业务连续性管理-(BCM)ISO22301实务培训课件.ppt

- * BCM实施难点与对策 难点 对策 1 项目协调性工作量较大， 高层领导、业务条线全线参与 项目启动阶段，请高层（一把手）介入； 获得高层领导授权，要求各部门全力配合； 各部门负责人任命资深员工为BCM体系协调员，协助其参与体系建设工作。 2 体系建设易，充分落地难 优先落实最核心的关键业务的BCP，分步骤实施。 3 体系主管部门与科技部门的工作衔接 科技部门经验更丰富，BCM体系建设阶段可以多参与，但体系主管部门必须全程参与，掌控全局； BCM体系投入运行后，必须明确体系主管部门的地位和职责，科技部门的BCP、DRP仅是全行BCP的分支。 - * 内容提要 - * 哪些场合适合用PPT？ BCM实施策略讨论 * * * * * * - - - * 业务连续性管理 business continuity management （BCM） 培训讲师： - * 内容提要 - * BCM - * 何为BCM 业务连续性（Business Continuity）：业务中断事件发生后，在预先确定的可接受水平上持续交付产品或提供服务的能力。 业务连续性管理（Business Continuity Management）是一套整体的管理流程，用以： 识别潜在威胁，以及这些威胁对业务持续运行带来的影响； 建立有效应对威胁的自我恢复能力， 保护关键相关方的利益、声誉、品牌和创造价值的活动。 - * BCM是一个跨多个专业领域的综合性体系 - * BCM标准发展 新加坡标准 SS540 英国标准 BS25999 国际业务持续协会（BCI） 《业务持续管理良好实践指南》 BCM GPG 理论基础 理论基础 升级 中国国家标准 GB/T30146 2013年12月17日正式发布 国际标准 ISO22301 2012年5月15日正式发布 对应 《商业银行业务连续性监管指引》 2011年12月28日正式发布 - * ISO22301标准全文结构 4.组织环境 5.领导力 6.策划 7.支持 8.实施 9.绩效评价 10.改进 理解组织 及其环境 理解相关 方的需求和 期望 定义BCMS的 范围 BCMS 领导力与承诺 管理承诺 方针 应对风险和 机会的措施 业务连续性目标和实现计划 资源 能力 意识 沟通 文件化信息 实施策划与控制 业务影响分析和风险评估 业务连续性策略 建立和实施业务连续性程序 演练和测试 监视、测量、 分析和评价 内部审计 管理评审 不合格项和 纠正措施 持续改进 计划（Plan） 执行（Do） 检查（Check） 改进（Action） 组织角色、 职责和权限 - * 监管指引与国际标准对应关系 ISO22301:2012　（GB/T30146-2013） 《商业银行业务连续性监管指引》 4 组织环境 5 领导力 6 策划 7.1 资源 7.4 沟通 7.5 文件化信息 9 绩效评价 10 改进 第一章　总则 第二章　业务连续性组织架构 7.2 能力 7.3 意识 第一章　总则（第九条） 8.2 业务影响分析和风险评估 8.3 业务连续性策略 第三章　业务影响分析 8.4 建立和实施业务连续性程序 第四章　业务连续性计划与资源建设 第六章　运营中断事件应急处置 8.5 演练和测试 第五章　业务连续性演练与持续改进 - 第七章　监管和处置 - * 业务连续性与IT服务连续性 业务流程、业务活动 IT服务（信息系统、IT基础设施） 技术支撑 业务连续性（Business Continuity）：关注于一个组织提供产品、服务的业务流程、业务活动的持续运行。 业务不连续的后果： 客户量/业务量减少、产品报废、合同违约、监管违规、财务损失、利益相关方施压、社会谴责（环境/健康等）、丧失竞争力、破产…… 业务连续性计划（BCP）：从业务层面恢复中断的业务流程和活动。 IT灾难恢复计划（IT DRP）、应急预案通常用于支撑BCP。 IT服务连续性（IT Service Continuity）： 关注于保障信息系统、IT基础设施持续运行。 IT服务不连续的后果： 直接表现：IT基础设施瘫痪、信息系统停止服务； 间接表现：依赖IT系统的业务活动停滞，部分业务切换到人工操作。 IT灾难恢复计划：将中断的IT系统服务恢复到可用状态，通常涉及灾备切换。 应急预案：通常由一组具体的故障恢复场景构成，可能包含导致服务中断的严重故障，也有可能涉及未导致服务中断的一般故障。 信息化技术越来越多地承载了组织的业务流程运行。 - * 业务连续性的恢复要求 最长可容忍中断时间（MTPD, Maximum Tolerable Period Of Disruption）交付产品、服务的业务流程与活动的最长可容忍中断时间。如果超出