业务连续性管理

2006年度银行金融机构 银监会 信息科技风险评价评审 要点
银行业信息系统灾难恢 中国人民 复管理规范 银行 关于进一步加强银行业 中国人民 金融机构信息安全保障 银行 工作的指导意见 关于加强银行数据集中 中国人民 安全工作的 银行
明确来业务连续计划的职责和机制、业务连续计划的 制定和实施、备份中心的管理与操作、业务连续计划 的测试和维护等方面的审计要点。

― 2005年1月国信办组织起草了《重要信息系统灾难恢复规划指 南》 ― 2007年7月，国务院信息化工作办公室领导 编制的《重要信息 系统灾难恢复指南》正式升级成为国家标准《信息系统灾难 恢复规范》（GB/T 20988-2007） ― 英国标准化协会在2006年推出了BCM标准，2008相关认证机 构将在国内开始推广BCM，必将推动BCM在中国的发展。 目前在银行、电信、电力、税务、航空、电力、大型制造业 等行业走在此领域的前面； 相关行业目前纷纷出台关于此领域的行业规范，如《银行业 信息系统灾难恢复管理规范》、《保险业信息系统灾难恢复 管理规范》等； 从国内监管要求的角度，也有不少涉及业务持续管理相关内 容，但更多偏重IT灾难恢复的层次，对于业务连续管理和业 务连续计划层面还没有具体、细化的要求。


在“9.11”事件几个小时后，摩根斯坦利公司便 宣布：全球营业部可以在第二天照常工作。该公 司建立的数据备份和远程容灾系统，保护了公司 的重要数据，在关键时刻挽救了摩根斯坦利，同 时也在一定程度上挽救了全球的金融行业。 NYBOT（纽约商品交易所）的前身CSCF曾经历 了世贸中心车库爆炸案（1993年），从此吸取了 教训，制定了BCP计划，并坚持10年演练。 “9.11”事件几个小时后就在“长岛”开始恢复 交易，短短时间内恢复了它在异地的运营，因为 它很早就制定了BCP计划，并在灾难发生时发挥 了作用，NYBOT劫后逢生的关键是BCP计划的 策划和坚持。

英国
― 英国对金融行业的监管主要有FSA(Financial Services Authority)负责，还有英格兰银行和英国财政部；FSA要求关 键机构的CEO级别主管向FSA报告其业务连续管理措施； ― 其对金融机构的监督和检查手册《Senior management arrangements , Systems and Controls》中规定机构应对中断 后重续经营做出合理的安排，并更新、测试保证有效； ― 《The Financial Services Authortiy Incident Management : A generic guide》，概括了金融服务管理局制定业务连续计 划的方法，确定了金融服务管理局处理事故时采用的框架； ― 《CP142：Operational risk systems and controls》，FSA在 2002年7月30日发布了关于“运行风险系统和控制”的咨询性 文件，包含了关于业务连续管理的章节向各方咨询意见。
银行数据处理中心灾难 中国人民 备份安全管理规范 银行
保险业信息系统灾难恢 保监会 复管理指引 证券公司内部控制指引 证监会
重要信息系统灾难恢复 国信办 指南
信息安全技术信息系统 公安部 安全等级保护基本要求





小于40%的BCP/DRP考虑了回切一从备份站点回切到主 站点 小于50%的BCP/DRP讨论了交通工具和通讯设施中断的 应对措施 仅有33%的企业为灾难恢复行动准备了预算 仅有66%的组织定期检查备份数据的正确性 仅有65%的BCP包含应对媒体的政策 1/3的计划没有考虑业务功能的恢复次序 75%的容灾环境配置没有与生产环境配置完全同步 在开发BCP/DRP过程中普遍缺乏高层管理人员的参与 仅有25%的组织安排了针对全体员工的业务连续培训
了商业化的灾难备份服务，29%使用自有的灾难备份中心，15%在商业化灾 难备份服务的基础上同时拥有自己的备份设施。

美国
― 1983年OCC（货币监理署）就发布了指引要求银行制定并维 护灾难恢复计划； ― 1989年FFIEC（联邦金融机构检查委员会）要求银行对灾难恢 复计划进行测试、维护和演习； ― 1997年和2000年，FFIEC突破性的规定金融机构的董事会和高 层管理人员直接对灾难恢复计划负责；2003年修订成《联邦 金融机构检查委员会业务连续计划手册》； ― NASD（全美证券交易商协会）于2002年要求其成员在拥有 灾难恢复计划的基础上建立指挥中心以协调灾难恢复工作， 即从要求恢复运行能力向快速建立业务运行环境发展。 ― Board（联邦储备委员会）、SEC（证券交易委员会）和OCC 于2003年5月28日发布了《关于增强金融机构遭到大范围灾难 打击后的恢复能力提出了措施和实施时间要求。
业务连续与灾难恢复的意义 BCM的由来与发展 BCM的范围与定义 BS 25999及相关标准简介

发展情况
― 1979年在美国宾西尼亚州的费城建立的SunGard Recovery Services。 ― 灾难备份和恢复与20世纪70年代中期在美国起步，源于美国中西部地 区对电脑设施进行的备份。灾难备份行业的历史性标志是1979年在美 国宾夕法尼亚州的费城建立了专业的商业化的灾备中心并对外提供服 务。在这以后的10年里，美国的灾难备份行业得到了迅猛发展，拥有 超过100家灾难备份中心服务商。1989年以后的十年中，灾难备份服 务供应商之间进行了大规模的合并和重组，到1999年市场上剩下31个 灾难备份中心供应商，并以每年15%的速度增长。 ― 从上世纪80年代初到90年代中期，美国共成功完成582宗灾难恢复。 ― 9.11事件之后，灾难备份调查公司Globe Continuity Inc.对美国、英 国、澳大利亚及加拿大共565个公司使用灾难备份中心的情况进行了 调查。 ·71.2%的公司使用了灾难备份中心，使用灾难备份中心的公司中，56%使用
监管要求名称
发布机构
涉及内容
明确商业银行建立有效的应急预案及定期进行测试， 并在发生紧急情况下参照执行。 对于信息系统应急预案的建立、定期演练、评审和修 订提出了要求，对于应急预案的具体内容未作描述； 提出了数据中心进行数据备份的地域要求。
商业银行内部控制指引 银监会 银行业金融机构信息系 银监会 统风险管理指引

新加坡
― 新加坡金融管理局（MAS）于2001年7月在《INTERNET BANKING TECHNOLOGY RISK MANAGEMENT GUIDELINES》中对在线交易的银行作出了企业连续性运作 的规定。 ― 2003年7月MAS发布了新的《Business Continuity Management Guideline》，提出了企业连续运作的7项原则。 ― 2005年新加坡技术标准委员会出台了业务连续/灾难恢复服务 商评定标准SS 507。
1 2 3 4
业务连续与灾难恢复的意义 BCM的由来与发展 BCM的范围与定义 BS 25999及相关标准简介






Bank of New York 通讯线路全部中断；数据中心位于灾场附近；造成连锁 反应…… 2001年10月18日，纽约银行声明，恐怖袭击破坏了部分 计算机系统，一些分支机构被迫关闭，其第三季度的利 润因此下降了33%。 DeutscheBank 93年开始风险分析，建立了一套完成的业务连续性计划 （BCP），以应对突发事件或灾难。 灾难发生后，德意志银行调动4000多名员工及全球分行 的资源，短时间内在距离纽约30公里的地方恢复了业务 运行。 9.11后，员工和客户对德意志银行都更加有信心。

澳大利亚
― 2004年，澳大利亚金融管理委员会发布了针对信贷行业和保 险行业的灾难恢复和业务连续管理标准草案，要求这两个行 业内的公司必须有能力预见、评估、和管理在灾难或突发性 事件发生后可能产生的业务连续运作危机； ― 澳大利亚国家审计局（ANAO）也发布了一系列关于业务连 续和灾难恢复的文件


美国（wenku.baidu.com）
― 美国卫生部在1996年对《健康保险可行性和可信性法案》 （HIPPA）进行了修订，对数据的交换、记录的保护和保护 病人的隐私做出了标准化的规定；医疗机构评审联合委员会 在1994年信息安全、备份及恢复计划等进行了规定。 ― 1993年，美国联邦政府发布了国家自动化信息资源安全条例， 要求所有的政府部门对多方面系统和信息进行灾难恢复和业 务连续性准备；1994年联邦政府又发布了联邦相应计划指导 （FRPG01-94)，明确了在灾难恢复和业务连续性计划的责任 和目标。 ― 联邦政府在联邦准备性文件《FPC 65》中对联邦机构的应急 处理能力做出了详细指引，要求所涉及的机构在启动应急管 理计划12小时内恢复运作，并必须保持运行30天以上的能力。 ― FEMA（联邦紧急事务管理局）成立于1979年4月，是一个直 接向总统报告的专门负责灾害应急的独立机构，与美国的其 他27个政府机构、州和地方应急机构及红十字联合制定了全 国性的灾害应急计划。



科学统计—— 2/5的公司在经历大灾难后再也不能恢复运作， 另外1/3在2年内也接着倒闭。 —GartnerGroup 93%的公司在遭受严重的数据丢失后5年内倒 闭。 —美国劳工部 43%的美国公司在灾难后倒闭，另外29%（或更 多）的公司在2年内倒闭。 —威斯康星州大学
1 2 3 4
规定了银行业信息系统灾难恢复应遵循的管理要求。 提出了对实施数据集中的银行金融机构在加强灾难恢 复系统建设的要求，包括灾备中心建设、应急预案演 练等。 提出对于数据集中的银行建立灾备中心的相关要求； 提出要建立业务连续计划，以及业务连续计划的演练 要求。
监管要求名称
发布机构
涉及内容
对银行灾难备份的实施目的、流程、组织与职责、需 求确定、灾难备份方案及灾难恢复计划的制定给予了 技术及管理方面的指引；在附件中给出了灾难备份方 案分级方法及灾难备份中心建设指导意见。 规定了保险业信息系统灾难恢复应遵循的管理要求。 要求应制定和定期修订灾难恢复和应急处理预案，建 立应急演习机制，确保及时有效地处理各种故障和危 机。 从灾难恢复规划的管理、灾难恢复的需求分析、灾难 恢复等级的确定、灾难恢复等级的实现、灾难恢复预 案的制订、落实和管理等方面，对灾难恢复的规划和 准备活动的规范化要求进行全面描述。 在第四级基本要求中提出对建立灾难恢复计划及相应 测试机制的要求。
1999年，台湾行政院颁布了《行政院及所属各机关资讯 安全管理规范》，对业务连续计划和规划管理做出了明 确规定； 2000年，“千年虫”事件引发了国内对于信息系统灾难 的第一次集体性关注； 在9.11之后，业务连续/灾难恢复的概念开始逐渐被国内 组织所接收； 香港金融管理局在2002年发布了《持续业务运作规划》； 在2003年后，国家出台了一系列的政策并召开了多次相 关会议； ― 2003年9月，中共中央办公厅、国务院办公厅转发了《国 家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2003]27号）提出各基础信息网络和重要信息 系统建设要充分考虑抗毁性与灾难恢复 ― 2004年1月9日全国信息安全保障工作会议上下发了《关 于做好国家重要信息系统容灾备份工作的通知》
国际灾难恢复协会
― DRI International(DRII)成立于1988年，是国际灾难备 份和业务连续性的专业权威机构之一； ― 致力于开发灾难备份和业务连续性的行业理论标准、提 供研究和教育培训和专业人员资质认证； ― DRII发布的主要文件为：《业务连续性计划操作实务》

业务连续协会
― The Business Continuity Institute(BCI)成立于1994，为 全球提供关于灾难备份和业务连续性的专业指导机构； ― 致力于提高行业专业水平的业务标准和商业规范的开发 和维护，提供专家会员的国际交流和培训； ― BCI发布的主要文件《业务连续性管理：最佳惯例指南》



国际标准化组织（ISO) The Basel Committee on Banking Supervison 美国信息科学学会（ASIS) 美国国家防火协会（NFPA) 美国国家标准和技术学会（NIST） 加拿大标准学会 澳大利亚标准化组织 新加坡标准、生产力与创新局（SPRING) ……