论文部分内容阅读
国内一些金融业的用户,虽然投入巨资建立了技术先进的灾备系统,但是当灾难发生时,它们却不敢进行灾备系统的切换。“这是因为用户在灾备管理方面缺少经验。应急预案不完善、灾难恢复演练不到位都会导致用户在该切换时不敢切换。”中金数据系统有限公司咨询业务部总经理尹晖一语道破。
单纯依靠先进的硬件和软件,并不能完全解决业务连续性的问题。有些情况下,用户之所以不敢切换是担心一旦将业务系统切换到灾备中心,当故障消除后,业务系统很难完整无缺地切换回生产中心,因为将业务系统从灾备中心切换回生产中心,需要补齐缺失的数据,还要保证业务应用能正常运行,这些不是单纯依靠IT就能实现的,还需要业务和管理等层面的保障。“应对紧急情况,不能临时抱佛脚。只有在事前经过精心的准备,建立完善的层次化、体系化的应急预案,保证预案的正确性,并经过反复演练和验证,才能确保在故障发生时,用户能放心大胆地进行系统切换。”尹晖表示。
中金数据系统有限公司咨询业务部副总经理李可补充说:“有些大型的金融机构之所以不敢轻易进行灾备系统切换,是因为经过多年积累,其IT系统变得十分庞大且复杂,IT与业务之间的对应关系不清楚,从而增加了系统切换的难度。”
灾备系统只是从技术层面上为企业业务的持续运行提供了基本保障。如果想真正实现业务的连续性,企业必须建立一套切实可行的BCM(业务连续性管理)体系,这涉及到人、业务、流程、经验和知识等。
行业监管促进BCM发展
BSI公司在2007年发布了业务连续性管理标准BS25999。BS25999这样描述BCM:它是一个一体化的管理过程,通过这一过程,企业可以识别那些威胁企业的潜在风险,并提供一个指导性框架来建立企业的恢复能力和有效的应急响应能力,从而保障企业的资产、信誉、品牌不受损害。
BCM包括危机管理、应急管理和业务连续性计划(BCP)。在实际生活中,我们可以看到许多应用BCM理念的成功案例。在汶川地震发生后的第三天,工商银行四川分行就在都江堰建立了帐篷银行。这个应急业务办理点建立后的第一天,就办理对公结算业务76万元,ATM取现近20笔。
BCM在国外已经有40年的发展历史,而中国用户对BCM的认识源于2001年的“9·11”事件,但是直到2003年,中国才有用户开始实际采用BCM的方法论建设灾备体系。从目前情况看,大多数中国用户更关注的还是IT层面的问题,比如灾难恢复。从2005年起,国内一些关于灾难恢复、业务连续性的技术指南、国家标准等陆续推出,特别是金融行业内部的强制性行业指引、规范的颁布,对于促进中国BCM的发展起到了非常积极的作用。
由于业务的特殊性,银行业在BCM实践方面一直走在各行业的前面。银行业如此重视BCM,一方面是因为业务发展的需要,许多大型银行要走向国际市场,就必须满足国际市场对业务、信息安全、业务连续性的监管要求,因此加强内部管理、降低风险成了这些银行的自觉行为;另一方面,像大型国有商业银行、股份制商业银行已经基本完成了灾难恢复系统的建设,两地三中心甚至四中心的容灾解决方案对银行来说已经不是新鲜事,这些银行正将业务治理的重点从技术层面转向管理层面,因此BCM被提上了议事日程。
2011年底,银监会出台了《商业银行业务连续性监管指引》(以下简称《指引》)。该《指引》与原来同类的规范相比实现了几项创新:第一,首次明确了在业务连续性日常组织架构中,信息科技部门是执行部门;第二,商业银行应建立统一的应急指挥中心和清晰的报告流程,包括内部、外部和监管方;第三,进一步明确了信息系统中断事件的分级标准,包括特别重大、重大、较大三级;第四,首次明确了预案的类型,分为总体预案、专项预案和特殊场景预案(恢复预案);第五,对商业银行演练的频率、类型提出了明确要求;第六,明确了监管机构在中断事件中的责任和处置要点。《指引》的发布对于银监会业务连续性监管目标的实现以及我国商业银行BCM的发展起到了很好的促进作用。
不是一个软件那么简单
明确了实施BCM的重要性和必要性后,接下来要做的就是让BCM落到实处。
BCM的实施确实有许多难点。以一次传统的桌面演练为例,为准备一场历时两三个小时的演练,人们通常要花费三四周的时间;演练不仅需要专门的记录人员,而且对场地和设备也有一定要求;演练产生的相关数据、文档很难保存,演练过程无法回溯,相关的经验和知识也无法积累。对于缺少专业人员和相关知识、经验的企业或组织机构来说,BCM的实施确实不是一件易事。有没有一种工具,能有效整合与BCM相关的各种流程、策略、技术资源、人员等,将以前完全依靠人来执行的BCM策略和方法论变成一个可以自动执行的程序呢?
大约在三四年前,包括中金数据在内的一些国内外厂商已经想到这一点,并研发出业务连续性管理软件。尹晖表示:“中金数据的业务连续性管理软件CeBCM是中金数据自主研发,并以行业客户需求为导向,将多年积累的BCM项目实施经验软件化的成果。CeBCM 1.0的研发从2008年3月就开始了,之后过渡到CeBCM 2.0,2011年11月,CeBCM 3.0诞生了。”
与前两个版本相比,CeBCM 3.0增加了许多新功能,包括面向事中处理的应急管理模块、演练自动化管理功能等,并进一步完善了软件的合规性,特别是在事中处理模块中新增了短信群发、事中监控管理和专家辅助决策功能以及中金数据独有的业务连续性和灾备能力等级评估模型。CeBCM 3.0软件形成了包括事前、事中、事后处理的完整的闭环结构。
“国外的BCM软件厂商也进入了中国市场。不过,国外厂商销售的只是单纯的BCM软件,而中金数据的优势在于将成熟的BCM软件与中金数据的专业服务完美地结合在一起。”尹晖表示,“实施BCM的用户通常有许多个性化的需求,而且在实施BCM前,还要经过大量的需求调研和分析以及方案部署、测试和培训。因此,BCM软件厂商必须具备提供定制化服务和二次开发的能力。这正是中金数据的强项。”
那些不敢实施灾备系统切换的用户,是不是有了CeBCM就可以自如切换了?李可实话实说:“一个软件并不能解决业务连续性的所有问题。但是,用户通过部署CeBCM软件,可以逐步提高对业务连续性的认知水平以及对灾难恢复的管理能力。”
中国BCM刚起步
尹晖认为,中国在BCM方面处于刚起步的阶段。以银行业为例,大型国有商业银行已经开始重视业务连续性管理体系建设的实践,而股份制商业银行在BCM体系方面还处于萌芽状态,大量城市商业银行目前正在建设和不断完善其核心业务系统和灾难恢复系统,下一步会转到BCM上来。
李可补充说:“一个用户是否会积极地采用BCM,关键看其业务对IT系统的依赖程度有多高。如今,银行100%的业务都建立在IT系统之上。IT系统一旦出现问题,银行的业务可能会遭受巨大损失。如果按照用户对BCM的重视程度以及实施情况来划分等级,银行排名第一,其次是证券和保险业的用户,再次是电信行业的用户,最后是政府及电力行业的用户。”
2008年,在建设银行总行BCM体系咨询项目中,中金数据的专家还要给用户讲解BCM的概念。如今,建设银行已初步建立了首席风险官领导下的业务连续性日常管理机构,BCM的政策、管理流程、标准化工作也初步成形,并在2011年完成了总行级和分行级涉及部分业务的跨部门大演练,同时利用中金数据的CeBCM软件平台中的演练模块进行全程管理。此外,像交通银行、临商银行、恒丰银行等也都采用了CeBCM软件作为日常业务连续性管理平台和监管报送平台。
单纯依靠先进的硬件和软件,并不能完全解决业务连续性的问题。有些情况下,用户之所以不敢切换是担心一旦将业务系统切换到灾备中心,当故障消除后,业务系统很难完整无缺地切换回生产中心,因为将业务系统从灾备中心切换回生产中心,需要补齐缺失的数据,还要保证业务应用能正常运行,这些不是单纯依靠IT就能实现的,还需要业务和管理等层面的保障。“应对紧急情况,不能临时抱佛脚。只有在事前经过精心的准备,建立完善的层次化、体系化的应急预案,保证预案的正确性,并经过反复演练和验证,才能确保在故障发生时,用户能放心大胆地进行系统切换。”尹晖表示。
中金数据系统有限公司咨询业务部副总经理李可补充说:“有些大型的金融机构之所以不敢轻易进行灾备系统切换,是因为经过多年积累,其IT系统变得十分庞大且复杂,IT与业务之间的对应关系不清楚,从而增加了系统切换的难度。”
灾备系统只是从技术层面上为企业业务的持续运行提供了基本保障。如果想真正实现业务的连续性,企业必须建立一套切实可行的BCM(业务连续性管理)体系,这涉及到人、业务、流程、经验和知识等。
行业监管促进BCM发展
BSI公司在2007年发布了业务连续性管理标准BS25999。BS25999这样描述BCM:它是一个一体化的管理过程,通过这一过程,企业可以识别那些威胁企业的潜在风险,并提供一个指导性框架来建立企业的恢复能力和有效的应急响应能力,从而保障企业的资产、信誉、品牌不受损害。
BCM包括危机管理、应急管理和业务连续性计划(BCP)。在实际生活中,我们可以看到许多应用BCM理念的成功案例。在汶川地震发生后的第三天,工商银行四川分行就在都江堰建立了帐篷银行。这个应急业务办理点建立后的第一天,就办理对公结算业务76万元,ATM取现近20笔。
BCM在国外已经有40年的发展历史,而中国用户对BCM的认识源于2001年的“9·11”事件,但是直到2003年,中国才有用户开始实际采用BCM的方法论建设灾备体系。从目前情况看,大多数中国用户更关注的还是IT层面的问题,比如灾难恢复。从2005年起,国内一些关于灾难恢复、业务连续性的技术指南、国家标准等陆续推出,特别是金融行业内部的强制性行业指引、规范的颁布,对于促进中国BCM的发展起到了非常积极的作用。
由于业务的特殊性,银行业在BCM实践方面一直走在各行业的前面。银行业如此重视BCM,一方面是因为业务发展的需要,许多大型银行要走向国际市场,就必须满足国际市场对业务、信息安全、业务连续性的监管要求,因此加强内部管理、降低风险成了这些银行的自觉行为;另一方面,像大型国有商业银行、股份制商业银行已经基本完成了灾难恢复系统的建设,两地三中心甚至四中心的容灾解决方案对银行来说已经不是新鲜事,这些银行正将业务治理的重点从技术层面转向管理层面,因此BCM被提上了议事日程。
2011年底,银监会出台了《商业银行业务连续性监管指引》(以下简称《指引》)。该《指引》与原来同类的规范相比实现了几项创新:第一,首次明确了在业务连续性日常组织架构中,信息科技部门是执行部门;第二,商业银行应建立统一的应急指挥中心和清晰的报告流程,包括内部、外部和监管方;第三,进一步明确了信息系统中断事件的分级标准,包括特别重大、重大、较大三级;第四,首次明确了预案的类型,分为总体预案、专项预案和特殊场景预案(恢复预案);第五,对商业银行演练的频率、类型提出了明确要求;第六,明确了监管机构在中断事件中的责任和处置要点。《指引》的发布对于银监会业务连续性监管目标的实现以及我国商业银行BCM的发展起到了很好的促进作用。
不是一个软件那么简单
明确了实施BCM的重要性和必要性后,接下来要做的就是让BCM落到实处。
BCM的实施确实有许多难点。以一次传统的桌面演练为例,为准备一场历时两三个小时的演练,人们通常要花费三四周的时间;演练不仅需要专门的记录人员,而且对场地和设备也有一定要求;演练产生的相关数据、文档很难保存,演练过程无法回溯,相关的经验和知识也无法积累。对于缺少专业人员和相关知识、经验的企业或组织机构来说,BCM的实施确实不是一件易事。有没有一种工具,能有效整合与BCM相关的各种流程、策略、技术资源、人员等,将以前完全依靠人来执行的BCM策略和方法论变成一个可以自动执行的程序呢?
大约在三四年前,包括中金数据在内的一些国内外厂商已经想到这一点,并研发出业务连续性管理软件。尹晖表示:“中金数据的业务连续性管理软件CeBCM是中金数据自主研发,并以行业客户需求为导向,将多年积累的BCM项目实施经验软件化的成果。CeBCM 1.0的研发从2008年3月就开始了,之后过渡到CeBCM 2.0,2011年11月,CeBCM 3.0诞生了。”
与前两个版本相比,CeBCM 3.0增加了许多新功能,包括面向事中处理的应急管理模块、演练自动化管理功能等,并进一步完善了软件的合规性,特别是在事中处理模块中新增了短信群发、事中监控管理和专家辅助决策功能以及中金数据独有的业务连续性和灾备能力等级评估模型。CeBCM 3.0软件形成了包括事前、事中、事后处理的完整的闭环结构。
“国外的BCM软件厂商也进入了中国市场。不过,国外厂商销售的只是单纯的BCM软件,而中金数据的优势在于将成熟的BCM软件与中金数据的专业服务完美地结合在一起。”尹晖表示,“实施BCM的用户通常有许多个性化的需求,而且在实施BCM前,还要经过大量的需求调研和分析以及方案部署、测试和培训。因此,BCM软件厂商必须具备提供定制化服务和二次开发的能力。这正是中金数据的强项。”
那些不敢实施灾备系统切换的用户,是不是有了CeBCM就可以自如切换了?李可实话实说:“一个软件并不能解决业务连续性的所有问题。但是,用户通过部署CeBCM软件,可以逐步提高对业务连续性的认知水平以及对灾难恢复的管理能力。”
中国BCM刚起步
尹晖认为,中国在BCM方面处于刚起步的阶段。以银行业为例,大型国有商业银行已经开始重视业务连续性管理体系建设的实践,而股份制商业银行在BCM体系方面还处于萌芽状态,大量城市商业银行目前正在建设和不断完善其核心业务系统和灾难恢复系统,下一步会转到BCM上来。
李可补充说:“一个用户是否会积极地采用BCM,关键看其业务对IT系统的依赖程度有多高。如今,银行100%的业务都建立在IT系统之上。IT系统一旦出现问题,银行的业务可能会遭受巨大损失。如果按照用户对BCM的重视程度以及实施情况来划分等级,银行排名第一,其次是证券和保险业的用户,再次是电信行业的用户,最后是政府及电力行业的用户。”
2008年,在建设银行总行BCM体系咨询项目中,中金数据的专家还要给用户讲解BCM的概念。如今,建设银行已初步建立了首席风险官领导下的业务连续性日常管理机构,BCM的政策、管理流程、标准化工作也初步成形,并在2011年完成了总行级和分行级涉及部分业务的跨部门大演练,同时利用中金数据的CeBCM软件平台中的演练模块进行全程管理。此外,像交通银行、临商银行、恒丰银行等也都采用了CeBCM软件作为日常业务连续性管理平台和监管报送平台。