搜索
文件编号:GDS-DR-SH业务连续性实施建议编写单位:万国数据服务(深圳)有限公司1.业务连续性规划介绍9.11,北美大停电,SARS……一连串突如其来的灾难事件,严重地影响了企业业务的正常运作,对经济发展产生了很大的冲击,甚至会给企业带来灭顶之灾。面对危机,如何采用管理和技术手段,构建一个常效的危机的管理体系,保证企业的长期可持续发展是贵公司需要严重关注的企业战略问题。贵公司如何构建一个架构和流程,使企业在面临突发的灾难事故时,保证业务的正常运作,阻止和有效的抵消这些威胁,以保护股东的利益、公司的名誉及品牌是放在我们面前严峻而迫切的课题。业务连续规划(BusinessContinuityPlanning,简称BCP))是灾难事故的预防和反应机制,是一系列企业事先的策略和规划,确保企业在面临突发的灾难事故时,企业运作的关键功能能持续、有效的发挥作用,以保证业务的正常和连续。业务连续规划不仅仅包括IT基础架构,而且包括关键业务运作、人员及其它重要资源等的恢复和持续,是在对企业进行业务冲击分析及风险分析并将其科学评估的基础上,制定相应的应急及恢复计划、方法和流程,以减轻灾难对于企业的影响。2.业务连续性规划的必要性业务连续性和灾难备份项目的建设对于从事数据安全高要求的机构而言,是可持续长期发展的重要工作任务,越来越体现出其重要性和迫切性。我部认为贵机构需要对业务连续性规划项目高度重视,并进行科学的规划。业务连续性规划项目的建设是:金融企业长期可持续发展的要求国家政策和行业监管的要求加强公司风险管理,提高市场竞争力的重要手段企业管理者的重要职责具体而言:金融企业长期可持续发展的要求业务中断可能会摧垮企业,研究表明与制订了业务连续性计划的企业相比未制订业务连续性计划的企业所冒的风险要高得多。根据GartnerGroup的预测,发生灾难之后,29%的企业将在24个月之内破产,43%的企业将在5年之内倒闭。业务连续性并不是一个新概念,它一直都受到各行各业高层领导的高度重视。从灾难打击中迅速恢复的能力是保险公司战略经营计划中极为重要的环节。业务连续性建设也是国际先进金融企业业务策略中的关键环节之一,有了稳定可靠的业务连续性规划,才能保证整个业务的持续稳定运行。因此,作为对数据安全有着高度要求的机构,目前贵机构的业务运作模式决定对业务连续性建设需求的必要性和迫切性。业务连续性规划的建设实质上就是贵机构投资为自己的核心运作购买一份关键的保险。是国家政策和保险行业监管的要求国家信息化领导小组在信息安全会议上多次强调要切实加强信息安全保障工作,坚持积极防御、综合防范的方针,建立有效的信息安全有效机制和应急处理机制。2003年,中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),明确要求重要信息系统提高抵御灾难和重大事故的能力,提倡资源共享,鼓励社会力量参与灾难恢复设施建设和提供技术服务。2004年9月,国信办下发了《关于加强国家重要信息系统灾难备份工作的意见》(信安通[2004]11号)。强调“统筹规划、资源共享、平战结合”的灾备工作原则;并明确“谁主管谁负责、谁运行谁负责”的建设及管理方针。2004年10月,中国保监会下发了《关于做好保险信息系统灾难备份工作的通知》(保监发[2004]127号),要求确保已有的关键数据和关键业务在灾难发生后,在确定的时间内可以恢复和继续运营的过程,并确保保险信息的安全运行。2005年4月,国信办下发了《重要信息系统灾难恢复指南》(国信办〔2005〕8号)。这是我国关于灾难恢复工作的第一份国家层面的指导性文件,该指南从灾难恢复的管理、灾难恢复的流程、灾难恢复策略、灾难恢复预案等方面对灾难恢复工作加以规范,除了借鉴国外的成熟经验和标准,更多地考虑了国内的实际情况,具有可操作性,对各单位开展灾难恢复工作具有很强的指导意义。目前国家的金融监管机构及国家信息化建设的管理机构正在制定金融企业的灾难备份和业务连续性的相关政策法规,并计划将业务连续性规划的内容纳入金融企业年度公司审计的内容,作为对金融企业的准入和业务扩展审批的条件,以确保金融企业信息系统安全稳定运行。是加强公司风险管理,提高市场竞争力的重要手段业务连续性及灾难备份的管理不仅是对金融企业数据和业务连续性的保护,也是对金融企业的所有客户和合作伙伴的一种信心和信用的保证,是参与市场竞争的重要手段。国际上,有一些先进的理念和经验可以借鉴。在英国,一个行之有效的业务业务规划是企业上市的基本要求;在美国,金融监管单位的企业法对业务连续规划有明确的要求;在亚太地区的新加坡,已经有了多个保证业务连续性的标准流程和管理规范:其金融局已经制定了业务连续管理的指导规范和管理标准,其标准管理机构新加坡标准/生产力和创新局(SPRING)也已经有了自己的BCP管理标准流程。而是否拥有BCP计划已经成为一些发达国家的政府机构与企业选择合作伙伴或供应商的一个必要条件。对于同样应对风险管理的保险行业而言,越来越体现出其重要性和迫切性。是管理者的重要职责事先制定完备的业务连续性规划,已成为现代企业管理范畴内的一个十分重要的任务。根据国外经验,企业的管理者应对企业的应急管理和可持续发展的战略负有全面责任,金融审计机构和金融监管机构要求金融企业的高管团队对公司业务连续性规划进行社会化的公众承诺。因此,BCP计划必须成为公司的战略性业务计划之一,为了确保业务连续性规划能够在企业成功实施,企业的高级管理层应参与业务连续性项目中,同时设定合理预算,并为BCP的实施提供足够的企业资源支持。3.业务连续性规划的目标我部认为,通过开展业务连续性项目建设,贵机构能完成以下工作目标:Î建立健全企业业务连续性的人员组织执行团队和管理制度,建立完整的防范灾难的业务操作和管理体系。关键人员在经过培训后,拥有可以有效率的处理危险和灾难事件的能力;Î建设信息技术系统的灾难备份系统,完成对信息系统在灾难情况下对企业的信息资产和业务流程的全面保护,使中心的信息技术系统能在灾难发生后为企业的关键业务流程恢复提供充分的保障和支持;Î制订和演练包含公司重要业务部门在内的应急处理流程和灾难恢复预案,提供危险发生时的可操作的指挥、协调、操作的业务流程,并详细落实到实施范围内的每一个组织、角色和人员;Î建立企业长效的业务连续性和应急管理运营能力,维护公司的业务连续性规划的长期有效。4.业务连续性项目实施规划建议业务连续性规划的建设是一项周密的系统工程,需要与经营管理的整体目标相协调,并以渐进分阶段的方法实施。项目需要按照专业的流程和科学的方法开展规划和实施。根据国际灾难备份协会(DRII)提交的业务连续性规划项目的实施介绍,一个标准的业务持续计划项目应包含如下流程:1.项目启动和管理,确定业务持续计划(BCP)实施过程的相关需求,包括获得管理支持、以及组织和管理项目使其符合时间和预算的限制要求。2.风险评估和控制,分析可能造成机构及其设施中断的灾难、具有负面影响的事件和周边环境因素;分析事件可能造成的损失和减少潜在损失影响的控制措施;在成本效益分析基础上制订控制措施的投资,达到消减风险的目的。3.业务影响分析,确定由于中断和预期灾难可能对机构造成的影响,以及用来定量和定性分析这种影响。确定机构的关键业务功能、恢复优先顺序和相关性以制订明确恢复时间目标。4.制定业务连续性策略,确定业务恢复运行策略,以在恢复时间目标范围内恢复业务和信息技术,并维持机构的关键功能运作。5.应急响应和运作,制定和实施用于事件响应以及对事件进行稳定的业务流程,包括建立和管理紧急事件运作中心,该中心用于在紧急事件中发布命令。6.制定和实施业务连续性计划,设计、制定和实施业务连续性规划,完成灾难备份信息系统建设,以保障在恢复时间目标范围内完成恢复。7.培养和培训阶段,完成对机构人员进行培养和技能培训的项目,以使业务连续性计划能够市里制订、实施、维护和执行。8.维护和演练业务连续性计划,对预先计划和计划间的协调性进行演练、并评估和记录计划演练的结果。制定维持连续性能力,维护更新BCP文档,使其与机构的策略保持一致。9.公共关系和危机通信,制定、协调、评价和演练在危机情况下与媒体等公共机构的交流的计划;制定、协调、评价和演练与员工及其家庭、主要客户、关键供应商、业主/股东以及机构管理层进行沟通的方案计划,确保所有利益群体能够得到所需的信息。10.与监管和公共部门的协调,建立适用的规程和策略,用于同监管和公共部门协调响应业务连续性的恢复活动,以确保符合现行的法令和法规。我部认为,建设业务连续性项目需要结合贵公司的具体业务特点,配合公司的业务发展的步伐,分阶段逐步实现。结合我公司的信息化建设的现状和整体规划,我部建议公司分为四个阶段实施业务连续性规划,具体为:开展业务连续性项目咨询建立业务部门业务连续性规划业务连续性体系长期管理维护关键目标:结合公司信息安全BS7799关于信息资产保护目标,实施信息系统的异地的灾难备份系统建设。保障信息系统在灾难环境下为公司关键业务流程提供充分的支持和服务关键目标:建立全面覆盖公司信息技术和关键业务领域的业务连续性和应急管理流程。建立包括事前预防、应急反应、难恢复、灾后重建的业务体系和管理流程关键目标:维护和管理公司业务连续性规划的长期有效性,对业务连续预案进行演练,检验并完善,使其满足业务需要并达到预定的恢复目标。使其并符合公司长期业务目标开展信息系统灾难备份建设结合贵公司业务体系和信息系统特点,建立公司业务连续性战略的整体规划,制订符合监管和审计机构的要求的业务连续性规划的建设目标和实施策略。关键目标:5.分阶段实施策略分析阶段一:开展业务连续性项目咨询关键目标:结合贵公司业务体系和信息系统特点,建立符合监管和审计机构的要求的公司业务连续性战略的整体规划,制订准确和可操作的业务连续性规划的建设目标和实施策略。主要工作内容:1、确定项目实施管理范围,建立项目实施团队和计划。2、掌握业务连续计划(BCP)实施所需的专业体系方法;3、开展风险分析和业务影响分析,确定可能造成公司及其设施中断的灾难、事件可能造成的损失。确定由于中断和预期灾难可能对公司造成的影响,确定关键功能、恢复优先顺序和相关性以便确定恢复时间。4、制定风险管理策略,确定防止或减少潜在损失影响的控制措施,提供成本效益分析以调整控制措施方面的投资,达到消减风险的目的。5、制定业务连续性策略,根据业务连续性系统规划,制订技术可行性分析方案、建立系统评估模型,提出各种功能测试方案。6、确定公司的业务恢复运行策略的选择,以便在恢复时间目标范围内恢复业务和信息技术,维持机构的关键功能。工作结果根据咨询项目提交的《风险分析报告》和《业务影响分析报告》制订公司《业务连续性项目实施目标和实施策略》所需公司资源财务投入根据市场同等规模公司实施类似项目情况,包括公司内部人员投入和外部专业公司咨询费用的整体投入,估算预计为100~150万左右人员需求内部:需要公司的主要业务部门的主要管理人员和信息技术部门人员参与,预计占用4周10%的工作量外部::需要专业业务连续性专家团队支持公司开展业务连续性项目咨询工作基础建设和设备投入本阶段不涉及预计时间周期预计4周时间阶段二:开展信息系统灾难备份建设关键目标:实施信息系统的异地的灾难备份体系建设。保障信息系统在灾难环境下为公司关键业务流程提供支持和服务主要工作内容:1、灾难备份中心选择和建设,建设或选择配备了包括备份处理系统等各种资源,以便在灾难发生时接替业务系统运行的信息处理中心。2、IT灾难备份系统建设,包括数据备份系统建设和数据处理系统建设和网络系统建设,将数据(包含系统、应用和业务等数据)完整地实时复制到灾难备份中心3、制定灾难恢复计划,规范灾难恢复流程,使得灾难发生后能够快速地恢复业务处理系统运行和业务运作;同时可以依据灾难恢复计划对灾难备份中心的恢复能力进行测试和演练。4、建立运营管理队伍和运营体系,灾难恢复计划定期的日常的维护、定期测试和演习以及审核