对日美银行业信息系统灾难备份思考及建议.docVIP

对日美银行业信息系统灾难备份思考及建议 　　【摘要】现代银行业面临的突发灾难主要来自非经济因素，包括自然灾难事件与社会灾难事件，历次突发事件都在不断地提醒灾难备份体系建设的重要性。突发灾害给银行业造成巨大经济损失的同时，也引发了社会各界对银行业灾难备份能力的关注。 　　【关键词】银行机构 信息系统 灾难备份 思考及建议 　　一、日美银行业灾难备份的主要做法 　　（一）建设完善的银行业灾难备份制度体系 　　1996年，日本金融情报系统中心制定了《金融机构等紧急时应对计划纲要》；2002年3月，日本银行公布了《假定金融机构据点受灾的业务持续计划方案》；2003年7月，日本银行制定了指导性文件《关于完善金融机关的业务持续体质》；2006年3月，日本金融情报系统中心再次修订了《金融机关等紧急时应对计划指南书》，金融厅分别制定了《面向主要银行的综合监督指引》和《面向中小地域金融机关的综合监督指引》。正因为日本金融管理部门对信息系统灾备建设高度重视，建立了完善的制度体系，平时周密进行灾备部署，所以在灾害后能够迅速恢复服务。 　　（二）实行银行业强制性灾难备份 　　1983年，美国金融管理局首次要求银行制定灾难恢复计划，并每18个月对金融机构灾难备份情况进行审查。美国通过立法强制要求金融机构必须制定灾难备份计划，对于没有落实要求的金融机构进行曝光和处罚，并对相关责任人进行罚款甚至监禁。1989年，美国货币监理署发出“BC177银行通告”，要求美国所有的金融机构按照美国联邦金融机构监督委员会公布的《灾难恢复计划指引》制定维护业务持续发展的计划。“9.11”事件之后，美联储、美国货币监理署、美国证券交易委员会于2003年5月28日联合发布了《关于增强美国金融系统灾难恢复能力的可靠措施跨部门白皮书》，对金融机构在遭遇灾难打击后的恢复能力提出了明确要求，并限定了恢复能力到位的时间表。 　　（三）银行业灾难备份采取外包模式 　　目前，美国灾难备份系统建设主要有3种模式：自建、共建和外包。鉴于灾难恢复系统建设具有高风险小概率、高投入低回报、建设难、运营维护更难的特点???美国金融机构越来越倾向外包模式，即由专业化灾难备份服务商提供灾难备份服务，依据服务协议将灾难备份项目建设和服务的持续管理，交给专业的提供灾难备份服务的企业执行。在美国，除了特大型、特别有实力的金融机构有实力自建灾备中心之外，一般的中小型金融机构都采取外包模式。因此，灾备建设模式的分布状况为“独立建设占29%，联合共建占15%，社会化服务占56%”。 　　（四）实施灾备资质认证 　　1988年，美国灾难备份业内专家和华盛顿大学的部分教授共同发起成立了国际业务存续及危机处理学会（DRII），现已成为世界性权威灾难备份行业培训和认机构，对灾难备份从业人员提供专业化的灾备知识和技能培训，并通过实施资质认证制度，全面提升行业水准，其颁发的业务连续性专家资质认证证书（CBCP）是世界灾难备份行业公认的专业资格证书。 　　（五）注重灾难恢复演练 　　美国金融机构非常注重进行灾难恢复演练，通过制定详实的灾难恢复预案，模拟灾难发生时可能出现的情况，提高金融业应对灾难的能力。2013年7月25日，美国金融机构进行了一场模拟应对黑客网络攻击的演练，测试银行如何应对黑客网络攻击，为迎接新一轮的网络威胁做好准备。 　　??、目前国内银行业灾难备份的现状 　　（一）制度建设起步较晚 　　2002年，人民银行发布《关于加强银行数据集中安全工作的指导意见》，要求实施数据集中的银行必须建立相应的灾难备份中心；2006年，发布《关于进一步加强银行业金融机构信息安全保障工作的指导意见》，要求实施数据集中的银行业金融机构应同步规划、同步建设、同步运行信息系统灾难恢复系统。2008年2月，《银行业信息系统灾难恢复管理规范》颁布实施，对金融灾难备份中心建设、运行维护管理等做出了规范性要求，为金融业灾难备份提供了具体的行业标准。 　　（二）系统建设相对滞后 　　一是灾难备份应用程度相对较低。虽然部分银行已针对金融业务数据集中进行了总行、总数据中心的灾难备份，但只备份了存取、结算等核心业务系统，其他的很多系统并没有备份。二是中小金融机构灾备建设相对滞后。全国160家城市商行中，80%以上的商业银行没有灾备中心，仅进行了简单的数据备份措施。 　　（三）备份模式以自建为主 　　受传统理念、社会诚信、数据保密等因素的影响，国内建立灾难备份的金融机构普遍采取了自建模式。据中国权威研究咨询机构——计世资讯（CCW Research）调查数据显示：国内灾难备份自建比例高达91.7%。 　　（四）现有灾备中心应急演练不到位 　　由于应急演练需要多个部门配合，将现有系统运行的业务全部切换到备份系统上，为