BCM实施指南专题知识.pptx

内容提要1解读BCM2BCM项目实施方法3BCM实施难点与对策4BCM实施策略讨论1BCM实施指南专题知识第1页

内容提要1解读BCM2BCM项目实施方法3BCM实施难点与对策4BCM实施策略讨论2BCM实施指南专题知识第2页

何为BCM3业务连续性（BusinessContinuity）：

业务中止事件发生后，在预先确定可接收水平上连续交付产品或提供服务能力。业务连续性管理（BusinessContinuityManagement）是一套整体管理流程，用以：识别潜在威胁，以及这些威胁对业务连续运行带来影响；建立有效应对威胁自我恢复能力，保护关键相关方利益、声誉、品牌和创造价值活动。BCM实施指南专题知识第3页

BCM是一个跨多个专业领域综合性体系4BCM实施指南专题知识第4页

5BCM标准发展新加坡标准SS540英国家标准准BS25999国际业务连续协会（BCI）《业务连续管理良好实践指南》BCMGPG理论基础理论基础升级中国国家标准GB/T30146年12月17日正式公布国际标准ISO22301年5月15日正式公布对应《商业银行业务连续性监管指导》年12月28日正式公布BCM实施指南专题知识第5页

ISO22301标准全文结构64.组织环境5.领导力6.策划7.支持8.实施9.绩效评价10.改进了解组织及其环境了解相关方需求和期望定义BCMS范围BCMS领导力与承诺管理承诺方针应对风险和机会办法业务连续性

目标和实现计划资源能力意识沟通文件化信息实施策划与控制业务影响分析

和风险评定业务连续性策略建立和实施

业务连续性程序演练和测试监视、测量、分析和评价内部审计管理评审不合格项和纠正办法连续改进计划（Plan）执行（Do）检验（Check）改进（Action）组织角色、职责和权限BCM实施指南专题知识第6页

监管指导与国际标准对应关系ISO22301:（GB/T30146-）《商业银行业务连续性监管指导》4组织环境5领导力6策划7.1资源7.4沟通7.5文件化信息9绩效评价10改进第一章总则第二章业务连续性组织架构7.2能力7.3意识第一章总则（第九条）8.2业务影响分析和风险评定8.3业务连续性策略第三章业务影响分析8.4建立和实施业务连续性程序第四章业务连续性计划与资源建设第六章运行中止事件应急处置8.5演练和测试第五章业务连续性演练与连续改进-第七章监管和处置7BCM实施指南专题知识第7页

业务连续性与IT服务连续性8业务流程、业务活动IT服务

（信息系统、IT基础设施）技术支撑业务连续性（BusinessContinuity）：

关注于一个组织提供产品、服务业务流程、业务活动连续运行。业务不连续后果：客户量/业务量降低、产品报废、协议违约、监管违规、财务损失、利益相关方施压、社会训斥（环境/健康等）、丧失竞争力、破产……业务连续性计划（BCP）：从业务层面恢复中止业务流程和活动。IT灾难恢复计划（ITDRP）、应急预案通惯用于支撑BCP。IT服务连续性（ITServiceContinuity）：关注于保障信息系统、IT基础设施连续运行。IT服务不连续后果：直接表现：IT基础设施瘫痪、信息系统停顿服务；间接表现：依赖IT系统业务活动停滞，部分业务切换到人工操作。IT灾难恢复计划：将中止IT系统服务恢复到可用状态，通常包括灾备切换。应急预案：通常由一组详细故障恢复场景组成，可能包含造成服务中止严重故障，也有可能包括未造成服务中止普通故障。信息化技术越来越多地承载了组织业务流程运行。BCM实施指南专题知识第8页

业务连续性恢复要求9最长可容忍中止时间（MTPD,MaximumTolerablePeriodOfDisruption）

交付产品、服务业务流程与活动最长可容忍中止时间。

假如超出此时间限制，带来负面影响将变得无法承受。恢复时间目标（RTO）

基于MTPD，在组织内部协商后制订恢复时间目标值。RTO应小于MTPD（30%为宜）。

组织应在假设最坏场景下，经过演练、测试，验证本身达成RTO实际能力。最长可容忍数据丢失点（MTDL,MaximumTolerableDataLost）

交付产品、服务业务流程与活动中止后再次恢复时，能够容忍数据丢失时长。即：将数据恢复到中止前多久状态。恢复点目标（RPO）

基于MTDL，在组织内部协商后制订恢复点目标值。RPO应小于MTDL（30%为宜）。

组织应经过适当备份机制，确保备份间隔时间小于RPO，并经过演练、测试，验证备份有效性。BCM实施指南专题知识第9页

业务最低运行要求维持业务运行最低性能与容量要求；确保最关键业务流程/活动/产品/服务/职能/区域恢复运行通常会作为灾备建设依据业务运行