继 2021 年 12 月发布征求意见稿之后,马来西亚中央银行 (‘国行‘) 发布政策文件 业务连续性管理 (‘BCM政策文件‘) 2022 年 12 月 19 日。BCM 政策文件将于 2023 年 12 月 19 日 (第 9.48 段规定的灾难恢复计划测试要求将于 2025 年 12 月 19 日生效)。
BCM 政策文件适用于持牌银行、持牌投资银行、持牌伊斯兰银行、持牌保险公司、持牌回教保险运营商、规定的开发金融机构、指定支付系统的运营商和经批准的电子货币发行人(单独为“FI‘和集体’金融机构‘).
BCM 政策文件旨在:
- 促进稳健的业务连续性管理的发展和实施(’车身控制模块‘) 金融机构的框架、政策和流程;
- 加强金融机构应对运营中断并从中恢复的能力和准备; 和
- 保持关键业务功能的连续性(’CBF‘) 和在特定时间范围内的基本服务,以防运营中断。
为实现上述目标,BCM 政策文件要求各金融机构(其中包括):
- 进行风险评估(’RA‘) 识别可能导致业务中断并导致金融机构无法履行其业务义务的潜在风险;
- 进行业务影响分析(’BIA‘) 评估各种中断情景对金融机构的潜在影响;
- 根据 RA 和 BIA 的结果确定 CBF;
- 根据 RA 和 BIA,确定其 CBF 的业务连续性目标,包括最大可容忍停机时间 (MTD) 和恢复时间目标 (RTO);
- 制定并建立包括危机管理计划在内的全面恢复战略(’CMP‘), 业务连续性计划 (’过境点‘) 和灾难恢复计划 (‘数字资源计划‘) 指导所有 CBF 的恢复行动;
- 成立一个委员会(由一名高级管理层成员领导,并由具有相关专业知识的成员组成)负责BCM框架的制定和实施;
- 建立危机管理团队(’CMT‘) 由高级管理层的主要代表组成,在危机期间做出关键决策;
- 制定危机沟通策略和危机沟通计划作为其 CMP 的一部分; 和
- 建立其替代站点和恢复站点,以便在其营业场所、基础设施或支持 CBF 的系统在中断事件中变得不可用时使用。
FI 的 BCP 必须包括应急安排,以确保 基本服务 例如自助服务终端(例如自动取款机 (ATM) 和现金存款机)、在线服务(例如电子银行、手机银行、交易平台、支付卡服务、货币兑换、资金转账和电子货币服务)、呼叫中心、医疗保险或医疗回教保险的担保函的签发、索赔处理以及保单和回教保险证书的签发和更新以及授权、清算和/或支付交易的结算。
BCM 政策文件还规定了金融机构在执行 RA 和 BIA、确定其 CBF 和 CBF 的业务目标、制定 CMP、BCP、DRP 和危机沟通计划以及建立它的备用站点和恢复站点。 它还规定了定期审查和测试 FI 的 BCM 的要求。 金融机构还必须确保其 CMP、BCP 和 DRP 提供所有外包安排,并遵守 BNM 政策文件中的相关要求 外包.
BCM 政策文件要求 FI 根据 BNM 规定的模板,通过 BNM 的中央电子邮件系统(或通过无法通过集中电子邮件通知的替代渠道)通知 BNM 所有非网络和网络事件。能够这样做。
对于非网络事件,金融机构必须对中断级别进行分类(’低点’) 影响当地的 CBF,并根据 BCM 政策文件第 10.4 段,根据与 LoD 相对应的时间表,将此类中断通知 BNM。
对于所有网络事件,金融机构必须在确认中断后两小时内通知国行。 BNM 在 BCM 政策文件中澄清(中断)的“确认”是指“经过初步调查以确定事件是否以网络为中心或源于与网络相关的根本原因(例如勒索软件、DDoS、数据泄漏)”。 ‘
此外,BCM 政策文件概述了董事会、高级管理层和 CMT 在实施 FI 的 BCM 框架中的角色和职责。 FI 还可以建立 BCM 职能作为独立职能或作为其他职能的一部分,其职责可能包括协调和促进 BCM 职能的实施、测试和审查,向委员会报告实施情况和与 BCM 相关的问题BCM 框架和在发生中断时协调业务连续性和恢复的行动。
当 BCM 政策文件生效时,它必须与第 6.1 段中规定的文件一起阅读,并将取代其中第 7.1 段中规定的文件。