一、我国灾难恢复和业务连续性建设概述.PDF

金融行业灾难恢复和业务连续性标准研究 一、我国灾难恢复和业务连续性建设概述 随着信息技术的快速发展和广泛应用，金融业的业务创新和正常运转越来越 依赖于信息系统的安全和稳定运行。如何保证信息系统所支持的关键业务功能在 灾难发生后能及时恢复和持续运作，以减少灾难可能造成的损失，已成为金融行 业信息系统建设和运行维护必须考虑的重点课题。 国家对灾难恢复和业务连续性建设一直十分重视，出台了多项规范和指定性 意见。各金融机构在《信息安全技术 信息系统灾难恢复规范》（GB/T 20988 – 2007）和《银行业信息系统灾难恢复管理规范》（JR/T0044-2008）等标准、规范 的指引下，灾难备份和恢复能力得到了有效提高，灾难备份建设水平已成为衡量 金融机构经营能力和相应的风险承受能力的重要标志。 为提高我国金融行业灾难备份与恢复工作的科学性、有效性，强化对金融行 业灾难备份与恢复工作的管理，有必要对灾难备份与业务连续性相关的标准规范 加以梳理，以国家信息安全战略和金融行业风险防范要求为核心，提升金融机构 业务连续性水平，增强金融机构抵御系统性、区域性信息安全风险的能力，维护 金融信息安全。 二、灾难恢复与业务连续性模型   灾难恢复与业务连续性模型图  灾难恢复与业务连续性模型如上图所示，其中： 核心部分为IT备份与恢复，即IT备份与恢复设施，实现业务系统的灾难备 份与恢复。 灾难恢复规划（DRP），是为了规避灾难带来的损失和保证信息系统所支持的 关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。灾难 恢复的关键要素分为数据备份系统、备用基础设施、备用数据处理系统、备用网 络系统、技术支持能力、运行维护管理能力、灾难恢复预案七类。 业务连续性规划（BCP），是一套基于业务运行规律的管理要求和规章流程， 使一个组织在突发事件面前能够迅速作出反应，以确保关键业务功能可以持续， 而不造成业务中断或业务流程本质的改变。 业务连续管理（BCM）是为保护组织的利益、声誉、品牌和价值创造活动， 找出对组织有潜在影响的威胁，提供建设组织有效反应恢复能力框架的整体管理 过程。 三、相关标准制度规范与问题分析 （一）国际灾难备份相关标准 国际上对于灾难恢复与业务连续性非常重视，先后出台了多个标准规范，主 要包括以下几种。 1．BS25999《业务连续性管理》和ISO/IEC 22301:2012《公共安全 业务连 续性管理体系 要求》。BS25999是关于业务连续性管理的国际性标准，为构建BCM 提供了指导。 BS25999把BCM归纳为理解组织、制定BCM战略、开发并实施BCM 响应计划、BCM管理程序、把BCM植入企业文化，以及演练、维护和评审回顾六 个组成部分。BS 25999于2012年被国际标准化组织采纳，作为业务连续性管理 国际最新标准 ISO/IEC 22301:2012，并于2012年5月15 日正式发布。 2．DRII（Disaster Recovery Institute International）。DRII是国际灾 难恢复协会发布的业务持续性规划者实践指南，包括以下 10 个主题：项目启动 和管理、风险评估和控制、业务影响分析、制定业务持续性策略、应急响应和运 作、制订和实施业务持续性预案、意识培养和技能培训、演练和维护业务持续性 预案、危机通信 、与外部机构合作。 3．Share 78。Share 78是1992年发布的最有代表性的国际灾难备份标准， 定义了灾难备份主要术语，尤其是灾难备份恢复的七个层次，为该领域广泛熟悉 和参考。 4．ISO/IEC 24762:2008（信息技术－安全技术－信息与通讯技术灾难恢复 服务指南）。该标准的目的是通过向作为业务连续性管理的一部分的信息与通信 技术灾难恢复服务提供指南。该标准包括由内部或外包提供的服务，覆盖设备和 服务能力，并为组织的通信系统提供后备和恢复支持。 （二）国内相关标准及制度要求 我国对于灾难恢复与业务连续性同样非常重视，先后出台了《信息系统灾难 恢复规范》（GB/T20988-2007）、《银行业信息系统灾难恢复管理规范》 （JR/T0044-2008）两项主要标准。 《信息系统灾难恢