盛邦安全在同众多银行业金融机构的沟通和服务过程中，对当前银行业金融机构，尤其是中小银行业金融机构信息科技风险管理的现状有了较深入的了解，本系列文章旨在基于对中小银行信息科技风险管理的整体现状的认知，提炼和分享当前行业信息科技风险管理体系建设的面临的问题和良好实践，以期启发更多的行业思考和讨论。

 

本期讨论的主题是银行业金融机构业务连续性管理实操。据相关新闻报道，近期某农商银行因办公环境质量原因导致超过百名IT工作人员呼吸系统出现病变，甚至有多人被确诊为癌症，该新闻事件给业界带来震惊。虽然最终的统计数字和相关影响并没有官方确切的消息发布，但此次事件的爆发对于该金融机构来说不仅仅是对业务运营本身的影响，还包括机构声誉的损失。可能对于大多数金融机构管理者而言，这是一场“意外”；但是这样的“意外”，本可以避免其发生。

 

金融机构监管单位早在2011年就发布了《商业银行业务连续性监管指引》，用于推动银行业金融机构的业务连续性管理工作。监管机构对于金融机构业务连续性管理的重视，也体现在2019年中国银保监会办公厅发布的《关于开展中小银行机构业务连续性相关风险整治工作的通知》中，重点推动中小银行业金融机构提升和优化业务连续性管理体系。这些监管举措的目的就是要银行业金融机构将“意外”纳入到日常管理体系。

 

考虑到本系列文章一直按照《指引》的监管框架，所以本期内容我们还是以《商业银行信息科技风险管理指引》（以下简称《指引》）第七章业务连续性管理的监管要求出发，来简要描述当前中小银行金融机构在业务连续性管理的现状和出色实践。《商业银行业务连续性监管指引》对于此领域的监管要求更加详细，我们后续计划安排针对这一专业领域的详细观察出一期专栏内容。

 

一、业务连续性规划

 

《指引》第五十条提到，“商业银行应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划，以确保在出现无法预见的中断时，系统仍能持续运行并提供服务；定期对规划进行更新和演练，以保证其有效性。”

 

理论上来讲，业务连续性规划是一个总体性工作，是业务连续性工作真正开展落地的一个前提，尤其是中小商业银行针对该领域完全没有建设思路的情况下，适当的规划是必要的。实践中，很多金融机构会选择专业业务连续性咨询机构来参与行内的规划，不仅要在业务连续性管理组织架构层面进行设计，还要规划具体的业务流程和必要的操作规范及标准。

 

因为监管的推动，《指引》以及后续发布的《商业银行业务连续性监管指引》相关的要求非常明确，中小银行一般根据监管指引的具体要求开展业务连续性管理工作，在规划环节方面普遍投入并不多。缺乏第三方咨询机构的参与，会导致中小金融机构不能全面的了解行业内的通用做法和优秀实践，也不能充分利用咨询机构在行业内的经验来为本行做有针对性的指导。

 

目前行业内众多的金融机构，普遍选择加入国内权威的专业性行业团体或者协会，分享行业实践以及参加针对性的培训，并参与行业研讨。

 

二、业务连续性风险评估和业务影响分析

 

《指引》第五十一条提到，“商业银行应评估因意外事件导致其业务运行中断的可能性及其影响”。

 

从业务连续性风险管理体系角度来讲，业务影响分析和风险评估都是体系的基础环节；业务影响分析可以明确业务恢复重点和业务恢复优先级；以及基于支撑业务运营的信息系统，明确RTO/RPO等业务恢复技术指标；风险分析则能分析可能造成业务中断的各类场景，以及必要的处置机制和需要配置的资源。

 

我们发现大多数中小银行在业务连续性管理办法中，也都明确了业务影响分析和风险评估的管理要求；但是实际执行过程中，普遍对业务影响分析和风险评估执行得不到位、不全面，也并没有根据业务或者系统的变更要求来及时对业务影响分析结果进行更新。当发生影响业务运行的中断事件时，普遍反映的问题是中断场景并没有包含在预案中，这也是风险评估不全面导致的。此外业务部门在业务影响分析和风险评估环节的参与程度普遍不高，基本上以信息科技部门围绕信息系统本身的重要性程度或者同业参考来得出恢复优先级，不能真实充分反映业务部门的意见。

 

领先的中小银行金融机构，一般通过聘请外部咨询机构，协助开展业务影响分析以及风险评估活动，引导业务部门广泛参与到业务影响分析过程，梳理出适合本行实际的分析评价模型，并结合专家经验进行调整，形成一个符合业务实际需要的业务影响分析和风险评估报告；部分银行业金融机构，通过信息化手段，将业务影响分析和风险评估做成信息化工具，内置评价和分析模型，可以灵活配置相关参数以及评价权重，提升分析和评估环节的效率。

 

三、业务连续性计划

 

《指引》第五十三条提到, “商业银行应建立维持其运营连续性策略的文档，并制定对策略的充分性和有效性进行检查和沟通的计划”。

 

我们发现部分中小银行虽然制定了业务连续性计划文件，但是内容并不符合监管指引以及优秀实践的要求，尤其是缺少对系统间关联关系的梳理以及系统依赖资源的明确。

 

在制定业务连续性计划方面,领先的中小银行金融机构根据监管要求明确制定业务连续性计划相关文件；明确了组织架构、业务系统恢复优先级、系统关联关系、系统恢复策略、系统依赖资源、应急指挥和危机通讯程序、预案开发和维护等具体的指标和要求；组织开展相关员工的业务连续性研讨和培训，定期对业务连续性计划开展演练；依据业务连续性相关管理制度以及实际业务变化更新情况，对业务连续性计划的适用性进行评估，并根据环境的变化更新。

 

此外，个别领先的银行业金融机构，借助申请业务连续性管理认证资质（基于ISO22301标准）来优化自身的业务连续性管理体系，提升业务连续性管理能力，投入和优化业务连续性管理资源，并能做到对体系每年的持续复核和优化整改。

 

四、灾备资源投入和应急响应管理

 

《指引》第五十二条提到，“商业银行应采取系统恢复和双机热备处理等措施降低业务中断的可能性，并通过应急安排和保险等方式降低影响”。

 

目前绝大多数中小银行在灾备恢复资源的投入都比较大，按照监管要求，建立了两地三中心的基础数据中心架构；其中同城建立了应用级灾备体系，异地数据中心基本以数据备份为主。但大多数中小银行普遍存在同城应用级灾备中心，不能做到重要应用系统灾备能力的全覆盖，基础投入方面尚待进一步加强。

 

领先的中小银行建立了双活或者多活的数据中心容灾技术架构，实现了同城或异地数据中心的应用和数据的实时同步备份。

 

在应急管理方面,大多数中小银行制定了信息系统应急预案等相关文件，预案涵盖不同的应急场景，确保应急事件发生时能够得到有效处理。应急预案一般对应急管理职责进行了明确的规定。在应急保障方面，一般都明确了应急管理组织通讯联系人以及需要外部组织支持的紧急联系人；大多数中小银行每年不定期组织信息系统应急演练，目前我们看到大多数银行能够做到真实业务系统的切换演练，并根据应急演练暴露出来的问题持续更新应急管理体系，但真实的有灾备系统进行接管真实业务的演练开展的较少。

 

在应急响应管理环节，绝大多数中小银行的应急预案和应急演练，都是以信息科技部门参与为主，很少有业务部门制定自己业务条线或者部门的应急预案以及开展相关场景的应急演练。信息系统导致的业务中断只是业务中断的一个场景，仍然会有除信息科技之外的原因导致业务运营的正常开展，例如关键人员不可用、网点不可用以及办公场所不可能用等意外情况导致的业务中断。

 

五、业务连续性管理组织机构

 

《指引》第五十四条提到“商业银行的业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认”。

 

我们发现，对于明确了业务连续性管理归口到风险管理部的机构，对于业务连续性计划以及应急演练结果会进行确认和分析，不过很少会提交到信息科技管理委员会进行确认。

 

此外，在《商业银行业务连续性监管指引》中明确了更为详细的业务连续性组织架构。

 

目前大多数中小银行已经结合自身业务发展和监管机构要求，建立了机构层面的业务连续性管理架构，业务连续性组织包括了日常管理组织和应急管理组织；成立了业务连续性管理委员会，一般由风险管理部门作为业务连续性牵头部门，制定了相关的管理办法。

 

我们发现，虽然大多数银行普遍成立了业务连续性管理委员会，但是该委员会真实履职或者针对每年业务连续性重大事项发起会议的情形比较少见。此外，风险管理部门普遍缺乏专业的业务连续性管理专员或者相关岗位人员业务连续性管理技能亟待提高。

 

本文内容来自于盛邦安全对中小金融机构信息科技风险管理现状的有限了解，难免管中窥豹，其中不准确、不正确、不恰当之处也请读者谅解和指正，尊贵的银行业金融机构也请不要对号入座。盛邦安全将在本年度陆续发布针对中小金融机构信息科技风险管理现状观察系列文章，如有兴趣，敬请期待