第八条 业务连续性管理的基本原则是:
(一)切实履行社会责任,保护客户合法权益、维护金融秩序;
(二)坚持预防为主,建立预防、预警机制,将日常管理与应急处置有效结合;
(三)坚持以人为本,重点保障人员安全;实施差异化管理,保障重要业务有序恢复;兼顾业务连续性管理成本与效益;
(四)坚持联动协作,加强沟通协调,形成应对运营中断事件的整体有效机制。
第九条 商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。
第二章 业务连续性组织架构
第一节 日常管理组织架构
第十条 董(理)事会是商业银行业务连续性生管理的决策机构,对业务连续性管理承担最终责任。主要职责包括:
(一)审核和批准业务连续性管理战略、政策和程序;
(二)审批高级管理层业务连续性管理职责,定期听取高级管理层关于业务连续性管理的报告,监督、评价其履职情况;
(三)审批业务连续性管理年度审计报告。
第十一条 高级管理层负责执行经董(理)事会批准的业务连续性管理政策。主要职责包括:
(一)制定并定期审查和监督执行业务连续性管理政策、程序;
(二)明确各部门业务连续性管理职责,明确报告路线,审批重要业务恢复目标和恢复策略,督促各部门履行管理职责,确保业务连续性管理体系正常运行;
(三)确保配置足够的资源保障业务连续性管理的实施。
第十二条 商业银行应当设立由高级管理层和业务连续性管理相关部门负责人组成的业务连续性管理委员会,统筹协调、落实各项管理职责。
第十三条 商业银行应当指定风险管理部门或其他综合管理部门为业务连续性管理主管部门,组织开展全行业务连续性管理工作,指导、评估、监督各部门的业务连续性管理工作;组织制定业务连续性计划,协调业务条线部门,汇总、确定重要业务的恢复目标和恢复策略;组织开展业务连续性计划的演练、评估与改进;开展业务连续性管理培训等。
第十四条 商业银行应当明确业务连续性管理执行部门,包括业务条线部门与信息科技部门。业务条线部门负责风险评估、业务影响分析,确定重要业务恢复目标和恢复策略,负责业务条线重要业务应急响应与恢复;信息科技部门负责信息技术应急响应与恢复。
第十五条 商业银行应当明确业务连续性管理保障部门,包括办公室、人力资源部门、公共关系部门、财务部门、法律合规部门、后勤部门、保卫部门等,为业务连续性日常管理提供人力、物力、财力以及安全保障和法律咨询。其中,公共关系部门应当制定对外媒体公关策略,制定和执行对外媒体公关的应急预案。
第十六条 商业银行各部门应当负责本部门业务连续性管理工作,制定相关规章制度,制定和执行本部门业务连续性计划,开展本部门业务连续性计划的演练、评估与改进工作。
第十七条 商业银行内部审计部门应当负责并定期开展全行业务连续性管理审计工作。
第二节 应急处置组织架构
第十八条 商业银行应当建立运营中断事件应急处置的组织架构,包括应急决策层、应急指挥层、应急执行层和应急保障层。
