盛邦安全在同眾多銀行業(yè)金融機構(gòu)的溝通和服務(wù)過程中，對當前銀行業(yè)金融機構(gòu)，尤其是中小銀行業(yè)金融機構(gòu)信息科技風險管理的現(xiàn)狀有了較深入的了解，本系列文章旨在基于對中小銀行信息科技風險管理的整體現(xiàn)狀的認知，提煉和分享當前行業(yè)信息科技風險管理體系建設(shè)的面臨的問題和良好實踐，以期啟發(fā)更多的行業(yè)思考和討論。

本期討論的主題是銀行業(yè)金融機構(gòu)業(yè)務(wù)連續(xù)性管理實操。據(jù)相關(guān)新聞報道，近期某農(nóng)商銀行因辦公環(huán)境質(zhì)量原因?qū)е鲁^百名IT工作人員呼吸系統(tǒng)出現(xiàn)病變，甚至有多人被確診為癌癥，該新聞事件給業(yè)界帶來震驚。雖然最終的統(tǒng)計數(shù)字和相關(guān)影響并沒有官方確切的消息發(fā)布，但此次事件的爆發(fā)對于該金融機構(gòu)來說不僅僅是對業(yè)務(wù)運營本身的影響，還包括機構(gòu)聲譽的損失?？赡軐τ诖蠖鄶?shù)金融機構(gòu)管理者而言，這是一場“意外”；但是這樣的“意外”，本可以避免其發(fā)生。

金融機構(gòu)監(jiān)管單位早在2011年就發(fā)布了《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》，用于推動銀行業(yè)金融機構(gòu)的業(yè)務(wù)連續(xù)性管理工作。監(jiān)管機構(gòu)對于金融機構(gòu)業(yè)務(wù)連續(xù)性管理的重視，也體現(xiàn)在2019年中國銀保監(jiān)會辦公廳發(fā)布的《關(guān)于開展中小銀行機構(gòu)業(yè)務(wù)連續(xù)性相關(guān)風險整治工作的通知》中，重點推動中小銀行業(yè)金融機構(gòu)提升和優(yōu)化業(yè)務(wù)連續(xù)性管理體系。這些監(jiān)管舉措的目的就是要銀行業(yè)金融機構(gòu)將“意外”納入到日常管理體系。

考慮到本系列文章一直按照《指引》的監(jiān)管框架，所以本期內(nèi)容我們還是以《商業(yè)銀行信息科技風險管理指引》（以下簡稱《指引》）第七章業(yè)務(wù)連續(xù)性管理的監(jiān)管要求出發(fā)，來簡要描述當前中小銀行金融機構(gòu)在業(yè)務(wù)連續(xù)性管理的現(xiàn)狀和出色實踐?！渡虡I(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》對于此領(lǐng)域的監(jiān)管要求更加詳細，我們后續(xù)計劃安排針對這一專業(yè)領(lǐng)域的詳細觀察出一期專欄內(nèi)容。

一、業(yè)務(wù)連續(xù)性規(guī)劃

《指引》第五十條提到，“商業(yè)銀行應(yīng)根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復雜程度制定適當?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無法預(yù)見的中斷時，系統(tǒng)仍能持續(xù)運行并提供服務(wù)；定期對規(guī)劃進行更新和演練，以保證其有效性。”

理論上來講，業(yè)務(wù)連續(xù)性規(guī)劃是一個總體性工作，是業(yè)務(wù)連續(xù)性工作真正開展落地的一個前提，尤其是中小商業(yè)銀行針對該領(lǐng)域完全沒有建設(shè)思路的情況下，適當?shù)囊?guī)劃是必要的。實踐中，很多金融機構(gòu)會選擇專業(yè)業(yè)務(wù)連續(xù)性咨詢機構(gòu)來參與行內(nèi)的規(guī)劃，不僅要在業(yè)務(wù)連續(xù)性管理組織架構(gòu)層面進行設(shè)計，還要規(guī)劃具體的業(yè)務(wù)流程和必要的操作規(guī)范及標準。

因為監(jiān)管的推動，《指引》以及后續(xù)發(fā)布的《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》相關(guān)的要求非常明確，中小銀行一般根據(jù)監(jiān)管指引的具體要求開展業(yè)務(wù)連續(xù)性管理工作，在規(guī)劃環(huán)節(jié)方面普遍投入并不多。缺乏第三方咨詢機構(gòu)的參與，會導致中小金融機構(gòu)不能全面的了解行業(yè)內(nèi)的通用做法和優(yōu)秀實踐，也不能充分利用咨詢機構(gòu)在行業(yè)內(nèi)的經(jīng)驗來為本行做有針對性的指導。

目前行業(yè)內(nèi)眾多的金融機構(gòu)，普遍選擇加入國內(nèi)權(quán)威的專業(yè)性行業(yè)團體或者協(xié)會，分享行業(yè)實踐以及參加針對性的培訓，并參與行業(yè)研討。

二、業(yè)務(wù)連續(xù)性風險評估和業(yè)務(wù)影響分析

《指引》第五十一條提到，“商業(yè)銀行應(yīng)評估因意外事件導致其業(yè)務(wù)運行中斷的可能性及其影響”。

從業(yè)務(wù)連續(xù)性風險管理體系角度來講，業(yè)務(wù)影響分析和風險評估都是體系的基礎(chǔ)環(huán)節(jié)；業(yè)務(wù)影響分析可以明確業(yè)務(wù)恢復重點和業(yè)務(wù)恢復優(yōu)先級；以及基于支撐業(yè)務(wù)運營的信息系統(tǒng)，明確RTO/RPO等業(yè)務(wù)恢復技術(shù)指標；風險分析則能分析可能造成業(yè)務(wù)中斷的各類場景，以及必要的處置機制和需要配置的資源。

我們發(fā)現(xiàn)大多數(shù)中小銀行在業(yè)務(wù)連續(xù)性管理辦法中，也都明確了業(yè)務(wù)影響分析和風險評估的管理要求；但是實際執(zhí)行過程中，普遍對業(yè)務(wù)影響分析和風險評估執(zhí)行得不到位、不全面，也并沒有根據(jù)業(yè)務(wù)或者系統(tǒng)的變更要求來及時對業(yè)務(wù)影響分析結(jié)果進行更新。當發(fā)生影響業(yè)務(wù)運行的中斷事件時，普遍反映的問題是中斷場景并沒有包含在預(yù)案中，這也是風險評估不全面導致的。此外業(yè)務(wù)部門在業(yè)務(wù)影響分析和風險評估環(huán)節(jié)的參與程度普遍不高，基本上以信息科技部門圍繞信息系統(tǒng)本身的重要性程度或者同業(yè)參考來得出恢復優(yōu)先級，不能真實充分反映業(yè)務(wù)部門的意見。

領(lǐng)先的中小銀行金融機構(gòu)，一般通過聘請外部咨詢機構(gòu)，協(xié)助開展業(yè)務(wù)影響分析以及風險評估活動，引導業(yè)務(wù)部門廣泛參與到業(yè)務(wù)影響分析過程，梳理出適合本行實際的分析評價模型，并結(jié)合專家經(jīng)驗進行調(diào)整，形成一個符合業(yè)務(wù)實際需要的業(yè)務(wù)影響分析和風險評估報告；部分銀行業(yè)金融機構(gòu)，通過信息化手段，將業(yè)務(wù)影響分析和風險評估做成信息化工具，內(nèi)置評價和分析模型，可以靈活配置相關(guān)參數(shù)以及評價權(quán)重，提升分析和評估環(huán)節(jié)的效率。

三、業(yè)務(wù)連續(xù)性計劃

《指引》第五十三條提到, “商業(yè)銀行應(yīng)建立維持其運營連續(xù)性策略的文檔，并制定對策略的充分性和有效性進行檢查和溝通的計劃”。

我們發(fā)現(xiàn)部分中小銀行雖然制定了業(yè)務(wù)連續(xù)性計劃文件，但是內(nèi)容并不符合監(jiān)管指引以及優(yōu)秀實踐的要求，尤其是缺少對系統(tǒng)間關(guān)聯(lián)關(guān)系的梳理以及系統(tǒng)依賴資源的明確。

在制定業(yè)務(wù)連續(xù)性計劃方面,領(lǐng)先的中小銀行金融機構(gòu)根據(jù)監(jiān)管要求明確制定業(yè)務(wù)連續(xù)性計劃相關(guān)文件；明確了組織架構(gòu)、業(yè)務(wù)系統(tǒng)恢復優(yōu)先級、系統(tǒng)關(guān)聯(lián)關(guān)系、系統(tǒng)恢復策略、系統(tǒng)依賴資源、應(yīng)急指揮和危機通訊程序、預(yù)案開發(fā)和維護等具體的指標和要求；組織開展相關(guān)員工的業(yè)務(wù)連續(xù)性研討和培訓，定期對業(yè)務(wù)連續(xù)性計劃開展演練；依據(jù)業(yè)務(wù)連續(xù)性相關(guān)管理制度以及實際業(yè)務(wù)變化更新情況，對業(yè)務(wù)連續(xù)性計劃的適用性進行評估，并根據(jù)環(huán)境的變化更新。

此外，個別領(lǐng)先的銀行業(yè)金融機構(gòu)，借助申請業(yè)務(wù)連續(xù)性管理認證資質(zhì)（基于ISO22301標準）來優(yōu)化自身的業(yè)務(wù)連續(xù)性管理體系，提升業(yè)務(wù)連續(xù)性管理能力，投入和優(yōu)化業(yè)務(wù)連續(xù)性管理資源，并能做到對體系每年的持續(xù)復核和優(yōu)化整改。

四、災(zāi)備資源投入和應(yīng)急響應(yīng)管理

《指引》第五十二條提到，“商業(yè)銀行應(yīng)采取系統(tǒng)恢復和雙機熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過應(yīng)急安排和保險等方式降低影響”。

目前絕大多數(shù)中小銀行在災(zāi)備恢復資源的投入都比較大，按照監(jiān)管要求，建立了兩地三中心的基礎(chǔ)數(shù)據(jù)中心架構(gòu)；其中同城建立了應(yīng)用級災(zāi)備體系，異地數(shù)據(jù)中心基本以數(shù)據(jù)備份為主。但大多數(shù)中小銀行普遍存在同城應(yīng)用級災(zāi)備中心，不能做到重要應(yīng)用系統(tǒng)災(zāi)備能力的全覆蓋，基礎(chǔ)投入方面尚待進一步加強。

領(lǐng)先的中小銀行建立了雙活或者多活的數(shù)據(jù)中心容災(zāi)技術(shù)架構(gòu)，實現(xiàn)了同城或異地數(shù)據(jù)中心的應(yīng)用和數(shù)據(jù)的實時同步備份。

在應(yīng)急管理方面,大多數(shù)中小銀行制定了信息系統(tǒng)應(yīng)急預(yù)案等相關(guān)文件，預(yù)案涵蓋不同的應(yīng)急場景，確保應(yīng)急事件發(fā)生時能夠得到有效處理。應(yīng)急預(yù)案一般對應(yīng)急管理職責進行了明確的規(guī)定。在應(yīng)急保障方面，一般都明確了應(yīng)急管理組織通訊聯(lián)系人以及需要外部組織支持的緊急聯(lián)系人；大多數(shù)中小銀行每年不定期組織信息系統(tǒng)應(yīng)急演練，目前我們看到大多數(shù)銀行能夠做到真實業(yè)務(wù)系統(tǒng)的切換演練，并根據(jù)應(yīng)急演練暴露出來的問題持續(xù)更新應(yīng)急管理體系，但真實的有災(zāi)備系統(tǒng)進行接管真實業(yè)務(wù)的演練開展的較少。

在應(yīng)急響應(yīng)管理環(huán)節(jié)，絕大多數(shù)中小銀行的應(yīng)急預(yù)案和應(yīng)急演練，都是以信息科技部門參與為主，很少有業(yè)務(wù)部門制定自己業(yè)務(wù)條線或者部門的應(yīng)急預(yù)案以及開展相關(guān)場景的應(yīng)急演練。信息系統(tǒng)導致的業(yè)務(wù)中斷只是業(yè)務(wù)中斷的一個場景，仍然會有除信息科技之外的原因?qū)е聵I(yè)務(wù)運營的正常開展，例如關(guān)鍵人員不可用、網(wǎng)點不可用以及辦公場所不可能用等意外情況導致的業(yè)務(wù)中斷。

五、業(yè)務(wù)連續(xù)性管理組織機構(gòu)

《指引》第五十四條提到“商業(yè)銀行的業(yè)務(wù)連續(xù)性計劃和年度應(yīng)急演練結(jié)果應(yīng)由信息科技風險管理部門或信息科技管理委員會確認”。

我們發(fā)現(xiàn)，對于明確了業(yè)務(wù)連續(xù)性管理歸口到風險管理部的機構(gòu)，對于業(yè)務(wù)連續(xù)性計劃以及應(yīng)急演練結(jié)果會進行確認和分析，不過很少會提交到信息科技管理委員會進行確認。

此外，在《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》中明確了更為詳細的業(yè)務(wù)連續(xù)性組織架構(gòu)。

目前大多數(shù)中小銀行已經(jīng)結(jié)合自身業(yè)務(wù)發(fā)展和監(jiān)管機構(gòu)要求，建立了機構(gòu)層面的業(yè)務(wù)連續(xù)性管理架構(gòu)，業(yè)務(wù)連續(xù)性組織包括了日常管理組織和應(yīng)急管理組織；成立了業(yè)務(wù)連續(xù)性管理委員會，一般由風險管理部門作為業(yè)務(wù)連續(xù)性牽頭部門，制定了相關(guān)的管理辦法。

我們發(fā)現(xiàn)，雖然大多數(shù)銀行普遍成立了業(yè)務(wù)連續(xù)性管理委員會，但是該委員會真實履職或者針對每年業(yè)務(wù)連續(xù)性重大事項發(fā)起會議的情形比較少見。此外，風險管理部門普遍缺乏專業(yè)的業(yè)務(wù)連續(xù)性管理專員或者相關(guān)崗位人員業(yè)務(wù)連續(xù)性管理技能亟待提高。

本文內(nèi)容來自于盛邦安全對中小金融機構(gòu)信息科技風險管理現(xiàn)狀的有限了解，難免管中窺豹，其中不準確、不正確、不恰當之處也請讀者諒解和指正，尊貴的銀行業(yè)金融機構(gòu)也請不要對號入座。盛邦安全將在本年度陸續(xù)發(fā)布針對中小金融機構(gòu)信息科技風險管理現(xiàn)狀觀察系列文章，如有興趣，敬請期待