地方性商业银行IT应急管理改进思路

        3．应急预案编制和应急演练互助共进
        应急预案是指导应急处置的提纲挈领．一套严密的应急预案对应急处置机构与职责预防预警、预案启动条件、事件通报和处置、预案培训、预案演练均有详细的规定．为突发事件建立起有据可依、有章可循的制度性约束：应急演练的目的是保持并检验预案的有效性，改进预案内容，同时培养预案操作人员和相关方贴近实战．科学应对．协同工作。应急预案和应急演练是相辅相成的，通过带有回归特性的应急演练，不断检验并改进应急预案的编制内容，二者的互助共进，有利于地方性商业银行牢牢把控应急处置的主动权，预先掌握和熟悉处置突发事件的来龙去脉，增强应急处置实战训练的针对性，不断强化应急预案在突发事件应急处置中的作用。

三、IT应用管理的改进思路
        1．统筹IT应急管理总体布局
        第一，地方性商业银行应将业务连续性管理作为业务发展和风险管理的重要组成部分纳入总体战略规划，并制定相应的目标和组织结构。

        第二，从经营目标入手，甄选出实现目标所需要实施的关键业务流程，继而识别出支持此类关键业务流程的IT系统，再经过分析研究，得出能造成该类系统遭受破坏停止对外服务的各项风险因素及恢复目标。

        第三，制定出业务连续性计划，根据关键业务优先级划分连续性的优先级次，完成业务和技术两个层面的应急预案编制，同时对应急资源做好储备计划，加强应急合作第三方管理，建立长效合作机制。

        第四，演练业务连续性计划，检验业务预案和技术预案的完整性、有效性、易用性和可操作性。

        第五，加强业务连续性管理的宣传培训，使业务连续性管理理念和风险防范意识深入人心，并转化为强化员工的潜意识和自觉行为。

        第六，应用PDCA循环不断改进业务连续性管理，评估和修订业务连续性管理体系的各项内容，使业务连续性管理和应急管理日渐完善。

        2．重视IT应急预案编制
        地方性商业银行应按照完整性、实用性、易用性和可操作性建立起IT应急总预案和各分项预案。总预案应明确统一的应急组织体系、职责分工、应急处置流程、应急资源保障与调度、分预案的调用关系等，由科技部门与业务部门共同制定。分预案包括由科技部门负责制定的机房、网络等基础设施预案和由科技部门与业务部门联合制定的应用系统预案。在预案编制前，要做好风险评估，通过标识关键业务运行所需重要资源，分析重要资源面临的威胁及重要资源本身的脆弱性，综合考虑各个风险发生的概率，定量归纳出风险列表，将风险分类分级。预案编制后，要进行预案的维护，应在预案的编制后进行一轮测试验证，而后每逢预案演练、系统配置变更、IT风险事件处置启动预案后均要进行预案的修订和维护。对于有条件的地方性商业银行，可以应急管理系统化带动应急管理科学化，通过应急平台建设，明确组织结构和人员职责分工，分配人员角色，统一应急处理流程，上收应急预警报告权限，发布应急演练计划，做好应急预案的版本控制。

        3．突出应急演练的目的性和实战性
        应急演练是对应急管理体系运转和应急预案有效性的检验。地方性商业银行应该视演练为实战，通过演练达到人员培养锻炼和预案修订完善的目标，使预案编制一演练检验一预案完善不断循环演进，推动应急体系建设。演练前要制定明确的演练检验目标，可以检验应急组织运转的有效性、应急响应的及时性、应急资源的可用性、应急措施的科学性、应急预警和报告的主动性等。此外，要强化演练前的人员和预案内容培训，增强人员对预案的熟悉程度。

        4．加强自身应急队伍建设和应急相关方管理
        人是应急预案中的能动因素，既是应急工作的组织者，又是应急预案的编制者、实施者、演练者和修订者。地方性商业银行要重视人员的学习培训和参访交流，为IT应急队伍的建设创造相应的平台，投入必要的资金，同时注重应急知识转化、经验的积累和应急文化的传承，组建各领域的应急管理专家库，为应急管理提供人力资源支持和应急人员保障。

        地方性商业银行的部分IT系统的研发和运维采用外包形式，多数硬件服务器的运维一般采用外包形式，对外包相关方的依赖较大，其技术支持和响应的及时性和有效性已是地方性商业银行重点留意的风险点，因此，应急相关方管理和沟通在应急管理中不可或缺，必须将应急相关方管理纳入业务连续性管理，在应急演练环节，应包括应急相关方的沟通协调和技术支持演练内容，同时备好应急相关方支持突然失效的应对措施，做好风险转移。

（文章来源：中国金融电脑）
 

首页 上一页 1 2

扫码即可手机
阅读转发此文