業務連續性管理是企業全面風險管理的重要組成部分，其核心是通過建立一整套管理過程和控制手段來保障當發生重要業務運營中斷事件時，組織在可接受的時間范圍內可以維持預定的業務能力。

業務連續性管理可應用于各行各業，其中金融行業由于其業務具有較高的可用性和及時性要求，因此金融行業對業務連續性管理一起以來就較為重視。對于金融業務連續性存在的問題，早在2009年開始，中國的金融監管部門就陸續發布了一系列監管政策，包括《商業銀行信息科技風險管理指引》（銀監發[2009]19號），《商業銀行數據中心監管指引》（銀監辦發[2010]114號），《商業銀行業務連續性指引》(銀監發[2011]104號)等，對商業銀行業務連續性管理提出了全面的指導意見和要求。

一、我國業務連續性監管精細化發展歷程

國外發達國家業務連續性管理實踐的歷史較為悠久，而在我國，雖然IT系統備份容災系統的建設較為廣泛，但當前重視較多的是應急管理和災難恢復，在全面業務連續性管理方面還需進一步完善。 

2000年“千年蟲”、 2001年美國“911”事件、2003年“非典”、2008年汶川地震等災難事件提高了企業對災難應對、應急管理的重視程度， 政府主管部門也開始意識到業務連續性管理的重要性。作為高度依賴信息系統的金融行業，其主管部門銀保監會和人民銀行近年來陸續發布了多個指導性文件（如圖1所示），為推進金融行業的災備系統和業務連續性管理體系的建設發揮了積極的作用。

圖片

圖1 業務連續性管理國家標準及行業標準發布時間圖

二、中小銀行業務連續性體系建設面臨的主要挑戰

國內大型國有銀行和股份制銀行在災難恢復和業務連續性管理方面相對做得較好，而各類中小銀行受到各種主客觀條件限制，存在大量業務連續性相關的工作落實不到位，業務連續性管理不合規的突出問題。因此，2019年銀保監會下發了《中國銀保監會辦公廳關于開展中小銀行業務連續性相關風險整治工作的通知》，內容涵蓋了業務連續性從組織管理、資源建設到業務連續性演練和應急處置的全過程，提出的整治內容也切中了各中小銀行業務連續性建設及管理問題的要害。

當前中小銀行在業務連續性管理方面存在的主要問題有：

1.缺少業務連續性成熟度評價機制

部分中小銀行未建立有效的業務連續性評價機制，導致對業務連續性管理的認識不清、管理協同性不高、演練驗證不充分、持續改進不足。這些不利因素阻礙了銀行業務連續運營能力從初級階段向高度成熟階段的過渡，使得中小銀行對自身的災備和業務連續性能力缺乏清醒的認識和必要的規劃。

2.業務連續性頂層建設重視程度不足

部分中小銀行對業務連續性管理工作不夠重視，停留在滿足監管要求和信息系統災備恢復等較為基礎的層次上。機構的董（理）事會和高管層未審議業務連續性管理事項，沒有真正意識到業務連續性管理對提升銀行競爭力和價值創造的積極作用。同時，業務連續性計劃僅作為事件處理的應急預案，其管理和應急管理交叉重復，導致業務連續性管理組織體系不健全、預案不完整不準確、演練走過場、部門之間協調聯動不足。

3.業務影響分析方法論不完善

隨著中小銀行數字化轉型的逐步開展，業務種類也在不斷增多，各業務與信息系統之間的關聯關系也越來越復雜，也給業務影響分析工作帶來了新的挑戰。部分中小銀行缺乏對各項業務和業務系統的全面科學評估，業務劃分標準不規范、重要業務識別不正確，以信息系統或業務渠道簡單代替重要業務。因此，未明確業務重要程度、相互依賴關系和恢復優先級別，業務與信息系統關聯關系不清晰，給后續業務連續性管理工作帶來較大阻力，甚至影響全行業務連續性管理水平。

4.應急預案體系缺乏規范化建設

部分中小銀行沒有業務層面應急管理機制的開發和演練、場地應急、人員應急等BCM重要環節缺乏實質性的建設，信息系統應急預案流于形式。很多銀行對業務連續性的認識不足，認為業務連續性就是信息系統應急恢復，就是科技部門的責任。因此，缺乏科技與業務、公關等部門的聯動，缺少業務應急手段和客戶安撫、媒體公關等處理措施。

5.未按業務真實接管開展應急演練

部分中小銀行重要信息系統災備切換演練不足，僅開展桌面模擬演練或切換測試演練，未開展真實業務接管演練，對預案的有效性驗證不足。另外，很多銀行業務連續性演練僅停留在信息科技層面，缺乏涵蓋業務、技術和后勤保障等多方面的全行性演練，場景覆蓋不全面，一旦出現意外，應急預案可能無法發揮作用。

三、中小銀行業務連續性體系建設實踐感悟分享

中小銀行的業務連續性管理能力參差不齊。通過業務連續性管理能力成熟度評價體系，可以了解自身的業務連續性管理水平，并有利于對業務連續性管理體系實現持續改進和優化。

1.業務連續性現狀分析

商業銀行業務連續性管理能力成熟度評價體系主要包含三個組成部分：業務連續性管理過程模型、過程成熟度評價模型、成熟度等級模型。

過程成熟度評價模型定義了一種基于屬性的過程評價方法，包括過程評價屬性和對這些屬性進行評價的指標和標準，以及綜合全部過程評價結果確定能力成熟度等級的方法。

成熟度等級模型定義了成熟度等級劃分方式，以及每個成熟度等級的特征。業務連續性管理過程的成熟度水平由低到高分為5個等級，初始管理級、基本管理級、主動管理級、量化管理級、持續管理級。

2.業務影響分析

中小銀行進行業務影響分析時，需要多個部門共同參與實施，包括業務、科技和保障部門等。選擇分析模型和具體分析方法時，應根據實際情況對標準流程和方法進行適當裁剪，循序漸進。在初次建立業務影響分析方法論時，不要盲目采用純定量的分析方法，可以嘗試定量和定性結合的方式，適合自身的才是最好的，值得一提的是，重要業務RTO和RPO的確定，與業務之間的關聯關系，業務對應的信息系統，系統的備份技術和機制，業務的補救措施等均有關系，重要業務RTO并不是一個靜態的值，會隨著資源、技術、渠道的變化而發生改變，所以業務影響分析才需要周期性的實施，下圖2是行業較為通用的業務影響分析流程，僅供參考，大家可根據自身實際情況進行裁剪與應用。

圖片

圖2 業務影響分析方法

3.業務連續性風險評估

業務連續性風險評估是一個持續的過程，包括建立合適的風險管理框架（如圖3所示），實施風險評估，實施風險建議和決策并處置風險，以及通過對整個管理過程實施評審以達到改進的目的。

其中，實施階段是項目工作的主體，包括資源識別、威脅識別、脆弱性識別、控制措施和風險分析。風險處置是對評估出的風險結果進行的處理，風險報告則是前期工作成果的匯總，也是最終產物。

圖片

圖3 業務連續性風險評估流程圖

4.業務連續性戰略

中小銀行建設業務連續性體系的思路（如圖4所示）應當是：先關鍵，后重點；管理體系建設與關鍵資源建設并重；平穩有序地推進業務連續性體系建設工作。

為平穩有序地推進中小銀行業務連續性管理建設工作，將中小銀行業務連續性建設按照緊迫性劃分為三個階段開展實施，即業務連續性管理體系短期規劃、中期建設規劃和長期建設規劃。短期規劃是業務連續性基礎階段，以處理目前亟待解決為主。中期、長期規劃分別側重于一般緊迫和不很緊迫的業務連續性管理體系建設任務。

圖片

圖4 業務連續性戰略藍圖

5.業務連續性制度建設

業務連續性管理是一套多角度、立體的管理架構，應根據業務連續性管控現狀，結合業務連續性監管合規要求，形成戰略－辦法－細則－表單四位一體的業務連續性制度體系結構，持續完善業務連續性體系制度，有效指導和全面落實業務連續性各項管控要求。

6.業務連續性演練

業務連續性演練是檢驗業務連續性資源可用性、預案可執行性以及提高中小銀行應急處理能力的重要手段和措施。

業務連續性演練計劃應注重針對性、實效性，基于預案且明確演練目標，制定詳細的演練方案，注重場景變化的合理性，做好演練風險評估并明確控制措施。演練方式通常采用訓練式演練、桌面演練、功能演練、模擬演練和實戰演練等。

7.業務連續性培訓

為了加強中小銀行相關人員業務連續性意識，將業務連續性管理思想融入企業文化當中，使員工認識到業務連續性的作用，掌握業務連續性操作技能并熟悉自己在業務連續性管理中扮演的角色與職責應制定中小銀行長期業務連續性培訓計劃，定期開展培訓。適時對培訓內容進行考核，將考核結果與中小銀行績效考核相掛鉤，以提高人員學習積極性。

8.供應鏈業務連續性管理

銀保監會近年來越來越重視供應鏈安全管理，相繼發布了《關于供應鏈安全風險提示的函》（銀保監統信函[2021]371號）、《銀行保險機構信息科技外包風險監管辦法》（銀保監辦發〔2021〕141號）等文件，其中對供應鏈業務連續性管理方面的要求也進行了明確。中小銀行應對信息科技外包服務建立業務連續性指標，制定保障外包服務持續性的應急管理方案，并定期組織實施演練。對于符合重要外包條件的非駐場外包，中小銀行應關注服務提供商是否有完善的災難恢復設施和應急管理體系，是否有業務連續性安排。

對于可能給業務連續性管理造成重大影響的重要外包服務，首先，中小銀行應當事先建立風險控制、緩釋或轉移措施。在合同簽訂時，一是應明確要求服務提供商提供必要的應急和災備資源保障，制定應急處理預案并在預案中明確為銀行保險機構提供應急響應和恢復的優先級，原則上應為最高級；二是應明確在服務提供商服務質量不能滿足合同要求的情況下，保障獲取其外包服務資源的優先權。其次，在外包服務實施過程中持續收集服務提供商相關信息，盡早發現可能導致服務中斷或服務質量下降的情況，重點關注《網絡安全審查辦法》第十條提出的“產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害”。再次，組織服務提供商參與應急計劃編制和應急演練，至少每年在綜合性演練或專項演練中納入一個或多個服務提供商開展一次相關演練。最后，預先在銀行保險機構內部配置相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力，并建立外包服務目錄與后備供應商清單，維護一定量的備用供應商和后備產品服務。

9.業務連續性持續改進

中小銀行在業務連續性建設初期，可采用外包的形式定期開展業務連續性評估與審計，為體系建設把好關，保證“地基”建設的準確性、完整性、落地性。在建設的中期，中小銀行的業務連續性管理已經具有一定的成熟度，通過培訓、制度體系建設、人員建設、知識轉移等方式將評估方法、流程沉淀到銀行內部，開始有計劃交替進行內外部評估與審計。在建設后期階段，評估審計方法、成熟度模型已經建設成熟，中小銀行可以獨立開展業務連續性評估及審計，外部評估審計的周期可以放在三年一次或重大變更后。

四、結語

近年來，我國相繼發布了有關業務連續性管理體系5項國家標準，銀保監會也發布了《關于開展中小銀行機構業務連續性相關風險整治工作的通知》與《關于進一步加強銀行機構信息科技合規管理的通報》等要求，對業務連續性的監管要求與處罰力度也在不斷加強。同時，隨著銀行機構數字化、智能化轉型的深入，以及新技術、新模式在業務中的廣泛應用，金融機構的業務連續性風險也在不斷變化。因此，中小銀行要將業務連續性提升到全行層面進行統一管理與規劃，進一步完善業務連續性制度體系，提高業務影響分析的充分性與準確性，及時更新業務連續性計劃，加強業務部門對業務連續性管理和演練的參與程度，定期開展全行參與的真實業務接管演練，加快災備資源建設，通過積極開展業務連續性管理標準化、規范化建設，有效降低由于業務運營中斷產生的企業商譽、資金損失、法律合規等風險。

作者簡介

王志超，谷安天下金融審計負責人，10多年的信息安全、科技風險、科技審計、業務連續性、科技外包、數據治理、金融科技等咨詢及審計服務經驗，獲得CISA、COBIT、CDPSE、CCSK、TOGAF、ISO22301 LI等證書，熟悉銀行業、保險業、證券業、大型央企的科技管理風險與應對措施，對科技外包、業務連續性、數據治理、大數據、云計算、區塊鏈、人工智能、數字化轉型等領域均有著較為細致的研究，多次參與銀監會組織的信息科技風險管理課題研究，并獲得不錯的獎項。

王科，谷安天下咨詢經理，長期從事IT運維、信息安全和信息科技風險審計等工作，擁有16年以上信息安全、運維服務和風險咨詢經驗，獲得CISSP、PMP、ISO27001等證書，曾在某世界500強IT公司擔任技術講師，某大型國企擔任IT運維主管。