银行业灾备及业务连续性管理：从混沌走向清明

  《金融时报》记者 潘竑 2007-01-17

    每每提及灾难备份与业务连续性管理，银行业总是被誉为行业中的“领头羊”。这不仅是由于其起步早，上世纪90年代末，部分银行在实施数据大集中的同时，就已着手进行灾备中心的建设了；更是由于2006年以来，银行业对灾难备份与业务连续性管理的认识进一步深入，一些模糊的概念逐渐被澄清，一些强有力的措施逐步被采纳和推广。监管机构不但拟定和出台了相关的指引和管理规范，商业银行也都加强了灾备中心的建设与完善，特别是陆续开展了业务连续性体系规划和应急演练，灾备咨询与外包也更加深入而规范，真正将灾难备份提升到了业务连续性管理的高度。

    业务连续性管理，不只是IT部门的事

    “业务连续性管理不是一个概念，也不是一个产品，而是与公司治理紧密联系在一起，是公司治理中至关重要的一环。”美国国际灾难恢复协会（DRII）教育委员会主席Scotphelps在接受记者采访时表示。诚如其所言，过去，信息安全经常被当作一个单纯的技术或管理问题，而在当今的银行业，它已经演化为一个涉及到政府部门、监管机构、外部审计、技术服务提供商、银行董事会与管理层等所有利益相关者的公司治理问题。

    对此，国内银行业已有先知先觉者。

    为实现对信息系统风险的识别、计量、评价、预警和控制，有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进银行业安全、持续、稳健运行，2006年11月，银监会发布了《银行业金融机构信息系统风险管理指引》。银监会主席刘明康将信息科技导致的风险，列为银行业四大风险之一，要求各银行尽快树立并强化信息科技安全风险意识，从建立良好公司治理、提高风险管理支持可靠性、提高金融创新能力和竞争能力、维护金融体系稳定性等方面，认识加强信息科技风险管理工作的重要性，着力研究和防范信息科技的操作风险、战略风险、法律和声誉风险。

    “当前我国银行业信息科技风险管理要着重关注和做好信息科技建设与业务发展的协调、信息安全的内部控制体系、信息科技体系变动和发展的管理、信息系统运行和操作管理，以及业务持续性规划的研究和制定等五方面工作。”刘明康在“信息科技风险管理与评价审计工作会议”上的这番话，首次将“业务持续性规划的研究和制定”在科技风险管理工作中点出，进一步明确了业务连续性管理在银行公司治理与风险管理中的重要地位。

    既然业务连续性管理是公司治理、风险管理中极其重要的一环，银行就不应单单从IT部门来看待和管理这项工作，而势必要上升到决策层来组织和推动这项工作，灾备系统也不仅仅是IT项目，而应是管理项目。

    记者在采访中了解到，2006年1月，灾备第三方服务商GDS公司接受了一家银行的委托，为其进行了国内第一家不是由IT部门主导的业务连续规划咨询。这一咨询是由该行的风险管理部牵头，十几个业务部门加入，IT部门只是作为一个支持部门参加。为此，该行还成立了专门的业务持续委员会，来规划管理整个银行的风险评估、业务影响分析、策略规划、应急体系等工作。当国内其他银行业务连续性管理组织的角色还在风险管理、IT等部门之间游离，业务连续性管理的职责分工仍未十分明确之时，该行就率先成立了业务持续委员会来统筹此项工作，业内专家认为此举颇富远见。

    据介绍，国外金融机构在业务连续性管理的组织架构上，基本分为三类，一类由风险管理部门来领导，一类由IT部门来领导，还有一类是专门成立业务连续管理指导委员会，将业务部门、风险管理部门和IT部门有关业务连续性的管理职责融于一处统筹管理。由于拥有跨部门协调性好、执行力强等特点，第三种管理模式愈来愈受到国际大银行的青睐。 

    透过一个强有力的组织结构，不但能够保证灾备及业务连续性计划项目的实施及后期的维护升级，更重要的是，在银行内营造一种上至决策层，下至每个员工都高度重视业务连续性管理的企业文化。而这一文化的建立，是对银行业务连续运营的最佳保障。

    业务连续性计划，大处着眼小处着手

    有人说，灾备和业务连续性管理是一把“双刃剑”。利剑的一面是，当银行的日常运营高度依赖于信息系统时，不上灾备项目绝对是死路一条；利剑的另一面则是，灾备项目投资与回报的尺度不易把握，业务连续性计划的设定与落实不易掌控。让银行感到困惑的是，当灾难发生时，如何既不反应过度，而又按照一套科学的流程和方法化解风险？如何既着眼于解决当下的灾备、应急管理问题，又能逐步完善整体的业务连续性计划，一步步地抵达业务连续性管理的最高境界？

    “在启动业务连续项目建设时，首先要对项目的最终目标有一个全面清晰的认知。”GDS万国数据公司总裁黄伟在接受记者采访时表示，“这就好比是寻宝前，先要找到一张藏宝图，对寻宝的路线事先有一个全面的了解，然后，一步一步地按照地图去寻找，这样才不会茫无头绪，迷失方向。”一般来说，银行都是从其信息系统的备份与切换开始灾备项目建设的，但是，他们逐渐会明白灾备建设是一个长期、全面、持续完善的工作，并非只是通过一个项目就能完成的，最终势必要上升到业务连续管理及危机管理的高度。因此，银行应先全面了解业务连续性管理的整体框架，达成业务连续性管理所必经的每一个阶段，每一阶段中业务、风控、IT部门如何彼此配合，银行内外各机构如何彼此衔接等等，接着，再分析清楚自身当前正处于业务连续性管理的哪个阶段，做到既对未来要走的路有全面清醒的认识，又对眼前要走的每一步有准确无误的把握，如此一步一步走上去，才会步步踏实，步步趋向业务连续性管理的最高目标。

    一般来说，银行的业务连续性管理（BCM）体系建设可分为五个阶段：业务连续性管理整体规划；核心业务系统的业务连续性计划（BCP）建设；各前台业务部门、各业务网点和分支机构的BCP建设；后台应用系统和非关键业务系统的BCP建设；涵盖关联机构的全企业范围的BCM。银行如能按照这五大步骤依次构建业务连续管理体系，既可从IT系统的备份与灾难恢复上启动BCP建设，又可将BCM嵌入到银行的整体制度、组织和资源中去，以此全面提高银行的风险防范能力。“实施BCM并非一日之功，国内银行在标准体系建设、方法论和由最佳实践总结出的经验等方面尚需完善，但相对于其所采用的技术手段和IT解决方案，建立长效机制可能是目前国内银行在BCM构建中最为重要的一件事。”黄伟如是强调。

    应急演练，时刻准备应对危机

    前两年，由于灾备建设缺乏规范，业务与IT部门配合不易达成，日常管理维护不到位，以及系统切换、应急演练自身所具复杂性等种种原因，导致一些银行的灾备系统应急演练一直未能定期进行。然而，这种状况在2006年却有了很大的改观———不但是大银行增加扩大了应急演练的次数和规模，连中小银行也尝试着进行应急演练，以检验灾备系统的可用性和计算机系统抵御风险的能力。

    2006年1月14日凌晨0点至15日凌晨1点，民生银行科技部、会计部和稽核部等相关部门共同进行了一次为期25小时的核心业务系统灾备演练，对其核心业务系统和生产网络进行了成功的系统切换。7月16日，继灾备通讯系统切换演练、备份主机切换演练后，北京银行又进行了整个灾备中心系统的切换演练。12月16日，乌鲁木齐市商行在会计出纳部、行政办公室及科技部的密切合作下，也圆满完成了灾难备份中心系统的应急切换演练。

    如果说上述几家还只是在银行内部进行的应急演练，影响波及面较小，那么，10月30日至11月3日，中央国债登记结算公司展开的为期一周的“中央债券综合业务系统”灾备系统演练，则成功检验了债券系统各主要业务功能保障能力及其与交易系统、支付系统和CA认证系统接口的灾备运行能力，建立了中央结算公司与相关单位密切合作、共同应对全国银行间债券市场突发事件、确保市场安全运行的有效机制，进一步提高了金融市场基础设施的运行管理能力。

    “应急演练是检验、评价和保持应急能力的一个重要手段。可以在事故真正发生前暴露预案和程序的缺陷，发现应急资源的不足，改善各应急部门、机构、人员之间的协调，提高应急人员的熟练程度和技术水平，进一步明确各自的岗位与职责，提高各级预案之间的协调性，提高整体应急反应能力。”人行灾备方面有关负责人告诉记者，正在报批中的《银行业信息系统恢复管理规范》，已经明确要求建立灾难备份的单位，原则上应该每年生产中心和备份中心做一次切换演练。“过去，一些银行认为灾备系统及BCM体系一旦建立，就可以高枕无忧了，其实，这只是保持业务连续性的开始而已，只是迈出了万里长征的第一步。任何一家银行的任何一个业务连续管理流程和整体解决方案，都不会是完美无缺的，都需要在实践中不断完善改进，如此才能在灾难真正降临时做到心中有数，应对有方。”

    灾备外包，知己知彼百战不殆

    基于对资金投入大、建设周期长、专业管理水平高等方面的综合考量，国内一些银行在进行灾备项目建设时，越来越倾向于采用外包的模式。然而，由于有关外包服务的相关政策尚未明确，近年来银行业真正全面采用灾备外包的，只有深圳发展银行一家。进入2006年，却一连有广东发展银行、国家开发银行、中国进出口银行等几家银行，陆续引入第三方外包服务商进行灾备及业务连续性管理规划及项目建设。

    专家分析这是由于，一方面，银监会发布的《银行业金融机构信息系统风险管理指引》中对信息系统外包已有了明确的规定与要求；另一方面，银行本身对外包商的选择更加审慎，对外包商的管理更加到位，与此同时，外包商自身的服务能力也有了大幅度的提升。广发行科技处处长钟展东在介绍其灾备项目外包时表示：“外包服务商的选择是有一定学问的，对服务商要有严格细致的要求，在选择时一定要非常仔细。要认真考察服务商的专业性、稳定性、整体服务质量以及管理的经验。这当中，稳定的服务队伍、数据中心与生产中心的地理位置与间隔距离、对突发事件的应急技术与能力都是需要综合考虑的。另外，在外包给服务商之后，还要建立对服务商质量评估分析制度。签订严格的服务范围和服务水平合同，并对服务商进行实时现场考核与审计；同时，根据实际情况的变更，及时调整数据中心的管理；通过定期的演练去考核服务商的应急恢复能力。”

    在项目进行期间，银行也绝不是袖手旁观。钟展东在总结银行对灾备中心项目的管控时提出两点：首先，银行需建立多层次、多方面的监理制度，这便于权责明确，做到组织严密；另外，银行相关人员要稳定，生产中心需要有一套严格的生产管理制度，并与服务商的外包灾备中心生产管理制度相配套和协调。另外，安全是外包的核心问题。在灾备项目招标过程中，一定要有很明确的安全要求，系统安全的管理、数据的管理、密钥的管理，是不能外包出去的，最关键的东西要由银行自己来掌握。而且，外包灾难备份中心建设必须有相当严格的安全管理技术流程，能够符合行内相应的管理要求，并且要与外包服务商签订很详细的保密协议。

    对于银行来说，虽然威胁到业务连续运营的各种风险将永远存在，但是，只要破除了种种错误混淆的知见，清醒地评估分析这些风险，同时建立应对风险的完善机制，全行上下形成业务连续性管理的企业文化，不断加强灾备建设与应急演练，风险将被有效地分散与排除，银行也将被锻造得更加强而有力。