业务连续性计划监管控制自我评估模板(1)

《业务连续性计划监管控制自我评估模板(1)》由会员分享，可在线阅读，更多相关《业务连续性计划监管控制自我评估模板(1)（16页珍藏版）》请在装配图网上搜索。

1、业务连续性计划监管控制自我评估模板风险点子风险点风险控制要求1.高层监督和治理1.1高级管理层监督力度不足1.1.1. 制定策略、流程和职责1.1.2. 业务连续性规划的组织1.1.3. 监测和报告机制1.1.4. 独立评估机制1.1.5. 管理层签报机制2.业务规划与开发2.1.业务连续性规划覆盖范围不足2.1.1.规划的基本原则2.2.无效的业务影响分析2.2.1.重要部门设置2.2.2 .恢复计划的时间进度表2.3.不完善的业务恢复机制2.3.1. 业务恢复机制2.3.2. 业务连续性规划最低要求2.4.不适当的恢复组织机构设置2.4.1. 危机管理小组2.4.2. 危机管理指挥中心2.

2、4.3. 业务重置和工作小组2.5 .缺乏必要的文档记录管理2.5.1. 危机管理流程设置2.5.2. 业务重置2.5.3. 突发事件应急处理联络和恢复项目列 表2.5.4. 技术恢复方案2.6无效的数据信息恢复2.6.1. 重要信息的定义2.6.2. 重要信息记录管理2.6.3. 联络沟通机制2.7 .风险化解和转移措施不足2.7.1.其他风险化解和转移措施风险点子风险点风险控制要求3.备份中心3.1.备份中心的设置缺陷3.1.1. 业务重置备份中心的建设3.1.2. 备份中心的启动就绪要求3.1.3. 技术恢复备份中心的建设3.1.4. 电信网络连接备份3.1.5. 外包备份中心的管理3.

3、1.6. 互惠的业务恢复协议4.测试与维护4.1.测试能力不足4.1.1. 业务连续性规划的测试频度4.1.2. 业务连续性规划的测试范围4.1.3. 测试文档管理4.1.4. 业务连续性规划测试的后评价4.2.缺乏定期维护工作4.2.1. 变更管理4.2.2. 业务连续性规划文档的存取管理4.2.3. 外部服务提供商管理风险点1.高层监督和治理被监管机构的业务连续性规划缺乏高级管理层监督和支持，包括监管、监测、独立评估和可说明 性子风险点1.1.高级管理层监督力度不足缺乏可说明性，清晰的指导方向和管理层应承担的义务风险控制1.1.1.制定策略、流程和职责要求高级管理层已建立业务连续性规划的相

4、关策略、标准和流程，经由董事会讨论批准。被监管机构 的董事会和高级管理层对业务连续性规划及其实施效果负最终责任。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控弥补性措施最多1000字1.1.2 .业务连续性规划的组织高级管理层已明确设立部门负责业务连续性规划的整体流程管理风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明

5、原因最多255字已可控现有措施最多1000字1.1.3.监测与报告机制已制定并实施了正式的业务连续性规划评估、监测和汇报程序。业务连续性规划负责部门定期向董事会汇报业务连续性规划的测试情况。任何业务连续性规划的重要变更均向咼级管理层报告。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字1.1.4.独立评估机制被监管机构的内部审计部门或其他独立机构，对业务连续性规划的有效性进行定期评估，并评估 业务连续性规划是否与被监管机构的

6、策略和标准相一致。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字1.1.5.管理层签报机制被监管机构的主要负责人向董事会提交正式的年度报告，说明已采用的恢复策略是否有效，已制 定的业务连续性规划是否进行了有效的测试和维护。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措

7、施最多1000字风险点2.规划与开发因灾害或突发事件导致特定地点营业停止和服务中断而引发的风险。风险将导致财务损失和声誉 受损。子风险点2.1.业务连续性规划的覆盖范围不足无法处理大规模或长时间的业务中断风险控制2.1.1.规划的基本性原则要求被监管机构应充分考虑灾害的严重程度，包括本机构或交易对手和服务提供商的核心建筑、设备 被完全摧毁，失去关键人员以及备份设施需要延长使用期限等。被监管机构应建立双层业务连续 性规划，一是针对近期问题，可通过提高硬件设施能力快速解决；二是针对长期战略性问题，需 要制定书面规划，并逐步实施。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1

8、000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字子风险点2.2.无效的业务影响分析无法确定在灾害发生时哪些重要部门和服务需要被迅速恢复，以及如何恢复风险控制2.2.1.重要部门要求能够定期实施业务影响分析已确定在灾害发生时必须保证持续有效运行的重要业务部门和后台部 门。业务影响分析包括了客户、银行人员、声誉、内部运行以及财务和法律等方面的影响。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内

9、容最多1000字风险说明原因最多255字已可控现有措施最多1000字2.2.2.恢复计划的时间进度表根据业务影响分析，业务部门和后台部门可以确定灾害过程中银行对外提供重要服务的最低要 求。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改计划标题最多50字完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字子风险点2.3.不完善的业务恢复机制无法按最低要求对外提供重要银行服务风险控制2 3 1业务恢复机制要求所有业务和后台部门已根据业务恢复时间进度表和对外重要服务最低要求，制定本部门的恢复措 施

10、。措施已充分考虑火害状况下业务处理量可能超过日常水平。所有部门恢复措施均在业务连续 性规划中有书面体现。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改计划标题最多50字完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字2.3.2.业务连续性规划最低要求所有重要的业务和后台部门已制定业务连续性规划最低要求，以保证基本的业务和技术服务能 力。最低要求在制定业务连续性规划前已经高级管理层批准。高级管理层应确保所有新业务在策 划和开发阶段已考虑了业务连续性要求。风险风险评级绿/黄/红/蓝详情问题或

11、差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字子风险点2.4.不适当的恢复组织机构设置因关键人员损失或缺位导致的业务恢复延误，或决策延误。风险控制2.4.1.危机事件管理小组要求被监管机构已建立了危机事件管理小组负责管理各个阶段的危机事件。危机事件管理小组成员应 包括高级管理层和主要后台部门负责人（如：基建部门、信息科技部门、办公室和人力资源部 门）风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多

12、50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字2.4.2.危机事件管理指挥中心被监管机构 监管机构白勾已建立了指挥中心，为危机事件管理小组提供必要的工作场地和设施。指挥中心与被 勺主要运营地点保持足够的物理距离，避免同时受到灾害影响。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字2.4.3.业务重置和工作小组所有相关的业务和后台部门（包括信息科技部门）已建立了

13、恢复工作小组（同时可设立分小组负责业务重新启动流程），并在所有的重要环节指疋了替补人贝。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字子风险点2.5.缺乏完善的文档记录管理业务连续性规划的规定内容与实际的恢复过程不一致，对实施人员没有提供足够的操作指引。风险控制2.5.1.危机事件管理流程要求业务连续性规划建立了一套危机事件管理流程，以成文形式发布，辅助高级管理层应对突发事 件，并有效避免风险向整体业务传导。管理流程应包括

14、：早期的灾害苗头侦测和对危机事件管理 小组的快速通知，影响评估和决策制定，业务所在地的撤离和疏散，实施业务连续性规划，采集 状况信息，沟通联络和受损设施的恢复。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字2 5 2业务重置业务连续性规划包括详细的操作守则和程序，动员恢复工作小组恢复并延续重要业务的运行，并 最终实现业务的正常运转风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多22

15、5字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字风险详情风险评级绿/黄/红/蓝2.5.3.突发事件应急处理联络和恢复项目列表负责业务恢复人员及备用人员的联系方式，包括下班后的联络信息，并配备至人员手中。制定业务 恢复任务列表并纳入业务连续性规划。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字风险控制要求2.5.4.技术恢复方案业务恢复过程中，所有

16、业务和后台部门的技术需求在业务连续性规划中均有详细说明。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字子风险点2.6.无效的信息恢复业务恢复所需了解的情况和信息无法得到满足，或信息沟通能力不足风险控制2 6 1定义重要信息要求业务连续性规划对灾害过程中重要业务和后台部门进行业务恢复时需要的重要信息进行了明确定 义，重要信息包括存储在电子或非电子介质上的信息。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最

17、多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字2.6.2.重要信息记录管理对认定的重要信息档案实行有效备份和异地保管。严格控制重要信息档案的调取，保证其对业务 重启的可靠性。制定了相关文件，规定重要信息档案在遗失、受损和破坏的情况下如何进行恢复 和再生，以及按何种次序进行恢复和再生。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最

18、多1000字2.6.3.联络沟通机制被监管机构与其他重要外部机构建立了正式的联络沟通机制（如：监管部门、投资者、客户、交 易对手、商业合作伙伴、服务提供商、新闻媒体和其他股东等），对内部机构的沟通联系机制（如：内部员工、母公司、总部、分支机构等）。业务连续性规划应明确指定灾害期间的对外新!=F、/ | 口丿 L/| p h jriI p hw hJ mH | | 丿匕aii j 7.乂 上r |/卜/|丁 J |j ynj / o风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000

19、字风险说明原因最多255字已可控现有措施最多1000字子风险点2.7.风险化解和转移措施不足因保险覆盖范围不足导致损失风险控制2.7.1.苴他风，险化解和转移措施要求被监管机构采取其他形式的风险化解和转移措施，如通过保险降低因灾害产生的财务风险。被监 管机构应在业务连续性规划中包括补充流动性的措施。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字风险点3.备份中心业务连续性规划无法实施子风险点3.1.备份中心的设置缺陷因备份

20、中心能力不足或功能缺陷导致业务连续性规划无法实施风险控制3.1.1.业务重置备份中心的建设要求用于业务重置的备份中心应与被监管机构的主中心保持足够的物理距离，以避免冋时受到灾害影 响（如：使用彼此隔离的电信网络和电力供应）风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字3.1.2.备份中心的启动就绪要求备份中心应保证在业务连续性规划的规定时间内启动使用。被监管机构已安排了备份中心运行所 需的各类后勤保障。风险风险评级绿/黄/

21、红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字3.1.3.技术恢复备份中心的建设技术恢复备份中心（数据备份中心）应配备足够的技术装备（工作站、服务器、打印机等）在型 号、数量和容量等方面满足业务连续性规划的恢复要求。技术恢复备份中心根据规划的要求应配 备足够的通信网络和带宽设施，以及预装的网络线路，以应对预计岀现的通话和数据传输高峰。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多

22、50字计划完成日期统一年月日格式整改计划内容最多1000字风险已可控说明原因最多255字现有措施最多1000字风险控制3.1.4.电信网络连接备份要求被监管机构已将自己的备份站点与其主要客户、交易对手和服务提供商的备份站点建立了电子网 络连接，避免因主中心距离较近而同时受到灾害影响。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字3.1.5.外包备份中心的管理合约条款应包括备份中心的使用期限和备份设施、技术支持或有关硬件的服

23、务承诺。在某些情况 下。服务提供商应证明其备份中心在灾难事件中的自身恢复能力。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字3.1. &互惠的业务恢复协议任何可行的互惠业务恢复协议应经过被监管机构充分的风险评估和备案，并正式提交董事会批准风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多25

24、5字已可控现有措施最多1000字风险点4.测试和维护未审批和过期业务连续性规划子风险点4.1.测试能力不足无法查找潜在问题和保证备份中心对业务的顺利恢复风险控制4.1.1.业务连续性规划测试频度要求被监管机构至少每年进行一次业务连续性规划测试风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字4.1.2.业务连续性规划测试的范围业务连续性规划测试的范围应全面覆盖规划的主要组成部分，以及与重要外部机构的衔接部分。 业务连续性规划测

25、试已被验证有效：员工撤离和疏散、通讯联系、业务备份中心和技术备份中心 的启用，外部机构提供的恢复服务，重要档案的恢复高级管理层实地参与年度测试并了解自己在 业务连续性规划中的职责。负责恢复的人员及其替补人员应参加测试以便熟悉相关职责。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字4.1.3.测试文档管理建立正式的测试文档管理制度（包括测试方案、测试环境、测试流程和测试结果）风险风险评级绿/黄/红/蓝详情问题或差距最多100

26、0字说明性资料最多1000字相关文件最多225字风险控制整改标题最多50字要求计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字4.1.4.业务连续性规划测试的后评价业务连续性规划测试完成后，后续评估报告应提交被监管机构的高级管理层审核。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字子风险点4.2.缺少定期维护过期的业务连续性规划.风险控制4.2.1.变更管理要求被监管

27、机构应建立正式的变更管理机制，保证其业务连续性规划通过有效的审批和存档程序得到 及时更新。程序需要确保主要员工、交易对手、客户和服务提供商的联络方式及时得到更新。风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字4.2.2.业务连续性规划文档的存取业务连续性规划文档备份应实行异地保管，供高级管理层和其他重要人员使用的应急步骤要实行 多地保管（如办公室，家里，公文包或者其主页等）风险风险评级绿/黄/红/蓝详情问题或差距最多1000字说明性资料最多1000字风险控制相关文件I最多225字要求整改标题最多50字计划完成日期统一年月日格式整改计划内容最多1000字风险说明原因最多255字已可控现有措施最多1000字-13 -4.2.3.外部服务提供商管理如果服务提供商负责提供重要的恢复服务，应定期评估服务协议的适用性风险详情风险评级绿/黄/红/蓝问题或差距最多1000字说明性资料最多1000字相关文件最多225字整改计划标题最多50字完成日期统一年月日格式整改计划内容最多1000字风险已可控说明原因最多255字现有措施最多1000字-14 -