银行业务连续性管理实践

90

年代，

尤其是< /p>

2001

年美国

911

< br>恐怖事件之后，

开始了快速发展。

2003

年国际

BCM

权威组织

DR II

（国际灾难恢复协会）和

BCI(

国际业务持续协会）联合发布的业务连

续性专业人士所用的国际最佳惯例，标志着业务连 续性管理完整的知识体系形成。

作为一个相对较新的概念，业务连续性管理相关工作在中国刚刚起步，政府机构、学术界 和企业界都已经认识到业

务连续性管理的重要性并逐步重视起来。国内在这方面研究大致 从两个领域进行：一个是围绕信息安全带来的新型安全

危害事件所作的研究，典型应用就 是国务院信息化办公室

2005

年颁布的《重要信息系统灾难恢 复指南》；另一个是围

绕应急管理体系所作的研究和实践，以

2 003

年

SARS

挑战为契机，政府适 时提出了建立国家应对自然灾害、公共卫生事

件的应急管理体系，并于

< br>2007

年

11

月

1

日颁布了《中华人民共和国突发事件应对法》。

2 008

年

汶川地震

举国上下万众

一心应对灾难，有效地展现了过去了

10

年中 国在灾难应对、危机处置、紧急救援和善后处理方面所取得的成就。

国内监管现状

当今银行的日常业务运营高度依赖于信息系统，任何信息系统 故障都会影响到银行的正常运转，造成经济损失或社

会影响。

在 这种业务与信息系统紧密联系的模式下，

一旦因为突发灾难造成关键业务数据丢失或信息 系统不能尽快恢复，

将严重地影响银行业务的正常运营，甚至会带来灭顶之灾。美国明尼 苏达大学对灾害所造成的影响分析显示，各行业最

长可忍受损失为日常营业额的

50%

；

如两星期无法恢复信息系统，

75%

的公司业务将停顿，

43%

的公司将无法再开展业务；

没有实施灾难备份的公司，将在灾后

2

～

3

年破产。

dstandardizati

onofsaf etyproducti

on,a

ndstrivetoach ieve

nsicallysafe

nethpitsafet ysecti

ona

ndi

sauni tofse

curityofficersre

sponsib leformi

nesafetyduti

esandsupe rvi

sethe

implementati

< br>onofthefollow

-upto,a

ndim< /p>

plementationofthesystem,pr

ose

cuti

anageme

ntsyst ems...Y

oucanuse

brazi

< br>erswhe

n,2

--3metersfromthe grounda

ndputt

hefireout

beforethew

ork,confirmthe

nofire

beforetheycanleave

;Hi ghway

11non

-staffinthemarginw

ithin50m,radi

usoftheexcavati onwork,a

ndw

orking

within6metresoftheedgea

ndstayunderthe

umbrella

hea

ding;12, blastingi

ntothepitpersonnelm

ustfollowthe

shooti

ngguar

d'scommand,hi

detosafety;13non

-mini

ngvehi

cles(incl uding

bicycles,a

nimal-drawnve

hicl

e,motorve

hicl

es,etc)will

be

bann edfrome

nteringthepitsa

ndothe r

productionareaonpai

nofheavy fines,re

sulti

ngina

cci

dentst

obei

nve stigatedforre

sponsibility;14shooti

owi

ngmechanic alsafetydistancesasfollow

s:categoryname me

cha

nicalca

nnons shall

ow

hole

sandpo pshootingexpose

dbla

sting

units:metersdiggi

ngmachi

< br>nerigcarg

unpow

derot

herequipme

nt-pitequipme

nt,especiallya

nele

ctrical

switchandavarietyofsafetydevices,i

< br>nadditiontospecifyingt

heuseofrespons i

blepersonnel

,ba

n anytouching

ofother

personnel; 16foundthat

powerli

nesorca

blesbreaki

nggroundbeforewit

houta

scertai

ningw

hetherthe

charge

d,proh ibit

sanyonefromtouching,a

nds houl

dleave5metersawa

y,andimm ediately

notifythe

personche

cking

;17wit

houtthel ea

dership'sconse

nt,arenotall owedtotaket

hestrippe

dtruck

s,watertankers,oilta

nkers,asar

esult

oftheca

u

美国的权威信息调查机构

Strategic Research Corporation

列出的各种行业停机一小时所造成的损失（ 见表

1

），

银行业占据榜首。

从社会影响层面 分析，无论业务运营对信息系统的依赖程度还是信息系统管理水平等方面来看，银行业总被誉为各

行业中的“领头羊”。这不仅是由于其起步早，

20

世 纪

90

年代末部分银行已经开始实施数据大集中和灾备中心的建 设

了，更是由于

2006

年以来，银行 业对业务连续性管理的认识不断深入。

近几年，我国对业务可持续性管理及其相关的信息安全、应急 管理、灾难恢复等领域相继发布了监管规范和指引，

如《银行业信息系统突发事件应急管 理规范》、《商业银行信息科技风险管理指引》等，《商业银行业务连续性监管指

引》（ 以下简称《指引》）更是对银行风险管理提出了的更高、更明确的要求。《指引》强调了业务连续性管理不仅是< /p>

IT

部门的工作职责，

还需要由上而下地 覆盖各业务部门的日常工作，

银行业对外服务及支持对外服务的所有业务都必须

建立配套的连续性计划，并通过内部审计等方式确保业务连续性计划的良好实施。同时，

IT

信息系统在业务连续性管理

中的作用是举足 轻重的，这不仅是由于业务连续性管理脱胎于

IT

的信息灾备管 理，更是由于信息系统故障导致的业务

中断在业务运行风险中是最常见最复杂的。因此， 《指引》从业务连续性管理组织架构、执行层面、风险影响分析、资

源建设等方面强调了

IT

部门在业务连续性管理中的角色。

《指引》同时还强调了商业银行在 遵从监管的过程中，从风险影响识别、关键业务系统的判定、应急体系的组建、

内部审核 管理等方面都需要从各行的实际情况出发，制定符合各行需要的管理政策，不搞一刀切。从我国银行业的组成

来看，国有五大银行、股份制商业银行、各城市商业银行、

外资银行

和其他银行业金融机构由于历史条件不同、管理理

念差异、国家 政策导向关系在业务连续性管理方面建设的成熟度差异很大，在《指引》的执行层面，也会面临不同的挑

战。

交通银行

实践

交通银行根据银监会《指引》的要 求，从实际情况出发，建立了一整套业务连续性管理的企业战略，重视流程、平

台、文化 三方面的重点问题，以业务为中心、以流程为导向、以技术为手段、以文化为保障（见图

2

），获得了较为显

著的效益。