银行应急演练总结汇总十篇
银行应急演练总结篇(1)
在具体工作中,银行要认真贯彻执行上级机关有关文件精神,多方面、有针对性的策划制定各营业场所应急预案,做到一所一情一预案,岗位明确责任清。
在应急预案的实际演练中,银行安全保卫部门要确立统一的演练计划,全程进行跟踪督导。各营业场所要根据网点的内外部环境情况、人员结构等具体情况进行分组、分步实施;演练模式应设“歹徒持枪、持爆、劫持人质等”模拟场景,临柜人员在与“歹徒”周旋时,在实施报警、协助护款等环节上要应对自如,镇定不乱。在“演员”的选配上银行要是“八仙过海”,内挖潜力,所确定的“演员”人选尽可能在外部形象及形态上达到和满足预案的情节要求,以使演练效果更加形象逼真。同时银行可根据工作实际,组成安全教育及应急预案巡回演练培训组织,从分利用晚上和营业外时间进行安全教育及应急预案的演练工作,使安全教育更深入系统、预案演练和业务开展不受影响。
在安全教育和突发事件应急预案的组织领导工作中,银行主要领导要亲自抓,具体管,对各项安全教育及应急预案的制定能亲自参与,逐项确定;在具体教育实施和预案的演练工作中,又亲临现场组织指挥,不时的提出这样、那样的指导意见,使安全教育及演练工作更具真实性,更有实效感。
银行要通过各种形式组织职工进行安全教育及应急预案的演练,确保员工的安全防范思想意识得到提高,风险意识不断提升,责任意识进一步增强,增强员工应急处置能力和知识水平,确使安全保卫工作为了大家,更要依靠大家的工作理念得到进一步落实,安全经营、创单位内部和谐稳定的工作目标得到保障。
银行要杜绝在安全教育及突发事件应急预案演练工作中领导组织不重视,对安全教育及预案所制定的内容不了解、不清楚、不掌握,安全教育及预案演练时不到场,要尽到领导的责任。同时严禁职工安全教育及演练工作走形式、应付过场,要确实做到全面教育的目的;职工安全教育工作要深入,严防职工存在严重的麻痹大意思想和对安全教育及应急预案的演练有厌烦情绪,这是安全保卫工作的大忌,安全事故的发生往往就是麻痹大意思想所造成的。
有些问题的存在,主要反映了部分银行领导对安全保卫工作不重视,对具体工作组织不利、管理不到位,职工的思想不稳定,安全防范教育工作不深入、不扎实。也反映了个别银行安全保卫工作从领导到职工只听其声、不见行动的思想行为所在。
为了贯彻执行公安和上级领导机关关于做好各项安全保卫工作的指示精神,要做到居安思危,警钟长鸣,长抓不懈,银行在努力完成其它各项工作的同时,职工安全教育和应急预案的演练工作要及时总结、学习以往好的经验,查找不足,要按照公安机关和银监部门关于安全工作的计划部署,努力做到:
一是要进一步加强对职工安全教育及应急预案的制定、演练工作的组织和领导,统一管理,全面协调,使安全教育及演练工作真正达到警示教育的目的。
二是要严肃对职工安全教育及应急预案演练现场的管理工作,严禁职工安全活动及营业场所的演练现场组织松散、不严肃现象发生。
三是对职工安全教育及应急预案演练活动要做到全员参与,不漏一人的原则,特别是对刚如行的新职工必须积极参加本行所举办的各种职工安全教育及应急预案演练活动。
四是在具体应急预案演练教育过程中,应对“歹徒”的临柜人员之间、观摩职工与应对“歹徒”的临柜人员之间要互相换位、全员参与、多方体会,以达到以演代教,教育全面的目的。
银行应急演练总结篇(2)
一、引言
随着经济和社会的发展,全社会对金融服务质量、效率以及资金安全的要求不断提高,与此同时,针对金融业务的违法犯罪活动呈快速发展趋势,金融机构面临的信息安全形势越来越复杂,金融信息安全工作越来越艰巨,并日益成为社会各界关注的焦点。金融机构面临的信息安全风险主要有网络通信中断、电力供应中断、网络攻击、网络犯罪等,这些风险的处置将涉及到公安部门、通信管理部门、电力监管部门等多个不同领域的机构。因此,金融行业主管部门适时组织金融机构与公安部门、通信管理部门共同开展网络攻击事件协同处置应急演练,对增强各行业主管部门和金融机构共同处置网络攻击事件的能力,建立各行业主管部门和金融机构之间的长效沟通机制具有重要意义。
二、演练目的
通过组织开展金融机构网络攻击事件协同处置应急演练,达到以下目的:
?增强金融机构和通信行业、公安部门等行业主管部门共同处置金融业信息安全风险的能力;
?建立金融行业主管部门、各行业主管部门、各金融机构之间的长效沟通机制;
?掌握相关应急资源的实际操作数据,为今后应急预案的制定提供真实、可靠的依据。
三、演练组织
应急演练可由金融行业主管部门负责组织,选择一家金融机构为应急演练主体单位,公安部门、通信管理局为演练协同处置单位,负责配合金融行业主管部门和金融机构开展应急处置;基础通信公司(电信公司、联通公司等)负责配合上述机构开展网络攻击事件应急演练。具体职责分工如下:
单位 职责分工
金融行业主管部门 组织、指挥、协调各参加单位开展应急演练,制定网络攻击事件协同处置应急演练方案。
公安部门 配合金融机构共同开展网络攻击事件演练。
通信管理局 1、对网络攻击事件进行监控和预警,配合金融机构共同开展网络攻击事件演练;
2、协调基础通信公司配合金融机构共同开展网络攻击事件演练;
金融机构 应急演练主体单位,制定供电故障和网络攻击应急演练方案,负责演练具体实施。
基础通信公司(电信公司、
联通公司等) 配合行业主管部门及金融机构开展网络攻击应急演练。
四、演练场景
网络攻击应急演练场景
金融机构网上银行系统受到syn flood网络恶意攻击,对网上银行服务造成影响,监控人员监测发现网络攻击情况(于此同时,通信管理局监控人员发现网络攻击情况)后,立即启动应急预案,同时向金融行业主管部门(电话报告和传真事件报告单),请求协调通信管理局技术人员帮助查找攻击源;金融行业主管部门将情况告之通信管理局和公安部门,并派员赶赴事件现场协同处置网络攻击事件;通信管理局协调基础通信公司查找攻击源IP,定位攻击者物理位置;公安厅网警总队执法人员及时赶赴网络攻击现场,对网络攻击犯罪人员实施抓捕。
五、应急演练流程图(见图1)
六、演练风险评估及风险防范措施
为确保演练不影响业务系统的恢复运行,演练实施中采取以下风险防范措施:
?将演练时间安排在非关键性日期和非业务时段进行,并预留足够时间防止演练失败时有进行生产系统恢复;
?演练期间,要求相关基础通信公司提供现场技术保障,确保演练期间线路的正常;
?详细记录演练操作步骤及操作指令,以便追溯;
?密切监控演练每一步骤的执行结果,若某一步骤失败则停止演练,恢复生产系统,确保系统的正常运行。
图1
七、总结
金融业信息安全事关经济金融的稳定大局,责任重大,切实做好应急准备工作,定期开展应急演练是保障金融业信息安全的重要手段,本文所设计的应急演练方案为实际工作中总结出来的经验,期望能对金融机构应急演练工作起到抛砖引玉之用,共同维护金融业信息安全。
作者简介:
银行应急演练总结篇(3)
加强应急管理,是关系国家经济社会发展全局和人民群众生命财产安全的大事,是全面落实科学发展观、构建社会主义和谐社会的重要内容。当前,我国总的形势是好的。经过新中国成立60多年特别是改革开放30多年的建设和发展,我国经济实力、综合国力、国际影响力大幅提高,人民生活不断改善,抵御风险的能力不断增强。特别是面对国际金融危机的冲击,党中央、国务院果断采取一系列有力的应对举措,及时出台实施一揽子计划和相关政策,保增长、调结构、促改革、惠民生、保稳定取得明显成效。同时,我们也要清醒地看到,当前,我国仍处于人民内部矛盾凸显、刑事犯罪高发、对敌斗争复杂的时期,社会稳定形势仍十分严峻。
就人民银行系统,特别是基层人民银行来讲,当前我们在应急预案管理工作方面也面临较为复杂的形势。一是信贷投放蕴含的风险因素增多。在稳健货币政策的背景下,商业银行信贷投放得到了有效控制,但个别金融机构由于本身资产质量并不高,信贷风险管理意识也很薄弱,贷款投放蕴含的道德风险、违约风险等可能会对金融体系的稳定性造成消极影响。二是机构退出、资产处置等工作面临诸多复杂因素。在清理过程中,有的遗留资产涉及因素较为复杂,相关债权人、债务人、善意第三人等利益各方的物权关系和权益纠纷错综复杂。如果处置不当,可能会引发上访或。三是各类业务信息系统面临攻击和破坏的风险不容忽视。人民银行负责运营的金融市场、支付清算、货币发行、国库、征信、反洗钱等业务网络和信息系统,对于经济社会运行具有决定性影响。随着金融电子化、信息化的发展,金融运行效率不断提高,面临的风险因素也不断增多。虽然我们在维护信息网络运行方面投入了大量的科技力量和资金,但也要清醒地认识到,敌对势力破坏手段也是日益多样化、信息化的,对这些系统稳定运行的威胁不容忽视。四是发行基金守押面对的风险。当前,暴力侵害金融犯罪的案件时有发生,且呈现出组织化、动态化、智能化的特点。上述复杂形势,使得区域性或系统性金融风险增加,金融突发事件隐患增大,对此,我们必须要有清醒的认识,认真加强应急管理,未雨绸缪,做到早预防,早处置。
基层央行应急预案管理工作取得显著成效
应急预案体系基本形成。预案是应急管理体系建设的龙头,是“一案三制”建设的起点。以山西省为例,人民银行太原中心支行牵头制定了《山西省金融突发事件应急预案》,经过反复研究、多方论证,形成了贴近山西省实际,科学有效,具有很强可操作性的预案框架。在此基础上,在山西省政府应急办的指导下,人民银行、监管部门、金融机构加强沟通,相互借鉴,不断建立和完善了各自的应急管理体系,基本形成了包括总体、部门、专项、内部和分支机构应急预案等五个层次的应急预案体系,实现了“横向到边、纵向到底、覆盖全省”的建设目标。按照应急预案体系要求,人民银行太原中心支行先后成立了应急管理工作领导小组、预案管理领导小组和预案评估委员会,建立了应急指挥部、应急通讯簿、应急专用信箱及《应急指挥体系动态报告制度》、《突发公共事件月、季、年报制度》、《应急值班管理办法》、《山西省人民银行系统应急预案管理办法》等一系列应急管理制度,为实现“统一指挥、结构合理、反应灵敏、运转高效、保障有力”的应急管理组织体系的建设目标提供了组织和制度保障。
银行应急演练总结篇(4)
目前我国央行现代化支付系统由大额实时支付系统、小额批量支付系统、同城票据清算系统和全国支票影像交换系统、电子商业汇票等系统组成。为确保上述系统高效稳健运行,人民银行自上而下建立了支付清算系统应急管理机制。现阶段,该体系呈如下运行态势:
(一)上级有要求
系统运行后总行、分行相继制订了应急处置预案。按照“系统不间断性、业务连续性、数据完整性、可操作性、衔接性”五性原则,分级分层提出了应急响应、突发事件处置、应急保障、后期处理等应急管理措施,启动了包括灾难备份系统、系统运行维护机制、手工处置机制等在内的一系列预警预防机制建设。
(二)基层有响应
根据要求,基层人民银行都十分重视支付清算系统的应急管理问题,都成立了支付系统应急处置领导小组和领导小组办公室,在明确职责的基础上,细化了灾难事件发生时的应急管理措施与要求。
(三)管理有办法
目前,总行、分行相继出台了《中国人民银行支付清算系统危机处置预案》、《分行辖内支付清算系统危机处置预案》、《同城电子支付系统应急处理办法》和《中央银行会计集中核算系统业务应急处理操作流程》等应急管理办法和实施细则,确立了上述各系统应急处置工作实行中心支行直报人总行、同时上报大区分行的“两级两层报告制度”,同城清算系统应急处置工作由中心支行报告分行、分行再报总行的“三级三层报告制度”等。
二、当前支付清算系统应急管理机制存在的主要问题
(一)应急法律框架有待完善
《突发事件应对法》、《国家金融突发事件应急预案》在一定程度上保证了银行业预警和应变防范工作的实施,但效力层级和可操作性还是远远不够的。要达到促进监管部门迅速有效地处置金融突发事件、最大限度地预防和减少金融突发事件所造成的危害和损失、维护金融和社会稳定、保障国家经济安全的目的,则需要尽快推出金融行业专门的应急法律和法规,并细化相关操作流程。2008年人总行支付结算司编制的《中央银行会计集中核算系统业务应急处理操作流程》及各分行、中心支行、地市支行由上而下相应制定的操作流程,仅仅涉及会计集中核算系统故障处理,对支付清算各系统严重事件、灾难事件等的应急操作仅要求“营业部门全面启动手工处理方式重新建账办理会计核算业务”,具体如何实施、如何操作却未做详细说明。
(二)应急演练预案有待加强
一是定期演练难以落实。应急职责第四条规定,应急领导小组应“定期组织本辖区支付清算系统应急演练”,现实中却因种种原困难以落实。二是应急演练可操作性差,支付清算业务关联全国,应急演练应在全国人行系统统一展开,而应急演练制度没有把分级演练与统一演练有机结合起来,演练对象缺乏具体性。三是应急演练所需用的账簿、凭证(含重要空白凭证)等,主管部门没有统一印制下发,应急演练所需业务印章(含联行专用章)虽暂未上缴,但却由他部门保管,完整的应急演练缺乏必须的工具。四是应急管理机制的诞生滞后于业务系统,应急灾难备份系统也尚未完全建立,一旦系统出现故障无法处理账务,只能被动等待修复。
(三)应急组织模式有待改进
一是支付清算应急体系一般自上而下,忽视了清算部门和业务人员的作用,应急预案也仅将清算部门列为应急领导小组服从及协调成员,容易形成清算部门观望等待的被动局面。二是人员配备不足。经过多次岗位整合,目前清算部门人员配置只能满足日常工作需要,一旦遇有突发事件需要大范围手工处理账务,在AB角、不相容岗位平行兼岗等内控制度的约束下,人力资源将面临捉襟见肘的局面。三是手工处理模式难以真正发挥效用。系统故障应急处置的常用方法是启用手工核算方式,随着信息电子化建设加快,青年业务人员大多缺乏手工操作的相关知识和经验,对紧急手工处理支付业务操作不熟练,再加上编押机设备老化而无法使用等问题,影响手工联行应急措施的及时启动。
三、建立健全支付清算系统应急机制的有效途径
(一)应急管理机制的制度构建
一是推进应急法制建设。目前,我国没有建立专门的支付清算系统应急法,应急法规制度主要以2007年11月1日实施的《突发事件应对法》、国务院印发的《国家金融突发事件应急预案》为依据,人民银行各分支机构结合辖区实际制订相应的支付清算系统危机处置预案,效力层次不高,可操作性有待改善,一定程度上影响了应急措施的顺利实施。因此,必须加大支付清算系统安全问题法律法规的建设力度,加快推出以金融突发事件应对法为基础的《支付清算系统应急法》,通过法律明确系统突发事件的处置模式;结合辖区实情制定《支付清算系统突发事件应急处置条例》,为处理突发事件总体原则、组织机构、预案体系、处置程序和法律责任等主要问题及确保突发金融事件应急机制的可操作性提供法律保障。尤其在稳步推进第二代支付系统和ACS系统建设的过程中,不但要研究拟定两个系统的制度办法,修改完善现有规章制度,还要建立相应的危机处置机制,夯实支付系统建设和风险防范的法律基础,同时出台关于支付清算系统严重事件、灾难事件的处理操作流程,确保有据可依。
二是完善应急预案流程。作为应急管理的基础条件,建立支付清算系统应急预案体系,意味着日常系统管理中必须坚持风险管理观。应急预案体系应包括突发事件预防预警、预案评估等运行机制,预防预警机制是在突发事件发生前对事件的监测、评判、预报以及提供预先处理流程的规则体系。应当建立和完善对突发公共事件的检测、预测、预报、预警体系,认真开展风险调查和隐患分析,排查危险源,做到早发现、早报告、早预警、早处置,有效缓解或减轻突发事件对系统的破坏力。预案评估旨在识别主要风险点和薄弱点,排查系统存在的风险隐患,根据评估的等级制定预防措施,将有限的资源投入到危机响应、处置和灾害重建中,从根本上控制风险、降低风险,提高支付清算系统风险防范能力,有效地预防和减轻灾难危害。
(二)应急管理机制的体系构建
1、扩大应急组织体系范围。应急管理工作要将人民银行各级业务操作部门纳入体系建设,充分发挥其熟悉系统运行和业务操作的优势,使应急工作在实际开展时更加具有时效性和可操作性。在应急预案制定上应具有前瞻性,与业务系统上线运行保持同步。要不断探索,努力实现应急方式方法的创新,促进应对紧急状况处置水平的提高,还要建立快捷完善的问题反映和处理机制,减少中间环节,畅通反映渠道,明确问题方和处理方的相互责任与义务,为应急预案的及时实施争取时间。
2、完善各级支付清算系统灾难备份系统建设。人民银行会计集中核算系统作为支付清算各项业务的直接账务处理者,应直接纳入灾难备份系统中来。各级灾难备份中心应逐级上移,建立以分行为重点的灾难备份中心,或者与省会城市处理中心的灾难备份中心连接在一起,确保当辖内某中支的会计集中核算系统出现问题而且同城备份系统也不能正常运行时,灾难备份中心的备份系统可以及时取代并进行账务处理。在人力、物力大为节省的基础上,真正实现异地灾难备份系统的建设和共享,同时也从根本上解决备份数据的异地存放。
3、充分运用演练成果,完善支付清算系统和《危机处置预案》。支付清算各运用系统推广时间不长,其系统本身和与之相匹配的《危机处置预案》还存在需要进一步完善的地方。因此,人民银行要在系统应用实务中不断摸索,确保应急领导小组决策层和操作层能够全面了解和认识存在的问题,以推动支付清算系统及其应急管理体系的尽快完善。
4、改进手工处置机制下手工核算的具体操作办法。尽管现实情况下使用手工核算的可能性极小,但作为应对支付清算系统危机的最后保障,手工核算处置机制必不可少。建议在《中国人民银行会计核算手工处理规定》的基础上,进一步制定适合现行集中核算方式的更为详尽具体的手工核算操作办法。
银行应急演练总结篇(5)
银行档案是银行在经营管理实践活动中直接形成的清晰、确定、具有完整记录与凭证作用的固化信息,它在保护消费者权益,防控金融风险,保障国家经济安全等方面具有重要作用。随着经济社会的发展,银行档案的重要性不言而喻。正因为此,确保银行档案的安全至关重要。然而,目前组织大规模的全面实战模拟演练,存在准备时间长,耗费人力物力多、场景单一、演练成本高等问题,针对这些问题,笔者所在单位率先提出以桌面推演的方式进行档案应急处置演练。文中所涉桌面推演较早用于军事演习,当时被称为兵棋推演。20世纪后期,使用计算机进行推演成为兵棋推演的主要发展方向。随着安全生产立法工作的逐步推进,时至今日,桌面推演在全国各地的应急预案及其演练中正不断发展创新。借鉴桌面推演在其他领域的优势后,笔者所在单位于2015年年末,以桌面推演方式组织了文书档案应急处置演练,既检验了现有档案应急预案的可行性,又使文书档案人员较为清晰地掌握了档案应急处置流程,为日后更好地进行档案应急处置演练奠定了基础。
一、桌面推演在档案应急处置演练中的流程设置及其注意事项
桌面推演作为应急处置演练的重要方式之一,将其延伸到档案领域,主要是指组织专职档案人员、相关部室工作人员、物业管理人员,以会议的形式,模拟各种可能危及档案安全的火灾、水灾、地震、遗失、盗窃等突发事件的处理与防范措施,并据此提出具体的解决方案,来验证应急处置预案的可操作性和有效性,发现应急处置过程中的问题,及时修订和完善档案应急处置预案。一般来说,桌面推演主要涉及前期准备工作、正式演练、演练结束后的总结工作。需要注意的是,在演练过程中,要尽量运用多媒体、远距离视频等技术。演练结束后,务必要由主持人或业务主管部门的专业人士作出点评,让参演人员充分讨论,以便对原有的应急处置预案进行全面验证、评价和完善。除此之外,以下事项也要给予高度重视。
(一)桌面推演方案的设计原则
由于桌面推演主要采用仿真学原理模拟重大事故或者突发事件,在进行相关方案的设计时,需要注意以下原则:
1.模拟的事故或者灾难处置场景具有代表性。在场景设计中,模拟的事故或者灾难事件不仅要具有现实发生的可能性,更为重要的是要具有代表性。以突发事件中的火灾为例,由于火灾对档案的损害是毁灭性的,火灾一旦发生,既涉及档案安全转移的先后步骤,又涉及受损档案的统计和修复重整,因此档案人员需要时刻保持高度警惕。从这个意义上说,将具有代表性的事故或者灾难作为桌面推演应急处置的场景,不仅可以突出档案抢救等重点环节,而且可以扩展至紧急救援的启动、组织协调、运作等全流程,便于有针对性地完善档案应急处置预案。
2.场景变化过程的合理性。在设计场景时,尽量注意事态发展变化的合理性,使场景的演变符合客观规律,便于操作。例如:档案库房遇水侵害时,需要考虑的是可能引发的二次事故(危机电路)、事故的蔓延(影响周边库房),甚至某种偶发事件、事故的性质变化等,从而确定应急等级发生变化的措施。
3.事故后果危害的严重性。尽可能地考虑到事故造成的严重危害,例如在设计档案遗失、盗窃场景时,可以将档案类型假设为档案,这样相关部门和档案人员能够结合突发状况引起的连锁反应,更清晰地检验应急预案的严密性、合理性和可操作性,进而使桌面推演具有普遍指导意义。
(二)桌面推演方案的编制
桌面推演方案的编制,主要包括要件:演练依据、背景设定、演练级别、演练形式、演练时间、演练地点(通常选用单位的会议场所)、演练人员和前期准备。具体来说,演练依据是《××单位档案突发事件应急预案》《××单位重大事项报告制度》,背景设定则是对虚拟突发事件背景的描述(不局限于火灾、水灾、地震、案卷实体遗失或偷窃等情况)。依据单位性质,演练级别分为集团演练或单位个体演练。依据是否提前对演练内容有所掌握与准备,演练形式分为有脚本式和无脚本式桌面演练。演练人员主要包括《档案突发事件应急预案》中涉及的相关人员。一是演练主持人,通常为档案突发事件应急领导小组成员;二是专兼职档案人员;三是应急处置过程中的相关人员(物业人员、后勤保障人员、安全保卫人员、医疗救护人员等);四是单位负责对外宣传工作的相关人员;五是特邀参加演练的上级业务主管部门相关人员。
在上述要件中,最为重要的是前期准备环节。首先,应对《档案突发事件应急预案》等制度要求进行全面学习。其次,根据模拟的突发事件制作相关PPT,以增强演练的生动性。再次,将推演过程中预设问题制作成答题卡。同时根据实际安排撰写演练通知。最后,提前对所用会议场所内相关设备进行检查和调试等。
二、桌面推演在档案应急处置演练中的具体应用
(一)无脚本式桌面演练
案例:某单位分行中央空调水系统故障,导致档案库房空调口出现冒水事故的应急处置演练
1.背景设定:某单位分行中央空调水系统故障,档案库房空调口出现冒水情况。
2.演练级别:集团演练――总行机关+12家分行。
3.演练人员:总行办公室主任、文书档案室经理;12家分行(各家分行办公室主任1人+3名专兼职档案管理员);特邀北京市档案局监督指导处工作人员1人参与演练指导。
4.演练方式:解说、问答式(利用全行视频系统)。
5.演练简要过程如下:文书档案室经理作为演练主持人,在参演人员不知道演练内容的前提下,通过播放PPT,介绍本次系统演练的模拟场景“某分行档案工作人员在看到空调口冒水,情况紧急,水量较大”。抽选北京、天津、深圳等3家分行,口述应急处置过程,上海、济南、南京3家分行口述本案例应急处置结束后,向总行提交重大事项报告的内容。其他分行现场回答总行预设的相关问题。如图1所示。
需要注意的是,一是这种演练方式适用于下属单位较多的集团式企业,特别是对档案工作基础较为薄弱的基层单位,建议至少2-3年安排一次类似的演练,以便适时示范与督促。二是由于参演人员范围较大,且事先不知道演练内容,在这种情况下,为了确保在有效时间内取得预计效果,主持人应严格把控演练过程中各个环节的时间(整个演练以2小时左右为宜),充分做好前期准备,避免人为因素导致演练时间过长。
(二)脚本式桌面演练
案例:档案库房周边漏水事故的应急处置演练
1.背景设定:××银行总行机关文书档案库房周边卫生间漏水
2.演练级别:个体演练――办公室演练
3.演练人员:办公室主任、文书档案室经理、办公室档案员2人、后勤服务中心工作人员1人、物业管理人员2人。
4.演练方式:解说、问答式。
5.演练简要过程如下:文书档案室经理作为演练主持人介绍本次演练的模拟场景:保洁发现周边卫生间漏水,通知办公室人员查看档案库房,并通过播放PPT画面,展示卫生间与库房的位置关系,随后宣布演练开始,办公室档案员、后勤服务中心人员、物业管理人员围绕预案处置程序,分别以口述形式先后模拟应急处置过程。
文书档案室经理作为演练主持人就应急处置过程中库房遇水后电器设备连接电源使用的注意事项和档案受潮后的处理要点进行提问,后勤服务中心人员及办公室档案管理员分别回答问题。
随后,办公室主任对应急处置方案的完整性、处理方式的可实施性进行评估。
银行应急演练总结篇(6)
2014年5月,人民银行某中支对辖内县支行应急管理工作进行了专项检查。检查人员选取了应急管理机制建设、应急预案制定、演练和评估、应急措施的有效性等内容为重点,采用统计分析、风险评估等方式从应急管理内部控制的有效性进行风险评价。检查结果表明人民银行县支行的应急管理工作在突发事件风险评估、监测以及与预案的制定、评估、更新、演练相关的各项工作都存在一些问题,希望引起大家关注。
一、存在的问题
(一)应急演练与培训走过场。检查发现,某县支行对已有的应急预案进行演练过程中存在未制定演练计划、未制定演练方案、演练方案内容模糊、演练频率不符合规定、未开展演练等现象,应急演练和培训工作大多是为了完成任务而演练和培训,除部分员工参加演练之外,没有开展专门的应急管理知识培训,很多员工对应急管理方面的意识淡薄,应对突发事件的应急处置能力欠缺,存在一定的人员风险和内部控制风险。
(二)应急保障资源难落实。检查发现,基层人行存在应急保障资源难落实的状况。一是某县支行现有在岗人员25人,会计、国库、发行三个部门一共9人,保卫部门5人,各业务岗位人员在制度范围内最大限度兼岗也无法实现AB角的配备,不能满足突发事件危机处置的需要,如《中央银行会计集中核算系统危机处置预案》中要求“人员准备:重要业务岗位人员、主机及系统运行维护人员要保证AB角”无法实现。二是按照人民银行现行的财务预算管理体制,应急预案演练等应急工作没有配套的资金安排,基层人行在财务费用紧张的情形下,很难设立专门款项用于危机预警、预测、预防和应急处置,财力和物资很难得到保障,将影响到应急管理工作的具体实施。
(三)应急管理工作信息沟通机制不完善。检查发现,某县支行应急预案的评估工作严重缺失,究其原因是该县支行
[HJ203mm]
预案评估工作没有得到《中国人民银行应急预案评估工作暂行办法》等文件指导,不了解预案评估工作的具体规定,检查人员调阅了其上级行收发文登记簿,没有发现此文件的收发记录,经过对经办人员多方询问才发现此文件出台时省会中支通过电子邮件向市中支下达过应急预案评估工作任务,邮件附件中附有这封文件内容,经办人员未将文件收存和转发,以至信息上传下达不到位,直接影响了应急预案的制定、更新、演练与评估工作的开展。
二、风险分析
在当前复杂的大环境下,突发事件层出不穷,人民银行作为国家的中央银行随时面临着各类突发事件的危机处置,应急管理工作任一环节开展得好坏都将直接影响到突发事件危机处置的效率和效果,影响到人民生命财产的安全和国家经济金融的稳定,单位利益将蒙受损失。(一)应急演练不按规定的程序和频率,或者根本不开展演练与培训,员工们缺乏应对突发事件的能力与经验,在突发事件面前会无所适从,不能有效降低或规避风险。(二)应急资源无保障,在人力、财力、物力不能保障的情况下,突发事件危机预警、预测、预防和应急处置失去了开展的前提和基础,应急管理工作将无法实施。(三)信息沟通渠道不畅通,上传下达不到位,造成上级行的制度规定不能及时传达,下级行的工作信息不能及时反应,应急管理工作将陷入无序状态,难以正常运转。
三、原因分析
(一)制度和规定约束力不强,执行不到位。一是应急管理工作制度和规定中频繁出现“原则上、根据需要、主要、根据实际需要、可、定期”等词语,这些词的词义模糊,完全在两可之间,缺乏刚性约束,当制度中出现这些词语的时候人们通常理解为这项工作可以做也可以不做,这给制度的制定者和执行者都留下了充足的免责空间和不作为的借口。这种情形下,人财物相对比较紧张的基层人行很多会忽视这类规定,这与制度本身的初衷严重不符。二是对于一些重要业务系统如支付结算、国库),基层人行对预案的制定与演练无自,有些虽可以演练,但演练的范围和内容对系统运行与业务处理意义不大,没有明确的制度规定这些业务系统的应急管理工作如何组织开展,责任如何划分,基层人行抱着等和靠的思想敷衍应付。
(二)相关部门和岗位人员应急管理工作意识模糊。由于多年没有发生重要业务系统故障和不利于系统运行及业务运转的其他突发事件,缺乏突发事件的应急处理和警示效应,一些基层人行从领导层到业务经办人员在思想意识上认为各业务系统功能完善,发生故障的概率较小,对应急管理特别是预案评估工作未引起足够的重视,从预案的制定、人员培训到具体的演练和风险评估工作缺乏主动性,制订的具体预案及相关制度缺乏完整性和可操作性。以致于应急预案缺乏针对性、应急演练未按规定的频率执行、预案评估开展不及时。
(三)应急管理岗位人员缺乏。一是因为县支行人员少,无专人也不可能安排专人来从事应急管理工作,应急预案的管理工作缺乏主动性、严密性与连续性。二是县支行人员年龄结构偏大如某县支行员工平均年龄超过50岁),各部门负责应急管理工作的人员都是些老同志,应急管理意识难跟上业务发展的需要,认知程度难以达到应急管理工作的要求,影响到了应急管理工作的质量和效率。
四、对策建议
(一)修订和完善制度办法,提高制度的可操作性。建议总行和分行对现有的应急管理工作制度进行全面清理并加以完善。一是制度中尽可能地减少“原则上、根据需要、主要、根据实际需要、可、定期”等用词,消除制度执行中的弹性空间。二是在各业务系统的应急预案中,明确要求哪些属于应由各分支机构自主开展的应急演练,哪些应由总行和分行统一组织的应急演练,消除基层员工的消极等待思想,更好地指导各级行的应急管理工作,达到预防突发事件风险的目的。
银行应急演练总结篇(7)
总指挥:院长
副总指挥:陈* 赵**
参演部门:院感科、护理部、检验科、放射科、预检分诊、发热门诊、药械科、总务科、120司机。
1.负责新冠病毒疫情处理的组织指挥,组织协调演练的步骤与进度,结束后点评。
2.负责组织开展院内感染控制、消毒以及疫情上报工作。
3.负责应急演练器械、设备、防护物资、消杀用品、转运车辆的准备。
二、演练目的
为积极应对新冠肺炎疫情蔓延,依法、科学、规范、有效地开展传染病预防和救治工作,依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》、《国家突发公共事件总体应急预案》、《医疗机构传染病预检分诊管理办法》、《医疗机构内新型冠状病毒感染预防与控制技术指南(第一版)》、《新型冠状病毒感染的肺炎防控方案(第八版)》、《新型冠病毒感染的肺炎诊疗方案》等法律法规、指南及方案,我院于9月26日在预检分诊、发热门诊进行了新冠肺炎疫情应急防控演练。通过现场追踪方式的演练活动,检验我院对新冠肺炎患者的接诊、隔离、疫情登记、报告、转运、接触环境消毒及医务人员自身防护等工作的落实情况。举行此次新冠病毒疫情应急演练。
演练的预期目的:
1.医院及各部门针对新冠肺炎疫情预检分诊应急预案的响应;
2.新冠肺炎疫情预检分诊工作流程落实;
3.各部门、各岗位职业防护指引及落实;
4.各部门、各岗位防控措施指引;
5.发热、疑似、接触史、来自疫区、个人红码等患者隔离、转运流程;
6.相关环境、场所、物品、交通工具消杀责任及流程;
7.科室区域划分、科室清洁消毒责任及流程;
8.员工培训情况(包括培训方式、培训内容、培训效果);
三、演练的时间及地点
2020年9月26日下午14:25-15:30,一楼大厅预检分诊及发热门诊。
第二部分演练脚本
一、背景设置
患者何某,男,31岁,山东青岛户籍,10天前由原籍来玉门打工,住玉门镇河西村。三天前开始发冷、咽痛,无喷嚏及流涕,自服“抗病毒药、消炎药”无明显好转。来我院经预检分诊测体温38.2℃,扫描健康出行码为“红码”。预检分诊值班人员立即疏散就诊患者,并报告感染管理科。
二、演练流程
应急响应启动情景
14:25:患者进入医院一楼大门口,在预检分诊处要求就医,额温枪测体温38℃,健康码扫描为红码。(测体温、手机扫描)
14:30:告知发热门诊做好准备,并水银体温计复查体温。(打电话照片)
14:32:预检分诊告知发热门诊工作人员将患者送至发热门诊(患者通道),间隔5米。
【14:35-14:50】处置情景
14:35:经首诊医师询问流行病学线索,该患者有青岛的居住史,给患者拍胸片、做血常规,并进行咽拭子采样,将患者转移至发热留观病房,胸片及血常规结果显示,该患者初步判断诊断为新冠肺炎。(医师查体照片)
水银体温计复查体温38.2℃。(查看水银体温计照片)
14:50:发热门诊医生上报院感科、医务科、护理部等相关部门。(打电话照片)
14:55:王院长上报市疾控中心、玉门市卫健局(打电话照片)
15:00:经专家会诊,高度怀疑该患者为新冠肺炎患者,决定立即转运患者至中医院传染病区。
15:10:120司机启动车辆,负压担架将患者抬至120车。(司机二级防护驾车,患者上车照片)
15:20:到达中医院传染病区,患者经通道进入传染病区大门。(患者进入传染病区照片)
【15:25-15:30】终末消毒情景
1.预检分诊、发热门诊空气、地面、物表、物品全面消毒。(喷洒、桌面擦拭、拖地面照片)
2.车辆返回,汽车内、外消毒。(擦拭汽车室内照片)
三、应急响应终止
【15:30】预案响应终止
本次新冠肺炎疫情事件隐患及危险因素被消除,医院医护人员及职工应急处置意识得到提高,突发卫生事件应急能力得到了锻炼,环境及场所充分消毒,新冠病毒肺炎防控应急处置领导小组终止本次应急响应。责成感染管理科等相关部门对本次演练进行评估和总结。
第四部分演练总结
一、亮点:
参与新冠肺炎防控预检分诊医护人员工作流程熟悉,个人防护意识较强。
二、不足:
1.额温枪有时因为环境温度原因测体温不很准确;
2.对个别不配合筛查患者沟通不够;
银行应急演练总结篇(8)
面对突发事件做到“处变不惊、应对得法、运转高效、保障有力”,是应急管理工作的主要内容。人民银行县(市)支行的应急管理工作刚起步,体制、机制尚不完善,外加应急知识培训演练实践不足等原因,据对17个县(市)支行调查,目前人民银行县(市)支行的应急管理能力还远没达到预防和应对处置真正意义的突发事件要求。
一、现状与成效:未雨绸缪形成机制框架
(一)应急管理机制运转基本正常
调查的17个县(市)支行都成立了应急管理工作组织领导机构和设立了兼职应急管理工作机构,组成了“闲时为民,战时为兵”的一岗双责应急管理队伍,以属地管理为主的应急管理体制机制初步形成。
(二)应急管理制度框架初步形成
2012年相关审计资料反映,调查的17个县(市)支行为保障本支行各项工作稳健运行,切实提高支行应对突发事件能力和做好应对突发事件准备工作,都能按照“横向到边、纵向到底”的应急管理总体要求,各自根据《预案》等文件,通过例会布置、行长办公会审定等方式,督促本支行相关股室按职能分工,结合本行实际制定了多项突发事件应急预案,做到了处置突发事件有章可循。
(三)个别突发事件处置有序有效
近几年来,调查的17个县(市)支行中有的县(市)支行先后处置了多起突发事件。如,一起是一支行启动《自然灾害应急处置预案》,使《预案》明确的应急小组在第一时间各就各位,防洪物资到位,成功应对一次百年一遇的突如其来的特大洪水险情,确保了金融资产的安全,受到总行领导的表彰;一起是一支行所在地通讯光缆被施工单位挖断,导致该支行各业务系统与外界通讯联络中断6小时,事件发生后,该支行迅速启动《突发事件应急预案》,一方面及时向中支报告,并做好会计国库业务备分工作,一方面请当地政府分管金融工作的县领导出面协调解决通讯恢复事项,通讯联络便在下午恢复正常,有效应对了一起人为突发事件。
二、问题与原因:贴近实战能力亟待提高
2012年9月,调查的17个县(市)支行的上级行有针对性地选择部分支行,就如何应对自然灾害等突发事件进行现场演练。从演练情况看,县(市)支行的应急管理工作与实战差距不小。
(一)部分预案操作性不强
目前县(市)支行的相关应急预案的制定,多数是按照总行或上级行应急预案的模板照搬照抄而成,虽然预案文本格式完整、要素齐全,但预案与辖区实情况衔接不完全到位,操作性不强。一是预案文字描述多,流程图和配套操作表少,普遍只有文字描述的支撑预案文件,应对程序、涉及部门、人员职责的清晰流程图和配套操作表的相对较少。二是有些自然灾害突发事件预案,只有本单位的应对职责和措施,没有当地政府部门的配合和支持相关条款,或有相关条款却职责不清,或配合和支持的约束力不强。三是部分应急预案一成不变,没有因时势、环境、业务的变化,而及时进行修正,如国库业务应急预案没有因TBS上线等而及时明确财政部门的相关应急条款。
(二)知识培训演练实践滞后
应急知识培训和模拟演练实践产生应急技能。而现实是大多数支行的应急预案制定后,没有组织过实际的演练,少数支行即使进行了演练,也只是本单位力量的简单摆布,对提高实战能力而言无多大作用,多数应急预案还只停留在纸上谈兵层面。调查发现多数县(市)支行应急管理工作只停留在预案制定层面,参与人员对预案要求的掌握,实战能力的提升工作远没到位,也就是说知识培训演练实践工作,与预案制定与实践没有同步进行。
(三)横向沟通协调机制缺失
目前人民银行县(市)支行对单项突发事件的应急处置能力相对较强,而对复合危机事件的处置则存在联动机制不健全和协调障碍等问题。演练实践时发现,支行只对与上级行的沟通协调非常重视,而与当地政府、公安机关、金融机构的沟通联系明显重视不足,或者有联系却无具体跟进措施,或者电话联系后也仅是通报情况,无肯定性的回复信息,普遍存在横向沟通协调机制缺失问题。
三、对策与建议:居安思危构筑坚实屏障
为切实加强应急管理工作,人民银行各县(市)支行要有居安思危意识,实行一岗双责,层层落实责任、不断深化措施,抓实应急预案、应急组织、应急保障、演练实践等环节工作,切实解决好“怎么做、由谁做、用什么做”等问题,为当地经济金融的稳健发展构筑好坚实的屏障。
(一)预案制定要有持续性、可操作性和规划性
持续性是指任何预案制定都不是一次性的,而是一个持续性的过程,需要随变化而不断进行自我修正和完善。相关应急预案也必须随业务流程变化及时进行完善调整,矫正目前一案定终身的做法和应急预案缺失做法,以便在应对突发事件时不至于出现预案失效问和无预案问题。可操作性是指制定出的预案要实用,预案的制定除方向性问题要与国家和上级行的要求一致外,具体实施细节则要根据本单位的实际情况而定。规划性是指超出支行本身处置权限和处置能力,需要横向支持的预案,如金融稳定突发事件等。要统筹规划与有关单位的协调机制,明确各自应急处置主体及职责、处置程序和措施,做到职责明确,措施有效,确保相关应急预案的操作可行和有序。
(二)用心解决谁来做、做什么、怎么做问题
目前,“谁来做、做什么、怎么做”的理论问题基本上已在《预案》中都有文字描述,关键是要解决参与人员掌握问题。为此,各支行日常工作中,要结合实际和形势变化,有针对性尤其是针对洪水灾害等常见突发事件,进行必备应急知识和技能培训,定期举行贴近实战的情景模拟演练工作,通过演练找出问题、修正预案,并保持培训演练—改进完善—实践提升的良性循环机制,以备不时之需。同时,上级行每年要就县(市)支行的应急演练,制定统一的演练实施计划和具体操作流程,指导县(市)支行应急演练工作,并定期对辖区支行相关人员进行应急基本知识、基本技能培训,以免县(市)支行单打独斗提高培训效率。
(三)切实加强横向合作构建协调机制
就人民银行来说对重大安全突发事件、重大自然灾害等的应对,需要跨部门进行紧急行动,有政府等相关部门的有力支持和密切配合才能收到实效,因而加强横向合作构建协调机制是必不可少的工作。一是加强与当地政府应急办的沟通协调,要求在政府总体应急预案中,明确金融安全突发事件相关部门无条件的职责和义务,从政府法规层面对其职责和义务加以确定,以便真正危机来临时不出现讲条件和扯皮现象。二是建立横向应急联动机制。人民银行要利用组织牵头召开金融工作会等形式,按照当地政府部门的应急管理相关要求和自身实际,逐步探索建立政府、公安、金融机构等的一系列联动工作机制,明确各应急管理参与方的角色和地位,以便在危机发生时,可在当地政府的主导下,设立临时应急管理机构,由参与方派代表参加,负责协商解决随时出现的问题,一旦危机消除则可自行解散。三是定期召开应急管理工作联席会。召开联席会的目的,一方面是加强沟通交流,通报情况,相互提醒各自的应急管理职责和义务;另一方面是商讨因形势变化的应对措施,以及各环节的衔接工作。
(四)居安思危抓实应急管理落实工作
突发事件虽不常见,但作为管理者或可能是当事人却要有随时应对的思想准备,确保应对机制启动有效和关键时该能起作用。具体做法是:一是实施三个层面的督促检查措施。即应急管理工作领导小组正副组长不定期督查、领导小组成员主要负责人定期督查、股长(主任)随时督查,同时建立监督检查台账,有问题的要提出改进措施。二是成立应急管理工作督导组。督导组组长由支行总稽核或分管理行领导担任,成员由改任非领导职务的主任科员或主任科员组成,一方面发挥其领导优势,提升督查工作威慑力,另一方面使其有事可做,增强支行督促检查力量。三是发挥纪检内审的监督检查职能,强化监督检查实效。同时,无论任何形式的检查,都要针对检查中发现的问题,与相关人员交换意见和建议,要求其对存在的问题限时整改,把各类隐患消除在萌芽状态。
参考文献
[1]刘莉萍,胡宗荣.应急预案演练之我见[J].城市建设理论研究,2012(35).
银行应急演练总结篇(9)
业务连续性管理概念最早脱胎于传统的IT备份与容灾恢复计划,但是随着IT系统规模的不断扩大,传统的以技术为中心的灾备越来越难保障企业在灾难面前的关键业务可用性,企业更需要一套标准化、分工明确的管理体系去帮助其应对灾害,这不仅包括IT技术层面,还体现在整个机构(企业、政府、组织)的管理架构层面。通常认为,业务连续性管理是一个一体化的管理过程,通过这一过程,可以识别威胁组织机构的潜在风险,并提供一个指导性框架来建立组织机构的恢复能力和有效应急响应能力,从而保护利益相关者的资产,组织机构的信誉、品牌及其创造价值的活动。
业务连续性管理的历史可追溯到20世纪60年代,那时业务连续性管理的思想和方法,是包含在风险管理、危机管理等理论中,并未单独作为一门学科来独立研究。而那时人们关注的主要是事件本身直接造成的损失(如人和物等),而对事件造成的其他损失(业务停止、工厂停工等)并未给予足够的重视,或是由于客观条件和技术手段所限,也没有能力对这方面提出更高的要求,只能是尽力而为。计算机系统在解决系统持续运行的问题时,率先对单点故障采用了冗余措施,这就是最早业务连续性管理思想的开端。
70年代,出现了容灾恢复计划的概念。当出现大的故障和危机时,中断是以天为单位来计算而不是以小时为单位。金融组织,如银行和保险公司大都建有另外的后备点,备份磁带存储在远离主中心的地点。
80年代后,随着计算机技术的迅速发展和普及,人们对信息技术的依赖越来越强烈,从而对数据及信息系统的安全提出了新的要求。此时催生了一种新技术的发展——灾难恢复(Disaster Recovery,简称DR),而在研究各种灾难恢复技术时,自然要考虑如何尽快恢复业务运行,即业务连续(Business Continuity,简称BC),因为只有业务连续才是灾难恢复的最终目的。在这种背景之下,业务连续性计划的理论和方法得到了广泛的研究和重视。
90年代后,随着IT与业务的相互融合,业务连续性管理不仅仅局限于信息系统的灾难恢复服务,而是延伸到更为广泛的企业业务连续性管理领域。业务连续性管理不再局限在信息系统的可靠运行上,而是转移到了面向终端客户,转向服务的业务流程的连续保障方面。
为更好地理解业务连续性管理的过去和现在,笔者简要介绍一下其发展过程中三个重要的递进的概念,即灾难恢复(DR),业务连续计划(BCP)及业务连续性管理(BCM)(见图1)。
在业务连续性管理理论发展的40年中,真正受到重视是在20世纪90年代,尤其是2001年美国911恐怖事件之后,开始了快速发展。2003年国际BCM权威组织DRII(国际灾难恢复协会)和BCI(国际业务持续协会)联合的业务连续性专业人士所用的国际最佳惯例,标志着业务连续性管理完整的知识体系形成。
作为一个相对较新的概念,业务连续性管理相关工作在中国刚刚起步,政府机构、学术界和企业界都已经认识到业务连续性管理的重要性并逐步重视起来。国内在这方面研究大致从两个领域进行:一个是围绕信息安全带来的新型安全危害事件所作的研究,典型应用就是国务院信息化办公室2005年颁布的《重要信息系统灾难恢复指南》;另一个是围绕应急管理体系所作的研究和实践,以2003年SARS挑战为契机,政府适时提出了建立国家应对自然灾害、公共卫生事件的应急管理体系,并于2007年11月1日颁布了《中华人民共和国突发事件应对法》。2008年汶川地震举国上下万众一心应对灾难,有效地展现了过去了10年中国在灾难应对、危机处置、紧急救援和善后处理方面所取得的成就。
国内监管现状
当今银行的日常业务运营高度依赖于信息系统,任何信息系统故障都会影响到银行的正常运转,造成经济损失或社会影响。在这种业务与信息系统紧密联系的模式下,一旦因为突发灾难造成关键业务数据丢失或信息系统不能尽快恢复,将严重地影响银行业务的正常运营,甚至会带来灭顶之灾。美国明尼苏达大学对灾害所造成的影响分析显示,各行业最长可忍受损失为日常营业额的50%;如两星期无法恢复信息系统,75%的公司业务将停顿,43%的公司将无法再开展业务;没有实施灾难备份的公司,将在灾后2~3年破产。
美国的权威信息调查机构Strategic Research Corporation列出的各种行业停机一小时所造成的损失(见表1),银行业占据榜首。
从社会影响层面分析,无论业务运营对信息系统的依赖程度还是信息系统管理水平等方面来看,银行业总被誉为各行业中的“领头羊”。这不仅是由于其起步早,20世纪90年代末部分银行已经开始实施数据大集中和灾备中心的建设了,更是由于2006年以来,银行业对业务连续性管理的认识不断深入。
近几年,我国对业务可持续性管理及其相关的信息安全、应急管理、灾难恢复等领域相继了监管规范和指引,如《银行业信息系统突发事件应急管理规范》、《商业银行信息科技风险管理指引》等,《商业银行业务连续性监管指引》(以下简称《指引》)更是对银行风险管理提出了的更高、更明确的要求。《指引》强调了业务连续性管理不仅是IT部门的工作职责,还需要由上而下地覆盖各业务部门的日常工作,银行业对外服务及支持对外服务的所有业务都必须建立配套的连续性计划,并通过内部审计等方式确保业务连续性计划的良好实施。同时,IT信息系统在业务连续性管理中的作用是举足轻重的,这不仅是由于业务连续性管理脱胎于IT的信息灾备管理,更是由于信息系统故障导致的业务中断在业务运行风险中是最常见最复杂的。因此,《指引》从业务连续性管理组织架构、执行层面、风险影响分析、资源建设等方面强调了IT部门在业务连续性管理中的角色。
《指引》同时还强调了商业银行在遵从监管的过程中,从风险影响识别、关键业务系统的判定、应急体系的组建、内部审核管理等方面都需要从各行的实际情况出发,制定符合各行需要的管理政策,不搞一刀切。从我国银行业的组成来看,国有五大银行、股份制商业银行、各城市商业银行、外资银行和其他银行业金融机构由于历史条件不同、管理理念差异、国家政策导向关系在业务连续性管理方面建设的成熟度差异很大,在《指引》的执行层面,也会面临不同的挑战。
交通银行实践
交通银行根据银监会《指引》的要求,从实际情况出发,建立了一整套业务连续性管理的企业战略,重视流程、平台、文化三方面的重点问题,以业务为中心、以流程为导向、以技术为手段、以文化为保障(见图2),获得了较为显著的效益。
以业务为中心,就是强调业务保障为整体战略的出发点和效益点,从业务战略到业务需求变化,从而导致对整体信息化保障的高要求。交通银行是中国五大国有大型商业银行之一,目前各项业务发展迅猛,机构遍布国内250多个城市,营业网点数达到2600多个,且在中国香港、纽约、东京、新加坡、首尔、法兰克福、悉尼、伦敦等地设有分(子)行,在中国台北设有办事处。交通银行已经走上了国际化、综合化的道路,业务处理模式也正向全球24小时不间断运营方式发展。
交通银行作为2010年上海世博会商业银行全球合作伙伴,肩负起保障世博金融服务安全的使命。世博会对应急管理和业务连续运作提出了明确、细致的要求,加之国内金融监管机构对应急管理的监督和检查力度不断加强,因此,统一应急管理工作保障制度、规范应急体系和流程、完善应急管理体系整体规划、完善信息系统和基础设施应急预案及必要的演练,对交行来说已成为保障工作的重中之重。
以流程为导向,就是无论从战略角度还是各部门的执行层面,均制定了与业务连续性管理相配套衔接的服务流程,保障管理措施的规范执行。交通银行一贯重视业务连续性的建设,相继制定了一系列管理办法,如《交通银行突发事件管理办法》、《交通银行信息系统应急管理办法》、《交通银行媒体危机应对管理办法》、《交通银行数据中心可持续性管理办法》等。并且从高管层开始,建立了业务连续性管理组织架构,按照主管部门、执行部门、保障部门的分工,组建了专门的风险管理委员会,直接向董事会负责。其下由风险管理部负责日常管理事项,信息技术管理部、数据中心等各条线业务部门各司其职,共同参与业务连续性管理的各个环节。
为了提高运行管理水平,数据中心按照IT服务管理的国际标准ISO20000和ISO27001建立了规范的IT服务和信息安全的管理体系。交通银行数据中心是国内金融业首家通过ISO20000的机构,在ISO20000的框架内,就包含了可持续性管理流程的内容。
经过梳理的持续性管理具有以下活动和过程:风险和灾难规避评估、确定整体恢复策略、确定与建设业务持续性计划、设计开发持续性和灾备预案、预案演练、预案维护。通过ISO20000框架内各流程之间的互动关系,打破了职能部门之间的技术壁垒,实现减少服务不可用的时间或者最小化业务活动中断影响的流程目标。
经过几年的摸索与实践,我们在持续性管理流程下建立了预案体系、演练体系和应急体系,并辅以管理细则和绩效评估,定期回顾流程执行情况,落实流程执行效果。
预案体系分为四个层次,第一层是《生产突发事件现场应急处置预案》,其中定义了突发事件的通用应急响应流程,是所有其他预案的入口;第二层是场景预案,大致覆盖了可能遇到的绝大多数突发事件场景;第三层是技术预案,详细描述了应急恢复的技术细节;第四层是操作手册和资料性文档,作为技术预案的补充。目前数据中心已有各类预案百余份,并定期进行修订维护。
演练体系分两个层面:技术部门内部演练和跨部门联合演练。目前数据中心已经初步实现演练常态化,定期进行场景演练和技术演练,也多次与业务部门联合组织进行业务应急预案的演练。
应急体系可分为事件监测与发现、组织评估影响度、应急处置、后续回顾四个环节,辅以应急预案的制订和演练,尽量主动监测与预防影响业务持续性事件的发生,减少意外事件对业务的影响。
以技术为手段,就是强调信息技术在实现业务连续性管理目标中的重要作用,发挥交通银行在信息技术上的领先优势,实现业务连续性管理的跨越式发展。自2006年数据中心成立以来,交通银行已经在灾备与应急方面取得重大突破,在国内金融业具有领先优势。交通银行建立了先进的同城灾难备份系统,实现了大规模系统灾备切换的自动化,大大缩短了系统切换时间,并且在国内银行中首次实现了数据中心、同城中心之间的业务系统切换运行和回切,业务恢复时间仅1.5小时,并做到了零数据丢失(RPO为0),达到了国际先进水平。2011年,数据中心又在关键系统同城双中心运行的基础上成功实现了新一代海外行系统分钟级切换,首次将灾备切换时间缩减至10分钟,取得了令人瞩目的成就。2011年,数据中心制定了两地三中心灾备体系规划,以“统筹规划、分步实施;成本优先、兼顾效率;分级灾备、保障有效”为指导原则,建设上海、武汉的“两地三中心”灾难备份体系,以增强IT防范风险能力,保障业务连续性。
在充分理顺了业务连续性管理流程后,数据中心利用自身的技术能力,对管理流程进行平台化改造,在已经建设完成的BCM平台中,全面覆盖风险分析、业务影响度分析、预案开发和管理、应急演练、应急响应、应急恢复等领域,形成一套完整的IT业务连续性管理闭环。通过自动化工具提供了全新的演练方式提高演练成效,实现预案策略的快速查询和定位,在应急响应过程中提供操作和指挥层面的信息支持。这一平台工具在2011年分钟级灾备切换演练中发挥了重要作用。
以文化为保障,就是充分营造业务连续性管理的企业文化氛围,统一全员意识,在各项工作中渗透融合。应急保障是数据中心的部门职责之一,为了向数据中心每个员工灌输业务连续性理念,落实流程要求,中心一方面通过培训、宣讲等方式,使员工了解业务连续性管理的概念及目标,另一方面将与业务连续性管理相关的绩效指标分解至各个职能部门,形成具备可操作性的工作内容。
在全员参与应急管理的氛围中,业务连续性管理与数据中心的“大一线”运行值班管理制度结合,充分发挥专职值班经理在应急指挥方面的职业素养,以及各部门技术值班人员的专业技能,使用业务功能、信息安全等九项标杆评估突发事件对业务的影响度,利用手机短信、电话外呼、VPN远程协作等多种技术手段对突发事件及时响应、快速恢复。
将应急能力作为员工技术能力体系的重要指标之一,平战结合,加强主动性演练,在一线人员范围内常态化组织场景演练,达到检验预案有效性和强化员工应急意识的作用,同时重视每次演练后的总结评价,争取参与人员都有所收获,有所成长。
挑战与应对
在各商业银行进行业务连续性管理建设过程中,普遍会存在以下关键问题:
如何建立有效的应急响应体系,有效汇总及传达突发信息,为应急决策提供依据,提高应急响应时的整体快速反应能力;
如何整合数量庞大且结构松散的应急预案,以实现应急情况下的准确快速定位,提高应急管理流程及预案的可操作性;
如何建立有效的演练体系,以提高预案和演练的紧密程度,并形成演练的长效机制,通过演练检验预案的有效性。
应对之一:从战略管理高度考虑业务连续性管理。业务连续性管理不仅是指IT系统的恢复,还包括管理层面的操作流程,包括事前的危机预测、事中的危机管理和应急管理以及业务连续性计划等。业务连续性管理是组织机构整个管理层面的操作,更强调的是人的作用,应该从战略管理的高度,关注流程、人员、设施和计划。
业务连续性管理除了组织体系、人员、基础设施等关键资源之外,还包括制度、流程以及与业务连续性管理相关的文化理念,这些关键因素共同构成了整个业务连续性管理体系及方法论。
应对之二:强调业务连续性管理的长期战略。业务连续性管理理念发展至今,走过了至少40年的时光。而一个企业要完整地实施业务连续性战略,达到保障业务不间断运行的目标,也不是一朝一夕能够完成的。灾备中心的建设、企业信息系统高可用性梳理、企业文化的营造都需要长期细致的工作。因此,必须强调管理战略的长期性,以多年规划的方式制订远期愿景和战略部署,分阶段实现里程碑目标,切忌在高层决策时摇摆不定,朝令夕改。
银行应急演练总结篇(10)
2011年12月,银监会就商业银行业务连续性管理(BCM)《商业银行业务连续性监管指引》(以下简称《指引》),突出强调了业务连续性管理在商业银行治理与风险管理体系中的重要地位,要求各商业银行根据自身发展的总体目标、经营规模以及风险控制的基本策略和风险偏好,确定适当的业务连续性管理战略。
面对更高的监管要求,商业银行如何从 “以资产为核心的传统风险管理模式”向“以业务持续发展为目标的风险管理模式”转变,值得关注。
一、商业银行业务连续性的定义
业务连续性是一种计划和执行组成的策略,目的在于保证企业信息流能维持业务持续运行,对在经营过程中依赖客户信息、产品信息以及其他管理信息的企业具有普遍的重要意义,不独针对商业银行而言。根据《指引》,商业银行业务连续性被定义为“商业银行通过对突发事件的规划和响应,使得重要业务得到有序、快速恢复,实现持续、稳定运行的能力”。业务连续性管理则指“商业银行为保证重要业务持续运行而建立的一整套管理机制、办法、制度、方案、标准和程序的有机整体”。
二、业务连续性管理的意义和监管要求
当前,商业银行所面临的风险早已不再局限于信用风险或市场风险,随着商业银行业务信息化程度的不断提高、银行业务系统日益复杂,给银行业务运营带来了新的挑战和风险。商业银行业务连续性管理是构建全面风险管理体系的重要组成部分。商业银行对其完整性、合理性和有效性应有效评估、持续监督和定期检查。
在巴塞尔新资本协议中包括了对业务中断和系统失败的风险控制要求,即保持业务持续运作。国内各监管部门也顺应信息技术、金融业务发展,陆续制定了监管指引和要求,主要条例如下表:
从监管的发展演变不难看出:从最初的仅关注灾难恢复到当前的业务连续性管理,体现了从具体操作到系统管理,从局部控制到整理规划的发展。适应了国内金融行业形势发展,也越来越趋同于国际上较为成熟的规范。
三、商业银行业务连续性管理的理想架构
依据《指引》,商业银行业务连续性管理关系结构应自上而下,由董(监)事会、高管层、主管部门和执行部门组成,应将业务部门纳入管理架构中,具体职责分配如下图1:
对应的,商业银行应当由上图中的干系人搭建日常管理组织架构和应急管理组织架构,如下图2:
四、国内商业银行业务连续性管理发展状况
业务连续性管理作为行业信息化发展的现实需要,一直处于发展、完善过程中。其起源于20世纪60年代,最初以一种对计算机连续运营中单点故障采取的冗余措施的形式出现,关注的主要是灾难事件本身造成的直接损失。70年代,初步出现了容灾恢复的理念,银行和保险公司建立起数据的后备点。80年代后,企业对信息技术的依赖愈加强烈,进而对数据及信息系统的安全提出了新的要求。催生了新技术灾难恢复(Disaster Recovery,简称DR),而灾难恢复的最终目的是业务连续(Business Continuity,简称BC)。由此,业务连续性计划的理论和方法得到了广泛的研究和重视。从DR到BC的演进,其实质是从单一技术手段到系统性策略管理的升华,而国内商业银行大都还处于DR阶段,或是从DR向BC逐步转变阶段。
有趣的是,国内对商业银行BCM的研讨主要来自于外部机构,尤以四大会计师事务所最为热衷,2012年先后对BCM管理单独出版刊物,表达了积极进入这一领域的愿望,究其原因,一方面是国外在BCM管理方面较为成熟的管理经验,而国内银行还处于摸索、学习阶段,另一方面是国内越来越规范、严格的监管要求和银行自身风险管理水平的提高所产生的需求。根据安永(Ernst & Young)调研资料表明:中国银行业BCM建设状况中,国有四大银行、国开行DR成熟,BC趋于待完善;股份制商业银行DR趋于成熟,BC待完善;城市商业银行DR起步,基本无BC。
中国工商银行在2001年前,在开始数据大集中工程时同步开始了灾备规划和建设。2003年,该行核心业务系统的灾备系统已经建成。目前工行建成的灾难备份体系是本地数据实时备份,异地灾难备份,在北京和上海两个数据中心之间跨1200公里的距离建立灾备体系。工行业务连续性规划已经基本覆盖全行所有业务,并根据业务的关键性制定了不同的灾备等级。
2008年,建设银行启动了“业务连续性管理整体规划咨询”项目,与中金数据合作,成功实施了国内首个业务连续性管理体系咨询服务项目。2012年,中国建设银行《商业银行业务连续性监管指引》实施方案,开始系统化推进BCM。2013年,建行又制定了《中国建设银行业务连续性管理政策》和《业务连续性管理操作手册及模版》,其采用的流程与规划总体与监管指引一致,以风险管理部为牵头机构,明确了业务连续性管理统筹规划工作。
五、商业银行业务连续性管理层面常见问题
国内商业银行业务连续性管理中容易出现的问题主要有:
1.业务连续性管理驱动力不足
部分银行人员存在认知上的误区,认为外部自然灾害、突发事件不可预期,属于不可抗力,且业务连续性管理对银行的业务运营不能带来可以预见的价值。而仅仅依靠外部监管的驱动不足以彻底改观银行的业务连续性管理水平。
2.企业文化局限,业务条线参与不足
对BCM的管理还存在局部控制、松散管理的现象,将职责仅分配到某些机构、某些部门和某些人员,而非全员参与。例如,将业务连续性管理等同于IT容灾,工作职责局限于信息科技部门。
3.实战演练不足
国内银行重视对灾备系统、信息系统的建设投入,对应急预案的制定,但基本还停留于桌面演练,实战演练不足。这种“纸上谈兵”的形式不足以验证业务持续性管理的有效性。
4.缺乏专业团队和专业型人才
与国际上成熟银行的业务连续性管理体系相比,国内银行在团队建设和人员素质方面还显滞后,缺乏一批熟悉银行业务流程,且对计算机、网络、通讯、安保和法务等方面有把控能力的专家型团队和人才。
六、业务连续性管理过程中存在的风险及应对措施
《指引》对商业银行业务连续管理过程中的风险识别进行了概述,主要关注涉及业务连续性的关键资源,识别关键资源面临的外部威胁和自身脆弱性,确定风险敞口等。据此,商业银行对业务连续性管理的风险管理应当体现在业务中断影响评估、业务持续性管理流程设计、资源建设、应急响应和持续监督机制中。笔者认为,主要风险存在于以下几个方面:
风险点一:业务影响分析。首先,对于重要业务的判定,监管指引未作出强制性定义,裁量办法由各个商业银行具体制定,因此是否对重要业务进行了准确的判定、选择直接关系到后续应急方案能否全面覆盖。其次,对重要业务中断的概率、经济损失与非经济损失、恢复优先级别和恢复目标时间应合理估算和规划。再次,对重要业务的判定应当动态管理,在商业银行经营战略、外部环境或监管要求等要素发生变化时,重要业务的认定也应当适时调整。
风险点二:对关键资源的风险评估(RA)。在重要业务影响分析基础上,对牵涉关键资源的风险评估较为关键。关键资源应当包括关键信息系统及其运行环境、关键的人员、业务场地、业务办公设备、业务单据及重要外部供应商。需分析关键资源面临的各种威胁以及资源本身的脆弱性,确定风险敞口。再根据风险敞口制定降低、缓释和转移风险的应对办法。
风险点三:业务连续性计划、总体预案、专项预案和外部供应商连续性计划。主要关注上述计划或预案的完备性与预见性。例如,个别商业银行或个别分支机构对重要外部供应商的连续性管理可能认识不足,未将其纳入业务连续性管理规划,导致外包服务供应商非正常退出及其它紧急情况时,没有良好的应急响应,进而对本行的业务运行产生直接冲击。
风险点四:资源建设状况。目前,国内商业银行资源建设缺失可能包括信息系统建设,运营中断事件指挥场所,备用业务和办公场所,灾备中心建设和关键岗位的备份人员等等方面。
风险点五:业务连续性演练。在已有较完备的业务连续性计划和各种预案的前提下,业务连续性演练情况也必须关注。一是演练时间是否达到监管指引要求的“至少每三年对全部重要业务开展一次业务连续性计划演练”,还包括在重要业务活动和重要社会活动等关键时点的演练。二是演练目标不应流于形式,应当注重以真实业务接管为目标,确保灾备系统能有效接管生产系统并能安全回切。三是演练范围应当完整,尤其应当将重要外部供应商纳入演练范围。
风险点六:评估审计与日常监督机制。按照监管指引要求,商业银行应当每年至少开展一次对业务连续性管理的有效性、完整性和合理性的自我评估或委外评估,每年至少开展一次审计,每三年至少一次全面审计,在出现大范围运营中断事件时,应及时开展专项审计。此外,商业银行应在每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务连续性管理的评估报告和审计报告。在全行性演练后,应在45日内向监管机构提交演练总结报告。
参考文献:
[1]普华永道《业务连续性管理(BCM) - 金融机构如何防患于未然并在危机中求得生存》.
[2]德勤《业务连续性计划和管理-莫让无妄之灾阻断公司业务》.
