项目背景及目标

近年来，随着监管部门对银行行业业务持续性建设工作的监管政策的不断细化和深入、国内外业务持续管理的理论和方法的不断成熟和发展、银行行业各层级对业务连续性工作在认识上的不断强化和深入，业务连续性体系建设工作在金融行业内逐渐开展，并初见成效。 然而业务连续性体系建设工作是一个庞大、复杂的系统工程，在业务连续性体系建设过程中可能遇到如下问题： 

1、业务连续性组织架构不健全，许多商业银行虽然成立了业务连续性委员会，但由于业务连续性委员会是一个虚拟的组织，因此存在履职不到位的问题；

2、业务连续性管理制度缺失或不健全；二、三道防线未充分识别和揭示业务连续性管理问题，督促整改工作不到位；缺乏完善的业务连续性资源建设策略；

3、业务影响分析未能开展或未能及时更新；

4、缺乏可执行的业务连续性计划（BCP）和灾难恢复计划（DRP）；

5、业务连续性资源建设资源不足、演练不足。

通过业务连续性管理平台的建设，将专业化的业务连续性管理通过流程化、标准化的模式，将业务连续性管理的过程固化到平台，通过平台的应用，完善管理体系，形成一种从管理出发，从平台落地推广、从实施和演练来完善管理的管理闭环。

项目方案

1、技术架构

（1）展现层以 WEB 页面的方式提供人机交互功能，为使用者提供友好的操作界面，提供身份认证、用户交互、应用展现等服务，由 WEB SERVICES、静态及动态页面等组成。 

（2）事务管理层提供业务连续性相关管理事务流程的发起、追踪、审批等。主要的管理流程包括：业务影响分析的全过程管理、业务连续性管理策略制定与审批、业务连续性计划的制定与审批、业务连续性计划的制定与审批、

（3）功能层提供业务影响分析、业务连续性演练、业务连续性应急资源管理、业务连续性审计等业务连续性相关管理功能。

（4）通用基础层提供平台基础的功能模块，包括：平台管理、文档管理、资源列表管理、用户管理等。 

2、部署架构

业务连续性管理存放预案中包含大量企业关键数据，系统部署于内网。各分行或信用社可通过互联网进行访问。可采用 VPN 技术，建立安全访问隧道，满足非功能性需求中的安全性要求。业务连续性管理系统部署架构由三层组成：WEB 层、应用层和数据层。WEB层由两台 Web 服务器组成；应用层由两台应用服务器组成；数据层由 2 台数据库服务器、2 台文件服务器组成。其中 Web 服务器和应用服务器部署成集群方式，数据库服务器和文件服务器分别部署成备份方式。 

创新点

规范化、标准化和工具化是国内金融机构业务连续管理体系建设的改进方向，也是innoBlue BCMP工具软件的应用思路；innoBlue BCMP工具软件的部署和应用可以促进和推动其组织在BCM体系建设方面的合规性和规范化、预案开发和演练过程管理的标准化，以及应急响应和应急处置过程的工具化，从而全面地提升组织的业务连续性管理水平。

专业性：将国际先进的BCM建设方法论与国内银行业特点进行了有机集合，配合监管政策要求以及瑞蓝创在BCM领域的经验，保证在进行BCM体系建设的每一个环节都合规；

实用性：松耦合强内聚、组件化、模块化的设计思路，保证各模块的功能分离、条理清晰，保证系统的实用性；

易用性：图形化的操作界面和“以人为本”的设计思路，使用者只关注到与自己相关的内容，操作方便、针对性强；

开放性：采用国际通用、成熟的技术和产品，并提供各类丰富的接口，可以方便的与其他系统进行对接，保证系统的扩展性和兼容性；

安全性：系统设计过程中，将业务功能与系统管理分离，同时业务数据与用户数据分离存储，有效保障系统的可靠性和安全性。

技术实现特点

业务连续性管理系统采用 SpringMVC 开发架构，Tomcat 应用服务器，Oracle数据库搭建，按照部署架构要求，部署于企业内网。

项目过程管理

对某省农村联社业务连续性管理水平及现状进行全方位多层次的评估和差距分析，并提出针对性的建议；在此基础上建设业务连续性治理架构，开展风险评估和影响分析，并制定业务连续性策略、计划方案和资源建设计划；此外还将开展业务连续性管理实施准备工作、业务连续性计划演练与评估；使用BCMP工具进行业务连续性管理的电子化。

1、开展业务连续性框架建设工作（*****阶段）

根据《商业银行业务连续性监管指引》要求，并在银行提供现有文档的基础上，为银行搭建以下业务连续性管理框架体系内容，作为银行第二阶段落实商业银行业务连续性管理的框架性文档，银行可根据其实际运营情况，对文档相应内容的调整；部署BCMP平台，初始化业务连续性管理平台各项事务流程。

(1)业务连续性管理办法

根据银行提供的现行治理框架、组织架构、运营与信息系统运行依赖的资源、外部服务商状况、应急响应程序及处置措施、常见运营中断事件情景描述等文档，为银行建立业务连续性管理的纲领性文件，作为银行业务连续性管理政策体系的根基。

(2)业务连续性总体计划、专项计划(借记卡业务)

根据银行提供的现行治理框架、组织架构、借记卡业务流程及风险点、相关系统与业务流程的映射关系表、相关系统与业务恢复所需的资源表(包括地点、设备、人力、第三方、信息科技系统等)、对不同业务及信息系统的恢复目标需求(主要为RTO、RPO等核心指标)、各资源恢复策略、系统及业务恢复程序、应急指挥及通讯程序、报告路径等文档，结合以往经验模板，为银行客制化业务连续性总体计划、业务连续性专项计划文档(借记卡业务)。

(3)业务连续性总体应急预案、专项预案(核心系统宕机场景)

根据银行提供关于核心系统常见的运营中断事件场景描述、事件等级分类表、应急响应程序、汇报路径、应急恢复程序、应急处置措施等文档，结合以往经验模板，为银行客制化业务连续性总体预案、业务连续性专项预案文档(核心系统宕机场景)。

时间安排：2019年7月，现场3周。

2、开展业务连续性现状分析（第二阶段）

与高层及相关人员展开深入探讨，在银行提供现有文档的基础上，并制定现状分析模板；利用现状分析模板汇总整合所掌握的管理现状，进一步对各要素划分等级；判断xx银行业务连续性管理各方面所处现状，完成现状诊断与差距分析。

时间安排：2019年7月，现场3周

3、协助开展风险评估工作（第二阶段）

通过访谈和内外环境调研进行对某银行总行的全面风险评估；对每项威胁依脆弱性、可预测性、持续时间维度进行评估，并将评估结果合成评分分数；分数将推测出剩余风险内的高威胁作进一步的场景描述；描述其发生在坏场景下各种资源受影响的状况，选出主要（受影响或重点业务）2个主流程开展业务影响分析、制定业务连续性计划的重要依据。

时间安排：2019年7月，现场2周

4、协助开展业务影响分析工作（第二阶段）

业务影响分析方法定义：定义业务影响分析方法相关标准和制定业务影响分析的日程规划。

数据收集：业务流程范围是通过风险评估结果所建立的高威胁度风险场景定义，选定2个重要业务进行业务影响分析，  并明确归口单位、利益相关者；对每**程，识别运营中断后随时间迁移所造成的各阶段经济影响和非经济（运营方面）影响，以及对这些影响的容忍度（MTPD, Maximum  Tolerable Period of Disruption大容忍中断时间）；识别业务流程之间、业务依赖的信息系统及信息系统之间的依赖关系、业务运营以及信息系统运行依赖的关键资源。

利用BCMP开展业务连续性数据分析：对业务中断进行定量分析各项经济损失的总和、定性分析各项非经济影响；设定恢复时间目标（业务RTO）、恢复点目标（业务RPO）并据以设定相关信息系统理想的灾难恢复时间目标（系统RTO）与恢复点目标（系统RPO）；完成业务影响分析报告。

时间安排：2019年8月，现场4周

5、协助业务连续性专项计划和业务连续性专项预案设计（第二阶段）

综合考虑风险评估和业务影响分析的结果；选定支付业务条线进行业务连续性专项计划撰写，选定汇兑系统崩溃场景、网银系统崩溃场景进行专项预案撰写。

时间安排：2019年9月，现场3周

6、资源建设计划设计（第二阶段）

明确业务运营与信息系统运行依赖的资源（即“日常消耗型资源”）、业务恢复与灾难恢复依赖的资源（即“中断效用型资源”）和演练所需的资源 （即“中断效用型资源”）。

在银行提供现有文档的基础上，建立资源保护与获取策略制订业务连续性管理总体规划：制定短期、中长期规划的实施路线图将基于实施优先级。

时间安排：2019年9-10月，现场3周

7、*****阶段工作内容调整（第二阶段）

根据上述第二阶段工作内容结果，对*****阶段交付品进行调整

时间安排：2019年9月，现场2周

8、知识转移与培训（第三阶段）

开展业务连续性管理培训

时间安排：贯穿全项目时间

9、协助业务连续性演练预备的工作（第三阶段）

制定业务连续性演练模版，并使用BCMP进行电子化，以协助银行进行业务连续性演练，包含演练方法﹑演练范围、有关部门及人员、响应步骤、补充演练所需相关资源、确定IT支持以及第三方支持等内容模版设计。

将业务连续性专项预案应用于演练内容，并为银行撰写1个业务连续性演练方案。

时间安排：2019年10月，现场2周

10、协助业务连续性演练与评估的工作（第三阶段）

按前期制定的演练方案进行演练工作，顾问演练进行过程中全程支持演练执行，提供演练评估模版，并协助进行演练后评估。

时间安排：2019年11月，现场1月

运营情况

目前，某省联社业务连续性管理依托业务连续性管理平台开展，通过此平台完成了业务影响分析包括：风险分析、业务影响分析、应用影响分析等工作，制定了电子化的年度业务连续性管理计划、演练计划，并分派至各业务条线和信息科技条线。另外，各地市联社也可接入业务连续性管理平台开展各自的业务连续性管理体系建设。

项目成效

通过业务连续性管理平台项目的建设，将专业化的业务连续性管理体系按照流程化、标准化、电子化的模式固化到统一管理平台，通过平台的应用，完善业务连续性管理体系，形成从业务连续性工作计划管理与任务分配、业务影响分析、业务连续性演练、演练评估到业务连续性审计的闭环模式，确保了某农信社业务连续性建设的合规性要求，也提高了业务连续管理的水平和业务连续性能力。

项目实施

西安瑞蓝创软件科技有限公司