业务连续性管理规定
总则
为规范科技发展部业务连续性管理，并依此建立业务连续性管理计划，将预防和恢复控制相结合，积极防范并且处理突发信息安全事件，防止业务活动中断，将突发信息安全事件对科技发展部的影响控制在能够承受的范围之内，保证关键性业务流程的连续性运营，构建“健全机制、集中领导、明确职责、预防为主、反应灵敏、处置高效”的业务连续性管理体系，根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》、《银行业重要信息系统突发事件应急管理规范》以及相关法律法规、业界规范标准，特制定本规定。
本规定文件适用于科技发展部范围内的所有业务连续性相关的管理工作。
组织与职责
科技发展部信息安全指挥小组负责根据业务发展方向规划业务连续性总体战略，确定科技发展部业务连续性管理的策略、目标和范围，为科技发展部业务连续性管理工作的计划、落实提供资源和管理保证，并对执行情况进行监督。
科技发展部风险管理组负责制定科技发展部的业务连续性管理办法，对科技发展部的业务连续性管理落实情况进行监督审核。
各部门安全组负责本部门的业务连续性管理落实情况的监督和检查。
各部门负责人负责确定本部门业务连续性管理策略，确定本部门业务连续性管理的目标和范围，审批本部门业务连续性计划，为相关管理活动提供资源和管理保证。
各部门负责制定本部门的业务连续性计划、突发事件应急预案和灾难恢复预案，提交本部门负责人或信息安全指挥小组审批。
业务连续性管理规定
各部门负责人或信息安全指挥小组根据业务的发展规划，确定本部门业务连续性管理策略，主要为：
（一） 确定业务连续性管理的目标和范围。
（二） 确定业务连续性管理的组织结构和职责。
（三） 确定业务连续性管理的外部协作关系，各部门应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在突发信息安全事件发生时能及时通报准确情况和获得适当支持。
各部门的业务连续性管理策略不得与科技发展部的策略相背离，当目标和范围扩展到科技发展部范围时，应严格遵守科技发展部的业务连续性管理策略。
各部门应根据本部门的业务连续性管理策略，实施业务影响分析，主要包括：
（一） 识别本部门的关键性业务功能。
（二） 识别关键性业务功能所依赖的资源，包括人员、设备、数据、软件和服务（含第三方）。
（三） 识别关键业务功能所有的潜在突发信息安全事件。
（四） 识别这些突发信息安全事件会给关键性业务功能造成的损失和影响。
（五） 识别突发信息安全事件引起的业务中断时，业务的恢复时间目标，针对业务数据制定恢复点目标。
（六） 对关键业务功能的恢复制定优先级排序。
各部门应该根据业务影响分析及风险分析的结果、业务连续性管理策略等制定本部门的业务连续性计划，实施业务连续性措施。
业务连续性计划和措施针对科技发展部而言，主要体现在如何保障信息系统及其提供的服务的连续性，一般包括如下几方面的计划和措施：
（一） 预防和准备性措施，指事故或灾难前的准备、防范性措施，目标是降低风险发生的可能或者降低风险发生时的破坏性，减少事故或灾难带来的损失。一般包括站点冗余、设备冗余、数据备份、人员角色备份、资源措施准备等，具体要求参见附件2：预防与准备性措施实施指南。
（二） 应急响应流程和预案，指事故或灾难发生时的应急处理流程，目标是尽快恢复目标系统和服务，减少事故或灾难带来的损失。主要措施是建立事件应急响应流程和具体系统、设备设施的应急预案，具体应急处理流程参见《哈尔滨银行信息系统应急管理办法》和相应预案。
（三） 灾难恢复流程和措施，指事故或灾难发生时，根据业务需要在规定时间内紧急启用备用站点并尽快恢复服务的处理流程和措施，目标是尽快在紧急的状态下提供必要的服务，降低事故或灾难带来的影响，具体处理流程参见《数据备份及恢复管理规定》和相应预案。
（四） 恢