业务连续性管理 BCM实务培训.ppt

业务连续性管理 business continuity management （ BCM ） 内容提要 ? 解读 BCM 1 ? BCM 项目实施方法 2 ? BCM 实施难点与对策 3 ? BCM 实施策略讨论 4 2 BCM 何为 BCM 4 业务连续性（ Business Continuity ）： 业务中断 事件发生后，在预先确定的 可接受水平上 持续交付产品或提供服务的能力。 ? 业务连续性管理（ Business Continuity Management ） 是一套整体的管理流程，用以： ? 识别潜在威胁 ，以及这些威胁 对业务持续运行带来的影响 ； ? 建立 有效应对威胁的自我恢复能力 ， ? 保护关键相关方的利益、声誉、品牌和创造价值的活动。 BCM 是一个跨多个专业领域的综合性体系 5 6 BCM 标准发展 新加坡标准 SS540 英国标准 BS25999 国际业务持续协会（ BCI ） 《业务持续管理良好实践指南》 BCM GPG 理 论 基 础 理 论 基 础 升 级 中国国家标准 GB/T30146 2013 年 12 月 17 日正式发布 国际标准 ISO22301 2012 年 5 月 15 日正式发布 对应 《商业银行业务连续性监管指引》 2011 年 12 月 28 日正式发布 ISO22301 标准全文结构 7 4. 组织环境 5. 领导力 6. 策划 7. 支持 8. 实施 9. 绩效评价 10. 改进 理解组织 及其环境 理解相关 方的需求和 期望 定义 BCMS 的 范围 BCMS 领导力与承诺 管理承诺 方针 应对风险和 机会的措施 业务连续性 目标和实现计划 资源 能力 意识 沟通 文件化信息 实施策划与控制 业务影响分析 和风险评估 业务连续性策略 建立和实施 业务连续性程序 演练和测试 监视、测量、 分析和评价 内部审计 管理评审 不合格项和 纠正措施 持续改进 计划（ Plan ） 执行（ Do ） 检查（ Check ） 改进（ Action ） 组织角色、 职责和权限 监管指引与国际标准对应关系 ISO22301:2012 （ GB/T30146-2013 ） 《商业银行业务连续性监管指引》 4 组织环境 5 领导力 6 策划 7.1 资源 7.4 沟通 7.5 文件化信息 9 绩效评价 10 改进 ? 第一章 总则 ? 第二章 业务连续性组织架构 7.2 能力 7.3 意识 ? 第一章 总则（第九条） 8.2 业务影响分析和风险评估 8.3 业务连续性策略 ? 第三章 业务影响分析 8.4 建立和实施业务连续性程序 ? 第四章 业务连续性计划与资源建设 ? 第六章 运营中断事件应急处置 8.5 演练和测试 ? 第五章 业务连续性演练与持续改进 - ? 第七章 监管和处置 8 业务连续性与 IT 服务连续性 9 业务流程、业务活动 IT 服务 （信息系统、 IT 基础设施） 技术 支撑 业务连续性（ Business Continuity ）： 关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。 业务不连续的后果： 客户量 / 业务量减少、产品报废、合同违约、监管违规、财务损失、利益相关方施压、社会谴责 （环境 / 健康等）、丧失竞争力、破产…… 业务连续性计划（ BCP ） ：从业务层面恢复中断的业务流程和活动。 IT 灾难恢复计划（ IT DRP ）、应急预案通常用于支撑 BCP 。 IT 服务连续性（ IT Service Continuity ）： 关注于保障信息系统、 IT 基础设施持续运行。 IT 服务不连续的后果： ? 直接表现： IT 基础设施瘫痪、信息系统停止服务； ? 间接表现：依赖 IT 系统的业务活动停滞，部分业务切换到人工操作。 IT 灾难恢复计划 ：将中断的 IT 系统服务恢复到可用状态，通常涉及灾备切换。 应急预案 ：通常由一组具体的故障恢复场景构成，可能包含导致服务中断的严重故障，也有可 能涉及未导致服务中断的一般故障。 信息化技术越来越