业务连续性风险评估

2011年12月，银监会在参照国际金融行业已有的相关规范及业务连续性管理国际最佳惯例的基础上，发布了《商业银行业务连续性监管指引》（银监发〔2011〕104号），这份“指引”的发布代表着中国银行业监管机构正式对商业银行业务连续性建设提出全面的、体系化的监管要求。 国舜股份以《商业银行业务连续性监管指引》《银行业重要信息系统突发事件应急管理规范》《信息系统灾难恢复规范》等相关监管制度、行业规范为依据，采用行业通用风险评估方法，以科技风险为导向，包括但不限于从业务连续性组织架构、制度体系建设、业务影响分析、业务连续性计划和应急预案的制定与演练、业务连续性资源（包括灾备体系）建设、业务运营监测体系建设、科技突发事件处置响应流程等方面，全面、科学、深入、客观地分析存在的风险点，重点关注业务业务连续性制度体系的完整性、合理性、有效性，识别业务连续性运营所需关键资源，分析资源所面临的各类威胁及资源自身脆弱性，确定关键资源风险敞口等，评估各风险点等级，提出整改措施和方案。 业务连续性风险评估内容包括： ▶ 组织架构评估 ▶ 业务影响分析评估 ▶ 业务连续性计划评估 ▶ 资源建设评估 ▶ 业务连续性演练评估

政策法规： ▶ 国家突发公共事件总体应急预案 ▶ 中华人民共和国互联网网络安全应急预案 ▶ 国家网络与信息安全事件应急预案（国办函〔2008〕168号） ▶ 中国人民银行关于加强银行数据集中安全工作的指导意见（银发〔2002〕260号） ▶ 关于进一步加强银行业金融机构信息安全保障工作的指导意见（银发〔2006〕123号） ▶ 银行业重要信息系统突发事件应急管理规范（试行）（银监办发〔2008〕53号） ▶ 商业银行业务连续性监管指引（银监发〔2011〕104号） ▶ 商业银行信息科技风险管理指引（银监发〔2009〕19号） ▶ 商业银行数据中心监管指引（银监办发〔2010〕114号） 技术标准： ▶ GB/T 20984-2007信息安全风险评估规范 ▶ GB/Z 24364-2009 信息安全风险管理指南 ▶ GB/T 24363-2009信息安全应急响应计划规范 ▶ GB/Z 20985-2007信息安全事件管理指南 ▶ GB/Z 20986-2007信息安全事件分类分级指南 ▶ GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范 ▶ JR/T 0044—2008银行业信息系统灾难恢复管理规范 ▶ BS 25999-1: 2006《业务连续性管理 第一部分：实用规则》 ▶ BS 25999-2: 2007《业务连续性管理 第二部分：详细说明》