农商行业务连续性管理暂行办法
第一章 总则
第一条 为加强农商行(以下简称“省联社”)业务连续性管理,建立健全业务连续性管理体系,提高重要业务运营中断事件的处置能力,保障业务持续稳定运营,根据中国银行业监督管理委员会《商业银行信息科技风险管理指引》(银监发〔2009〕19号)及《商业银行业务连续性监管指引》(银监发〔2011〕104号)等相关规定,参照行业惯例和全省农商行业务连续性管理工作实际情况制定本管理办法。
第二条 省联社将业务连续性管理纳入全面风险管理体系,建立与战略目标相适应的业务连续性管理体系,确保重要业务在运营中断事件发生后快速恢复,降低或消除因重要业务运营中断造成的影响和损失,保障业务持续运营。
第三条 省联社根据业务发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
第四条 本管理办法遵循的基本原则是:
(一)切实履行社会责任,保护客户合法权益,维护金融秩序;
(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;
(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益。
(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第五条 本管理办法管理范畴涵盖业务连续性管理组织架构与职责、业务影响分析与风险评估、业务连续性管理制度体系、业务连续性关键资源建设、应急演练与持续改进、运营中断事件应急处置和业务连续性管理文化建设。
第六条 本管理办法适用于全省农商行(含农村商业银行)。
第二章 术语定义
第七条 本管理办法所称业务连续性管理,是指为有效应对重要业务运营中断事件而建设的应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。
第八条 本管理办法所称重要业务,是指面向客户、涉及账务处理、时效性要求较高的银行业务,其运营服务中断会对全省农商行产生较大损失或声誉影响,或对公民、法人和其他组织的权益、社会秩序和公共利益、国家安全造成严重影响的业务。
第九条 本管理办法所称的重要业务运营中断事件(以下简称“运营中断事件”),是指因下述原因导致重要业务停止运营的事件,主要包括:
(一)信息技术故障:信息系统技术故障、配套设施故障。
(二)外部服务中断:第三方无法合作或提供服务等。
(三)人为破坏:黑客攻击、恐怖袭击等。
(四)自然灾害:火灾、雷击、洪水、地震、重大疫情等。
第十条 全省农商行业务运营中断事件依照其影响范围及持续时间等因素共分四级,分别为一级重大突发事件(Ⅰ级)、二级重大突发事件(Ⅱ级)、三级重大突发事件(III级)、四级重大突发事件(Ⅳ级)。当业务运营中断事件同时满足多个定级条件时,按最高级别确定业务运营中断事件等级。
第十一条 本管理办法中所称的外包供应商,是指为农商行提供服务的非农商行独立法人及其工作人员,主要包括硬件设备维护类外包供应商、软件产品开发与运维服务类外包供应商。
第十二条 本管理办法中所称的信息系统,是指用于支持或建成后用于支持全省农商行日常业务运作的信息系统,包括生产数据处理系统及支撑系统运行的机房和网络等相关基础设施。
第十三条 本管理办法中所称的业务影响分析,是指评估业务中断影响和损失、识别重要业务和关键资源、并分析重要业务及重要信息系统恢复目标和恢复优先级的过程。
第十四条 本管理办法中所称的风险评估,是指识别业务连续运营所需的关键资源,分析资源所面临的各类威胁,以及资源自身的脆弱性,确定资源风险敞口及风险应对措施的过程。
第十五条 本管理办法中所称的恢复时间目标(Recovery Time Objective,简称RTO),是指运营中断事件发生并导致业务或系统中断后,业务或系统从中断到必须恢复的时间要求,主要包括业务恢复时间目标(以下简称“业务RTO”)和信息系统恢复时间目标(以下
简称“信息系统RTO”)。
第十六条 本管理办法中所称的恢复点目标(Recovery Point Objective,简称RPO),是指运营中断事件发生并导致业务或系统中断后,数据可容忍丢失的最长时间,主要包括业务恢复点目标(以下简称“业务RPO”)和信息系统恢复点目标(以下简称“信息系统RPO”)。
第十七条 本管理办法中所称的全社级应急演练,是指以大范围业务运营中断事件为场景,原则上3个以上(含3个)业务部门参与,并且需要科技信息部门和保障部门参与的应急演练。
第十八条 本管理办法中所称的部门级应急演练,是指3个以下业务部门参与,科技信息部门和保障部门按需参与的应急演练;或由科技信息部门、保障部门组织的,3个以下业务部门参与的应急演练。
第三章 业务连续性管理组织架构与职责
第十九条 全省农商行业务连续性管理组织架构由日常管理组织架构及应急管理组织架构组成。
第一节 日常管理组织架构
第二十条 省联社业务连续性日常管理组织架构由理事会、高级管理层、业务连续性管理委员会、业务连续性管理主管部门、执行部门、保障部门和审计部门构成。
第二十一条 理事会是省联社业务连续性管理的决策机构,对业务连续性管理承担最终责任。主要职责包括:
(一)审批业务连续性管理战略、政策和程序;
(二)审批业务连续性管理委员会管理职责,定期听取业务连续性管理委员会关于业务连续性管理的报告,监督、评价其履职情况;
(三)审批业务连续性管理年度审计报告。
第二十二条 高级管理层负责执行经理事会批准的业务连续性管理政策,主要职责包括:
(一)向理事会报告业务连续性管理工作;
(二)审批业务连续性管理办法和业务连续性策略;
(三)审批各类专项应急预案;
(四)明确其下设业务连续性管理委员会、各部门职责分工,督促各相关部门设置专门岗位,建立满足全省农商行业务连续性管理工作需要的专业团队;
(五)建立业务连续性保障支撑体系,监督资源建设工作,为确保全省农商行业务连续性工作的顺利开展提供必要的保障与支持。
第二十三条 高级管理层负责组建业务连续性管理委员会。
省联社业务连续性管理委员会包括主任委员、副主任委员、委员。其中主任委员由省联社主任担任,副主任委员由高级管理层人员组成,委员由办公室、人力资源部、改革发展部、三农小微部、机构业务部、财务会计部、运营管理部、风险管理部、法律合规部、反洗钱办公室、企业文化部、纪委(监察室)、稽核审计部、安全保卫部、科技信息中心、资金清算中心、银行卡中心、电子银行中心、教育培训中心、后勤服务中心、资金营运中心部门负责人组成。
省联社业务连续性管理委员会下设办公室,办公室设在风险管理部,作为委员会日常工作机构。办公室主任由分管风险管理部的副主任担任。
省联社业务连续性管理委员负责统筹协调和落实各项业务连续性管理工作,主要职责包括:
(一)审议业务连续性管理总体战略、政策和程序;
(二)审议业务连续性管理办法和业务连续性策略;
(三)审议业务影响分析和风险评估报告,包括业务及信息系统的恢复目标及优先级分类;
(四)审议业务连续性计划及总体应急预案;
(五)审议全社级应急演练总结报告;
(六)审议业务连续性管理评估报告;
(七)审议业务连续性管理年度工作报告,并向理事会汇报。
第二十四条 风险管理部作为省联社业务连续性管理主管部门,负责组织开展业务连续性的日常管理工作,主要职责包括:
(一)组织制定业务连续性管理总体战略、政策和程序;
(二)组织制定业务连续性管理办法和业务连续性策略;
(三)推动协调业务连续性管理执行部门和保障部门实施业务影响分析和风险评估,并根据分析和评估结果汇总编制业务影响分析和风险评估报告;
(四)组织制定和维护业务连续性计划及总体应急预案;
(五)推动业务连续性管理执行部门和保障部门开展专项应急预案的编制和维护工作;
(六)组织制定全社级应急演练计划和方案,并组织开展实施和总结工作;
(七)组织业务连续性管理执行部门和保障部门制定部门级应急演练计划和方案,并督促实施;
(八)组织开展业务连续性管理评估工作;
(九)组织开展业务连续性管理培训工作;
(十)负责本部门业务连续性资源建设工作,并指导本条线的资源建设工作。
(十一)负责省联社业务连续性管理文档的整理和归档;
(十二)负责省联社业务连续性管理的监管报送工作;
(十三)完成职责范围内其他的业务连续性管理工作。
第二十五条 业务连续性管理执行部门包括业务部门和科技信息中心,其中业务部门包括:改革发展部、三农小微部、机构业务部、财务会计部、运营管理部、反洗钱办公室、资金清算中心、银行卡中心、电子银行中心、资金营运中心,其职责分别为:
(一)业务部门的业务连续性管理职责主要包括:
1.根据业务连续性管理主管部门的要求,实施本部门的业务影响分析和风险评估工作,并向主管部门提交分析和评估结果;
2.制定和维护本部门重要业务专项应急预案,参与全社级应急演练的实施和总结工作;
3.制定本部门重要业务的应急演练计划和方案,并组织开展实施和总结工作;
4.负责本部门业务连续性资源建设工作,并指导本条线的资源建设工作;
5.开展本部门业务连续性管理评估工作;
6.完成职责范围内其他的业务连续性管理工作。
(二)科技信息中心的管理职责主要包括:
1.根据业务连续性管理主管部门的要求,实施业务影响分析和风险评估工作,并向主管部门提交分析和评估结果;
2.制定和维护信息系统突发事件总体应急预案,及各重要信息系统专项应急预案;
3.参与全社级应急演练的实施和总结工作;
4.制定信息系统应急演练计划和方案,并组织开展实施和总结工作;
5.配合业务部门开展部门级应急演练工作;
6.负责本部门业务连续性资源建设工作,并指导本条线的资源建设工作。
7.开展本部门业务连续性管理评估工作。
8.完成职责范围内其他的业务连续性管理工作。
第二十六条 业务连续性管理保障部门包括办公室、人力资源部、法律合规部、企业文化部、纪委(监察室)、安全保卫部、教育培训中心、后勤服务中心,其职责包括:
(一)根据业务连续性管理主管部门的要求,实施本部门的业务影响分析和风险评估工作,并向主管部门提交分析和评估结果;
(二)参与全社级应急演练的实施和总结工作;
(三)配合业务部门开展部门级应急演练工作;
(四)负责本部门业务连续性资源建设工作,并指导本条线的资源建设工作。
(五)开展本部门业务连续性管理评估工作;
(六)制定并维护省联社人力资源应急调配、心理安抚相关的应急预案;
(七)负责审核合同、协议中的业务连续性管理相关条款,并提供法律咨询建议;
(八)制定并维护舆情相关的专项应急预案并组织开展实施和总结,以及日常舆情监测、研判、报告和媒体沟通等相关工作;
(九)负责业务连续性管理工作的纪律监督;
(十)制定并维护消防安保相关的应急预案;
(十一)负责省联社消防设备资源的建设工作;
(十二)协助业务连续性管理主管部门开展业务连续性培训工作;
(十三)负责业务连续性管理工作中的应急演练场地、物资的安排,以及备用办公场地的调配和应急通讯等资源保障工作;
(十四)完成职责范围内其他的业务连续性管理工作。
第二十七条 稽核审计部作为省联社业务连续性管理审计部门,负责开展全省农商行业务连续性管理全面审计和各类专项审计,并向理事会提交相关审计报告。
第二节 应急管理组织架构
第二十八条 全省农商行业务连续性应急管理组织架构是为应对业务运营中断事件而设立,承担运营中断事件处置、各类预案执行和事件总结报告等职责。全省农商行业务连续性应急管理组织由应急领导小组、应急协调小组、应急执行小组和应急保障小组构成。
第二十九条 省联社应急领导小组组长由省联社主任担任,副组长由分管副主任或主任授权的其他高级管理层人员担任,成员包括业务部门、科技信息部门和保障部门负责人,主要职责包括:
(一)统一决策指挥和组织研究部署特别重大业务运营中断事件(I级事件)的应急管理和资源协调;
(二)决定或授权有关高级管理层人员启动和终止总体应急预案;
(三)决定或授权有关高级管理层人员对外报告和公告运营中断事件;
(四)决定或授权有关高级管理层人员批准实施灾难备份系统切换;
(五)监督应急协调小组的运营中断事件处置进展;
(六)审阅应急协调小组提交的应急处置总结报告;
(七)运营中断事件处置中需要应急决策的其他事项。
第三十条 省联社应急协调小组组长由受运营中断事件影响的重要业务分管领导担任,
成员包括业务部门、科技信息部门和保障部门负责人,主要职责包括:
(一)负责运营中断事件的现场指挥、组织协调和过程控制;
(二)决定运营中断事件影响的升级和降级操作;
(三)向应急领导小组报告应急处置工作进展和事态变化等情况;
(四)运营中断事件处置结束后向应急领导小组提交应急处置总结报告,并汇报整体应急处置情况;
(五)运营中断事件处置中需要应急协调指挥的其他事项。
第三十一条 应急执行小组由业务部门和科技信息部门派员组成,主要职责包括:
(一)开展运营中断事件排查、业务恢复、系统设备抢修等工作;
(二)收集分析运营中断事件处置中的数据信息和日志,并对运营中断事件处置过程进行完整记录;
(三)向应急协调小组报告应急处置工作进展和事态变化等情况;
(四)运营中断事件处置结束后,编制应急处置总结报告,并向应急协调小组汇报;
(五)运营中断事件处置中需要应急操作实施的其他事项。
第三十二条 省联社应急保障小组由办公室、人力资源部、法律合规部、企业文化部、安全保卫部、后勤服务中心派员组成,主要职责包括:
(一)办公室负责省联社公共关系协调,对安排部署的应急保障工作进行督查督办;
(二)人力资源部根据处置运营中断事件的需要,提供应急所需的人力资源保障,进行人力资源调配和临时任命;
(三)法律合规部负责应对应急处理中产生的法律纠纷事件;
(四)企业文化部负责省联社重要信息系统运营中断事件的舆情管理和媒体应对工作,根据预案开展运营中断事件的舆情监测、研判、报告和媒体沟通等相关工作,负责应对社会媒体危机;
(五)安全保卫部门负责安排保卫人员维持营业场所和办公场所的正常秩序;
(六)后勤服务中心负责应急处理中的交通运输、餐饮、住宿等工作,以及调动物业管理公司进行物业抢修和后勤保障支持。
第四章 业务影响分析与风险评估
第一节 业务影响分析
第三十三条 省联社业务连续性管理主管部门负责制定业务影响分析的方法和程序,并组织业务连续性管理执行部门和保障部门开展业务影响分析工作。
第三十四条 业务部门在业务连续性管理主管部门的推动下,开展本部门的业务影响分析工作。
第三十五条 业务影响分析包括分析业务中断影响、重要业务识别及分类、业务分类结果确认、明确信息系统恢复目标(信息系统RTO和信息系统RPO)和恢复优先级。
(一)分析业务中断影响
业务部门使用业务影响分析工具,评估本部门各项业务运营中断的影响和损失,确定业务恢复目标(包括业务RTO和业务RPO)。
(二)重要业务识别及分类
全省农商行依据监管要求以及业务运营实际需要,将业务分为三类,即A类业务(重要业务)、B类业务(次重要业务)和C类业务(非重要业务),各类业务划分标准如下:
A类业务:RTO≤4小时且RPO≤30分钟
B类业务:4小时<RTO≤24小时
C类业务:RTO>24小时
业务部门根据上述分类标准,根据业务恢复目标,初步开展本部门业务的分类工作,并将业务恢复目标与分类结果提交业务连续性管理主管部门。
(三)业务分类结果确认
业务连续性管理主管部门汇总业务部门的业务分类结果,参考监管要求和同业分类情况,评估业务分类的合理性。当业务连续性管理主管部门对A类业务分类产生异议时,可要求业务部门就业务分类结果进行解释说明。
业务连续性管理主管部门可根据沟通结果,对业务的分类结果进行调整,并通知业务部门。
(四)分析信息系统恢复顺序和恢复指标
科技信息部门在业务连续性管理主管部门的组织下,根据业务恢复目标,结合省联社信息科技支撑能力,最终确定信息系统的恢复目标和恢复优先级,并提交给业务连续性管理主管部门。
第三十六条 业务连续性管理主管部门根据业务及信息系统的恢复目标和优先级,编制业务影响分析报告,并提交至业务连续性管理委员会审议。
第三十七条 省联社每三年开展一次全面业务影响分析工作。业务影响分析是新业务及信息系统上线的必要条件,在新业务及信息系统上线或发生重大变更时,或业务运营的内部流程、外部环境发生重大变化时,须及时开展业务影响分析,并更新业务或信息系统的恢复目标和优先级。
第二节 风险评估
第三十八条 业务连续性管理主管部门负责制定风险评估的方法和程序,并组织业务连续性管理执行部门和保障部门开展风险评估工作。
第三十九条 业务连续性风险评估工作的主要内容包括:
(一)梳理业务开展的关键资源;
(二)识别并评估关键资源所面临的威胁;
(三)识别并评估关键资源的脆弱性;
(四)识别并评估现有的控制措施;
(五)根据关键资源所面临的威胁、脆弱性和现有控制措施的评估结果,采用定量和定性的方法综合评估关键资源面临的风险,确定风险等级。
第四十条 业务连续性管理执行部门和保障部门在业务连续性管理主管部门的推动下,参照风险评估的方法和程序开展风险评估工作,并将评估结果提交至业务连续性管理主管部门。
第四十一条 业务连续性管理主管部门汇总分析风险评估结果,编制风险评估报告,并提交至业务连续性管理委员会审议。
第四十二条 省联社每三年开展一次全面风险评估工作。风险评估是新业务及信息系统上线的必要条件,在新业务或信息系统上线、发生重大变更时,或业务运营的内部流程、外部环境发生重大变化时,须及时开展专项风险评估。
第五章 业务连续性管理制度体系
第四十三条 业务连续性管理制度体系包括业务连续性管理政策、业务连续性管理办法、业务连续性策略、业务连续性计划及总体应急预案、信息系统突发事件总体应急预案、重要业务专项应急预案、重要信息系统专项应急预案、支持保障类专项应急预案等。
第四十四条 业务连续性管理政策的内容包括理事会及其委员会、高级管理层的管理职责、业务连续性管理制度体系以及业务连续性各领域的管理要求。业务连续性管理政策由业务连续性管理主管部门制定,经业务连续性管理委员会审议后,最终由理事会审批。
第四十五条 业务连续性管理办法的内容包括省联社业务连续性管理组织架构、职责和分工,规范省联社业务连续性管理工作的要求。业务连续性管理办法由业务连续性管理主管部门制定,经业务连续性管理委员会审议后,最终由主任办公会审批。
第四十六条 业务连续性策略的内容包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。业务连续性策略由业务连续性管理主管部门制定,经业务连续性管理委员会审议后,最终由主任办公会审批。
第四十七条 业务连续性计划由业务连续性管理主管部门制定,由业务连续性管理委员会审议。业务连续性计划的主要内容应当包括:
(一)重要业务及关联关系、业务恢复优先次序;
(二)重要业务运营所需关键资源;
(三)应急指挥和危机通讯程序;
(四)各类预案以及预案维护、管理要求;
(五)残余风险。
第四十八条 总体应急预案是省联社应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。
第四十九条 重要业务专项应急预案的内容包括不同中断场景下的具体应急响应、处置和恢复流程。重要业务专项应急预案由业务部门制定,由各业务分管副主任审批,并在主管部门备案。
第五十条 信息系统突发事件总体应急预案和重要信息系统专项应急预案的内容包括不同中断场景下的技术应急响应和恢复流程。重要信息系统专项应急预案由科技信息部门制定,由分管科技信息副主任审批,并在主管部门备案。
第五十一条 支持保障类专项应急预案的内容包括不同中断场景下的支持保障工作流程。支持保障类专项应急预案由业务连续性管理保障部门制定,由分管副主任审批,并在主管部门备案。
第五十二条 重要业务及信息系统的外包供应商须建立业务连续性计划。
第六章 业务连续性关键资源建设
第五十三条 业务连续性关键资源包括人力、信息系统、办公场所、办公设备和通讯设备等资源。
第五十四条 明确重要业务恢复所需关键岗位人员的备份方式,并确保备份人员可用。
第五十五条 建立备用办公场所,并综合分析备用办公场所属地的自然环境、地区配套设施、区域经济环境、交通条件、政策环境和成本等各方面因素,确保不会与现有办公场所遭受同类风险。
第五十六条 根据条件配备备用业务和办公场所资源,并在备用场所中配置业务操作和办公设备,确保内部设备处于可用状态,能够迅速启用。
第五十七条 在生产灾备基础上,重点加强信息系统资源及配套基础设施的灾备建设,提高重要信息系统的灾备覆盖率,提升重要信息系统的持续运营能力。
第七章 业务连续性应急演练
第五十八条 应急演练分为全社级应急演练和部门级应急演练。全社级应急演练由业务连续性管理主管部门牵头组织实施,业务部门、科技信息部门和保障部门参与实施。部门级应急演练由各部门自行组织实施。
第五十九条 业务连续性管理主管部门负责制定全社级应急演练计划,涉及的执行部门应分别制定演练方案。业务连续性管理主管部门汇总各部门演练方案后,编制全社级应急演练方案并牵头组织实施。
第六十条 业务连续性管理主管部门应要求业务连续性管理执行部门和保障部门制定部门级的应急演练计划和方案,并向业务连续性管理主管部门报备。
第六十一条 各部门制定应急演练计划时,应综合考虑业务重要性、演练方式等因素,并确定演练的业务种类、时间和方式。
第六十二条 演练方案应包含演练的组织安排、演练场景、具体步骤、演练人员、场地需求等内容。
第六十三条 演练牵头部门对演练过程进行完整记录,并在演练后开展评估工作。演练评估主要包括以下内容:
(一)预案的可操作性;
(二)演练结果与演练目标的差距;
(三)演练过程中发现的问题;
(四)演练工作的组织;
(五)参演人员的应急能力。
第六十四条 演练牵头部门根据演练评估结果编制演练总结报告。演练总结报告应包括演练过程、演练中存在的问题及改进计划等内容。
第六十五条 全社级演练总结报告由各参演部门及业务连续性管理主管部门负责人签字确认后,经业务连续性管理主管部门提交至业务连续性管理委员会。部门级应急演练总结报告由各参演部门负责人签字确认后,向业务连续性管理主管部门报备。
第六十六条 原则上,各重要业务至少每三年开展一次应急演练,并在重大业务活动、重大社会活动等关键时点,或在关键资源发生重大变更之前,开展专项演练。
第六十七条 应当将外部供应商纳入演练范围,同时应当积极参加金融同业机构、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练,确保应急和协调措施的有效性。
第六十八条 业务连续性管理主管部门在完成全社级应急演练后的45个工作日内,向监管机构提交演练总结报告。
第八章 业务连续性管理持续改进
第六十九条 业务连续性管理主管部门每年组织业务连续性管理执行部门和保障部门对业务连续性管理相关制度文档进行更新和维护。
第七十条 业务连续性管理主管部门每年组织各部门开展业务连续性管理评估工作,编制业务连续性管理评估报告,并提交至业务连续性管理委员会。
第七十一条 业务连续性管理执行部门可根据自身规模、业务复杂程度以及本部门业务连续性管理的需要,参考省联社业务连续性策略制定部门层面业务连续性策略。
第七十二条 业务连续性管理执行部门在推出新业务产品、重大业务变更、重要系统上线、重要系统重大变更前,应在完成业务影响分析和风险评估的基础上,及时开展相关应急预案的编制工作。
第七十三条 稽核审计部每年对业务连续性管理开展情况进行审计,每三年进行一次全面审计。在发生导致大范围业务中断的重大运营中断事件时,应进行专项审计。
第七十四条 业务连续性管理审计的内容应包括:业务影响分析、风险评估、恢复策略的合理性和完整性;业务连续性预案及其演练计划的完整性和有效性;业务连续性演练过程及其报告的完整性和有效性;业务连续性管理相关部门及其人员的履职情况等。
第七十五条 每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务连续性管理的评估报告与相关审计报告。
第九章 运营中断事件应急处置
第七十六条 业务运营中断事件应急处置按照应急流程展开,包括但不限于运营中断事件的监控、响应、处置、恢复与危机公关等。
第一节 运营中断事件监控与响应
第七十七条 建立运营中断事件监控体系,并纳入全社风险监控体系,对业务及信息系统的运行情况进行日常监控。
第七十八条 重大业务和社会活动等关键时点,或在业务功能、关键资源发生重大变更时,业务和信息科技部门之间应开展信息通报、风险提示工作,加强风险监控。
第七十九条 发生运营中断事件后,全省农商行应及时开展沟通和报告工作,包括:按照内部报告路线报告,与外部合作机构及外包供应商的沟通,以及按照银监会有关报告要
求,向银监会或其派出机构的报告等。
第八十条 及时响应运营中断事件,对事件影响进行评估,确定事件等级,及时启动应急预案,确保业务快速恢复,防止事态升级或恶化。
第二节 运营中断事件处置与恢复
第八十一条 运营中断事件应急处置工作应遵循下列原则:
(一)统一认识,依法处置原则。在处置业务运营中断事件过程中,必须遵守相关的法律、法规,按照相关规定,做到统一认识、顾全大局、科学决策、依法处置。
(二)属地负责,稳妥缜密原则。在运营中断事件处置过程中,各分支机构应根据省联社管理要求并结合本地实际情况,做到依法、快速、高效、稳妥。
(三)及时通报,严守秘密原则。应当根据事件等级实施差别化处置,必要时可以越级汇报、紧急授权,保障信息传递和决策的及时性,将影响或损失最小化。在运营中断事件处置过程中,必须严格保守国家秘密和全省农商行商业秘密,对于涉密事项应严格遵守保密法规,不得泄露。
(四)统一指挥,协调配合原则。在运营中断事件处置过程中,要建立强有力的指挥体系,加强各部门间的组织协调工作,做到令行禁止。各部门、各机构应按照自身的权限和职责各司其职,服从上级指挥。
(五)预防为主,降低损失原则。要加强日常应急演练,强化管理能力,以预防为主,最大限度降低运营中断事件风险。
第八十二条 业务部门、科技信息部门和保障部门应在统一领导与指挥下,遵照总体应急预案调度,按相关专项应急预案进行处置的原则,及时开展运营中断事件处置工作,防止事态升级或恶化。
第八十三条 应急保障小组应根据应急领导小组、应急协调小组的指示,适时向公众发布相关信息,消除或降低危机所造成的负面影响。
第八十四条 在灾难备份切换时,业务部门应对中断时的业务数据进行核对,并开展交易的测试和验证工作。
第八十五条 应建立与外包供应商、电力部门、公安部门、当地政府和新闻媒体等单位的外部协作机制,保证运营中断事件处置的外部支持。
第八十六条 应急执行小组应对运营中断事件应急处置过程进行完整记录,并根据处置过程编制应急处置报告,提交至应急协调小组。
第八十七条 对于III级(含)以上的运营中断事件,稽核审计部应在运营中断事件发生后进行专项审计,并编制专项审计报告。同时,业务连续性管理主管部门应及时向监管机构递交相关处置报告。
第十章 业务连续性管理文化建设
第八十八条 业务连续性管理文化建设应遵循“持续深化”的原则,有组织、有计划地逐步培养全社员工的业务连续性管理意识;将业务连续性管理常态化,逐步融入企业文化之中,使之成为全省农商行日常运营管理的组成部分。
第八十九条 业务连续性管理主管部门和人力资源部、教育培训中心负责组织、协调与推广业务连续性管理工作,并开展业务连续性管理相关培训。
第九十条 业务连续性管理文化建设形式包括但不限于开展业务连续性管理培训、应急演练和业务连续性管理知识宣传等。
第十一章 附则
第九十一条 市县各级农商行应根据本办法,并结合辖区实际,制定各自的管理办法。
第九十二条 本管理办法由农商行负责解释。
第九十三条 本管理办法自印发之日起施行。
因篇幅问题不能全部显示,请点此查看更多更全内容