業務持續性管理規定總則為規范科技發展部業務持續性管理，并依此建立業務持續性管理計劃，將防止和恢復控制相結合，主動防備并且解決突發信息安全事件，避免業務活動中斷，將突發信息安全事件對科技發展部的影響控制在能夠承受的范疇之內，確保核心性業務流程的持續性運行，構建“健全機制、集中領導、明確職責、防止為主、反映敏捷、處置高效”的業務持續性管理體系，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國突發事件應對法》、《銀行業重要信息系統突發事件應急管理規范》以及有關法律法規、業界規范原則，特制訂本規定。本規定文獻合用于科技發展部范疇內的全部業務持續性有關的管理工作。組織與職責科技發展部信息安全指揮小組負責根據業務發展方向規劃業務持續性總體戰略，擬定科技發展部業務持續性管理的方略、目的和范疇，為科技發展部業務持續性管理工作的計劃、貫徹提供資源和管理確保，并對執行狀況進行監督。科技發展部風險管理組負責制訂科技發展部的業務持續性管理方法，對科技發展部的業務持續性管理貫徹狀況進行監督審核。各部門安全組負責本部門的業務持續性管理貫徹狀況的監督和檢查。各部門負責人負責擬定本部門業務持續性管理方略，擬定本部門業務持續性管理的目的和范疇，審批本部門業務持續性計劃，為有關管理活動提供資源和管理確保。各部門負責制訂本部門的業務持續性計劃、突發事件應急預案和災難恢復預案，提交本部門負責人或信息安全指揮小組審批。業務持續性管理規定各部門負責人或信息安全指揮小組根據業務的發展規劃，擬定本部門業務持續性管理方略，重要為：（一） 擬定業務持續性管理的目的和范疇。（二） 擬定業務持續性管理的組織構造和職責。（三） 擬定業務持續性管理的外部協作關系，各部門應與有關管理部門、設備及服務提供商、電信、電力和新聞媒體等保持聯系和協作，以確保在突發信息安全事件發生時能及時通報精確狀況和獲得適宜支持。各部門的業務持續性管理方略不得與科技發展部的方略相背離，當目的和范疇擴展到科技發展部范疇時，應嚴格恪守科技發展部的業務持續性管理方略。各部門應根據本部門的業務持續性管理方略，實施業務影響分析，重要涉及：（一） 識別本部門的核心性業務功效。（二） 識別核心性業務功效所依賴的資源，涉及人員、設備、數據、軟件和服務（含第三方）。（三） 識別核心業務功效全部的潛在突發信息安全事件。（四） 識別這些突發信息安全事件會給核心性業務功效造成的損失和影響。（五） 識別突發信息安全事件引發的業務中斷時，業務的恢復時間目的，針對業務數據制訂恢復點目的。（六） 對核心業務功效的恢復制訂優先級排序。各部門應當根據業務影響分析及風險分析的成果、業務持續性管理方略等制訂本部門的業務持續性計劃，實施業務持續性方法。業務持續性計劃和方法針對科技發展部而言，重要體現在如何保障信息系統及其提供的服務的持續性，普通涉及以下幾方面的計劃和方法：（一） 防止和準備性方法，指事故或災難前的準備、防備性方法，目的是減少風險發生的可能或者減少風險發生時的破壞性，減少事故或災難帶來的損失。普通涉及站點冗余、設備冗余、數據備份、人員角色備份、資源方法準備等，具體規定參見附件2：防止與準備性方法實施指南。（二） 應急響應流程和預案，指事故或災難發生時的應急解決流程，目的是盡快恢復目的系統和服務，減少事故或災難帶來的損失。重要方法是建立事件應急響應流程和具體系統、設備設施的應急預案，具體應急解決流程參見《哈爾濱銀行信息系統應急管理方法》和對應預案。（三） 災難恢復流程和方法，指事故或災難發生時，根據業務需要在規定時間內緊急啟用備用站點并盡快恢復服務的解決流程和方法，目的是盡快在緊急的狀態下提供必要的服務，減少事故或災難帶來的影響，具體解決流程參見《數據備份及恢復管理規定》和對應預案。（四） 恢復后方法，指系統、服務恢復后，還需要進行測試、總結報告并根據需要修訂、完善原有計劃和預案，目的是使業務持續性管理能夠持續改善。各部門根據業務持續性計劃的規定，建立對應的業務持續性組織，并建立有關的工作制度，協調與政府主管部門、新聞媒體等有關部門之間的關系，確保業務持續性計劃的建立、實施。業務持續性決策組織的重要職責是決定科技發展部的業務持續性管理方略，重要防止和準備性方法的決策，業務持續性管理的資源確保與協調。在科技發展部現有信息安全保障體系中可由信息安全指揮小組承當該職責。防止準備方法實施的組織重要負責防止和準備性方法的實施，在科技發展部現有信息安全保障體系中由各對應的對口部門承當，將分別負責責任范疇內設備、設施及其提供服務的防止性方法實施和對應應急預案的制訂。具體工作參見《哈爾濱銀行信息系統應急管理方法》和《數據備份及恢復管理規定》。應急對應處置和災難恢復的有關組織參見《哈爾濱銀行信息系統應急管理方法》。附件3：業務持續性組織建設指南中給出以上各組織的普通職責定義，具體職責和解決流程參見《哈爾濱銀行信息系統應急管理方法》和《數據備份及恢復管理規定》。各部門需要定時開展業務持續性管理意識培訓，提高各部門員工的業務持續性管理意識，確保全部參加業務持續性管理的人員懂得并理解其角色與責任，培訓有關人員滿足業務持續性管理所規定的管理職能與技術技能。各部門需要制訂應急計劃演習的頻率、演習計劃、演習時間表和演習的目的，定時開展業務持續性管理演習，用以檢查業務持續性管理的各類事項，重要涉及：（一） 各類技術方案的可行度和執行度。（二） 突發信息安全事件響應流程的對的性。（三） 各類計劃執行的邏輯性。（四） 各類計劃的執行與否滿足目的恢復時間規定。（五） 各類計劃的管理性。（六） 人員的意識與技能。演習方式涉及桌面演習、交互演習、模擬演習、并行式演習和完全演習等多個方式，各部門的演習方式能夠根據狀況自行選擇。（一） 桌面式演習：重要由各類計劃的擬定人復查計劃的可執行性，由信息安全指揮小組確認。（二） 交互式演習：一種擴展式的桌面式演習，由各部門信息安全指揮小組和信息安全部門檢查明確各計劃之間參加者的協調性與職責。（三） 模擬演習：針對某個突發信息安全事件的模擬場景，對此進行模擬的業務持續性管理演習。（四） 并行式演習：確保科技發展部業務功效的正常運行前提下，對業務持續性管理包含的各類計劃進行全方面的實戰演習。（五） 完全演習：完全測試在遭遇了各類突發信息安全事件后的響應與各類計劃。完全演習需采用事前通告的方式進行，其它演習可采用事前通告也可采用非事前通告的方式。對于存在較大風險的演習（如完全演習），應按屬地監管原則，在實施演習前將演習計劃向銀監會或其派出機構報備。業務持續性管理演習應盡量選擇在非辦公時間進行。除了完全演習，其它演習方式盡量減少對生產系統的影響。各部門需要針對演習的過程與成果，提交演習報告給本部門的信息安全指揮小組和科技發展部風險管理組。針對演習中出現的問題，有關責任部門應實施必要的改善與完善。每年最少組織一至兩次業務持續性管理演習。各部門需要定時或面臨重大變更時全方面評定、審核業務持續性方略以及各類計劃，以確保所制訂的業務持續性管理的持續有效，涉及但不限于下列狀況：（一） 購置新的核心設備或者系統升級。（二） 公司的整個管理戰略發生變化。（三） 公司的環境、重要設備或資源發生變化。（四） 法律法規發生變化。（五） 核心的業務流程發生變化。（六） 距上一次審核時間相隔1年以上。（七） 核心供應商的變化。（八） 重要的人員發生變化。在演習或實際啟動業務持續性計劃后，需要對業務持續性計劃進行評定、總結及學習，作出對應的修訂和更新。附則本規定由科技發展部負責制訂、解釋和修改。本規定自印發之日起實施。

附件一：修訂統計日期(年月日)版本描述作者審批人審批日期10111.0公布稿劉春雨李樹峰1021

附件二：防止與準備性方法實施指南防止和準備性方法：防止和準備性方法是業務持續性管理的重要內容，它能夠減少系統的發生風險的可能性或減少系統發生故障時的破壞性，有助于盡快恢復系統的運行。重要有下列內容：一、 站點備份：根據對重要站點的風險評定，建立災難備份中心等備份站點，當主站點發生災難或故障而不能提供服務時，備份站點提供對應的設備設施和服務。二、 設備及系統冗余：根據風險分析成果，對可能造成全局性故障的單點故障的設備、系統、應用，考慮采用冗余的方法，避免設備、系統及應用的單點故障。三、 安全產品布署：根據風險評定成果，對存在的安全弱點進行分析，選用適宜的控制方法，通過技術和管理的手段消除安全弱點。需要在信息系統布署網絡安全產品，提供防御和檢測安全事件的作用，有效減少安全風險。四、 數據備份方法：在進行數據備份時，應對備份的數據進行測試，確保數據的可靠、有效、便于恢復，同時，應根據具體系統，備份適宜時間段和核心日期的數據，確保在發生系統故障造成數據破壞時，能夠用于恢復或更換的系統，為有關的機構、需求者或接受者能簡樸、精確地恢復被破壞的統計，數據備份完畢后應予以安全保護。五、 人員保障：核心信息系統操作及管理人員需采用備份方法，一旦事件發生，可確保核心信息人員能趕赴現場并采用恢復方法，同時需要確保人員能夠勝任應急處置工作。在人員保障方面應達成下列規定：（一） 確保突發信息安全事件處置人員含有應急工作必要的技術資質，定時組織人員培訓以滿足應急處置規定，并通過業務持續性演習，確保處置人員的純熟度。（二） 確保主、備崗機制的貫徹。（三） 確保主、備崗人員定時進行交換。（四） 避免一人兼過多的崗位。六、 物質保障：各部門應建立有效的物質保障機制，確保在突發信息安全事件應急對應過程中不會因物質缺少而造成應急處置中斷或延長應急處置時間。在物質保障方面應達成下列規定：（一） 儲藏一定數量應急設備或物資，并確保物資供應渠道暢通。（二） 建立突發信息安全事件應急專項資金預算管理與審批制度，確保應急響應過程中及時進行應急物資采購。七、 預警技術保障：各部門應建立有效的技術保障機制，確保在應急響應過程中不會因技術能力缺少而造成應急處置中斷或延長應急處置事件。建立應急事件預警平臺，確保及時發現應急事件，并及時告知有關人員啟動應急響應。八、 通訊保障：各部門應采用必要的通訊保障方法，確保應急對應通訊及時有效。在通訊保障方面應達成下列規定：（一） 適時更新各級應急管理機構聯系人和聯系方式。（二） 建立多個通訊渠道，避免單一通訊風險，并明確各通訊渠道使用的優先次序。九、 服務水平合同：核心信息系統需與設備、服務提供商（或系統集成商）簽定對應服務水平合同，明確有關廠商的技術支持服務水平，確保應急處置過程中有關廠商能夠提供及時有效的技術支持。十、 保險方法：對核心設施及核心業務，可考慮購置保險，進行風險轉嫁。

附件三：業務持續性組織建設指南IT范疇業務持續性決策組織決策小組是IT范疇業務持續性管理的決策部門，負責做出重大決策，提供資源、管理確保，在科技發展部現有信息安全保障體系中可由信息安全保障指揮小組承當該職責。防止和準備方法階段，負責：決定科技發展部IT范疇的業務持續性管理方略。重大防止和準備性方法決策，例如備份站點的建立和選擇。提供資源和管理確保。突發事件管理小組應急響應指揮小組是緊急狀態下的指揮中心，負責突發事故、災難發生時的指揮協調。應急響應和災難恢復階段，負責：災難宣布決策。備份站點啟用決策。外部溝通決策。其它重大事件決策。提供資源和管理確保。應急處置指揮小組應急處置指揮小組的組長視事件級別由科技發展部領導或行領導擔任，組員由IT范疇及有關業務各部門負責人構成。應急處置指揮小組的重要職責是在科技發展部突發事件管理指揮小組的領導下，負責執行信息安全類突發事件處置方案的指揮和協調工作，決定突發事件升級或降級，向突發事件管理指揮小組及時報告應急處置進展狀況和事態發展狀況。應急響應和災難恢復階段，負責：突發事件應急管理工作的指揮協調。決定突發事件升級或降級。下達突發事件應急管理工作指揮指令。跟蹤和監督各小組突發事件應急管理工作。向突發事件管理領導小組及時報告應急處置進展狀況和事態發展狀況。應急處置保障小組突發事件應急處置保障小組由總務部、會計部、法律部、保衛部、物業管理部門等有關職能部門構成。保障小組的重要職責是提供應急所需人力和物力等資源保障，做好秩序維護、安全保障、法律咨詢和增援等工作，建立與電力、通訊、公安和消防等有關外部機構的應急協調機制和應急聯動機制，以及其它為減少事件負面影響或損失提供的應急支持保障等。防止和準備方法階段，負責：提供人力、物力資源的準備。應急響應和災難恢復階段，負責：負責與政府有關部門、上級主管部門等有關部門及下級分支機構之間的聯系協調工作。負責協調后勤資源，提供快速的和充足的后勤支持。提供安全保衛工作。提供法律知識支持，審核對外公示的信息的法律符合性。預警與評定小組本小組普通由跨部門專家、代表聯合構成，作為事故、災難的第一反映團體，負責接受事故、災難預警，評定事態發展和影響，為指揮小組、決策小組提供決策根據。應急響應和災難恢復階段，負責：接受事故、災難預警。定位突發事故、災難并進行初始解決和保護。對事故、災難發展事態、影響范疇、嚴重程度、恢復狀況等進行評定。提供事故定級、備份站點切換等決策建議。應急處置執行團體應急處置執行團體由一線工作組、二線專業和后緩組、三線協助開發組構成。其中一線工作組重要是運維中心一線人員和有關業務部門一線工作人員；二線專業和后緩組重要是有關項目組的二線專業人員；三線協助開發組重要是供應商技術支持專家。應急處置執行團體的重要職責是實施信息系統突發事件的具體應急處置工作