第三十条 商业银行应当根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
第三十一条 商业银行应当依据业务恢复策略,确定灾难恢复资源获取方式和灾难恢复等级。
第四章 业务连续性计划与资源建设
第一节 业务连续性计划
第三十二条 商业银行应当依据业务恢复目标,制定覆盖所有重要业务的业务连续性计划。
第三十三条 业务连续性计划的主要内容应当包括:
(一)重要业务及关联关系、业务恢复优先次序;
(二)重要业务运营所需关键资源;
(三)应急指挥和危机通讯程序;
(四)各类预案以及预案维护、管理要求;
(五)残余风险。
第三十四条 商业银行应当制定总体应急预案。总体应急预案是商业银行应对运营中断事件的总体方案,包括总体组织架构、各层级预案的定位和衔接关系及对运营中断事件的预警、报告、分析、决策、处理、恢复等处置程序。总体预案通常用于处置导致大范围业务运营中断的事件。
第三十五条 商业银行应当制定重要业务专项应急预案,专项应急预案应当注重灾难场景的设计,明确在不同场景下的应急流程和措施。业务条线的专项应急预案,应当注重调动内部资源、采取业务应急手段尽快恢复业务,并和信息科技部门、保障部门的应急预案有效衔接。
第三十六条 专项应急预案的主要内容应当包括:
(一)应急组织架构及各部门、人员在预案中的角色、权限、职责分工;
(二)信息传递路径和方式;
(三)运营中断事件处置程序,包括预警、报告、决策、指挥、响应、回退等;
(四)运营中断事件处置过程中的风险控制措施;
(五)运营中断事件的危机处理机制;
(六)运营中断事件的内部沟通机制和联系方式;
(七)运营中断事件的外部沟通机制和联系方式;
(八)应急完成后的还原机制。
第三十七条 商业银行应当要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应当满足商业银行要求。
第三十八条 商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接;同时,应当积极采取风险缓释及转移措施,有效控制由于外部机构业务连续性管理不充分可能产生的风险。
第二节 业务连续性资源建设
第三十九条 商业银行应当开展业务连续性计划所需的资源建设,满足业务恢复目标和重要业务持续运营的要求。
第四十条 商业银行应当重点加强信息系统关键资源的建设,实现信息系统的高可用性,保障信息系统的持续运行并减少信息系统中断后的恢复时间。
