《业务连续性管理PPT幻灯片课件》由会员分享,可在线阅读,更多相关《业务连续性管理PPT幻灯片课件(150页珍藏版)》请在金锄头文库上搜索。
1、银行IT业务连续性管理基础介绍 1 BCM简介 目录 2 9 11事件中的案例 3 业务连续性 BCM 简介 BankofNewYork通讯线路全部中断 数据中心位于灾场附近 造成连锁反应 2001年10月18日 纽约银行声明 恐怖袭击破坏了部分计算机系统 一些分支机构被迫关闭 其第三季度的利润因此下降了33 DeutscheBank93年开始风险分析 建立了一套完成的业务连续性计划 BCP 以应对突发事件或灾难 灾难发生后 德意志银行调动4000多名员工及全球分行的资源 短时间内在距离纽约30公里的地方恢复了业务运行 9 11后 员工和客户对德意志银行都更加有信心 4 在 9 11 事件几个
2、小时后 摩根斯坦利公司便宣布 全球营业部可以在第二天照常工作 该公司建立的数据备份和远程容灾系统 保护了公司的重要数据 在关键时刻挽救了摩根斯坦利 同时也在一定程度上挽救了全球的金融行业 NYBOT 纽约商品交易所 的前身CSCF曾经历了世贸中心车库爆炸案 1993年 从此吸取了教训 制定了BCP计划 并坚持10年演练 9 11 事件几个小时后就在 长岛 开始恢复交易 短短时间内恢复了它在异地的运营 因为它很早就制定了BCP计划 并在灾难发生时发挥了作用 NYBOT劫后逢生的关键是BCP计划的策划和坚持 5 灾难对组织 企业的影响 科学统计 2 5的公司在经历大灾难后再也不能恢复运作 另外1
3、3在2年内也接着倒闭 GartnerGroup93 的公司在遭受严重的数据丢失后5年内倒闭 美国劳工部43 的美国公司在灾难后倒闭 另外29 或更多 的公司在2年内倒闭 威斯康星州大学 6 BCM简介 目录 7 BCM的历史 发展情况1979年在美国宾西尼亚州的费城建立的SunGardRecoveryServices 灾难备份和恢复与20世纪70年代中期在美国起步 源于美国中西部地区对电脑设施进行的备份 灾难备份行业的历史性标志是1979年在美国宾夕法尼亚州的费城建立了专业的商业化的灾备中心并对外提供服务 在这以后的10年里 美国的灾难备份行业得到了迅猛发展 拥有超过100家灾难备份中心服务商
4、 1989年以后的十年中 灾难备份服务供应商之间进行了大规模的合并和重组 到1999年市场上剩下31个灾难备份中心供应商 并以每年15 的速度增长 从上世纪80年代初到90年代中期 美国共成功完成582宗灾难恢复 9 11事件之后 灾难备份调查公司GlobeContinuityInc 对美国 英国 澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了调查 71 2 的公司使用了灾难备份中心 使用灾难备份中心的公司中 56 使用了商业化的灾难备份服务 29 使用自有的灾难备份中心 15 在商业化灾难备份服务的基础上同时拥有自己的备份设施 8 国外政府监督 美国1983年OCC 货币监理署
5、就发布了指引要求银行制定并维护灾难恢复计划 1989年FFIEC 联邦金融机构检查委员会 要求银行对灾难恢复计划进行测试 维护和演习 1997年和2000年 FFIEC突破性的规定金融机构的董事会和高层管理人员直接对灾难恢复计划负责 2003年修订成 联邦金融机构检查委员会业务连续计划手册 NASD 全美证券交易商协会 于2002年要求其成员在拥有灾难恢复计划的基础上建立指挥中心以协调灾难恢复工作 即从要求恢复运行能力向快速建立业务运行环境发展 Board 联邦储备委员会 SEC 证券交易委员会 和OCC于2003年5月28日发布了 关于增强金融机构遭到大范围灾难打击后的恢复能力提出了措施和实
6、施时间要求 9 国外政府监督 美国 续 美国卫生部在1996年对 健康保险可行性和可信性法案 HIPPA 进行了修订 对数据的交换 记录的保护和保护病人的隐私做出了标准化的规定 医疗机构评审联合委员会在1994年信息安全 备份及恢复计划等进行了规定 1993年 美国联邦政府发布了国家自动化信息资源安全条例 要求所有的政府部门对多方面系统和信息进行灾难恢复和业务连续性准备 1994年联邦政府又发布了联邦相应计划指导 FRPG01 94 明确了在灾难恢复和业务连续性计划的责任和目标 联邦政府在联邦准备性文件 FPC65 中对联邦机构的应急处理能力做出了详细指引 要求所涉及的机构在启动应急管理计划1
7、2小时内恢复运作 并必须保持运行30天以上的能力 FEMA 联邦紧急事务管理局 成立于1979年4月 是一个直接向总统报告的专门负责灾害应急的独立机构 与美国的其他27个政府机构 州和地方应急机构及红十字联合制定了全国性的灾害应急计划 10 国外政府监督 英国英国对金融行业的监管主要有FSA FinancialServicesAuthority 负责 还有英格兰银行和英国财政部 FSA要求关键机构的CEO级别主管向FSA报告其业务连续管理措施 其对金融机构的监督和检查手册 Seniormanagementarrangements SystemsandControls 中规定机构应对中断后重续经
8、营做出合理的安排 并更新 测试保证有效 TheFinancialServicesAuthortiyIncidentManagement Agenericguide 概括了金融服务管理局制定业务连续计划的方法 确定了金融服务管理局处理事故时采用的框架 CP142 Operationalrisksystemsandcontrols FSA在2002年7月30日发布了关于 运行风险系统和控制 的咨询性文件 包含了关于业务连续管理的章节向各方咨询意见 11 国外政府监督 新加坡新加坡金融管理局 MAS 于2001年7月在 INTERNETBANKINGTECHNOLOGYRISKMANAGEMENTG
9、UIDELINES 中对在线交易的银行作出了企业连续性运作的规定 2003年7月MAS发布了新的 BusinessContinuityManagementGuideline 提出了企业连续运作的7项原则 2005年新加坡技术标准委员会出台了业务连续 灾难恢复服务商评定标准SS507 澳大利亚2004年 澳大利亚金融管理委员会发布了针对信贷行业和保险行业的灾难恢复和业务连续管理标准草案 要求这两个行业内的公司必须有能力预见 评估 和管理在灾难或突发性事件发生后可能产生的业务连续运作危机 澳大利亚国家审计局 ANAO 也发布了一系列关于业务连续和灾难恢复的文件 12 国际协会 组织 国际灾难恢复协
10、会DRIInternational DRII 成立于1988年 是国际灾难备份和业务连续性的专业权威机构之一 致力于开发灾难备份和业务连续性的行业理论标准 提供研究和教育培训和专业人员资质认证 DRII发布的主要文件为 业务连续性计划操作实务 业务连续协会TheBusinessContinuityInstitute BCI 成立于1994 为全球提供关于灾难备份和业务连续性的专业指导机构 致力于提高行业专业水平的业务标准和商业规范的开发和维护 提供专家会员的国际交流和培训 BCI发布的主要文件 业务连续性管理 最佳惯例指南 13 国际协会 组织 国际标准化组织 ISO TheBaselComm
11、itteeonBankingSupervison美国信息科学学会 ASIS 美国国家防火协会 NFPA 美国国家标准和技术学会 NIST 加拿大标准学会澳大利亚标准化组织新加坡标准 生产力与创新局 SPRING 14 BCM在中国的现状 1999年 台湾行政院颁布了 行政院及所属各机关资讯安全管理规范 对业务连续计划和规划管理做出了明确规定 2000年 千年虫 事件引发了国内对于信息系统灾难的第一次集体性关注 在9 11之后 业务连续 灾难恢复的概念开始逐渐被国内组织所接收 香港金融管理局在2002年发布了 持续业务运作规划 在2003年后 国家出台了一系列的政策并召开了多次相关会议 2003
12、年9月 中共中央办公厅 国务院办公厅转发了 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 提出各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复2004年1月9日全国信息安全保障工作会议上下发了 关于做好国家重要信息系统容灾备份工作的通知 15 BCM在中国的现状 2005年1月国信办组织起草了 重要信息系统灾难恢复规划指南 2007年7月 国务院信息化工作办公室领导编制的 重要信息系统灾难恢复指南 正式升级成为国家标准 信息系统灾难恢复规范 GB T20988 2007 英国标准化协会在2006年推出了BCM标准 2008相关认证机构将在国内开始推广BC
13、M 必将推动BCM在中国的发展 目前在银行 电信 电力 税务 航空 电力 大型制造业等行业走在此领域的前面 相关行业目前纷纷出台关于此领域的行业规范 如 银行业信息系统灾难恢复管理规范 保险业信息系统灾难恢复管理规范 等 从国内监管要求的角度 也有不少涉及业务持续管理相关内容 但更多偏重IT灾难恢复的层次 对于业务连续管理和业务连续计划层面还没有具体 细化的要求 16 国内主要相关的监管要求 17 国内主要相关的监管要求 18 业务连续和灾难恢复现状和问题 小于40 的BCP DRP考虑了回切一从备份站点回切到主站点小于50 的BCP DRP讨论了交通工具和通讯设施中断的应对措施仅有33 的企
14、业为灾难恢复行动准备了预算仅有66 的组织定期检查备份数据的正确性仅有65 的BCP包含应对媒体的政策1 3的计划没有考虑业务功能的恢复次序75 的容灾环境配置没有与生产环境配置完全同步在开发BCP DRP过程中普遍缺乏高层管理人员的参与仅有25 的组织安排了针对全体员工的业务连续培训 19 BCM简介 目录 20 BCM定义与范围 广义 BCM是一个整体的管理过程 它能鉴别威胁组织潜在的影响 并且提供构建弹性机制的管理架构 以及确保有效反应的能力 以保护它的关键利益相关方的利益 声誉 品牌以及创造价值的活动 BCM对于一个提供产品和服务的企业评审 重新设计以及增强它对于业务中断 损失的恢复力
15、的方法提供了战略和操作层面的框架 21 BCM的范围 BCM不仅仅是灾难恢复 或者IT技术恢复 它不是一个专门的学科 而是由业务自身驱动的综合学科 其中设施管理 供应链管理 质量管理 健康和人身安全是我们比较熟悉的传统企业管理的重要方面 单独来看每一个学科都是独立的 但从全面的 整体的企业业务持续过程来看 它们都是必不可少的元素和组成部分 比如当发生灾难或突发事件时 如何保障企业生产的供应链不中断 产品和服务的质量不明显下降 设施资源的合理使用和调配 以及保障员工的健康和人身安全 其他学科则侧重于 风险管理 侧重于识别企业所面临的潜在的威胁 这些威胁所造成的影响和损失 以及相应的在可接受范围内
16、的预防控制措施 灾难恢复 侧重于当发生诸如自然灾害 恐怖袭击 设备损坏 人为失误等引起的灾难性事件 造成业务中断后如何进行业务恢复和业务重建的过程 紧急事件管理 侧重于面对影响企业业务发展和运营的突发事件和危机如何进行应急响应和好处理的策略 方法及流程 22 BCM的范围 信息安全管理 主要是指对信息资产的管理 涉及物理环境 访问控制 系统开发 操作运行等十一个方面 详见ISO17799 知识管理 是知识创造 存储 再利用 转移与应用知识的流程 是对知识资产进行系统管理 有序配置和利用组织治理或知识资产创造价值的方法 危机通信和公共关系 侧重于当发生灾难或突发性时间时如何保持企业对内对外通信联络保障 以及和诸如政府 媒体 运营商等公共关系的协调 BCM所涉及的范围不仅仅于上面所列出的几个方面 其核心是保障企业业务持续运行 因此 任何与此有关的领域都是其组成部分 例如人力资源管理 制定进行灾备恢复和应急相关关键岗位的职责以及人员的调配计划 所以说 BCM是一个开发的架构 需要一个企业内部多个部门的协作 23 四者之间的关系 我们可以举一个银行的例子 来诠释应急管理 业务连续管理 危机管理
