业务连续性管理是企业全面风险管理的重要组成部分,其核心是通过建立一整套管理过程和控制手段来保障当发生重要业务运营中断事件时,组织在可接受的时间范围内可以维持预定的业务能力。
业务连续性管理可应用于各行各业,其中金融行业由于其业务具有较高的可用性和及时性要求,因此金融行业对业务连续性管理一起以来就较为重视。对于金融业务连续性存在的问题,早在2009年开始,中国的金融监管部门就陆续发布了一系列监管政策,包括《商业银行信息科技风险管理指引》(银监发[2009]19号),《商业银行数据中心监管指引》(银监办发[2010]114号),《商业银行业务连续性指引》(银监发[2011]104号)等,对商业银行业务连续性管理提出了全面的指导意见和要求。
一、我国业务连续性监管精细化发展历程
国外发达国家业务连续性管理实践的历史较为悠久,而在我国,虽然IT系统备份容灾系统的建设较为广泛,但当前重视较多的是应急管理和灾难恢复,在全面业务连续性管理方面还需进一步完善。
2000年“千年虫”、 2001年美国“911”事件、2003年“非典”、2008年汶川地震等灾难事件提高了企业对灾难应对、应急管理的重视程度, 政府主管部门也开始意识到业务连续性管理的重要性。作为高度依赖信息系统的金融行业,其主管部门银保监会和人民银行近年来陆续发布了多个指导性文件(如图1所示),为推进金融行业的灾备系统和业务连续性管理体系的建设发挥了积极的作用。
图片
图1 业务连续性管理国家标准及行业标准发布时间图
二、中小银行业务连续性体系建设面临的主要挑战
国内大型国有银行和股份制银行在灾难恢复和业务连续性管理方面相对做得较好,而各类中小银行受到各种主客观条件限制,存在大量业务连续性相关的工作落实不到位,业务连续性管理不合规的突出问题。因此,2019年银保监会下发了《中国银保监会办公厅关于开展中小银行业务连续性相关风险整治工作的通知》,内容涵盖了业务连续性从组织管理、资源建设到业务连续性演练和应急处置的全过程,提出的整治内容也切中了各中小银行业务连续性建设及管理问题的要害。
当前中小银行在业务连续性管理方面存在的主要问题有:
1.缺少业务连续性成熟度评价机制
部分中小银行未建立有效的业务连续性评价机制,导致对业务连续性管理的认识不清、管理协同性不高、演练验证不充分、持续改进不足。这些不利因素阻碍了银行业务连续运营能力从初级阶段向高度成熟阶段的过渡,使得中小银行对自身的灾备和业务连续性能力缺乏清醒的认识和必要的规划。
2.业务连续性顶层建设重视程度不足
部分中小银行对业务连续性管理工作不够重视,停留在满足监管要求和信息系统灾备恢复等较为基础的层次上。机构的董(理)事会和高管层未审议业务连续性管理事项,没有真正意识到业务连续性管理对提升银行竞争力和价值创造的积极作用。同时,业务连续性计划仅作为事件处理的应急预案,其管理和应急管理交叉重复,导致业务连续性管理组织体系不健全、预案不完整不准确、演练走过场、部门之间协调联动不足。
3.业务影响分析方法论不完善
随着中小银行数字化转型的逐步开展,业务种类也在不断增多,各业务与信息系统之间的关联关系也越来越复杂,也给业务影响分析工作带来了新的挑战。部分中小银行缺乏对各项业务和业务系统的全面科学评估,业务划分标准不规范、重要业务识别不正确,以信息系统或业务渠道简单代替重要业务。因此,未明确业务重要程度、相互依赖关系和恢复优先级别,业务与信息系统关联关系不清晰,给后续业务连续性管理工作带来较大阻力,甚至影响全行业务连续性管理水平。
4.应急预案体系缺乏规范化建设
部分中小银行没有业务层面应急管理机制的开发和演练、场地应急、人员应急等BCM重要环节缺乏实质性的建设,信息系统应急预案流于形式。很多银行对业务连续性的认识不足,认为业务连续性就是信息系统应急恢复,就是科技部门的责任。因此,缺乏科技与业务、公关等部门的联动,缺少业务应急手段和客户安抚、媒体公关等处理措施。
5.未按业务真实接管开展应急演练
部分中小银行重要信息系统灾备切换演练不足,仅开展桌面模拟演练或切换测试演练,未开展真实业务接管演练,对预案的有效性验证不足。另外,很多银行业务连续性演练仅停留在信息科技层面,缺乏涵盖业务、技术和后勤保障等多方面的全行性演练,场景覆盖不全面,一旦出现意外,应急预案可能无法发挥作用。
三、中小银行业务连续性体系建设实践感悟分享
中小银行的业务连续性管理能力参差不齐。通过业务连续性管理能力成熟度评价体系,可以了解自身的业务连续性管理水平,并有利于对业务连续性管理体系实现持续改进和优化。
1.业务连续性现状分析
商业银行业务连续性管理能力成熟度评价体系主要包含三个组成部分:业务连续性管理过程模型、过程成熟度评价模型、成熟度等级模型。
过程成熟度评价模型定义了一种基于属性的过程评价方法,包括过程评价属性和对这些属性进行评价的指标和标准,以及综合全部过程评价结果确定能力成熟度等级的方法。
成熟度等级模型定义了成熟度等级划分方式,以及每个成熟度等级的特征。业务连续性管理过程的成熟度水平由低到高分为5个等级,初始管理级、基本管理级、主动管理级、量化管理级、持续管理级。
2.业务影响分析
中小银行进行业务影响分析时,需要多个部门共同参与实施,包括业务、科技和保障部门等。选择分析模型和具体分析方法时,应根据实际情况对标准流程和方法进行适当裁剪,循序渐进。在初次建立业务影响分析方法论时,不要盲目采用纯定量的分析方法,可以尝试定量和定性结合的方式,适合自身的才是最好的,值得一提的是,重要业务RTO和RPO的确定,与业务之间的关联关系,业务对应的信息系统,系统的备份技术和机制,业务的补救措施等均有关系,重要业务RTO并不是一个静态的值,会随着资源、技术、渠道的变化而发生改变,所以业务影响分析才需要周期性的实施,下图2是行业较为通用的业务影响分析流程,仅供参考,大家可根据自身实际情况进行裁剪与应用。
图片
图2 业务影响分析方法
3.业务连续性风险评估
业务连续性风险评估是一个持续的过程,包括建立合适的风险管理框架(如图3所示),实施风险评估,实施风险建议和决策并处置风险,以及通过对整个管理过程实施评审以达到改进的目的。
其中,实施阶段是项目工作的主体,包括资源识别、威胁识别、脆弱性识别、控制措施和风险分析。风险处置是对评估出的风险结果进行的处理,风险报告则是前期工作成果的汇总,也是最终产物。
图片
图3 业务连续性风险评估流程图
4.业务连续性战略
中小银行建设业务连续性体系的思路(如图4所示)应当是:先关键,后重点;管理体系建设与关键资源建设并重;平稳有序地推进业务连续性体系建设工作。
为平稳有序地推进中小银行业务连续性管理建设工作,将中小银行业务连续性建设按照紧迫性划分为三个阶段开展实施,即业务连续性管理体系短期规划、中期建设规划和长期建设规划。短期规划是业务连续性基础阶段,以处理目前亟待解决为主。中期、长期规划分别侧重于一般紧迫和不很紧迫的业务连续性管理体系建设任务。
图片
图4 业务连续性战略蓝图
5.业务连续性制度建设
业务连续性管理是一套多角度、立体的管理架构,应根据业务连续性管控现状,结合业务连续性监管合规要求,形成战略-办法-细则-表单四位一体的业务连续性制度体系结构,持续完善业务连续性体系制度,有效指导和全面落实业务连续性各项管控要求。
6.业务连续性演练
业务连续性演练是检验业务连续性资源可用性、预案可执行性以及提高中小银行应急处理能力的重要手段和措施。
业务连续性演练计划应注重针对性、实效性,基于预案且明确演练目标,制定详细的演练方案,注重场景变化的合理性,做好演练风险评估并明确控制措施。演练方式通常采用训练式演练、桌面演练、功能演练、模拟演练和实战演练等。
7.业务连续性培训
为了加强中小银行相关人员业务连续性意识,将业务连续性管理思想融入企业文化当中,使员工认识到业务连续性的作用,掌握业务连续性操作技能并熟悉自己在业务连续性管理中扮演的角色与职责应制定中小银行长期业务连续性培训计划,定期开展培训。适时对培训内容进行考核,将考核结果与中小银行绩效考核相挂钩,以提高人员学习积极性。
8.供应链业务连续性管理
银保监会近年来越来越重视供应链安全管理,相继发布了《关于供应链安全风险提示的函》(银保监统信函[2021]371号)、《银行保险机构信息科技外包风险监管办法》(银保监办发〔2021〕141号)等文件,其中对供应链业务连续性管理方面的要求也进行了明确。中小银行应对信息科技外包服务建立业务连续性指标,制定保障外包服务持续性的应急管理方案,并定期组织实施演练。对于符合重要外包条件的非驻场外包,中小银行应关注服务提供商是否有完善的灾难恢复设施和应急管理体系,是否有业务连续性安排。
对于可能给业务连续性管理造成重大影响的重要外包服务,首先,中小银行应当事先建立风险控制、缓释或转移措施。在合同签订时,一是应明确要求服务提供商提供必要的应急和灾备资源保障,制定应急处理预案并在预案中明确为银行保险机构提供应急响应和恢复的优先级,原则上应为最高级;二是应明确在服务提供商服务质量不能满足合同要求的情况下,保障获取其外包服务资源的优先权。其次,在外包服务实施过程中持续收集服务提供商相关信息,尽早发现可能导致服务中断或服务质量下降的情况,重点关注《网络安全审查办法》第十条提出的“产品和服务供应中断对关键信息基础设施业务连续性的危害”。再次,组织服务提供商参与应急计划编制和应急演练,至少每年在综合性演练或专项演练中纳入一个或多个服务提供商开展一次相关演练。最后,预先在银行保险机构内部配置相应的人力资源,掌握必要的技能,以在外包服务中断期间自行维持最低限度的服务能力,并建立外包服务目录与后备供应商清单,维护一定量的备用供应商和后备产品服务。
9.业务连续性持续改进
中小银行在业务连续性建设初期,可采用外包的形式定期开展业务连续性评估与审计,为体系建设把好关,保证“地基”建设的准确性、完整性、落地性。在建设的中期,中小银行的业务连续性管理已经具有一定的成熟度,通过培训、制度体系建设、人员建设、知识转移等方式将评估方法、流程沉淀到银行内部,开始有计划交替进行内外部评估与审计。在建设后期阶段,评估审计方法、成熟度模型已经建设成熟,中小银行可以独立开展业务连续性评估及审计,外部评估审计的周期可以放在三年一次或重大变更后。
四、结语
近年来,我国相继发布了有关业务连续性管理体系5项国家标准,银保监会也发布了《关于开展中小银行机构业务连续性相关风险整治工作的通知》与《关于进一步加强银行机构信息科技合规管理的通报》等要求,对业务连续性的监管要求与处罚力度也在不断加强。同时,随着银行机构数字化、智能化转型的深入,以及新技术、新模式在业务中的广泛应用,金融机构的业务连续性风险也在不断变化。因此,中小银行要将业务连续性提升到全行层面进行统一管理与规划,进一步完善业务连续性制度体系,提高业务影响分析的充分性与准确性,及时更新业务连续性计划,加强业务部门对业务连续性管理和演练的参与程度,定期开展全行参与的真实业务接管演练,加快灾备资源建设,通过积极开展业务连续性管理标准化、规范化建设,有效降低由于业务运营中断产生的企业商誉、资金损失、法律合规等风险。
作者简介
王志超,谷安天下金融审计负责人,10多年的信息安全、科技风险、科技审计、业务连续性、科技外包、数据治理、金融科技等咨询及审计服务经验,获得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等证书,熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施,对科技外包、业务连续性、数据治理、大数据、云计算、区块链、人工智能、数字化转型等领域均有着较为细致的研究,多次参与银监会组织的信息科技风险管理课题研究,并获得不错的奖项。
王科,谷安天下咨询经理,长期从事IT运维、信息安全和信息科技风险审计等工作,拥有16年以上信息安全、运维服务和风险咨询经验,获得CISSP、PMP、ISO27001等证书,曾在某世界500强IT公司担任技术讲师,某大型国企担任IT运维主管。