银行业电子数据灾难备份工作思考.docVIP

银行业电子数据灾难备份工作思考金融是国家经济的命脉，银行信息系统安全直接关系国民经济大局的稳定，尤其是上世纪90年代末以来，随着银行业数据大集中的深入推进，银行电子数据的安全问题日益凸显。一旦电子数据中心发生诸如地震、恐怖袭击、系统故障这样的灾难，将引起银行业务停顿、营业额损失、客户流失，甚至会引起社会的动荡和法律纠纷，其后果不堪设想。因此，加快电子数据灾难备份工作是金融企业尤其是银行业面临的共同问题。 一、银行电子数据灾难备份的意义 本文所论述的银行电子数据灾难备份是广义上的概念，是指利用技术和管理的手段，确保在灾难发生后，银行的关键数据、数据处理系统和业务可以尽可能完整和快速地恢复过程，包括备份和恢复两个过程。其最终目的是保证在灾难发生后的指定时间内恢复既定范围的银行业务。银行电子数据灾难备份具有重要的意义： (一)银行电子数据灾难备份是确保金融安全的客观要求 对于灾害所造成的冲击分析显示，就一个国家而言，各行业最长可忍受的信息系统停机时间分别为：金融业－2天；销售业－3.3天；制造业－4.9天；保险业－5.6天。平均来看，一般行业可忍受的信息系统停机时间为4.8天。有报告调查显示，各行业在遭受灾难打击造成服务中断时的损失是十分巨大的：证券业每小时平均损失为650万美元；信用卡授权每小时平均损失为260万美元；ATM系统中断造成的损失为每小时14500美元；而各行业中断服务平均每小时损失为84000美元。银行业关系着国家的金融命脉，关系着国计民生，做好银行电子数据灾难备份工作是确保国家金融安全的客观要求 (二)银行电子数据灾难备份是银行业务连续和生存发展的必要保障 业务系统的连续性运行是依赖商业数据的银行的生存关键。突发灾难很可能会导致企业所有分支机构、营业网点和全部的业务处理停顿，或造成客户重要数据的丢失，因此银行电子数据灾难备份对于保护银行应用系统和数据完整性，保证银行业务的连续运行和生存发展，提高银行竞争力具有非常重要的意义 据美国的一项研究报告显示，在灾害之后，如果无法在14天内恢复业务数据，有75％的公司业务会完全停顿，43％的公司再也无法重新开业，XX年之内宣告破产。国际调查机构Gartner Groul3的数据表明，在经历大型灾难而导致系统停运的公司中有2/5再也没有恢复运营，剩下的公司中也有1/3在两年内破产。随着企业对数据处理依赖程度的递增，此比例还有上升的趋势 (三)银行电子数据灾难备份是国际金融监管的普遍做法 在信息技术发达的欧美国家，金融监管部门均对银行在保证数据完整性及业务连续性上的责任做出了明确规定。在美国，金融管理局(OCC)每隔18个月就对金融机构的灾难备份情况进行审查。在我国香港及新加坡，金融管理局也对灾难备份提出了要求，所有银行必须向金融管理局证明自己的灾难备份计划可以满足要求 二、我国银行电子数据灾难备份现状 我国政府非常重视电子数据灾难备份工作，先后发布一系列重要文件：XX年发布《中国人民银行关于加强银行数据集中安全工作的指导意见》(下称《指导意见》)；XX年8月，中办和国办联合发布了《国家信息化领导小组关于加强信息安全保障工作的意见》，要求各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复；XX年9月，国务院信息化办公室发布《关于做好重要信息系统灾难备份工作的通知》；XX年国务院信息化办公室发布《重要信息系统灾难恢复指南》，将我国灾难恢复等级(近似于容灾等级)划分为六级、七要素，灾难备份内容大致可以分为二类：数据类、应用类；XX年7月国务院信息化办公室发布《信息系统灾难恢复规范》，要求银行、电力、铁路、民航、证券、保险、海关、税务八大行业的关键系统必须建立灾难备份系统 特别是人民银行和银监会发布的文件对银行业电子数据集中后的数据中心灾难备份建设提出了明确的要求，如《指导意见》中明确规定：“为保障银行业务的连续性，确保银行稳健运行，实施数据集中的银行必须建立相应的灾难备份中心。”人民银行颁布的《银行业信息系统灾难恢复管理规范》提出了灾难备份中心建设流程和方法。银监会发布的《银行业金融机构信息系统风险管理指引》也对信息系统数据备份提出了要求 在银行灾难备份中心的建立模式上，《指导意见》规定：“灾难备份中心的建设可采取自建或联合共建等方式，也可以利用本银行外其他企业(组织)提供的灾难备份服务。向银行提供灾难备份服务的企业(组织)需获得中国人民银行的资质认可。”即商业银行可以采用自建、共建和外包的模式实施其灾难备份中心 三种模式各有利弊：自建模式的建设周期长(灾难备份中心的建设周期一般为18～24个月)，投入资金太，而且灾难备份中心的维护成本、技术要求、管理经验、应急策略的规范等方面都是持续的挑战，但相对更