1、业务连续性管理规定业务连续性管理规定第一章总则第一条 为规范科技发展部业务连续性管理,并依此建立业务连续 性管理计划,将预防和恢复控制相结合,积极防范并且处理突发信息 安全事件,防止业务活动中断,将突发信息安全事件对科技发展部的 影响控制在能够承受的范围之内,保证关键性业务流程的连续性运 营,构建健全机制、集中领导、明确职责、预防为主、反应灵敏、 处置高效的业务连续性管理体系,根据中华人民共和国银行业监 督管理法、中华人民共和国突发事件应对法、银行业重要信息系 统突发事件应急管理规范以及相关法律法规、业界规范标准,特制 定本规定。第二条 本规定文件适用于科技发展部范围内的所有业务连续性相 关的
2、管理工作。第二章组织与职责第三条科技发展部信息安全指挥小组负责根据业务发展方向规划 业务连续性总体战略,确定科技发展部业务连续性管理的策略、目标 和范围,为科技发展部业务连续性管理工作的计划、落实提供资源和 管理保证,并对执行情况进行监督。第四条科技发展部风险管理组负责制定科技发展部的业务连续性 管理办法,对科技发展部的业务连续性管理落实情况进行监督审核。第五条各部门安全组负责本部门的业务连续性管理落实情况的监 督和检查。第六条各部门负责人负责确定本部门业务连续性管理策略,确定 本部门业务连续性管理的目标和范围”审批本部门业务连续性计划, 为相关管理活动提供资源和管理保证。第七条 各部门负责制
3、定本部门的业务连续性计划、突发事件应急 预案和灾难恢复预案,提交本部门负责人或信息安全指挥小组审批。第八条各部门负责人或信息安全指挥小组根据业务的发展规划, 确定本部门业务连续性管理策略,主要为:() 确定业务连续性管理的目标和范围。(二) 确定业务连续性管理的组织结构和职责。(三) 确定业务连续性管理的外部协作关系,各部门应与相关管 理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协 作,以确保在突发信息安全事件发生时能及时通报准确情况和获得适 当支持。第九条各部门的业务连续性管理策略不得与科技发展部的策略相 背离,当目标和范围扩展到科技发展部范围时,应严格遵守科技发展 部的业务连
4、续性管理策略。第十条各部门应根据本部门的业务连续性管理策略,实施业务影响分析,主要包括:() 识别本部门的关键性业务功能。(二) 识别关键性业务功能所依赖的资源,包括人员、设备、数 据、软件和服务(含第三方(三) 识别关键业务功能所有的潜在突发信息安全事件。(四) 识别这些突发信息安全事件会给关键性业务功能造成的损 失和影响。(五) 识别突发信息安全事件引起的业务中断时,业务的恢复时 间目标,针对业务数据制定恢复点目标。(六) 对关键业务功能的恢复制定优先级排序。第十一条各部门应该根据业务影响分析及风险分析的结果、业务连 续性管理策略等制定本部门的业务连续性计划,实施业务连续性措 施。第十二条
5、业务连续性计划和措施针对科技发展部而言,主要体现在 如何保障信息系统及其提供的服务的连续性,一般包括如下几方面的 计划和措施:() 预防和准备性措施,指事故或灾难前的准备、防范性措施, 目标是降低风险发生的可能或者降低风险发生时的破坏性,减少事故 或灾难带来的损失。一般包括站点冗余、设备冗余、数据备份、人员 角色备份、资源措施准备等,具体要求参见附件2 :预防与准备性措 施实施指南。(二) 应急响应流程和预案,指事故或灾难发生时的应急处理流 程,目标是尽快恢复目标系统和服务,减少事故或灾难带来的损失。 主要措施是建立事件应急响应流程和具体系统、设备设施的应急预 案,具体应急处理流程参见哈尔滨银
6、行信息系统应急管理办法和 相应预案。(三) 灾难恢复流程和措施,指事故或灾难发生时,根据业务需 要在规定时间内紧急启用备用站点并尽快恢复服务的处理流程和措 施,目标是尽快在紧急的状态下提供必要的服务,降低事故或灾难带 来的影响,具体处理流程参见数据备份及恢复管理规定和相应预 案。(四) 恢复后措施,指系统、服务恢复后,还需要进行测试、总 结报告并根据需要修订、完善原有计划和预案,目标是使业务连续性 管理能够持续改进。第十三条各部门根据业务连续性计划的要求,建立相应的业务连续 性组织,并建立有关的工作制度,协调与政府主管部门、新闻媒体等 相关部门之间的关系,保证业务连续性计划的建立、实施。第十四
7、条业务连续性决策组织的主要职责是决定科技发展部的业务 连续性管理策略,重要预防和准备性措施的决策Z业务连续性管理的 资源保证与协调。在科技发展部现有信息安全保障体系中可由信息安 全指挥小组承担该职责。第十五条预防准备措施实施的组织主要负责预防和准备性措施的实 施,在科技发展部现有信息安全保障体系中由各相应的对口部门承 担,将分别负责责任范围内设备、设施及其提供服务的预防性措施实 施和相应应急预案的制定。具体工作参见哈尔滨银行信息系统应急 管理办法和数据备份及恢复管理规定。第十六条应急相应处置和灾难恢复的相关组织参见哈尔滨银行信 息系统应急管理办法。第十七条附件3:业务连续性组织建设指南中给出以
8、上各组织的一 般职责定义,具体职责和处理流程参见哈尔滨银行信息系统应急管 理办法和数据备份及恢复管理规定。第十八条各部门需要定期开展业务连续性管理意识培训,提高各部 门员工的业务连续性管理意识,确保所有参与业务连续性管理的人员 知道并理解其角色与责任,培训相关人员满足业务连续性管理所要求 的管理职能与技术技能。第十九条各部门需要制定应急计划演练的频率、演练计划、演练时 间表和演练的目的,定期开展业务连续性管理演练,用以检查业务连 续性管理的各类事项,主要包括:() 各类技术方案的可行度和执行度。(二) 突发信息安全事件响应流程的正确性。(三) 各类计划执行的逻辑性。(四) 各类计划的执行是否满
9、足目标恢复时间要求。(五) 各类计划的管理性。(六) 人员的意识与技能。第二十条演练方式包括桌面演练、交互演练、模拟演练、并行式演 练和完全演练等多种方式,各部门的演练方式可以根据情况自行选 择。() 桌面式演练:主要由各类计划的拟定人复查计划的可执行 性,由信息安全指挥小组确认。(二) 交互式演练:一种扩展式的桌面式演练,由各部门信息安 全指挥小组和信息安全部门检查明确各计划之间参与者的协调性与 职责。(三) 模拟演练:针对某个突发信息安全事件的模拟场景,对此 进行模拟的业务连续性管理演练。(四) 并行式演练:保证科技发展部业务功能的正常运行前提下, 对业务连续性管理包含的各类计划进行全面的
10、实战演练。(五) 完全演练:完全测试在遭遇了各类突发信息安全事件后的响应与各类计划。第二十一条完全演练需采用事前通告的方式进行,其它演练可采用 事前通告也可采用非事前通告的方式。第二十二条 对于存在较大风险的演练(如完全演练),应按属地监 管原则,在实施演练前将演练计划向银监会或其派出机构报备。第二十三条业务连续性管理演练应尽量选择在非办公时间进行。除 了完全演练,其他演练方式尽量减少对生产系统的影响。第二十四条各部门需要针对演练的过程与结果,提交演练报告给本 部门的信息安全指挥小组和科技发展部风险管理组。第二十五条针对演练中出现的问题,相关责任部门应实施必要的改进与完善。第二十六条每年至少组
11、织一至两次业务连续性管理演练。第二十七条各部门需要定期或面临重大变更时全面评估、审核业务 连续性策略以及各类计划,以确保所制定的业务连续性管理的持续有 效,包括但不限于以下情况:() 购置新的关键设备或者系统升级。(二) 企业的整个管理战略发生改变。(三) 企业的环境、重要设备或资源发生改变。(四) 法律法规发生改变。(五) 关键的业务流程发生改变。(六) 距上一次审核时间相隔1年以上。(七) 关键供应商的改变。(八) 重要的人员发生改变。第二十八条在演练或实际启动业务连续性计划后,需要对业务连续性计划进行评估、总结及学习,作出相应的修订和更新。附则第二十九条本规定由科技发展部负责制定、解释W
12、修改。第三十条 本规定自E卩发之日起实行。附件:修订记录日期(年月日)版本描述作者审批人审批日期201610111.0发布稿刘春雨李树峰20161021附件二:预防与准备性措施实施指南 预防和准备性措施:预防和准备性措施是业务连续性管理的重要内 容,它可以降低系统的发生风险的可能性或降低系统发生故障时的破 坏性,有利于尽快恢复系统的运行。主要有以下内容:、 站点备份:根据对重要站点的风险评估,建立灾难备份中心等 备份站点,当主站点发生灾难或故障而不能提供服务时,备份站点提 供相应的设备设施W服务。二、 设备及系统冗余:根据风险分析结果,对可能导致全局性故障 的单点故障的设备、系统、应用,考虑采
13、用冗余的措施,避免设备、 系统及应用的单点故障。三、 安全产品部署:根据风险评估结果,对存在的安全弱点进行分 析,选用合适的控制措施,通过技术和管理的手段消除安全弱点。需 要在信息系统部署网络安全产品,提供防御和检测安全事件的作用, 有效降低安全风险。四、 数据备份措施:在进行数据备份时,应对备份的数据进行测试, 确保数据的可靠、有效、便于恢复,同时,应根据具体系统,备份适 当时间段和关键日期的数据,保证在发生系统故障导致数据破坏时, 可以用于恢复或更换的系统,为有关的机构、需求者或接受者能简单、 准确地恢复被破坏的记录,数据备份完成后应予以安全保护。五、 人员保障:关键信息系统操作及管理人员
14、需采取备份措施,一 旦事件发生,可保证关键信息人员能赶赴现场并采取恢复措施,同时 需要确保人员能够胜任应急处置工作。在人员保障方面应达到以下要 求:() 确保突发信息安全事件处置人员具备应急工作必要的技术 资质,定期组织人员培训以满足应急处置要求,并通过业务连续性演 练,保证处置人员的熟练度。(二) 确保主、备岗机制的落实。(三) 确保主、备岗人员定期进行互换。(四) 避免一人兼过多的岗位。六、 物质保障:各部门应建立有效的物质保障机制,确保在突发信 息安全事件应急相应过程中不会因物质缺乏而导致应急处置中断或 延长应急处置时间。在物质保障方面应达到以下要求:() 储备一定数量应急设备或物资,并
15、确保物资供应渠道畅通。(二) 建立突发信息安全事件应急专项资金预算管理与审批制 度,确保应急响应过程中及时进行应急物资采购。七、 预警技术保障:各部门应建立有效的技术保障机制,确保在应 急响应过程中不会因技术能力缺乏而导致应急处置中断或延长应急 处置事件。建立应急事件预警平台,确保及时发现应急事件,并及时 通知有关人员启动应急响应。八、 通讯保障:各部门应采取必要的通讯保障措施,确保应急相应通讯及时有效。在通讯保障方面应达到以下要求:() 适时更新各级应急管理机构联络人和联络方式。(二) 建立多种通讯渠道,避免单一通讯风险,并明确各通讯渠 道使用的优先顺序。九、 服务水平协议:关键信息系统需与
16、设备、服务提供商(或系统 集成商噬定对应服务水平协议,明确相关厂商的技术支持服务水平, 确保应急处置过程中相关厂商能够提供及时有效的技术支持。十、 保险措施:对关键设施及关键业务,可考虑购买保险,进行风 险转嫁O附件三:业务连续性组织建设指南一、 IT范围业务连续性决策组织决策小组是IT范围业务连续性管理的决策部门,负责做出重大决 策,提供资源、管理保证,在科技发展部现有信息安全保障体系中 可由信息安全保障指挥小组承担该职责。预防和准备措施阶段,负责:()决定科技发展部IT范围的业务连续性管理策略。(二) 重大预防和准备性措施决策,比如备份站点的建立和 选择。(三) 提供资源和管理保证。二、
17、突发事件管理小组应急响应指挥小组是紧急状态下的指挥中心,负责突发事故、灾 难发生时的指挥协调。应急响应和灾难恢复阶段,负责:(-)灾难盲告决策。(二)备份站点启用决策。(三)夕卜部沟通决策。(四)其它重大事件决策。(五)提供资源和管理保证。三、 应急处置指挥小组应急处置指挥小组的组长视事件级别由科技发展部领导或行领导 担任,组员由IT范围及相关业务各部门负责人组成。应急处置指挥 小组的主要职责是在科技发展部突发事件管理指挥小组的领导下, 负责执行信息安全类突发事件处置方案的指挥和协调工作,决定突 发事件升级或降级Z向突发事件管理指挥小组及时报告应急处置进 展状况和事态发展情况。应急响应和灾难恢
18、复阶段,负责:(-)突发事件应急管理工作的指挥协调。(二) 决定突发事件升级或降级。(三) 下达突发事件应急管理工作指挥指令。(四) 跟踪和监督各小组突发事件应急管理工作。(五) 向突发事件管理领导小组及时报告应急处置进展状况 和事态发展情况。四、 应急处置保障小组突发事件应急处置保障小组由总务部、会计部、法律部、保卫 部、物业管理部门等相关职能部门构成。保障小组的主要职责是提 供应急所需人力和物力等资源保障,做好秩序维护、安全保障、法 律咨询和支援等工作,建立与电力、通讯、公安和消防等相关外部 机构的应急协调机制和应急联动机制,以及其他为降低事件负面影 响或损失提供的应急支持保障等。预防和准
19、备措施阶段,负责:(-)提供人力、物力资源的准备。应急响应和灾难恢复阶段,负责:(二) 负责与政府相关部门、上级主管部门等相关部门及下 级分支机构之间的联络协调工作。(三) 负责协调后勤资源,提供快速的和充足的后勤支持。(四) 提供安全保卫工作。(五) 提供法律知识支持”审查对外公告的信息的法律符合 性。-、预警与评估小组本小组一般由跨部门专家、代表联合组成,作为事故、灾难的第 反应团队,负责接收事故、灾难预警,评估事态发展和影响,为 指挥小组、决策小组提供决策依据。应急响应和灾难恢复阶段,负责:(-)接收事故、灾难预警。(二) 定位突发事故、灾难并进行初始处理和保护。(三) 对事故、灾难发展
20、事态、影响范围、严重程度、恢复 情况等进行评估。(四)提供事故定级、备份站点切换等决策建议。二、应急处置执行团队应急处置执行团队由一线工作组、二线专业和后缓组、三线协助 开发组构成。其中一线工作组主要是运维中心一线人员和相关业务 部门一线工作人员;二线专业和后缓组主要是相关项目组的二线专 业人员;三线协助开发组主要是供应商技术支持专家。应急处置执 行团队的主要职责是实施信息系统突发事件的具体应急处置工作, 对信息系统突发事件业务影响情况进行分析和评估,收集分析信息 系统突发事件应急处置过程中的数据信息和日志,向应急处置指挥 小组及时报告应急工作情况。本小组由负责具体设备设施及系统维护的团队组成,主要负责责 任范围内设备设施及系统的预防和准备性措施计划、实施,预案管 理及事故、灾难发生时应急预案的实施。预防和准备措施阶段,负责:(-)计划、实施各种预防和准备性措施。(二)制定、演练和维护相应的应急预案。应急响应和灾难恢复阶段,负责:(-)实施所负责的应急预案。(二) 实施所负责范围内的其它应急措施。(三) 提供所负责范围内应急预案的实施情况通报。(四)如果需要切换到备用站点,实施所负责范围内系统、设备设施的恢复和相应预案的实施。
