业务连续性管理要点.pptx

银行IT业务连续性管理基础介绍 BCM简介 - 目录 1　 　业务连续与灾难恢复的意义　 2 　BCM的由来与发展 3 　BCM的范围与定义 4 　BS 25999及相关标准简介 9.11事件中的案例 业务连续性（BCM）简介 Bank of New York 通讯线路全部中断；数据中心位于灾场附近；造成连锁反应…… 2001年10月18日，纽约银行声明，恐怖袭击破坏了部分计算机系统，一些分支机构被迫关闭，其第三季度的利润因此下降了33%。 DeutscheBank 93年开始风险分析，建立了一套完成的业务连续性计划（BCP），以应对突发事件或灾难。 灾难发生后，德意志银行调动4000多名员工及全球分行的资源，短时间内在距离纽约30公里的地方恢复了业务运行。 9.11后，员工和客户对德意志银行都更加有信心。 在“9.11”事件几个小时后，摩根斯坦利公司便宣布：全球营业部可以在第二天照常工作。该公司建立的数据备份和远程容灾系统，保护了公司的重要数据，在关键时刻挽救了摩根斯坦利，同时也在一定程度上挽救了全球的金融行业。 NYBOT（纽约商品交易所）的前身CSCF曾经历了世贸中心车库爆炸案（1993年），从此吸取了教训，制定了BCP计划，并坚持10年演练。“9.11”事件几个小时后就在“长岛”开始恢复交易，短短时间内恢复了它在异地的运营，因为它很早就制定了BCP计划，并在灾难发生时发挥了作用，NYBOT劫后逢生的关键是BCP计划的策划和坚持。 灾难对组织/企业的影响 科学统计—— 2/5的公司在经历大灾难后再也不能恢复运作，另外1/3在2年内也接着倒闭。 —GartnerGroup 93%的公司在遭受严重的数据丢失后5年内倒闭。 —美国劳工部 43%的美国公司在灾难后倒闭，另外29%（或更多）的公司在2年内倒闭。 —威斯康星州大学 BCM简介 -目录 1　 　业务连续与灾难恢复的意义　 2 　BCM的由来与发展 3 　BCM的范围与定义 4 　BS 25999及相关标准简介 BCM的历史 发展情况 1979年在美国宾西尼亚州的费城建立的SunGard Recovery Services。 灾难备份和恢复与20世纪70年代中期在美国起步，源于美国中西部地区对电脑设施进行的备份。灾难备份行业的历史性标志是1979年在美国宾夕法尼亚州的费城建立了专业的商业化的灾备中心并对外提供服务。在这以后的10年里，美国的灾难备份行业得到了迅猛发展，拥有超过100家灾难备份中心服务商。1989年以后的十年中，灾难备份服务供应商之间进行了大规模的合并和重组，到1999年市场上剩下31个灾难备份中心供应商，并以每年15%的速度增长。 从上世纪80年代初到90年代中期，美国共成功完成582宗灾难恢复。 9.11事件之后，灾难备份调查公司Globe Continuity Inc.对美国、英国、澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了调查。 · 71.2%的公司使用了灾难备份中心，使用灾难备份中心的公司中，56%使用了商业化的灾难备份服务，29%使用自有的灾难备份中心，15%在商业化灾难备份服务的基础上同时拥有自己的备份设施。 国外政府监督 美国 1983年OCC（货币监理署）就发布了指引要求银行制定并维护灾难恢复计划； 1989年FFIEC（联邦金融机构检查委员会）要求银行对灾难恢复计划进行测试、维护和演习； 1997年和2000年，FFIEC突破性的规定金融机构的董事会和高层管理人员直接对灾难恢复计划负责；2003年修订成《联邦金融机构检查委员会业务连续计划手册》； NASD（全美证券交易商协会）于2002年要求其成员在拥有灾难恢复计划的基础上建立指挥中心以协调灾难恢复工作，即从要求恢复运行能力向快速建立业务运行环境发展。 Board（联邦储备委员会）、SEC（证券交易委员会）和OCC于2003年5月28日发布了《关于增强金融机构遭到大范围灾难打击后的恢复能力提出了措施和实施时间要求。 国外政府监督 美国（续） 美国卫生部在1996年对《健康保险可行性和可信性法案》（HIPPA）进行了修订，对数据的交换、记录的保护和保护病人的隐私做出了标准化的规定；医疗机构评审联合委员会在1994年信息安全、备份及恢复计划等进行了规定。 1993年，美国联邦政府发布了国家自动化信息资源安全条例，要求所有的政府部门对多方面系统和信息进行灾难恢复和业务连续性准备；1994年联邦政府又发布了联邦相应计划指导（FRPG01-94)，明确了在灾难恢复和业务连续性计划的责任和目标。 联邦政府在联邦准备性文件《FPC 65》中对联邦机构的应急处理能力做出了详细