國(guó)家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國(guó):010-56542716
天津:022-27810977
常見(jiàn)問(wèn)題&知識(shí)園地
我國(guó)銀行業(yè)信息化進(jìn)程中日益顯著的數(shù)據(jù)集中趨勢(shì)增加了業(yè)務(wù)系統(tǒng)面臨信息技術(shù)方面的風(fēng)險(xiǎn)。在這一背景下,,傳統(tǒng)的銀行系統(tǒng)災(zāi)難備份機(jī)制已經(jīng)不能滿足國(guó)家,、企業(yè)和用戶對(duì)金融數(shù)據(jù)安全及不間斷服務(wù)的需求。為應(yīng)對(duì)這一挑戰(zhàn),,基于業(yè)務(wù)連續(xù)性認(rèn)證管理的新型銀行災(zāi)備方案應(yīng)運(yùn)而生,。本文從業(yè)務(wù)連續(xù)性管理的角度出發(fā),闡述銀行災(zāi)備體系建設(shè)和運(yùn)行中的重要步驟和核心手段,。
我國(guó)新一代銀行業(yè)務(wù)系統(tǒng)大多采用大型單一數(shù)據(jù)中心的模式以替代原有的多數(shù)據(jù)中心,、數(shù)據(jù)分布式存儲(chǔ)和處理的模式。盡管這一“大集中”的趨勢(shì)加強(qiáng)了銀行賬務(wù)監(jiān)管力度,,方便了數(shù)據(jù)共享,,并降低了新業(yè)務(wù)開(kāi)發(fā)和信息系統(tǒng)運(yùn)營(yíng)的成本,但是,,它也在無(wú)形中放大了銀行業(yè)務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn):一旦數(shù)據(jù)中心發(fā)生災(zāi)難(自然災(zāi)害,、黑客入侵、恐怖襲擊,、戰(zhàn)爭(zhēng)破壞等),受影響的將可能是所有的分支機(jī)構(gòu)和業(yè)務(wù),,從而導(dǎo)致巨大的經(jīng)濟(jì)損失,、客戶流失、聲譽(yù)受損,,甚至金融和社會(huì)秩序的混亂,。在這一背景下,做好災(zāi)難備份,,避免災(zāi)難造成的數(shù)據(jù)丟失和業(yè)務(wù)中斷,,并增強(qiáng)災(zāi)難后的恢復(fù)能力,在當(dāng)代銀行信息化建設(shè)中顯得更為重要,。我國(guó)的銀行災(zāi)備體系建設(shè)自上世紀(jì)九十年代起步,,如今在規(guī)模和經(jīng)驗(yàn)上都比較成熟。然而,,當(dāng)前的災(zāi)備體系仍然存在觀念上的局限性和落后性,,體現(xiàn)在:職能定位于純粹的災(zāi)難恢復(fù);技術(shù)上依賴單一的儲(chǔ)存復(fù)制;體系傾向于傳統(tǒng)的主備架構(gòu),;測(cè)試手段仍限于模擬演練,。這些局限性使得當(dāng)前災(zāi)備體系在應(yīng)對(duì)更加嚴(yán)峻的風(fēng)險(xiǎn)及日益增長(zhǎng)的金融數(shù)據(jù)安全和服務(wù)質(zhì)量需求時(shí)顯得捉襟見(jiàn)肘。時(shí)勢(shì)造英雄,,業(yè)務(wù)連續(xù)性管理(Business Continuity Management, BCM)的應(yīng)用在此情形下應(yīng)運(yùn)而生,。BCM是一項(xiàng)綜合管理流程,它能使銀行認(rèn)識(shí)到潛在的危機(jī)和相關(guān)影響,,制訂災(zāi)難響應(yīng)和恢復(fù)計(jì)劃,,其總體目標(biāo)是為了提高銀行系統(tǒng)的風(fēng)險(xiǎn)防范能力,以有效地響應(yīng)非計(jì)劃的業(yè)務(wù)破壞并降低不良影響,。銀行重視業(yè)務(wù)連續(xù)性,,主要推動(dòng)力包括兌現(xiàn)服務(wù)承諾(Service Level Agreement, SLA)、遵守法律法規(guī),、保護(hù)企業(yè)資產(chǎn)等,。中國(guó)銀監(jiān)會(huì)發(fā)布《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》,明確商業(yè)銀行應(yīng)當(dāng)將業(yè)務(wù)連續(xù)性管理納入全面風(fēng)險(xiǎn)管理體系,,建立與本機(jī)構(gòu)戰(zhàn)略目標(biāo)相適應(yīng)的應(yīng)急管理和可持續(xù)性管理體系,。近年來(lái),國(guó)際國(guó)內(nèi)著名的信息技術(shù)企業(yè),,如IBM,、Cisco(思科)、華為,,也相繼推出了包含BCM模塊的銀行災(zāi)備解決方案,,并被國(guó)內(nèi)部分商業(yè)銀行采用銀行系統(tǒng)災(zāi)備的重要步驟包括以下幾個(gè)方面。
一是項(xiàng)目初始化,。獲得銀行管理層的支持與投入,,為BCM提供獨(dú)立的預(yù)算,建立包括財(cái)務(wù)審計(jì)部門,、IT 部門,、人事部門、行政部門人員的團(tuán)隊(duì),。當(dāng)災(zāi)難發(fā)生時(shí),,這些部門在繼續(xù)扮演相應(yīng)支援角色的同時(shí),也必須實(shí)施重大的機(jī)構(gòu)及功能轉(zhuǎn)變以援助受影響的業(yè)務(wù)領(lǐng)域,。
二是風(fēng)險(xiǎn)分析及業(yè)務(wù)影響分析,。決定BCM需求的一個(gè)因素是能夠承受的損失。在分析損失時(shí),,重點(diǎn)回答以下問(wèn)題:保護(hù)何種資產(chǎn)或信息數(shù)據(jù),?其脆弱點(diǎn)在哪里,?有沒(méi)有控制措施?如果不采取相應(yīng)措施,,經(jīng)濟(jì)損失是多少,?市場(chǎng)占有率損失多少?是否違反相關(guān)法律法規(guī),?中斷的業(yè)務(wù)是否會(huì)影響其他領(lǐng)域的關(guān)鍵業(yè)務(wù),?同時(shí),應(yīng)該評(píng)估業(yè)務(wù)允許中斷的時(shí)間以及當(dāng)信息重新可用時(shí)允許損失的信息量,,這些可以通過(guò)恢復(fù)時(shí)間目標(biāo)(recovery time objective,,RTO)和恢復(fù)點(diǎn)目標(biāo)(recovery point objective , RPO)來(lái)衡量,。決定BCM需求的另一個(gè)因素是災(zāi)難實(shí)際發(fā)生的可能性,,由威脅的級(jí)別、性質(zhì)和銀行系統(tǒng)自身的薄弱點(diǎn)決定,。
三是業(yè)務(wù)連續(xù)性策略及實(shí)施,。為各種策略進(jìn)行成本、效益及風(fēng)險(xiǎn)分析,,包括滿足業(yè)務(wù)連續(xù)性目標(biāo)的能力,,安裝、維護(hù),、測(cè)試及調(diào)用備份設(shè)備的成本等,。確保采取的策略確實(shí)解決了具體的信息風(fēng)險(xiǎn)但不會(huì)增加其它運(yùn)營(yíng)風(fēng)險(xiǎn)。準(zhǔn)備實(shí)施計(jì)劃書并實(shí)施備份,。
四是BCM開(kāi)發(fā),。以數(shù)據(jù)流圖表和程序的方式,決定災(zāi)難發(fā)生后的備份系統(tǒng)控制流程及團(tuán)隊(duì)人員的標(biāo)準(zhǔn)操作流程,。
五是培訓(xùn)計(jì)劃及及測(cè)試維護(hù),。團(tuán)隊(duì)成員需要如下培訓(xùn):有緊急情況時(shí)的替代技術(shù)流程,當(dāng)自動(dòng)操作系統(tǒng)正在恢復(fù)時(shí)可替代的人工操作流程等,。同時(shí),選擇測(cè)試腳本,,說(shuō)明預(yù)期要達(dá)到的結(jié)果,。記錄并評(píng)估測(cè)試結(jié)果,根據(jù)結(jié)果確認(rèn)需要做何改進(jìn)并培訓(xùn)團(tuán)隊(duì),。周期性地檢查和維護(hù)BCM系統(tǒng),,確保相關(guān)設(shè)備和人員的可靠。
具體到銀行信息系統(tǒng),,其業(yè)務(wù)連續(xù)性的要求可以歸納為以下三個(gè)方面:一是高可用性,,指在本地故障情況下,,能繼續(xù)訪問(wèn)用戶數(shù)據(jù)和金融業(yè)務(wù)應(yīng)用的能力;二是連續(xù)操作,,指當(dāng)設(shè)備無(wú)故障時(shí)保持業(yè)務(wù)連續(xù)運(yùn)行,,用戶不需因?yàn)橄到y(tǒng)正常維護(hù)而停止應(yīng)用;三是災(zāi)難恢復(fù),,指當(dāng)災(zāi)難破壞數(shù)據(jù)中心時(shí),,在不同的地點(diǎn)恢復(fù)相關(guān)數(shù)據(jù)的能力。
為了滿足這些要求,,新型的銀行災(zāi)備方案需由純粹的災(zāi)難恢復(fù)向兼顧開(kāi)發(fā),、測(cè)試、統(tǒng)計(jì)分析等非交易類業(yè)務(wù)拓展,;由單一的儲(chǔ)存復(fù)制向按業(yè)務(wù)系統(tǒng)的災(zāi)難恢復(fù)指標(biāo)選擇多種災(zāi)備技術(shù)轉(zhuǎn)變,;由傳統(tǒng)的主備架構(gòu)向雙中心互備、雙中心高可用或多中心架構(gòu)轉(zhuǎn)變,;由模擬演練向真實(shí)演練轉(zhuǎn)變,。基于BCM的新型銀行災(zāi)備機(jī)制的開(kāi)發(fā)和運(yùn)行是一個(gè)嶄新而具有重要意義的研究領(lǐng)域,,需要銀行金融業(yè),、信息技術(shù)行業(yè)和政府部門的共同努力。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信