《银行业务连续性管理实践.docxVIP

银行业务连续性管理实践　银行业务连续性管理实践　高 军 修永春　随着银行业务和机构的不断扩张，信息化进程突飞猛进，如何更加有效地进行风险管理，保证金融安全稳定发展，是国内银行业监管部门和经营管理者共同关心的课题。2011年12月底，中国银监会发布《商业银行业务连续性监管指引》，明确商业银行应当将业务连续性管理纳入全面风险管理体系，建立与本机构战略目标相适应的业务连续性管理体系。只有构建真正有效的应对危机事件的业务连续性管理体系，使管理科学化、手段现代化，才能保证业务的连续运行，实现可持续发展。　业务连续性管理沿革　业务连续性管理概念最早脱胎于传统的IT备份与容灾恢复计划，但是随着IT系统规模的不断扩大，传统的以技术为中心的灾备越来越难保障企业在灾难面前的关键业务可用性，企业更需要一套标准化、分工明确的管理体系去帮助其应对灾害，这不仅包括IT技术层面，还体现在整个机构(企业、政府、组织)的管理架构层面。通常认为，业务连续性管理是一个一体化的管理过程，通过这一过程，可以识别威胁组织机构的潜在风险，并提供一个指导性框架来建立组织机构的恢复能力和有效应急响应能力，从而保护利益相关者的资产，组织机构的信誉、品牌及其创造价值的活动。　业务连续性管理的历史可追溯到20世纪60年代，那时业务连续性管理的思想和方法，是包含在风险管理、危机管理等理论中，并未单独作为一门学科来独立研究。而那时人们关注的主要是事件本身直接造成的损失（如人和物等），而对事件造成的其他损失（业务停止、工厂停工等）并未给予足够的重视，或是由于客观条件和技术手段所限，也没有能力对这方面提出更高的要求，只能是尽力而为。计算机系统在解决系统持续运行的问题时，率先对单点故障采用了冗余措施，这就是最早业务连续性管理思想的开端。　70年代，出现了容灾恢复计划的概念。当出现大的故障和危机时，中断是以天为单位来计算而不是以小时为单位。金融组织，如银行和保险公司大都建有另外的后备点，备份磁带存储在远离主中心的地点。　80年代后，随着计算机技术的迅速发展和普及，人们对信息技术的依赖越来越强烈，从而对数据及信息系统的安全提出了新的要求。此时催生了一种新技术的发展——灾难恢复（Disaster Recovery,简称DR），而在研究各种灾难恢复技术时，自然要考虑如何尽快恢复业务运行，即业务连续（Business Continuity,简称BC）,因为只有业务连续才是灾难恢复的最终目的。在这种背景之下，业务连续性计划的理论和方法得到了广泛的研究和重视。　90年代后，随着IT与业务的相互融合，业务连续性管理不仅仅局限于信息系统的灾难恢复服务，而是延伸到更为广泛的企业业务连续性管理领域。业务连续性管理不再局限在信息系统的可靠运行上，而是转移到了面向终端客户，转向服务的业务流程的连续保障方面。　为更好地理解业务连续性管理的过去和现在，笔者简要介绍一下其发展过程中三个重要的递进的概念，即灾难恢复（DR）,业务连续计划（BCP）及业务连续性管理（BCM）（见图1）。　在业务连续性管理理论发展的40年中，真正受到重视是在20世纪90年代，尤其是2001年美国911恐怖事件之后，开始了快速发展。2003年国际BCM权威组织DRII（国际灾难恢复协会）和BCI(国际业务持续协会）联合发布的业务连续性专业人士所用的国际最佳惯例，标志着业务连续性管理完整的知识体系形成。　作为一个相对较新的概念，业务连续性管理相关工作在中国刚刚起步，政府机构、学术界和企业界都已经认识到业务连续性管理的重要性并逐步重视起来。国内在这方面研究大致从两个领域进行：一个是围绕信息安全带来的新型安全危害事件所作的研究，典型应用就是国务院信息化办公室2005年颁布的《重要信息系统灾难恢复指南》；另一个是围绕应急管理体系所作的研究和实践，以2003年SARS挑战为契机，政府适时提出了建立国家应对自然灾害、公共卫生事件的应急管理体系，并于2007年11月1日颁布了《中华人民共和国突发事件应对法》。2008年汶川地震举国上下万众一心应对灾难，有效地展现了过去了10年中国在灾难应对、危机处置、紧急救援和善后处理方面所取得的成就。　国内监管现状　当今银行的日常业务运营高度依赖于信息系统，任何信息系统故障都会影响到银行的正常运转，造成经济损失或社会影响。在这种业务与信息系统紧密联系的模式下，一旦因为突发灾难造成关键业务数据丢失或信息系统不能尽快恢复，将严重地影响银行业务的正常运营，甚至会带来灭顶之灾。美国明尼苏达大学对灾害所造成的影响分析显示，各行业最长可忍受损失为日常营业额的50%；如两星期无法恢复信息系统，75%的公司业务将停顿，43%的公司将无法再开展业务；没有实施灾难备份的公司，将在灾后2～3年破产。　美国的权威信息调查机构Strategic Res