- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
谈建立银行 IT风险应急响应机制的必要性
总行在《信息化建设“十二五”规划纲要》中原则提出要“完善信息
系统应急预案,强化演练,提高应急响应和处置能力”。在《关于加强全
面风险管理的指导意见》中又单列了 IT 风险名目,表明了总行对 IT
风险的高度关注。我们要认真贯彻总行的指导思想,一定要认清 IT
风险是不以人的意志为转移的客观存在。要从健全生存策略着眼,从
完善治理结构入手,建立覆盖**行全系统的 IT 风险应急响应机制,进
一步规范 IT 风险的常规管理和危机发生后迅速反应、科学处置的指
导思想、组织体系、规范程序及演练实践。作为信息化建设的有机组
成部分,它不应该是孤立的,更不是靠风险事件推动的权宜之计,
是 IT 背景下全面风险管理的人员、物质、技术、管理和理念高度融
合的系统工程。
一、关于对信息系统风险的再认
这实在是一个老生常谈的话题了,但不幸的是,最突出的问题仍
在于此。
先举几个发生在我行的真实例子:
某行机房棚顶集中空调管线的弯头迸裂,在高压作用下,水雾四
射,因发现及时,处置得当,避免了险情的进一步扩大。
某县行的网络设备损坏,导致该行的生产和管理系统全部中断,
相关人员持 IC 卡去临近县行处理结算业务。
某行大楼的市电供电电缆半夜被野蛮施工挖断,发电机又因长时
间连续工作而损坏,靠 UPS 维持供电仍然没有坚持到日切。经有关
部门的通力合作,采取应急措施才保证了当日业务的完成。
再看看去年社会上发生的几起典型事故:
4 月 19 日,上海电信大楼机房装修,引发空调风管起火。不到
半个小时的火灾酿成 4 死 1 伤的惨剧。
5 月 23 日,某省水利厅办公楼改造,突降的暴雨倾泻通讯机房,
瞬间水深 10 公分。信息中心领导果断决定关机抢救,虽然全省水利
专网通信因此全部中断两个多小时,但避免了更大的损失。
6 月 1 日,某银行机房的 UPS 环节出现故障,造成核心系统中断,
致使该行全国所有的网点和自助设备停运,受到银监局的通报批评。
9 月 21 日,某银行数据中心的物业公司电工误操作,导致该行
一个机房内的所有设备掉电,包括核心系统、网银等 80 多个应用系
统中断服务。
上面这些看似偶然的事件从不同侧面说明了信息系统的脆弱性。
信息系统的生命力依赖于特定的运行环境,其中既包含着设备、设施
等软硬件的产品质量和服务水平,也包含着社会公共资源的充足和稳
定状况;既包含着国家和行业的方针政策,也包含着各级行营运人员
的业务素质和责任意识。所有相关因素的异常都会成为影响信息系统
运行质量的有形或无形风险。灾难学中有个“灾难不灭”的概念,用墨
菲定律解读是:“事情如果有变坏的可能,不管这种可能性有多小,
2
它总会发生”。我国企业风险管理专家陈晓峰就温州动车追尾事故给
出的现实版解读是:“我们目前正处于一个复杂的风险环境中,风险
无处不在,危机时刻到来,危机风险已经成为一种常态。”这些至理名
言都是在告诫我们,风险在特定条件下的外显就会形成危机,对风险
的漠视就是催生危机。
经过多年的苦心经营,我行的信息系统应用环境大为改观,安全
性能也大大提升。但是扪心自问,我们对复杂的人机关联环节和系统
技术层面的风险有多少了解?现行管理体制与信息化发展现状的契
合度有多高?答案恐怕是很难让人安心。前面选择了几起社会上的典
型案例是想说明,无论从发生地的文化背景、技术实力还是对风险的
认知水平,至少是不会逊于我们基层行的,他们一着不慎的惨痛教训
不值得我们深刻反思和汲取吗?
二、关于应急响应指挥组织
应急响应指挥组织是 IT 风险应急响应机制的核心力量之所在。
由于 IT 技术的广泛应用,我们**行、全国金融系统乃至相关行业
都已经实现了数据大集中和信息互联。规模的扩张化、系统的复合化、
支持的专业化和资源的社会化等不可逆转的大趋势必然会导致信息
系统危机影响辐射化。在很多情况下,风险隐患并非存在于承担着基
本维护和管理职能的信息科技部门的直接监控范围内,由此形成的危
机往往也不是一个信息科技部门就应对得了的,需要领导层以全面风
险管理的视角关注 IT 风险,并将其纳入总体管理策略。信息系统上
文档评论(0)