《业务连续性管理》由会员分享,可在线阅读,更多相关《业务连续性管理(150页珍藏版)》请在金锄头文库上搜索。
1、银行IT业务连续性管理 基础介绍,BCM简介 - 目录,9.11事件中的案例,业务连续性(BCM)简介,Bank of New York 通讯线路全部中断;数据中心位于灾场附近;造成连锁反应 2001年10月18日,纽约银行声明,恐怖袭击破坏了部分计算机系统,一些分支机构被迫关闭,其第三季度的利润因此下降了33%。 DeutscheBank 93年开始风险分析,建立了一套完成的业务连续性计划(BCP),以应对突发事件或灾难。 灾难发生后,德意志银行调动4000多名员工及全球分行的资源,短时间内在距离纽约30公里的地方恢复了业务运行。 9.11后,员工和客户对德意志银行都更加有信心。,在“9.1
2、1”事件几个小时后,摩根斯坦利公司便宣布:全球营业部可以在第二天照常工作。该公司建立的数据备份和远程容灾系统,保护了公司的重要数据,在关键时刻挽救了摩根斯坦利,同时也在一定程度上挽救了全球的金融行业。 NYBOT(纽约商品交易所)的前身CSCF曾经历了世贸中心车库爆炸案(1993年),从此吸取了教训,制定了BCP计划,并坚持10年演练。“9.11”事件几个小时后就在“长岛”开始恢复交易,短短时间内恢复了它在异地的运营,因为它很早就制定了BCP计划,并在灾难发生时发挥了作用,NYBOT劫后逢生的关键是BCP计划的策划和坚持。,灾难对组织/企业的影响,科学统计 2/5的公司在经历大灾难后再也不能恢
3、复运作,另外1/3在2年内也接着倒闭。 GartnerGroup 93%的公司在遭受严重的数据丢失后5年内倒闭。 美国劳工部 43%的美国公司在灾难后倒闭,另外29%(或更多)的公司在2年内倒闭。 威斯康星州大学,BCM简介 -目录,BCM的历史,发展情况 1979年在美国宾西尼亚州的费城建立的SunGard Recovery Services。 灾难备份和恢复与20世纪70年代中期在美国起步,源于美国中西部地区对电脑设施进行的备份。灾难备份行业的历史性标志是1979年在美国宾夕法尼亚州的费城建立了专业的商业化的灾备中心并对外提供服务。在这以后的10年里,美国的灾难备份行业得到了迅猛发展,拥有
4、超过100家灾难备份中心服务商。1989年以后的十年中,灾难备份服务供应商之间进行了大规模的合并和重组,到1999年市场上剩下31个灾难备份中心供应商,并以每年15%的速度增长。 从上世纪80年代初到90年代中期,美国共成功完成582宗灾难恢复。 9.11事件之后,灾难备份调查公司Globe Continuity Inc.对美国、英国、澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了调查。 71.2%的公司使用了灾难备份中心,使用灾难备份中心的公司中,56%使用了商业化的灾难备份服务,29%使用自有的灾难备份中心,15%在商业化灾难备份服务的基础上同时拥有自己的备份设施。,国外政府监
5、督,美国 1983年OCC(货币监理署)就发布了指引要求银行制定并维护灾难恢复计划; 1989年FFIEC(联邦金融机构检查委员会)要求银行对灾难恢复计划进行测试、维护和演习; 1997年和2000年,FFIEC突破性的规定金融机构的董事会和高层管理人员直接对灾难恢复计划负责;2003年修订成联邦金融机构检查委员会业务连续计划手册; NASD(全美证券交易商协会)于2002年要求其成员在拥有灾难恢复计划的基础上建立指挥中心以协调灾难恢复工作,即从要求恢复运行能力向快速建立业务运行环境发展。 Board(联邦储备委员会)、SEC(证券交易委员会)和OCC于2003年5月28日发布了关于增强金融机
6、构遭到大范围灾难打击后的恢复能力提出了措施和实施时间要求。,国外政府监督,美国(续) 美国卫生部在1996年对健康保险可行性和可信性法案(HIPPA)进行了修订,对数据的交换、记录的保护和保护病人的隐私做出了标准化的规定;医疗机构评审联合委员会在1994年信息安全、备份及恢复计划等进行了规定。 1993年,美国联邦政府发布了国家自动化信息资源安全条例,要求所有的政府部门对多方面系统和信息进行灾难恢复和业务连续性准备;1994年联邦政府又发布了联邦相应计划指导(FRPG01-94),明确了在灾难恢复和业务连续性计划的责任和目标。 联邦政府在联邦准备性文件FPC 65中对联邦机构的应急处理能力做出
7、了详细指引,要求所涉及的机构在启动应急管理计划12小时内恢复运作,并必须保持运行30天以上的能力。 FEMA(联邦紧急事务管理局)成立于1979年4月,是一个直接向总统报告的专门负责灾害应急的独立机构,与美国的其他27个政府机构、州和地方应急机构及红十字联合制定了全国性的灾害应急计划。,国外政府监督,英国 英国对金融行业的监管主要有FSA(Financial Services Authority)负责,还有英格兰银行和英国财政部;FSA要求关键机构的CEO级别主管向FSA报告其业务连续管理措施; 其对金融机构的监督和检查手册Senior management arrangements , Sy
8、stems and Controls中规定机构应对中断后重续经营做出合理的安排,并更新、测试保证有效; The Financial Services Authortiy Incident Management : A generic guide,概括了金融服务管理局制定业务连续计划的方法,确定了金融服务管理局处理事故时采用的框架; CP142:Operational risk systems and controls,FSA在2002年7月30日发布了关于“运行风险系统和控制”的咨询性文件,包含了关于业务连续管理的章节向各方咨询意见。,国外政府监督,新加坡 新加坡金融管理局(MAS)于2001
9、年7月在INTERNET BANKING TECHNOLOGY RISK MANAGEMENT GUIDELINES中对在线交易的银行作出了企业连续性运作的规定。 2003年7月MAS发布了新的Business Continuity Management Guideline,提出了企业连续运作的7项原则。 2005年新加坡技术标准委员会出台了业务连续/灾难恢复服务商评定标准SS 507。 澳大利亚 2004年,澳大利亚金融管理委员会发布了针对信贷行业和保险行业的灾难恢复和业务连续管理标准草案,要求这两个行业内的公司必须有能力预见、评估、和管理在灾难或突发性事件发生后可能产生的业务连续运作危机;
10、 澳大利亚国家审计局(ANAO)也发布了一系列关于业务连续和灾难恢复的文件,国际协会、组织,国际灾难恢复协会 DRI International(DRII)成立于1988年,是国际灾难备份和业务连续性的专业权威机构之一; 致力于开发灾难备份和业务连续性的行业理论标准、提供研究和教育培训和专业人员资质认证; DRII发布的主要文件为:业务连续性计划操作实务 业务连续协会 The Business Continuity Institute(BCI)成立于1994,为全球提供关于灾难备份和业务连续性的专业指导机构; 致力于提高行业专业水平的业务标准和商业规范的开发和维护,提供专家会员的国际交流和培训
11、; BCI发布的主要文件业务连续性管理:最佳惯例指南,国际协会、组织,国际标准化组织(ISO) The Basel Committee on Banking Supervison 美国信息科学学会(ASIS) 美国国家防火协会(NFPA) 美国国家标准和技术学会(NIST) 加拿大标准学会 澳大利亚标准化组织 新加坡标准、生产力与创新局(SPRING) ,BCM在中国的现状,1999年,台湾行政院颁布了行政院及所属各机关资讯安全管理规范,对业务连续计划和规划管理做出了明确规定; 2000年,“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注; 在9.11之后,业务连续/灾难恢复的概念开
12、始逐渐被国内组织所接收; 香港金融管理局在2002年发布了持续业务运作规划; 在2003年后,国家出台了一系列的政策并召开了多次相关会议; 2003年9月,中共中央办公厅、国务院办公厅转发了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)提出各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复 2004年1月9日全国信息安全保障工作会议上下发了关于做好国家重要信息系统容灾备份工作的通知,BCM在中国的现状,2005年1月国信办组织起草了重要信息系统灾难恢复规划指南 2007年7月,国务院信息化工作办公室领导 编制的重要信息系统灾难恢复指南正式升级成为国家标准信息系
13、统灾难恢复规范(GB/T 20988-2007) 英国标准化协会在2006年推出了BCM标准,2008相关认证机构将在国内开始推广BCM,必将推动BCM在中国的发展。 目前在银行、电信、电力、税务、航空、电力、大型制造业等行业走在此领域的前面; 相关行业目前纷纷出台关于此领域的行业规范,如银行业信息系统灾难恢复管理规范、保险业信息系统灾难恢复管理规范等; 从国内监管要求的角度,也有不少涉及业务持续管理相关内容,但更多偏重IT灾难恢复的层次,对于业务连续管理和业务连续计划层面还没有具体、细化的要求。,国内主要相关的监管要求,国内主要相关的监管要求,业务连续和灾难恢复现状和问题,小于40%的BCP
14、/DRP考虑了回切一从备份站点回切到主站点 小于50%的BCP/DRP讨论了交通工具和通讯设施中断的应对措施 仅有33%的企业为灾难恢复行动准备了预算 仅有66%的组织定期检查备份数据的正确性 仅有65%的BCP包含应对媒体的政策 1/3的计划没有考虑业务功能的恢复次序 75%的容灾环境配置没有与生产环境配置完全同步 在开发BCP/DRP过程中普遍缺乏高层管理人员的参与 仅有25%的组织安排了针对全体员工的业务连续培训,BCM简介 -目录,BCM定义与范围(广义),BCM是一个整体的管理过程,它能鉴别威胁组织潜在的影响,并且提供构建弹性机制的管理架构,以及确保有效反应的能力;以保护它的关键利益
15、相关方的利益、声誉、品牌以及创造价值的活动。 BCM对于一个提供产品和服务的企业评审、重新设计以及增强它对于业务中断、损失的恢复力的方法提供了战略和操作层面的框架。,BCM的范围,BCM不仅仅是灾难恢复,或者IT技术恢复,它不是一个专门的学科,而是由业务自身驱动的综合学科。其中设施管理、供应链管理、质量管理、健康和人身安全是我们比较熟悉的传统企业管理的重要方面,单独来看每一个学科都是独立的,但从全面的、整体的企业业务持续过程来看,它们都是必不可少的元素和组成部分。比如当发生灾难或突发事件时,如何保障企业生产的供应链不中断,产品和服务的质量不明显下降,设施资源的合理使用和调配,以及保障员工的健康
16、和人身安全。其他学科则侧重于: 风险管理:侧重于识别企业所面临的潜在的威胁,这些威胁所造成的影响和损失,以及相应的在可接受范围内的预防控制措施; 灾难恢复:侧重于当发生诸如自然灾害、恐怖袭击、设备损坏、人为失误等引起的灾难性事件,造成业务中断后如何进行业务恢复和业务重建的过程; 紧急事件管理:侧重于面对影响企业业务发展和运营的突发事件和危机如何进行应急响应和好处理的策略、方法及流程;,BCM的范围,信息安全管理:主要是指对信息资产的管理,涉及物理环境、访问控制、系统开发、操作运行等十一个方面(详见ISO17799); 知识管理:是知识创造、存储/再利用、转移与应用知识的流程,是对知识资产进行系统管理、有序配置和利用组织治理或知识资产创造价值的方法; 危机通信和公共关系:侧重于当发生灾难或突发性时间时如何保持企业对内对外通信联络保障,以及和诸如政府、媒体、运营商等公共关系的协调。 BCM所涉及的范围不仅仅于上面所列出的几个方面,其核心是
