务影响分析和风险评估业务连续性策略建立和实施业务连续性程序演练和测试监视、测量、分析和评价内部审计管理评审不合格项和纠正措施持续改进计划(Plan)执行(Do)检查(Check)改进(Action)组织角色、职责和权限监管指引与国际标准对应关系ISO22301:2012(GB/T30146-2013)《商业银行业务连续性监管指引》4组织环境5领导力6策划7.1资源7.4沟通7.5文件化信息9绩效评价10改进•第一章总则•第二章业务连续性组织架构7.2能力7.3意识•第一章总则(第九条)8.2业务影响分析和风险评估8.3业务连续性策略•第三章业务影响分析8.4建立和实施业务连续性程序•第四章业务连续性计划与资源建设•第六章运营中断事件应急处置8.5演练和测试•第五章业务连续性演练与持续改进-•第七章监管和处置7业务连续性与IT服务连续性8业务流程、业务活动IT服务(信息系统、IT基础设施)技术支撑业务连续性(BusinessContinuity):关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。业务不连续的后果:客户量/业务量减少、产品报废、合同违约、监管违规、财务损失、利益相关方施压、社会谴责(环境/健康等)、丧失竞争力、破产……业务连续性计划(BCP):从业务层面恢复中断的业务流程和活动。IT灾难恢复计划(ITDRP)、应急预案通常用于支撑BCP。IT服务连续性(ITServiceContinuity):关注于保障信息系统、IT基础设施持续运行。IT服务不连续的后果:•直接表现:IT基础设施瘫痪、信息系统停止服务;•间接表现:依赖IT系统的业务活动停滞,部分业务切换到人工操作。IT灾难恢复计划:将中断的IT系统服务恢复到可用状态,通常涉及灾备切换。应急预案:通常由一组具体的故障恢复场景构成,可能包含导致服务中断的严重故障,也有可能涉及未导致服务中断的一般故障。信息化技术越来越多地承载了组织的业务流程运行。业务连续性的恢复要求9•最长可容忍中断时间(MTPD,MaximumTolerablePeriodOfDisruption)交付产品、服务的业务流程与活动的最长可容忍中断时间。如果超出此时间限制,带来的负面影响将变得无法承受。•恢复时间目标(RTO)基于MTPD,在组织内部协商后制定的恢复时间目标值。RTO应小于MTPD(30%为宜)。组织应在假设的最坏场景下,通过演练、测试,验证自身达成RTO的实际能力。•最长可容忍数据丢失点(MTDL,MaximumTolerableDataLost)交付产品、服务的业务流程与活动中断后再次恢复时,能够容忍的数据丢失时长。即:将数据恢复到中断前多久的状态。•恢复点目标(RPO)基于MTDL,在组织内部协商后制定的恢复点目标值。RPO应小于MTDL(30%为宜)。组织应通过适当的备份机制,确保备份间隔时间小于RPO,并通过演练、测试,验证备份的有效性。业务最低运营要求•维持业务运营的最低性能与容量要求;•保证最核心的业务流程/活动/产品/服务/职能/区域恢复运行•通常会作为灾备建设依据业...
VIP
