目前，沒有比疫情更好的理由來制定業(yè)務(wù)連續(xù)性(BC，Business Continuity) 計劃。對于組織而言， BC 計劃表明該組織致力于保護(hù)業(yè)務(wù)并保持其運營，盡可能避免發(fā)生破壞性事件。

從審計的角度來看，BC 計劃對于執(zhí)行審計控制越來越重要。內(nèi)部和外部審計師比以往更熟悉BC計劃和DR計劃，因此對于 IT領(lǐng)導(dǎo)者來說，必須認(rèn)識到重要性。

經(jīng)驗表明，制定BC和DR計劃會增加組織從破壞性事件中成功恢復(fù)并恢復(fù)運營的可能性。只需知道在緊急情況下該做什么就可以大大提高組織成功恢復(fù)的機(jī)會，在應(yīng)對 IT 基礎(chǔ)架構(gòu)中斷時尤其如此。

什么是 IT 業(yè)務(wù)連續(xù)性計劃?

業(yè)務(wù)連續(xù)性(BC，Business Continuity)計劃與災(zāi)難恢復(fù)(DR，Disaster Recovery) 計劃的不同之處在于BC側(cè)重于保護(hù)整個組織，將 IT 作為關(guān)鍵的支持資源，而 DR 計劃通常側(cè)重于保護(hù)整個 IT 基礎(chǔ)架構(gòu)。

BC 計劃有幾個輸入，可提供有關(guān)業(yè)務(wù)運作方式的數(shù)據(jù)。其中包括業(yè)務(wù)影響分析 ( BIA )、風(fēng)險分析和已確定為關(guān)鍵任務(wù)的業(yè)務(wù)元素的恢復(fù)策略定義。

BC 計劃中有什么?典型的 BC 計劃包括以下內(nèi)容：

• 關(guān)于 BC 計劃的目的、范圍和目標(biāo)的聲明;
• 確定組織的關(guān)鍵任務(wù)業(yè)務(wù)活動;
• 如果無法履行這些職能，可能會給組織帶來損失;
• 關(guān)鍵功能的風(fēng)險、威脅和脆弱性以及防止其發(fā)生的措施;
• 應(yīng)對破壞性事件和恢復(fù)關(guān)鍵功能的策略和程序;
• 重要的內(nèi)部和外部聯(lián)系人的聯(lián)系人列表，即供應(yīng)商和政府機(jī)構(gòu);
• 關(guān)鍵記錄的清單，例如客戶記錄、硬拷貝文件和法律文件，以及它們的存儲位置;
• 關(guān)鍵業(yè)務(wù)資源的庫存，包括辦公設(shè)備、家具和系統(tǒng);
• 搬遷到其他空間時典型辦公區(qū)域的平面圖;
• 繼任計劃，以確保經(jīng)過適當(dāng)培訓(xùn)的員工能夠接替因健康、假期等原因無法工作的員工的職責(zé);
• 與媒體打交道的預(yù)案;
• 與銀行、保險公司和公用事業(yè)等關(guān)鍵組織互動的程序;
• 響應(yīng)事件初始階段的預(yù)案，也稱為事件響應(yīng);
• 從事件響應(yīng)過渡到業(yè)務(wù)恢復(fù)的程序;
• 將員工從災(zāi)難模式轉(zhuǎn)變?yōu)樯虡I(yè)模式的程序;
• 確保 IT 資源正常運行的程序;
• 恢復(fù)正常業(yè)務(wù)運營的程序;
• 準(zhǔn)備總結(jié)從事件中吸取的教訓(xùn)的事后報告的程序。

BC 計劃的衡量指標(biāo)

IT 基礎(chǔ)架構(gòu)是大多數(shù)業(yè)務(wù)關(guān)鍵功能的基礎(chǔ)，因此在制定 BC 計劃時，IT 應(yīng)該做的第一件事就是映射技術(shù)資源和業(yè)務(wù)功能之間的關(guān)系。BIA 最重要的輸出之一是識別支持關(guān)鍵任務(wù)功能的 IT 資源，因為它產(chǎn)生了兩個指標(biāo)：恢復(fù)時間目標(biāo) ( RTO ) 和恢復(fù)點目標(biāo) ( RPO )。

• RTO ：定義了在組織遭受損失之前禁用特定業(yè)務(wù)功能所需的最長時間。對于 IT 而言，這意味著在業(yè)務(wù)受損之前禁用特定系統(tǒng)和資源的最長時間。RTO 和 RPO的一般經(jīng)驗法則是：時間框架越短，實現(xiàn)該指標(biāo)的潛在投資就越大。
• RPO ：對當(dāng)前數(shù)據(jù)、數(shù)據(jù)庫和其他資源的最后備份時間而言也很重要。例如，客戶個人數(shù)據(jù)可能對組織的業(yè)務(wù)至關(guān)重要。此類數(shù)據(jù)應(yīng)比其他資源更頻繁地備份，并確?？梢跃S持低 RPO(即 1 小時或 5 分鐘以下)需要投資于更復(fù)雜的數(shù)據(jù)鏡像或復(fù)制技術(shù)，以及增加數(shù)據(jù)存儲容量。

BC相關(guān)的標(biāo)準(zhǔn)和規(guī)范

下表列出了一些較相關(guān)的 ISO 標(biāo)準(zhǔn)。適用的法規(guī)將取決于個別公司及其服務(wù)的行業(yè)。例如，銀行和金融部門都有解決 BC 和彈性問題的法規(guī)。這些組織可以決定遵守那些特定的基準(zhǔn)來代替全球標(biāo)準(zhǔn)。關(guān)鍵目標(biāo)是實現(xiàn)并證明符合一項或多項相關(guān)標(biāo)準(zhǔn)和法規(guī)。

下表是由許多組織制定的美國標(biāo)準(zhǔn)、法規(guī)和良好實踐的部分列表，其中包括 ASIS International、國家消防協(xié)會、聯(lián)邦金融機(jī)構(gòu)考試委員會、ISACA、金融業(yè)監(jiān)管局、聯(lián)邦緊急事務(wù)管理局和 NIST . Disaster Recovery Journal不斷更新其普遍接受的 BC 實踐，而NIST 特別出版物 800 系列標(biāo)準(zhǔn)是 IT 指導(dǎo)的良好來源。

實現(xiàn)符合 BC 和彈性標(biāo)準(zhǔn)的步驟

以下步驟說明了公司如何實現(xiàn)和證明合規(guī)性，通過表明組織如何滿足特定標(biāo)準(zhǔn)規(guī)定的要求的文件來確認(rèn)合規(guī)性。大多數(shù)標(biāo)準(zhǔn)被組織成章、節(jié)、小節(jié)和其他大綱格式。公司可以通過選擇特定部分然后描述如何實現(xiàn)合規(guī)來簡化流程。

1. 獲得管理層的批準(zhǔn)以開始標(biāo)準(zhǔn)合規(guī)流程，并說明合規(guī)將如何使組織受益。

2. 建立一個團(tuán)隊，包括多個相關(guān)部門的代表，例如 BC/彈性、風(fēng)險管理、IT、行政、財務(wù)、內(nèi)部審計和人力資源。

3. 研究相關(guān)標(biāo)準(zhǔn)、法規(guī)和良好實踐文件，并確定哪些文件與組織最相關(guān)。獲取這些文檔的當(dāng)前版本。

4. 向團(tuán)隊成員簡要介紹所選標(biāo)準(zhǔn)，以便他們對要求有基本的了解。如果可能，請在內(nèi)部審計上投入更多時間，因為實際上它可能是最終評估和證明已實現(xiàn)合規(guī)性的單位。

5. 如果內(nèi)部審計無法參與合規(guī)活動，請考慮與外部專業(yè)人員簽約。尋找已通過特定 BC/彈性標(biāo)準(zhǔn)(例如ISO 22301:2019 )審核員認(rèn)證的供應(yīng)商。提供此類認(rèn)證的兩個組織是國際災(zāi)難恢復(fù)研究所和國際組織彈性聯(lián)盟?；蛘撸瑱z查 BC 咨詢公司，看看他們是否有獲得標(biāo)準(zhǔn)審核員認(rèn)證的員工。

6. 將所選標(biāo)準(zhǔn)映射到現(xiàn)有的 BC/彈性計劃，并確定哪些計劃不合規(guī)。

7. 制定計劃以更新 BC/彈性計劃以解決不合規(guī)問題，并執(zhí)行該計劃。

8. 安排內(nèi)部審計或有經(jīng)驗的第三方評估修訂后的 BC/彈性計劃，并確認(rèn)不合規(guī)問題已得到解決。向高級管理層簡要介紹該評估的結(jié)果，并詢問他們是否希望進(jìn)行正式的合規(guī)審計。

9. 如果高級管理層需要，安排正式審計。該審核的結(jié)果將正式記錄對相關(guān)標(biāo)準(zhǔn)和法規(guī)的遵守情況。

一旦認(rèn)為組織已實現(xiàn)其目標(biāo)，執(zhí)行定期評估和/或?qū)徲嬕源_保保持合規(guī)性。

ISO 22332 標(biāo)準(zhǔn)

2021 年 5 月，ISO 發(fā)布了 ISO 22332:2021 安全性和彈性，業(yè)務(wù)連續(xù)性管理系統(tǒng)，制定業(yè)務(wù)連續(xù)性計劃和程序以解決此問題的指南。新標(biāo)準(zhǔn)是 ISO 223XX 系列 BC 標(biāo)準(zhǔn)的一部分。

ISO 22332:2021 標(biāo)準(zhǔn)來自較早的標(biāo)準(zhǔn)，例如ISO 22301:2019安全性和彈性，業(yè)務(wù)連續(xù)性管理系統(tǒng)ISO 22313:2020 安全性和彈性，業(yè)務(wù)連續(xù)性管理系統(tǒng)ISO 使用指南22301，并擴(kuò)展了 BC 計劃的細(xì)節(jié)。

ISO/TS 22332為規(guī)劃和制定政策、戰(zhàn)略和程序提供指南和框架，以幫助準(zhǔn)備和管理受事件影響的人員。包含以下內(nèi)容：

• 活動前準(zhǔn)備：意識、需求分析以及學(xué)習(xí)和發(fā)展。

人員流程的一個關(guān)鍵部分是了解您的組織及其人員。這可以與人力資源部合作完成，因為它擁有最詳細(xì)的員工信息。ISO/TS 22330:2018 業(yè)務(wù)連續(xù)性標(biāo)準(zhǔn)為上述活動提供了指導(dǎo)，并可用作清單以確?，F(xiàn)有的BC/DR 計劃更詳細(xì)地解決人員問題。在上述問題中，需求分析可能是最重要的。在這里您可以檢查員工的家庭成員和有特殊健康要求的員工等問題。您提前了解潛在的員工問題越多，您的恢復(fù)可能就越好，尤其是從人員的角度來看。

• 響應(yīng)階段：處理事件的直接影響。

當(dāng)面臨緊急情況時，人們會以不同的方式做出反應(yīng)。這就是為什么在選擇應(yīng)急響應(yīng)團(tuán)隊成員時，重要的是要記住，人們在面對真正的緊急情況時可能會以完全不同的方式做出反應(yīng)，而不是在他們參加培訓(xùn)演習(xí)時。在演習(xí)中，人們可能會冷靜地、完全掌控地履行職責(zé)。然而，在現(xiàn)場活動中，這些人可能會僵住并沒有反應(yīng)，或者可能會驚慌失措并盡快逃離現(xiàn)場。在真正的事件發(fā)生之前，幾乎不可能知道人們會如何反應(yīng)。這是定期舉行 BCDR 計劃演練和應(yīng)急響應(yīng)計劃演練的一個很好的理由。

• 恢復(fù)階段：在活動期間管理人員。

注意到人們應(yīng)對緊急情況的上述現(xiàn)實，ISO/TS 22332 提供了如何處理各種情況的指南。這些可能包括員工受傷時該怎么做，如何幫助對事件有創(chuàng)傷反應(yīng)的員工以及如何與家人和其他人溝通。雖然每個破壞性事件都不同，但對人們的影響是一項重大挑戰(zhàn)。

• 修復(fù)階段：恢復(fù)正常營業(yè)后對員工的持續(xù)支持。

即使災(zāi)難已得到解決并已投入資源以幫助加快恢復(fù)正常業(yè)務(wù)，仍可能需要做更多工作來幫助員工。受傷的員工及其護(hù)理需要得到解決。情緒不佳的員工可能需要咨詢和專業(yè)幫助。這些和其他類型的活動后活動在新標(biāo)準(zhǔn)中得到解決。

ISO 22332 建議組織在三個層面制定 BC 計劃：

• 戰(zhàn)略計劃提供了組織在破壞性事件期間必須采取的步驟的高級視圖。
• 戰(zhàn)術(shù)計劃涵蓋 BC 計劃響應(yīng)活動的整體管理和執(zhí)行。
• 運營計劃基于部門級別，并圍繞特定業(yè)務(wù)單位要求設(shè)計，如制造設(shè)施或?qū)嶒炇乙约案鱾€行政部門。

ISO 22332 標(biāo)準(zhǔn)還涉及 BC 計劃的組成部分：要執(zhí)行的程序或行動;文件和文件控制指南;計劃維護(hù);意識和培訓(xùn);并計劃監(jiān)測和審查活動。

例如，標(biāo)準(zhǔn)的第 7 節(jié)“業(yè)務(wù)連續(xù)性計劃和程序的內(nèi)容”提供了 BC 計劃的基本大綱，從目的、目標(biāo)和假設(shè)開始。然后，它提供了典型 BC 計劃中涉及的關(guān)鍵活動的詳細(xì)信息，包括以下內(nèi)容：

• 激活和組建BC團(tuán)隊;
• 定義團(tuán)隊角色;
• 確定活動期間要執(zhí)行的任務(wù);
• 與其他計劃鏈接，例如技術(shù) DR 計劃;
• 與各種玩家交流;
• 擱置計劃;
• 建立聯(lián)系信息;
• 分發(fā)計劃。

其他標(biāo)準(zhǔn)涵蓋準(zhǔn)備 ISO BC 計劃的基本活動，例如業(yè)務(wù)影響分析和風(fēng)險分析。一個相對較新的標(biāo)準(zhǔn) ISO 22331:2018 安全性和彈性——業(yè)務(wù)連續(xù)性管理系統(tǒng)——業(yè)務(wù)連續(xù)性戰(zhàn)略指南解釋了組織在制定 BC 計劃時必須解決哪些業(yè)務(wù)戰(zhàn)略。

應(yīng)用 ISO 22332 標(biāo)準(zhǔn)

ISO 22332 的目的是確定應(yīng)包含在計劃中的活動，通常按發(fā)生的邏輯順序進(jìn)行。雖然組織可以將這些 BC 活動納入計劃，但計劃的作者必須制定所涉及的具體分步程序。

該標(biāo)準(zhǔn)為 BC 計劃提供了熟悉的結(jié)構(gòu)，并且有時將某些活動(例如管理媒體)分組到其他活動桶中。然后，計劃作者的工作就是決定是否需要將標(biāo)準(zhǔn)中嵌入的活動分解為單獨定義的操作。

兩種特殊情況 ISO 22332

ISO 22332 標(biāo)準(zhǔn)包括對兩種常見災(zāi)難情景的指導(dǎo)：流行病和網(wǎng)絡(luò)攻擊。由于新冠持續(xù)影響以及網(wǎng)絡(luò)和勒索軟件攻擊的增加，該標(biāo)準(zhǔn)的第 8 節(jié)提供了管理這兩種情況的步驟。

下圖中的框架描述了 ISO 22332 標(biāo)準(zhǔn)如何定位于實現(xiàn)組織和運營彈性。

該標(biāo)準(zhǔn)確定了組織為實現(xiàn)響應(yīng)、恢復(fù)、恢復(fù)和恢復(fù)的 BC 目標(biāo)而應(yīng)執(zhí)行的活動。彈性組織執(zhí)行這些活動是為了有效地適應(yīng)和處理可能威脅業(yè)務(wù)流程、人員、技術(shù)和設(shè)施的破壞性事件。

如何達(dá)到 ISO 22332 的合規(guī)性

ISO 22301 標(biāo)準(zhǔn)通常用作審核 BC 計劃時的基準(zhǔn)，因為它確定了進(jìn)入 BC 計劃的許多控制活動。ISO 22332 提供了有關(guān)計劃內(nèi)部內(nèi)容和結(jié)構(gòu)的附加信息，并且可以在準(zhǔn)備 BC 計劃審核時作為補(bǔ)充控制文件。

組織還可以使用 ISO 22332 來評估現(xiàn)有 BC 計劃的內(nèi)容完整性。當(dāng)使用這兩個標(biāo)準(zhǔn)作為審核的一部分時，基本審核結(jié)構(gòu)使用 ISO 22301，每個審核類別中的細(xì)節(jié)使用 ISO 22332。

FFIEC 業(yè)務(wù)連續(xù)性手冊

美國聯(lián)邦金融機(jī)構(gòu)審查委員會的 2019 年版業(yè)務(wù)連續(xù)性管理手冊可以作為幫助指導(dǎo)金融和非金融組織的 BC 計劃的工具。在準(zhǔn)備業(yè)務(wù)連續(xù)性審計時，本手冊為各種審計活動提供了詳細(xì)指南。

2019 年版的聯(lián)邦金融機(jī)構(gòu)考試委員會 (FFIEC) 手冊中有四個附錄。這與包含 10 個附錄的 2015 年版業(yè)務(wù)連續(xù)性規(guī)劃相比大幅縮減。FFIEC 將其中許多附錄納入了整個手冊文本，但關(guān)于考試程序的附錄 A 在 2019 年手冊中完好無損。這些指南與準(zhǔn)備業(yè)務(wù)連續(xù)性審計有關(guān)。

如果一個組織不在金融市場并且不受 FFIEC 審查，業(yè)務(wù)連續(xù)性管理仍然可以作為一個有用的指南。遵循手冊中的程序可以確保業(yè)務(wù)連續(xù)性活動符合一般標(biāo)準(zhǔn)，并為意外審計做好準(zhǔn)備。

業(yè)務(wù)連續(xù)性審計

在進(jìn)行業(yè)務(wù)連續(xù)性審計之前，組織必須采取一些準(zhǔn)備步驟。如果使用業(yè)務(wù)連續(xù)性管理作為指南，手冊的附錄 A 將作為這些審計活動的基礎(chǔ)。

組織可以將附錄 A 中的幾乎每個項目都視為審計要求，因此需要收集信息?；谑謨员竟?jié)的重要預(yù)審核活動包括：

1. 確定要審核的內(nèi)容。

2. 收集相關(guān)文檔，例如計劃、報告、業(yè)務(wù)影響分析 (BIA)、風(fēng)險評估、政策和程序以及事后報告。

3. 確定將參與審計以回答審計員問題并提供額外信息的主題專家。

4. 確定沒有證據(jù)的領(lǐng)域，或者收集有用的證據(jù)，或者準(zhǔn)備解釋為什么沒有證據(jù)。

5. 準(zhǔn)備一個會議室或其他安靜的區(qū)域供審核員工作。這可能包括電話、白板、鉛筆、鋼筆和紙片，以及足夠的桌子空間和椅子。

十三個目標(biāo)包括業(yè)務(wù)連續(xù)性管理附錄 A 中描述的檢查程序。這些目標(biāo)可以構(gòu)成業(yè)務(wù)連續(xù)性審計的基礎(chǔ)。非金融行業(yè)可能會發(fā)現(xiàn)某些程序比其他程序更適用，但仍應(yīng)能夠在手冊提供的指導(dǎo)下形成可靠的審計計劃。

目標(biāo) 1：確定考試的適當(dāng)范圍和目標(biāo)。本節(jié)查找各種文件和報告、在開始審計之前與高級管理層面談的結(jié)果，以及新威脅和漏洞的識別。

目標(biāo) 2：確定董事會和高級管理層是否促進(jìn)業(yè)務(wù)連續(xù)性的有效治理。這部分需要證明高級管理層和董事會在業(yè)務(wù)連續(xù)性中的作用、其支持水平及其對 BC 計劃的承諾。

目標(biāo) 3：確定董事會和高級管理層是否使用審計或其他獨立審查職能來檢查和驗證 BC 計劃。

這個目標(biāo)決定了以前的業(yè)務(wù)連續(xù)性審計活動(如果有的話)以及活動的結(jié)果。

目標(biāo) 4：確定管理層是否制定了適當(dāng)且可重復(fù)的BIA 流程。

該目標(biāo)尋找業(yè)務(wù)影響分析發(fā)展的證據(jù)，以及結(jié)果是否用于改進(jìn) BC 運營。

目標(biāo) 5：確定管理層是否進(jìn)行風(fēng)險評估。

該目標(biāo)尋找風(fēng)險評估的證據(jù)，以識別和減輕潛在的風(fēng)險、威脅和漏洞。

目標(biāo) 6：確定組織的風(fēng)險管理策略是否旨在實現(xiàn)彈性。

在這個目標(biāo)中，審計人員將在組織內(nèi)尋找彈性和可恢復(fù)能力的證據(jù)，例如多個數(shù)據(jù)中心、多個辦公室、基于云的數(shù)據(jù)備份和各種技術(shù)控制，以確保關(guān)鍵系統(tǒng)得到保護(hù)。

目標(biāo) 7：確定組織的 BC 計劃是否包括通信協(xié)議。

該目標(biāo)尋找與各種政府和非政府組織(例如監(jiān)管機(jī)構(gòu)、執(zhí)法部門、應(yīng)急響應(yīng)人員以及州和地方政府機(jī)構(gòu))進(jìn)行定期溝通的證據(jù)。

目標(biāo) 8：評估組織的企業(yè)范圍 BC 活動的適當(dāng)性。

該目標(biāo)詳細(xì)介紹了 BC 計劃的各個要素，以確保它們是完整的，并為各種活動提供程序。

目標(biāo) 9：確定 BC 計劃是否包括培訓(xùn)和宣傳活動。

審核員將尋找應(yīng)急小組成員、正式員工和高級管理人員培訓(xùn)計劃的證據(jù)。他們還將尋找計劃的證據(jù)，以使員工了解 BC 計劃的重要性及其在計劃中的角色。

目標(biāo) 10：確定演練和測試計劃足以使管理層對組織能夠?qū)崿F(xiàn)其 BC 目標(biāo)感到滿意。

在此目標(biāo)中，審計師將檢查演習(xí)和測試活動的證據(jù)、演習(xí)后報告以及演習(xí)結(jié)果已導(dǎo)致整體 BC 計劃改進(jìn)的證據(jù)。

目標(biāo) 11：確定管理層是否持續(xù)衡量 BC 計劃的進(jìn)展和評估其有效性，并使用這些信息來改進(jìn) BC 過程。

該活動檢查管理層是否審查和更新 BC 計劃，以使該計劃與當(dāng)前的業(yè)務(wù)運營保持一致。它還尋找有助于維護(hù)和改進(jìn) BC 計劃的活動的證據(jù)。

目標(biāo) 12：確定董事會已建立對業(yè)務(wù)連續(xù)性管理報告的期望。

該目標(biāo)驗證高級管理層期望定期報告 BC 計劃活動，例如人員配置的變化、BIA 和 RA 的更新以及最近的演習(xí)結(jié)果。

目標(biāo) 13：討論糾正措施并交流調(diào)查結(jié)果。

作為最終目標(biāo)，此步驟涉及報告審計發(fā)現(xiàn)、實施糾正措施的計劃以及準(zhǔn)備工作底稿，包括包含所有審計發(fā)現(xiàn)和分析的文件。

FFIEC vs ISO 22332

從根本上說，這兩個文件都提供了業(yè)務(wù)連續(xù)性管理系統(tǒng) (BCMS) 或計劃組成部分的詳細(xì)概述。ISO 標(biāo)準(zhǔn)更高級別，因為它指定了 BCMS 的要求，而聯(lián)邦金融機(jī)構(gòu)檢查委員會 (FFIEC) 標(biāo)準(zhǔn)為準(zhǔn)備 BC 計劃提供了更多可操作的細(xì)節(jié)。ISO 標(biāo)準(zhǔn)適用于所有類型的業(yè)務(wù)，而 FFIEC 標(biāo)準(zhǔn)針對銀行和其他金融機(jī)構(gòu)進(jìn)行了優(yōu)化，盡管它也可以有效地用于非金融應(yīng)用。

參考資料：

·https://www.techtarget.com/searchcio/tip/Everything-CIOs-need-to-know-about-IT-business-continuity-plans

·https://searchcompliance.techtarget.com/tip/Use-ISO-22332-to-improve-business-continuity-plans?

·https://www.techtarget.com/searchdisasterrecovery/tip/Use-disaster-recovery-standards-to-guide-pandemic-planning

·https://searchcompliance.techtarget.com/tip/Understanding-BC-resilience-standards-and-how-to-comply

·https://www.techtarget.com/searchdisasterrecovery/tip/Prepare-for-a-business-continuity-audit-with-the-FFIEC-handbook?