搜索
1业务连续与灾难恢复的意义2BCM的由来与发展3BCM的范围与定义4BS25999及相关标准简介BankofNewYork通讯线路全部中断;数据中心位于灾场附近;造成连锁反应……2001年10月18日,纽约银行声明,恐怖袭击破坏了部分计算机系统,一些分支机构被迫关闭,其第三季度的利润因此下降了33%。DeutscheBank93年开始风险分析,建立了一套完成的业务连续性计划(BCP),以应对突发事件或灾难。灾难发生后,德意志银行调动4000多名员工及全球分行的资源,短时间内在距离纽约30公里的地方恢复了业务运行。9.11后,员工和客户对德意志银行都更加有信心。在“9.11”事件几个小时后,摩根斯坦利公司便宣布:全球营业部可以在第二天照常工作。该公司建立的数据备份和远程容灾系统,保护了公司的重要数据,在关键时刻挽救了摩根斯坦利,同时也在一定程度上挽救了全球的金融行业。NYBOT(纽约商品交易所)的前身CSCF曾经历了世贸中心车库爆炸案(1993年),从此吸取了教训,制定了BCP计划,并坚持10年演练。“9.11”事件几个小时后就在“长岛”开始恢复交易,短短时间内恢复了它在异地的运营,因为它很早就制定了BCP计划,并在灾难发生时发挥了作用,NYBOT劫后逢生的关键是BCP计划的策划和坚持。科学统计——2/5的公司在经历大灾难后再也不能恢复运作,另外1/3在2年内也接着倒闭。—GartnerGroup93%的公司在遭受严重的数据丢失后5年内倒闭。—美国劳工部43%的美国公司在灾难后倒闭,另外29%(或更多)的公司在2年内倒闭。—威斯康星州大学1业务连续与灾难恢复的意义2BCM的由来与发展3BCM的范围与定义4BS25999及相关标准简介发展情况―1979年在美国宾西尼亚州的费城建立的SunGardRecoveryServices。―灾难备份和恢复与20世纪70年代中期在美国起步,源于美国中西部地区对电脑设施进行的备份。灾难备份行业的历史性标志是1979年在美国宾夕法尼亚州的费城建立了专业的商业化的灾备中心并对外提供服务。在这以后的10年里,美国的灾难备份行业得到了迅猛发展,拥有超过100家灾难备份中心服务商。1989年以后的十年中,灾难备份服务供应商之间进行了大规模的合并和重组,到1999年市场上剩下31个灾难备份中心供应商,并以每年15%的速度增长。―从上世纪80年代初到90年代中期,美国共成功完成582宗灾难恢复。―9.11事件之后,灾难备份调查公司GlobeContinuityInc.对美国、英国、澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了调查。·71.2%的公司使用了灾难备份中心,使用灾难备份中心的公司中,56%使用了商业化的灾难备份服务,29%使用自有的灾难备份中心,15%在商业化灾难备份服务的基础上同时拥有自己的备份设施。美国―1983年OCC(货币监理署)就发布了指引要求银行制定并维护灾难恢复计划;―1989年FFIEC(联邦金融机构检查委员会)要求银行对灾难恢复计划进行测试、维护和演习;―1997年和2000年,FFIEC突破性的规定金融机构的董事会和高层管理人员直接对灾难恢复计划负责;2003年修订成《联邦金融机构检查委员会业务连续计划手册》;―NASD(全美证券交易商协会)于2002年要求其成员在拥有灾难恢复计划的基础上建立指挥中心以协调灾难恢复工作,即从要求恢复运行能力向快速建立业务运行环境发展。―Board(联邦储备委员会)、SEC(证券交易委员会)和OCC于2003年5月28日发布了《关于增强金融机构遭到大范围灾难打击后的恢复能力提出了措施和实施时间要求。美国(续)―美国卫生部在1996年对《健康保险可行性和可信性法案》(HIPPA)进行了修订,对数据的交换、记录的保护和保护病人的隐私做出了标准化的规定;医疗机构评审联合委员会在1994年信息安全、备份及恢复计划等进行了规定。―1993年,美国联邦政府发布了国家自动化信息资源安全条例,要求所有的政府部门对多方面系统和信息进行灾难恢复和业务连续性准备;1994年联邦政府又发布了联邦相应计划指导(FRPG01-94),明确了在灾难恢复和业务连续性计划的责任和目标。―联邦政府在联邦准备性文件《FPC65》中对联邦机构的应急处理能力做出了详细指引,要求所涉及的机构在启动应急管理计划12小时内恢复运作,并必须保持运行30天以上的能力。―FEMA(联邦紧急事务管理局)成立于1979年4月,是一个直接向总统报告的专门负责灾害应急的独立机构,与美国的其他27个政府机构、州和地方应急机构及红十字联合制定了全国性的灾害应急计划。英国―英国对金融行业的监管主要有FSA(FinancialServicesAuthority)负责,还有英格兰银行和英国财政部;FSA要求关键机构的CEO级别主管向FSA报告其业务连续管理措施;―其对金融机构的监督和检查手册《Seniormanagementarrangements,SystemsandControls》中规定机构应对中断后重续经营做出合理的安排,并更新、测试保证有效;―《TheFinancialServicesAuthortiyIncidentManagement:Agenericguide》,概括了金融服务管理局制定业务连续计划的方法,确定了金融服务管理局处理事故时采用的框架;―《CP142:Operationalrisksystemsandcontrols》,FSA在2002年7月30日发布了关于“运行风险系统和控制”的咨询性文件,包含了关于业务连续管理的章节向各方咨询意见。新加坡―新加坡金融管理局(MAS)于2001年7月在《INTERNETBANKINGTECHNOLOGYRISKMANAGEMENTGUIDELINES》中对在线交易的银行作出了企业连续性运作的规定。―2003年7月MAS发布了新的《BusinessContinuityManagementGuideline》,提出了企业连续运作的7项原则。―2005年新加坡技术标准委员会出台了业务连续/灾难恢复服务商评定标准SS507。澳大利亚―2004年,澳大利亚金融管理委员会发布了针对信贷行业和保险行业的灾难恢复和业务连续管理标准草案,要求这两个行业内的公司必须有能力预见、评估、和管理在灾难或突发性事件发生后可能产生的业务连续运作危机;―澳大利亚国家审计局(ANAO)也发布了一系列关于业务连续和灾难恢复的文件国际灾难恢复协会―DRIInternational(DRII)成立于1988年,是国际灾难备份和业务连续性的专业权威机构之一;―致力于开发灾难备份和业务连续性的行业理论标准、提供研究和教育培训和专业人员资质认证;―DRII发布的主要文件为:《业务连续性计划操作实务》业务连续协会―TheBusinessContinuityInstitute(BCI)成立于1994,为全球提供关于灾难备份和业务连续性的专业指导机构;―致力于提高行业专业水平的业务标准和商业规范的开发和维护,提供专家会员的国际交流和培训;―BCI发布的主要文件《业务连续性管理:最佳惯例指南》国际标准化组织(ISO)TheBaselCommitteeonBankingSupervison美国信息科学学会(ASIS)美国国家防火协会(NFPA)美国国家标准和技术学会(NIST)加拿大标准学会澳大利亚标准化组织新加坡标准、生产力与创新局(SPRING)……1999年,台湾行政院颁布了《行政院及所属各机关资讯安全管理规范》,对业务连续计划和规划管理做出了明确规定;2000年,“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注;在9.11之后,业务连续/灾难恢复的概念开始逐渐被国内组织所接收;香港金融管理局在2002年发布了《持续业务运作规划》;在2003年后,国家出台了一系列的政策并召开了多次相关会议;―2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)提出各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复―2004年1月9日全国信息安全保障工作会议上下发了《关于做好国家重要信息系统容灾备份工作的通知》―2005年1月国信办组织起草了《重要信息系统灾难恢复规划指南》―2007年7月,国务院信息化工作办公室领导编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》(GB/T20988-2007)―英国标准化协会在2006年推出了BCM标准,2008相关认证机构将在国内开始推广BCM,必将推动BCM在中国的发展。目前在银行、电信、电力、税务、航空、电力、大型制造业等行业走在此领域的前面;相关行业目前纷纷出台关于此领域的行业规范,如《银行业信息系统灾难恢复管理规范》、《保险业信息系统灾难恢复管理规范》等;从国内监管要求的角度,也有不少涉及业务持续管理相关内容,但更多偏重IT灾难恢复的层次,对于业务连续管理和业务连续计划层面还没有具体、细化的要求。监管要求名称发布机构涉及内容商业银行内部控制指引银监会明确商业银行建立有效的应急预案及定期进行测试,并在发生紧急情况下参照执行。银行业金融机构信息系统风险管理指引银监会对于信息系统应急预案的建立、定期演练、评审和修订提出了要求,对于应急预案的具体内容未作描述;提出了数据中心进行数据备份的地域要求。2006年度银行金融机构信息科技风险评价评审要点银监会明确来业务连续计划的职责和机制、业务连续计划的制定和实施、备份中心的管理与操作、业务连续计划的测试和维护等方面的审计要点。银行业信息系统灾难恢复管理规范中国人民银行规定了银行业信息系统灾难恢复应遵循的管理要求。关于进一步加强银行业金融机构信息安全保障工作的指导意见中国人民银行提出了对实施数据集中的银行金融机构在加强灾难恢复系统建设的要求,包括灾备中心建设、应急预案演练等。关于加强银行数据集中安全工作的中国人民银行提出对于数据集中的银行建立灾备中心的相关要求;提出要建立业务连续计划,以及业务连续计划的演练要求。监管要求名称发布机构涉及内容银行数据处理中心灾难备份安全管理规范中国人民银行对银行灾难备份的实施目的、流程、组织与职责、需求确定、灾难备份方案及灾难恢复计划的制定给予了技术及管理方面的指引;在附件中给出了灾难备份方案分级方法及灾难备份中心建设指导意见。保险业信息系统灾难恢复管理指引保监会规定了保险业信息系统灾难恢复应遵循的管理要求。证券公司内部控制指引证监会要求应制定和定期修订灾难恢复和应急处理预案,建立应急演习机制,确保及时有效地处理各种故障和危机。重要信息系统灾难恢复指南国信办从灾难恢复规划的管理、灾难恢复的需求分析、灾难恢复等级的确定、灾难恢复等级的实现、灾难恢复预案的制订、落实和管理等方面,对灾难恢复的规划和准备活动的规范化要求进行全面描述。信息安全技术信息系统安全等级保护基本要求公安部在第四级基本要求中提出对建立灾难恢复计划及相应测试机制的要求。小于40%的BCP/DRP考虑了回切一从备份站点回切到主站点小于50%的BCP/DRP讨论了交通工具和通讯设施中断的应对措施仅有33%的企业为灾难恢复行动准备了预算仅有66%的组织定期检查备份数据的正确性仅有65%的BCP包含应对媒体的政策1/3的计划没有考虑业务功能的恢复次序75%的容灾环境配置没有与生产环境配置完全同步在开发BCP/DRP过程中普遍缺乏高层管理人员的参与仅有25%的组织安排了针对全体员工的业务连续培训1业务连续与灾难恢复的意义2BCM的由来与发展3BCM的范围与定义4BS25999及相关标准简介BCM是一个整体的管理过程,它能鉴别威胁组织潜在的影响,并且提供构建弹性机制的管理架构,以及确保有效反应的能力;以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动。BCM对于一个提供产品和服务的企业评审、重新设计以