银行信息化建设新课题从灾难备份到业务连续性管理.docVIP

银行信息化建设新课题从灾难备份到业务连续性管理 　　内容提要：商业银行以“数据集中”为特征的信息化建设带来了信息风险的加大和集中。业务连续性管理（ＢＣＭ）能帮助商业银行认识潜在危机，制订响应和业务连续性的恢复计划，有效地降低业务破坏造成的不良影响，提高风险防范能力。文章从我国商业银行灾备建设模式的选择入手，分析了从灾备到业务连续性管理建设过程的要点，最后提出实施业务连续性管理的建议。 　　关键词：灾备 外包 业务连续性管理 银行 信息化 　　中图分类号：F830.49 文献标识码：B 文章编号：1006-1770(2007)05-057-05 　　 　　一、我国商业银行灾备建设模式的选择 　　 　　海啸、龙卷风、洪水、地震和飓风等天灾，让人毫无防备的人祸--恐怖主义、网络攻击和业内破坏的不断升级--对业务连续性管理的要求越来越高，越来越多的企业正在建立自己的灾难恢复计划。上世纪70年代，灾难备份应用在美国兴起，灾难备份服务提供商利用其专业设施、技术和专家队伍，为各行业提供在遭受灾害后关键业务的恢复运作能力。从1982年到1998年的约15年间，美国灾难备份行业成功地完成了582宗灾难恢复，平均每年约40宗。在这些灾难恢复中，44%的案例是发生了区域性的灾难使多个灾难备份服务客户同时受到影响，而从来没有出现客户因灾难备份中心资源不够而无法恢复的情况。从用户的行业划分来看，灾难备份行业面向的主要客户是金融业。据CPR(Contingency Planning Research)估计，美国灾难备份行业的年销售额中有45%来自金融行业，有近一半的灾难备份中心是专门为金融业服务的。 　　目前，国际上灾难备份和恢复建设有三种基本模式：自建、共建和外包。自建灾备中心对银行资金和技术的要求颇高，不是每个银行都有能力承担的。由于可以节省一部分基础建设的投资，共建或互为备份模式曾被广为应用。但到了上世纪90年代中期，随着各银行的业务发展，出现了IT技术路线不统一、责任和权益难以界定以及保密性、技术管理难度大等矛盾。由于无法协调各方关系和保障所有银行的业务发展，共建模式随着银行业的发展已经逐步被舍弃。因此，基于对资金投入大、建设周??长、专业管理水平高等方面的综合考虑，一些银行在进行灾备项目建设时，越来越倾向于采用外包（Outsourcing）模式。银行灾备外包是依据服务协议，银行将灾备项目建设和服务的持续管理责任转交给专业的提供灾备服务的企业执行的战略模式。实施外包后，银行既可以集中精力开展自身的核心业务，又可以在较短时间内实现灾备目标。“9.11”事件后，Globe Continuity 公司对美国、英国、澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了调查，发现在拥有或租用了灾难备份中心的公司中，56%使用了商业化的灾难备份服务，29%使用自有的灾难备份中心，15%在商业化灾难备份服务的基础上同时拥有自己的备份设施。外包和“自建+外包”模式两项相加，所占的比例达到了71%。由此可见，对比于用户自己建设灾难备份的做法，灾难备份行业充分显示了其在提供专业可靠、低成本灾难备份服务方面的优势。 　　如果公司业务的生存问题、信誉的损害和投资者信心的降低，都还不足以让企业管理者对灾难恢复计划给予足够的重视的话，那么，近年来不断出台的政府法规给企业带来的压力则越来越大。美国2002年通过的萨班斯-奥克斯雷法案（Sarbanes-Oxley Act of 2002）要求企业证明自己的灾难恢复计划是可行的。“9.11事件之后，美国金融监管三大机构美联储、美国货币监理署和美国证券交易会于2003年5月28日发布《关于增强美国金融系统灾难恢复能力的可靠措施的跨部门白皮书》（Interagency Paper on Sound Practices to Strengthen the Resilience of the U.S. Financial System），对金融机构在遭到大范围灾难打击之后的恢复能力提出了措施和实施时间的要求。在香港地区，香港金融管理局对香港银行的灾难备份作出了功能性指引。银行必须向金融管理局证明自己的灾备计划可以满足指引中的功能性要求。新加坡金融管理局于2001年7月在Internet Banking Technology Risk Management Guidelines中对使用在线交易的银行做出了企业连续性运作的规定。在我国，2002年8月，中国人民银行发布260号文，要求所有数据大集中的银行具备灾难备份和灾难恢复能力，并报人民银行备案。向银行提供灾难备份服务的企业组织需获得中国人民银行的资质认可。2003年9月，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》，明确