商业银行业务连续性管理：建设概况

某银行是一家经营理念先进的城市商业银行，为了提升核心竞争力，满足投资者和监管要求，努力做成中小银行中的一流品牌，该行开展业务连续性体系建设，目前已初步形成了统一规范化的管理组织架构。

1.业务连续性管理组织架构

该行业务连续性管理组织架构分为日常管理组织架构和应急处置组织架构两类。

（1）日常管理组织架构 该行业务连续性管理日常组织架构包括董事会、高级管理层、合规委员会、业务连续性管理主管部门、业务连续性管理执行部门以及业务连续性管理保障部门。法律合规部为业务连续性管理主管部门。业务条线部门与信息技术部门为业务连续性管理执行部门。办公室、安全保卫部、人力资源部、计划财务部、行政事务部、党群监察部等为业务连续性管理保障部门，负责就涉及其职责分工及专业特长的范围内，为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询，以及负责各自职责范围内的专项应急预案的制定和维护。

（2）应急处置组织架构 该行运营中断事件应急处置的组织架构包括应急决策层、应急指挥层、应急执行层和应急保障层。应急决策层与应急指挥层构成我行应急处置工作领导小组。

总行运营中断事件应急处置工作领导小组由行长、副行长、各条线部门负责人组成，常设办公室设在法律合规部。各分行比照总行成立本机构应急处置工作领导小组。领导小组下设办公室，设在各分行法律合规部。

总行运营中断事件应急领导小组负责决策应急处置过程中的重大事宜，指挥和督导运营中断事件处置工作实施等事项。

2.业务连续性管理规划

该行对未来五年业务连续性管理体系建设设立了短、中、长期建设目标，并制定了实施路线，业务连续性管理体系建设路径图如图12-7所示。

图12-7 业务连续性管理体系建设路径图

3.业务连续性制度与流程(www.xing528.com)

该行目前发布的业务连续性日常管理制度为《业务连续性管理政策》，其业务连续性计划开发经历了四个阶段：

第一阶段，2007年以前，应急预案分散管理阶段。个别条线管理部门和分支机构制定了部分应急预案，包括：安全保卫方面的防火、防盗、防抢，信息系统方面的信息系统故障、支付清算系统危机、流动性风险等。但无论是涉及的范围、涵盖的内容，还是确定的职责、应急的流程都相对简单、粗劣，尚不成体系。

第二阶段，2007年至2010年，应急预案体系初步构建阶段。2007年，该行风险管理部牵头，组织全行全面梳理、排查各条线可能的突发事件，并评估可能造成的损失，构建了全行应急预案体系框架，确定了26项应急预案。根据预案层级，将预案分为总体预案与分项预案，分项预案又针对不同事件，划分为外部犯罪事件、公共卫生事件、事故灾难、社会安全事件与自然灾害等不同类型。同时，下发了《应急预案体系建设规划及2008年实施要点》，提出“全面应急预案体系建设的三步走实施规划”。2008年—2010年，结合全行制度流程建设，逐年进行推进和完善，有重点地制定、优化各项应急预案，并有针对性地开展预案演练。

第三阶段，2010年至今，应急预案持续完善阶段。2010年，以“内控合规与操作风险管理系统”（GRC系统）项目建设为契机，对全行应急管理制度进行了系统梳理和完善，将应急预案纳入全行整体内控体系文件框架。同时，建立了统一的预案模板，明确了职责分工、报告路径、处置流程、处置要求等事项，规范预案管理。在上述工作基础上，不断健全相关应急预案，先后制定（修订）了《突发声誉风险事件应急处置预案》《恶性案件应急预案》《大额集群性授信业务风险暴露应急处置预案》《流动性风险管理应急预案》《防范和化解境内外币支付风险应急预案》等多项应急预案，进一步健全了应急管理体系。

第四阶段，2014年，该行根据银监会《商业银行业务连续性监管指引》的要求，聘请专业咨询公司启动业务连续性管理体系项目，开展业务连续性风险评估与业务影响分析，识别我行高风险场景及重要业务，并在此基础上确定业务RTO、RPO。同时，拟定《业务连续性管理政策》《业务连续性管理办法》《运营中断总体应急预案》《业务影响分析作业指导书》《风险评估作业指导书》等制度，提升全行业务连续性管理水平。

4.业务连续性资源建设

该行数据中心现状是一个生产中心、两个灾备中心的“两地三中心”架构，同城灾备中心实现核心及关键业务的应用级保护；异地灾备中心实现“保核心、保支付、保柜面”的应用级保护。

未来数据中心的规划是主备中心满足交替运行的要求，部分业务能够实现双活。同城灾备中心定位是保障数据零丢失的高可用应用级灾备中心；快速恢复、全面保护，覆盖范围广，支持银行生产运行及日常运作的关键IT系统；可以应对日常发生故障的各类风险场景，如硬件故障、通讯故障、电力系统故障、机房损毁等；支持单系统切换、应用群切换、整体切换等。异地灾备中心定位为抵御大规模区域性灾难风险，保障银行的基本业务。

目前该行同城灾备系统已建成包括核心业务系统在内的23套重要系统的应用级备份和49套系统数据级备份，基本覆盖重要业务系统和管理支撑类系统，所用的关键技术是基于EMC SRDF存储复制技术，其中RTO小于2h，RPO=0。

该行于2014年9月开展灾难恢复演练，验证灾备系统切换和安全回切能力。参加演练的系统为核心业务系统、核心大前置系统、前端整合系统、ESB系统、金融支付平台、网银系统、自助设备跨平台系统等14套生产系统。演练采取切换和回切演练策略，即将生产系统切换至灾备系统，进行部分真实业务处理后再安全回切至生产系统。验证主数据中心遭遇极端情况不可用时灾备中心的业务接管能力，包括主机、系统、存储、网络等切换和回切工作。演练人员包括总行信息技术部、风险管理部、会计结算部、电子银行部、营运管理部、个人业务部、办公室、南京分行、上海分行以及咨询公司相关人员。