高振羽：刚才陈老讲的非常好，他已经对BCM在中国的状况做了很好的概括。接着给大家介绍一下BCM在金融行业的实践，以及现在的情况。
比较客观地来说，在中国很多企业相对来说风险意识比较淡，在这种情况下我们首先BCM推入国内是由外企推入的，在各个行业里面，所有的外企行业里面，金融行业的要求最多，所以BCM行业来说，在金融行业起步是比较早的。
首先，金融行业的BCM要求主要来自四方面。
第一方面，监管机构的要求。
第二方面，公司治理。
第三，内外审计。
第四，业务性质。
首先监管要求，因为金融行业公司一般都是在国外上市的公司，因为金融行业相对来说对国家，对社会的影响比较大，所以尽管机构对金融行业的要求非常严格，尤其在BCM这一块。
在国内的现状是，我们证监会、银监会、保监会，国家相关部委都有相关的指引和政策。公司治理，在外企来说要求都很多，在BCM这一块最近几年有很直接的要求。
内外审计。我们在新加坡有专门针对BCM的审计要求，银行业不管是内审或者是外审，都会看你公司是不是有对应的BCP。
业务性质。银行业发生变化以后，对国家的经济稳定造成众多的影响，根据银行业务性质，要求我们必须有专门的BCP，专门有BCM的管理框架。
这一页是中国和金融行业，和BCM有关的要求和规范，其实多数要求和规范还是针对IT的，大家可以看到我们有国家的标准，有国家的规范，有突发事件应对法，在证券行业的监管机构，有银监会、保监会，有一些信息技术的风险管理指引，内部控制指引，数据中心的监管指引等等，这些在座专家应该都比较熟悉。
我想尤其给大家详细介绍的是最后两个。一个是我们证监会在今年4月份刚刚发布的证券期货系统标准。另外是银监会即将发布的一个专门针对BCM的业务持续性管理指引。
首先看证监会在今年4月份发布了针对IT信息系统备份的能力标准，标准要求比较多，我指抽取其中一条，就是最重要的IT系统的要求。大家可以看到这个要求主要分四大块，第一块是数据备份能力，现在证监会要求是至少每天所有的信息系统要进行一次数据备份，这个备份应该存放在专门存放备份介质的地方。
第二列是故障应对能力，证监会的故障应对能力，主要针对是一些短暂的IT系统的故障，或者是短暂的一些小问题，可以马上解决的。在这个场景的前提下，他们对实时系统要求是小于5分钟，非实时系统要求是小于1小时，重要的信息系统5分钟之内就要恢复，非重要的信息系统需要1小时之内就恢复。
另外对信息IPO也有要求，可能在座有的人知道，有的人不知道，IPO是恢复数据点的要求，就是发生问题的时候，我们系统数据损失的量。现在证监会对IPO的要求，故障应对能力的场景下要求小于30秒，数据损失不能长于30秒。
最后有一个描述性，备份系统应该有满足业务需求的处理能力，大家应该结合公司实际情况进行准备。
第三列是灾难应对能力，这一块和BCM很多场景是比较相关的，他所针对的是像火灾、断电、洪水等等一些自然灾害，以及有一些人为的数据，导致数据中心需要切换。在这个前提下证监会对信息系统的恢复时间要求是小于12小时，对数据损失的要求小于5分钟，这两个都是针对关键信息系统的。
同样，他还有描述性的语言，就是说备份系统具有满足数据要求的能力。
最后一列，是一个重大灾难应对的能力，这是在我们BCM框架里面对应的是一些地震或者是像这一次日本的危机，就是大规模的区域性的灾难，可能影响到的已经不仅仅是一个地区，或者是一座大楼，影响的可能是一个城市，甚至是一个区域。在这种情况下，证监会对信息系统的恢复时间要求小于7天。数据损失的要求是小于12小时。这是证监会今年4月份发布的标准。
这个标准暂时还并不是强制性的规范，并没有严格要求如果达不到就需要得到什么样的惩罚，所以应该来说还是大家努力的方向。
我们看完了证监会对IT系统的要求，我们再看银监会，银监会相对来说BCM的理念要比证监会更前进一步，他已经开始起草一份专门针对BCM的指引，就是业务持续性管理指引，在这一份指引里面，首先规定了我们BCM，我们要针对哪些情况进行BCM的管理。这些风险或者这些影响主要是以下内容，首先是IT系统的故障，我相信也是我们目前国内各个行业，各个公司最关注的一点。
第二，自然灾害，自然灾害是我们刚刚提过的，像洪水、地震等等。
第三，第三方影响，这是指我们外包的服务提供商，我们供货商，包括我们的管理。
第四，人员的缺失。如果碰到大规模流感爆发的情况，我们的员工有损失，或者我们碰到一些交通事故，员工没有办法上班，这种情况下对公司的影响。
最后，是一个工作环境的影响，工作环境主要是办公的楼宇，我们工作的这些设施，如果现在没有办法提供的话，我们应该怎么恢复。
在这一份BCM的指引里面，还规定了BCM每一个环节的详细内容。按照顺序开始，要求金融行业、银行业必须有一个BCM的组织架构和详细定义，BCM的管理者以及执行者的职责。现在他是要求一个银行不一定要有一个专门的BCM的部门，但是必须要有一个部门或者是多个部门的人来负责BCM的实施和管理。
同时，他还有明确的要求，我们每一个银行的管理者应该负责BCM在整的实施。
第二个环节，就是风险评估和业务冲击分析，这一块在指引里面有明确的规定，就是说我们银行应该每年进行一次，每一个业务部门，每一个职能的风险分析和业务冲击分析。
第三，灾难恢复策略。其实这个也是比较贴合我们目前现有的一些标准，2595也有这个规定。是结合风险冲击和业务分析的结果，进行每一个部门和每一个职能的恢复策略的制定。
第四，是BCP，这个大家比较熟悉，每个部门发生紧急状况的时候应该怎么恢复。银监会管理的应急部门里面，主要针对我们在，有一些伤害到员工的人身安全，或者有一些特别紧急事情发生的时候，在当时应该怎么应对。
第五，演练，银监会现在要求，每一个银行必须每年进行一次BCM的演练，这是最少的要求。同时IT数据中心的演练也是一样，每年要至少进行一次。
再往下是评估与完善，银监会要求我们每一个银行的每一份BCP至少每年更新一次，然后要由部门负责人去批准。
还有对外危机处理，这一块比较对应的是银行的像公关部或者是集团通讯部，他主要关注的是我们银行在发生问题之后怎么样和客户进行沟通，怎么样和媒体进行沟通，还有怎么和监管机构进行沟通。
再往下是审计的要求，银监会有明确的规定是说，针对我们每一个银行的BCM的事件，每年至少专门针对BCM进行一次审计，我相信这一条要求也是对BCM在银行业的一个推广，是有一个非常大的推动作用。
最后是报告，报告这一块银监会要求我们每年对银监会进行报告，还有不定期根据银监会的要求提供相对应的报告。
刚刚介绍完监管机构的要求之后，我想给大家介绍一下，在银行业一个常见的BCM的实施标准或者是规范。首先针对的是以下的类型，一个是非典、感冒。
第二是恐怖主义等等，炸弹、恐吓、勒索等等。
第三，自然灾害。地震、台风、暴风雪，海啸等等。
第四，行动中的意外事故，人为伤害。比较典型的像坠机，化学物品的泄露，工程的失效等等。
第五，公共事业的灾害，像停电，水管爆裂，电线的线路中断等等。
第六，还有政治动荡，像游行示威、政变等等，大家最近也看到，即使在一些，我们之前认为政治形势非常稳定的国家，像英国在伦敦，同样是有这种可能，这种事情发生，所以我们必须未雨绸缪。
第七，交通中断，最近北京机场安检级别突然提高，这直接导致很多人的飞机延误，甚至许多办法登机，肯定对公司正常运动造成影响。
最后，供应中断，他们如果出现问题，对公司造成什么影响。