安永-中信银行业务影响分析报告v0.94_201407(1).docxVIP

PAGE1

中信银行

业务影响分析报告

2014年7月

目录-1

目录

TOC\o1-2\h\z\u第一章 概述 1

1.1 业务影响分析背景 1

1.2 业务影响分析目标 2

1.3 业务影响分析范围 2

1.4 场景假设 6

第二章 业务影响分析方法和流程 8

2.1 业务影响分析方法论 8

2.2 评估标准 9

2.3 评估流程 14

第三章 业务中断影响分析 19

3.1 业务分类和业务列表 19

3.2 业务可容忍中断时间分析（RTO） 30

3.3 业务可容忍数据丢失时间分析（RPO）及数据追补措施 92

3.4 业务依赖关键资源 108

第四章 信息系统中断影响分析 147

4.1 信息系统与业务对应关系 147

4.2 信息系统可容忍中断时间分析（ITRTO） 157

4.3 信息系统可容忍数据丢失时间分析（ITRPO） 161

4.4 信息系统恢复优先级 165

第五章 结论 170

5.1 业务灾难恢复目标建议 170

5.2 信息系统灾难恢复目标建议 176

5.3 业务合并建议 180

PAGE167

概述

业务影响分析背景

为了保障商业银行业务持续运营，降低或消除业务运营中断造成的影响，提高商业银行业务连续性管理能力，中国银行业监督管理委员会（以下简称“银监会”）于2011年12月28日颁布了《商业银行业务连续性监管指引》（银监发[2011]104号）（以下简称《指引》，从商业银行业务连续性管理组织架构、业务连续性计划、应急演练、资源建设等方面对商业银行业务连续性工作提出了具体的要求。根据《指引》第二十三条，明确规定商业银行需要开展业务影响分析，从而识别和评估业务运营中断所造成的影响和损失，并确定各业务恢复优先顺序和恢复指标。第二十五条明确规定商业银行需要确定重要业务的业务恢复时间目标（业务RTO）和业务恢复点目标（业务RPO），原则上，RTO不得大于4小时，RPO不得大于半小时。

贵行在2013年前由信息技术部牵头开展IT连续性管理工作，并且已经在IT应急管理框架及信息系统灾备的建设方面取得了一定成果，确定了23个重要信息系统的RTO和RPO值，但尚未以业务视角梳理全行重要业务，未明确业务恢复时间指标RTO和RPO，缺乏有效的业务恢复策略。2014年5月，安永公司协助贵行开展业务连续性管理体系建设咨询项目，将在总行业务部门的协助下开展业务影响分析工作。

业务影响分析（BusinessImpactAnalysis,“BIA”）是指确定支持关键产品和服务的活动中断造成的影响，分析业务功能及其相关活动和资源、评估业务活动中断对各种业务功能的影响的过程。在分析过程中，通常会利用定量和定性分析相结合的方法对业务中断可能导致的经济与运营损失进行科学的分析，从而制定重要业务和信息系统的恢复时间目标（RecoveryTimeObjective,“RTO”）、恢复点目标（RecoveryPointObjective,“RPO”）、和恢复优先级。根据《信息安全技术信息系统灾难恢复规范（GB/T20988-2007）》中的定义：

恢复时间目标RecoveryTimeObjective（RTO）：灾难发生后，业务功能从停顿到必须恢复的时间要求。

恢复点目标RecoveryPointObjective（RPO）：灾难发生后，系统和数据必须恢复到的时间点要求。

业务影响分析目标

本次业务影响分析工作的目标是：

识别业务持续运营所需关键资源；

分析业务系统中断可能造成的影响；

评估业务可容忍最大中断时间（业务RTO）；

评估业务可容忍最大数据丢失时间（业务RPO）；

确定IT系统灾难恢复指标（IT系统RTO和RPO）；

确定业务及IT系统的恢复优先顺序。

本次业务影响分析的结论将作为制定业务连续性管理策略和业务连续性计划的基础和依据。

业务影响分析范围

业务部门与业务范围：本次业务影响分析涉及中信银行总行以下业务部门及业务流程：

编号

部门名称

业务流程

1

公司银行部

对公存款、对公贷款、现金管理业务、供应链金融业务

2

零售银行部

自助银行业务ATM、借记卡发卡与卡片管理、人民币收单业务、个人存取款、存贷宝、理财宝、薪金宝、个人理财销售、代收签证费、资信评估、代收代付、个人金融短信通、第三方存管、代售国债、代理贵金属业务、代理外汇业务、代理基金业务、电话银行、代传递、旅行支票兑售、签发外币汇票、速汇金、个人结售汇、外币代兑、光票托收、个人保函

3

国际业务部

进口押汇、贸易融资业务、外汇资金交易受理、国际