业务连续性培训心得.pdf
《业务连续性培训心得.pdf》由会员分享,可在线阅读,更多相关《业务连续性培训心得.pdf(10页珍藏版)》请在三一文库上搜索。
1、. word 专业资料 业务连续性培训心得 业务连续性: 在中断事件发生后, 组织在预先确定的可接受水平 上连续交付产品或提供服务的能力,实质是确保关键业务在规定时间 内恢复到非正常时期最低可接受的程度。 业务连续性管理:Business Continuity Management(简称 BCM )识别对组织的潜在威胁以及这些威胁一旦发生可能对业务运 行带来的影响的一整套管理过程。 该过程为组织建立有效应对威胁的 自我恢复能力提供了框架,以保护关键相关方的利益、声誉、品牌和 创造价值的活动。 所谓业务连续性, 并不是规避或躲避风险, 而是在灾难发生的时 候通过一系列的管理手段如何把损失降低到最
2、小,也就是避免遭受更 大的损失。业务连续性管理工作不能简单做成一个常规项目,所谓项 目是有开始,有结束,有边界,领导的支持和资源是有限度的,但是 业务连续性管理应该是一个管理的闭环,是一个持续不断改进的管理 过程,应当贯彻到日常管理工作中去。 业务连续性方案管理和计划编制的目的本质上首先应该是为了确 保组织对外服务和关键业务持续运行问题和数据安全,保护人员、保 护声誉、保护相关方利益、保护资产,进而提升客户满意度,提升核 心竞争能力,最后才是为了满足监管部门的合规要求。当然,目前国 内大部分银行推动其业务连续性管理发展的核心源动力还是应对监 管部门的监管要求。 一、 业务连续性管理的实践 .
3、word 专业资料 按照国际惯例, BCM 实践模型分为 9 个步骤,分别是BCM 规 划、风险评估与控制、业务影响分析、业务连续性策略制定、应急响 应与运行、业务连续性计划编制、认知与培训、测试与演练、计划维 护。 1、BCM 规划 BCM 规划的目标是明晰并组织项目规划各要素,并确认制定业 务连续性计划所需的资源。此阶段主要为BCM 项目的启动,按照银 监会 2011 年 104 号文件要求,组织需设立相关组织架构, 并行使对 应职责。其中需注意的是一个好的BCM 规划或方案并不强求一定要 建立相应的组织, 必要时可以和行内现有组织重合,并赋予相应职责 即可。 在业务连续性计划制定过程中,
4、分管行长作为高管层的代表, 应 作为 BCM 规划的主要负责人来进行恢复工作,并且一定要得到董事 会的授权和高管层的支持。BC 经理负责组织各部门、各机构,管理 多个相互依赖的项目, 具有组织召集会议的能力, 并及时跟踪及时汇 报,保持在整个过程中使高管层了解项目的进展情况。 2、风险评估与控制(简称RA) 风险评估的目的是识别和确定风险,改进现有控制措施, 并需增 加的控制措施, 从而降低组织所面临的风险。 确定的风险作为后期编 制预案时的场景设置因素。 风险评估可采用风险评估模型,按照可能 性(高中低)、严重性(高中低)两重维度划分,形成风险评估矩阵。 . word 专业资料 高 影 响
5、低 低频率高 自然灾害 -火灾、水灾、恐怖天气 人为灾害 -恐怖行动,恶意破坏 安全破坏 -电脑黑客 服务中断攻击 病毒攻击 内部安全 /欺诈 软件故障 硬件故障 计划内停工 电源 /网络故障 应用程序故障 后期应急预案中场景设置应覆盖风险评估中风险级别较高的 80%的风险。 3、业务影响分析(简称BIA) BIA 是在风险分析的基础上,分析业务功能依赖的重要信息系 统资源、评估特定灾难场景下各种信息系统中断产生的经济损失和非 财务因素影响。 业务影响分析的结果主要有六项,分别是识别关键业 务、确定关键业务的RPO/RTO 、识别关键业务的相互依赖性、确定 关键业务恢复的优先级、 确定关键业务
6、所需的资源, 并确定关键业务 持续运行是否有替代措施。 在业务影响分析过程中,容易出现下列问题: (1)业务部门都认为自己的业务是最重要的。 重要业务的认定不应该是由BC 经理或者某位高管来主观认定, . word 专业资料 BC 经理应该通过定量经济损失、定性业务影响、业务贡献度及监管 法律法规要求等分析指标制定打分表,由各业务部门客观分析其业 务,最后由高管层依打分表评定。 (2)业务部门都想把自己所属的业务尽快恢复,RPO、RTO 要 求近乎为零。 不同的 RPO、RTO 要求代表着不同的成本,对应着不同的技术 手段和策略,业务部门出具RPO、RTO 要求,技术部门根据要求出 具可行性分
7、析和成本效益分析,通过高管层确定各业务条线的RPO、 RTO 值,同时必须满足监管要求。 通过进行风险评估和业务影响度分析,BCM 小组分析、整理结 果,完成 RA/BIA 分析报告,并向高管层汇报,获得其对分析报告的 认可。 4、业务连续性策略的制定 从业务和技术两条线识别、梳理可用的业务连续性策略,首先保 证所选策略满足制定的RPO、RTO 要求,其次是经过成本效益分析 进行比较,根据组织的风险偏好和风险容忍度选择业务连续性策略, 并基于前期的业务影响分析结果验证策略的合理性和有效性,最终取 得高管层的批准。 常见的备选业务连续性策略包括: 什么也不做,等灾难发生时再修复或重建将人员和工作
8、转移到存活的工作场所 暂停时间不敏感的业务,并将人员及工作转 移到存活的工作场所 签定互惠协议 . word 专业资料 建立专用的后备站点采用双用途场所,例如会议室、培训室、自 助餐厅灯作为内部备用场地 让员工在家办公(soho )选用第三方外包服务商,使用外部备用站点 作为工作场所 制定生产恢复策略制定重要记录及进行中工作的恢复策略 常见的备选技术连续性策略包括: 什么也不做,等灾难发生时再修复或重建开发手工临时程序 采用双活数据中心签定互惠协议(郑州银行与东莞银行目前已 经签署互惠协议,互相管理其灾备机房) 采用主备技术外包整个技术环境(云计算等) 与第三方服务提供商/外包商(例如热站,云
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 业务 连续性 培训 心得
链接地址:https://www.31doc.com/p-5552158.html