1、银行股份有限公司业务连续性管理政策 第一章 总则 第一条 为进一步提高银行股份有限公司(以下简称“本行”)业务连续性管理能力,降低或消除因信息系统服务异常导致本行重要业务运营中断的影响,快速恢复被中断业务,维护公众信心和正常运营秩序,根据中华人民共和国商业银行法、商业银行业务连续性监管指引以及相关法律法规,结合本行实际情况,制定本政策。 第二条 本政策所称业务连续性管理是指本行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。 第三条 本政策所称重要业务是指面向客户、涉及账务处理、时效性要求较高的银
2、行业务,其运营服务中断会对本行产生较大经济损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。 第四条 本政策所称重要业务运营中断事件(以下简称运营中断事件)是指因下述原因导致本行信息系统服务异常、重要业务停止运营的事件。主要包括: (一)信息技术故障:信息系统技术故障、配套设施故障;(二)外部服务中断:第三方无法合作或提供服务等; (三)人为破坏:黑客攻击、恐怖袭击等; (五)自然灾害:火灾、雷击、海啸、地震、重大疫情等。 第五条 本行将业务连续性管理纳入全面风险管理体系,建立与本行战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生
3、后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。 第六条 本行应当建立业务连续性管理的组织架构,确定重要业务及其恢复目标,制定业务连续性计划,配置必要的资源,有效处置运营中断事件,并积极开展演练和业务连续性管理的评估改进。 第七条 本行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。 第二章 业务连续性管理战略与管理原则 第八条 业务连续性管理战略。 本行根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定业务连续性管理战略。 第九条 本行业务连续性管理的基本原则。 (一) 切实履行社会责任,保护客户合法权益、维护
4、金融秩序; (二) 坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益; (四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。 第三章 业务连续性管理架构与职责第一节 日常管理组织架构 第十条 本行业务连续性管理架构由董事会、高级管理层、合规委员会、业务连续性管理主管部门、执行部门、保障部门等组成,涵盖总分支各级机构。 第十一条 董事会是本行业务连续性管理的决策机构,对业务连续性管理承担最终责任。主要职责包括: (一) 审核和批准业务连续性管理战略、政策和程序
5、; (二) 审批高级管理层业务连续性管理职责,定期听取高级管理层关于业务连续性管理的报告,监督、评价其履职情况; (三) 审批业务连续性管理年度审计报告。 第十二条 本行高级管理层负责执行经董事会批准的业务连续性管理政策。主要职责包括: (一) 制定并定期审查和监督执行业务连续性管理政策、程序; (二) 明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;(三)确保配置足够的资源保障业务连续性管理的实施。 第十三条 合规委员会行使业务连续性管理委员会的职责,作为全行业务连续性的日常管理机构,负责统筹、协调、落实各项
6、业务连续性管理职责,主要包括以下方面: (一) 统筹业务连续性管理,召集相关部门参与讨论业务连续性管理议题,组织协调相关单位落实各项管理职责; (二) 审阅业务连续性管理战略、制度及各部门业务连续性管理职责并提交董事会审批; (三) 审批并定期审阅业务连续性管理办法、总体应急预案和专项应急预案; (四) 审批并定期审阅业务连续性风险评估、业务影响分析结果、恢复目标和恢复策略,决定业务恢复的优先次序、业务恢复资源获取方式并批准连续性建设计划; (五) 听取总行法律合规部、业务连续性管理执行部门和保障部门对于业务连续性管理相关工作汇报,包括业务连续性建设情况,全行层面应急演练计划和演练结果,重大业
7、务中断事件处理和跟进结果等; (六) 审批年度业务连续性管理预算,听取相关部门关于业务连续性建设和预算使用情况的报告; (七) 向董事会报告全行业务连续性管理情况。 第二节 应急处置组织架构 第十四条 本行运营中断事件应急处置的组织架构包括应急决策层、应急指挥层、应急执行层和应急保障层。应急决策层与应急指挥层构成我行应急管理工作领导小组。 第十五条 总行运营中断事件应急领导小组由行长、副行长、各条线部门负责人组成,常设办公室设在总行法律合规部。各分行比照总行成立本机构应急管理工作领导小组。领导小组下设办公室,设在各分行法律合规部。 第十六条 总行运营中断事件应急领导小组负责决策应急处置过程中的
8、重大事宜,指挥和督导运营中断事件处置工作实施等事项。 第四章 业务连续性管理流程与措施 第十七条 本行业务连续性管理流程包括业务影响分析、风险评估、业务连续性计划和资源建设、业务连续性演练和持续改进以及运营中断事件应急处置的关键环节。 第十八条 全面业务影响分析。 全面业务影响分析指识别和确定重要业务及其归口管理部门、重要业务运转和恢复所需关键资源;根据所识别的重要业务间的相互依赖关系,对业务中断可能带来的经济或非经济损失进行评估,进而确定重要业务及信息系统恢复时间目标与恢复点目标、恢复优先级别及其所需必要资源的过程。本行每三年组织全行开展一次全面业务影响分析并形成全行范围的业务影响分析报告。
9、业务影响分析需覆盖行内所有的业务类型及条线。第十九条 业务连续性风险评估。 业务连续性风险评估指识别重要业务连续运营所面临威胁,评估运营中断风险发生的可能性以及严重程度,确定风险敞口,明确需应对的可能导致运营中断的突发事件情形的过程。本行每三年组织开展一次全面的业务连续性风险评估并形成全行范围的业务连续性风险评估报告,根据关键资源、业务活动及外部环境的变化情况更新风险评估。 第二十条 业务连续性计划制定与资源建设。 (一) 本行制定用于处置导致大范围业务运营中断的事件的总体应急预案,以及针对运营中断事件不同场景和领域制定的专项业务连续性计划和应急预案。业务连续性计划或应急预案需注重与金融同业单
10、位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接;同时,应当积极采取风险缓释及转移措施,有效控制由于外部机构业务连续性管理不充分可能产生的风险。 (二) 本行根据各单位提交的业务及系统资源风险敞口和建设建设计划,规划全行范围的业务连续性资源建设安排,开展相关的重要资源建设,满足业务及系统恢复目标和重要业务持续运营的要求。 第二十一条 业务连续性演练与持续改进。 业务连续性演练与持续改进指本行通过制定业务连续性计划演练方案,开展演练工作并编制演练报告,对应急预案的完整性、可操作性和有效性以及业务连续性资源的可用性进行验证,从而提高运营中断事件的综合处置能力。 (一) 本行每
11、三年对全部重要业务组织一次综合演练,各专项应急预案的制定者原则上每年应组织开展一次重要业务连续性计划的专项演练。 (二) 在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变化之前,及时开展业务连续性计划的专项演练。 (三) 本行逐步建立业务连续性管理体系持续改进机制。主要包括由本行组织的年度业务连续性管理体系自评估、第三方评估;新业务产品开发或业务功能和关键资源发生重大变更时的业务连续性计划调整、修订。 第二十二条 运营中断事件的应急处置。 运营中断事件的应急处置工作包括建立运营中断事件风险预警体系,加强对高风险场景风险预警指标监测和预警;基于事件影响范围、持续时间和损失程度定义运
12、营中断事件等级以开展应急响应处置工作;实现灾难恢复及备份数据测试、验证;以及运用公共关系策略、方法,加强外部沟通以消除和降低负面影响;并且形成应急处置记录和调查评估报告。 第五章 内部控制与审计 第二十三条 本行将业务连续性管理纳入内部控制体系,作为本行整体内部控制体系的有机组成部分。 第二十四条 本行将业务连续性管理纳入内部审计范畴,定期审查和评价业务连续性管理的充分性和有效性。 第六章 业务连续性管理考核与问责 第二十五条 本行应建立科学的业务连续性管理绩效考核机制,将其纳入全面风险考核体系,有效提升业务持续发展质量,保障本行健康可持续发展。 第二十六条 本行应建立合理的业务连续性管理问责管理机制,规范问责程序和方法,并通过有效实施不断提升问责效力和准确度,确保本行合规经营。 第七章 附则 第二十七条 本政策由银行股份有限公司董事会风险管理委员会负责制定、解释和修改。 第二十八条 本政策自董事会批准之日起生效。
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100