天津银行灾难备份及业务连续性管理经验总结

最近，宁夏银行宕机事件、重庆农商行线路故障事件，引起了各银行对灾备及业务连续性的高度关注。中存储网整理了有关银行容灾的相关资料和以往建设案例，希望对关注该领域的朋友有用。

其实，银行总是被誉为灾难备份行业的“领头羊”。这不仅是由于 20世纪90年代末，部分银行在实施数据大集中的同时，就已着手进行灾难备份中心的建设；更是因为2006年以来，银行业对灾难备份与业务连续性管理的认识进一步深入，灾难备份工作成为重中之重。本文是天津银行科技部总经理 鲁士淳先生撰写的，以天津银行自身的容灾建设为例，从灾难备份工作上升到业务连续性管理的高度；将灾难恢复中的等级划分、场地选择、业务策略、系统支持等环节作为出发点；谈及了具体技术在天津银行灾难备份建设中的应用和建设方案。

天津银行从2004 年开始着手开展同城灾难备份中心的建设工作，目前已经形成了生产中心和同城灾难备份中心相结合的基础设施架构。回顾我们在同城灾难备份中心建设和实际运维中遇到的问题，体会很多。

一、业务连续性管理，不只是 IT 部门的事

过去，商业银行的信息安全经常被当作一个单纯的技术或管理问题；如今，它已经演化为一个涉及监管机构、外部审计、技术服务提供商、商业银行董事会与管理层等所有利益相关者的经营决策问题。

为实现对信息系统风险的识别、计量、评价、预警和控制，有效防范商业银行运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进商业银行安全、持续、稳健运行，2006 年 11 月，银监会发布了《银行业金融机构信息系统风险管理指引》。银监会主席刘明康将信息科技导致的风险，列为银行业四大风险之一，在科技风险管理工作中，首次将“业务持续性规划的研究和制定”作为重点推出，进一步明确了业务连续性管理在银行治理与风险管理中的突出地位。

既然业务连续性管理是银行治理、风险管理中极其重要的环节，商业银行就不应该单单从 IT 部门来看待和管理这项工作，而势必要上升到决策层来组织和推动这一任务。灾难备份系统也不仅仅是 IT 项目，而应该是管理项目。

商业银行大部分的灾难备份建设项目仍旧由 I T 部门主导。但我们也看到，同业大型国有银行，已经将业务连续性工作交由风险管理部门。

2006 年一家国有大型银行委托第三方服务商公司为其进行业务连续规划咨询，由该行的风险管理部牵头，十几个业务部门加入，而 IT 部门仅作为支持单位。该行还成立了专门的业务持续委员会，来规划管理整个银行的风险评估、业务影响分析、策略规划、应急体系等工作。

国外金融机构在业务连续性管理的组织架构上，将其分为三类，一类由风险管理部门来领导；一类由IT部门来领导，还有一类是专门成立业务连续管理指导委员会，将业务部门、风险管理部门和 IT 部门有关业务连续性的管理职责融于一处统筹管理。由于具有跨部门协调性好、执行力强等特点，第三种管理模式愈来愈受到国际大银行的青睐。透过一个强有力的组织结构，不但能够保证灾难备份及业务连续性计划项目的实施及后期的维护升级，更重要的是在银行内营造一种上至决策层、下至每个员工都高度重视业务连续性管理的企业文化。但是从商业银行的实际情况出发，IT 部门在将来一段时间内，仍旧承担着商业银行灾难备份建设的主要工作。

二、业务连续性计划，大处着眼小处着手

有人说，灾难备份和业务连续性管理是一把“双刃剑”。利剑的一面是当商业银行的日常运营高度依赖于信息系统时，不实施灾难备份项目绝对是死路一条；利剑的另一面则是灾难备份项目投资与回报的尺度不易把握，业务连续性计划的设定与落实不易掌控。

天津银行在开展灾难备份时，也遇到很多困惑：灾难发生时，如何既不反应过度，而又按照一套科学的流程和方法化解风险？如何既着眼于解决当下的灾难备份、应急管理问题，又能逐步完善天津银行整体的业务连续性计划？如何规划天津银行整体的业务连续性管理工作？

在启动业务连续项目建设时，首先要对项目的最终目标有一个全面清晰的认知。天津银行在开展同城灾难备份中心建设时，从银行核心业务系统信息的备份与

切换开始灾难备份项目建设。但是在建设过程和后期的实际运维过程中，我们逐渐意识到：灾难备份建设是一个长期、全面、持续完善的工作，并非只是通过一个项目就能完成的，最终要上升到业务连续管理及危机管理的高度。

因此，商业银行应先全面了解业务连续性管理的整体框架，达成业务连续性管理所必经的每个阶段，每一阶段中，业务、风险控制、IT 部门如何彼此配合，商业银行内外各机构如何彼此衔接等等，之后再分析自身当前正处于业务连续性管理的哪个阶段。做到既对未来要走的路有全面清醒的认识，又对眼前要完成的每一步有准确无误的把握。

总结天津银行已经进行的同城灾难备份建设与未来的实际规划，我们认为商业银行的业务连续性管理体系建设可分为5 个阶段：业务连续性管理整体规划；核心业务系统的业务连续性计划（BCP ）建设；各前台业务部门、各业务网点和分支机构的 BCP 建设；后台应用系统和非关键业务系统的 BCP 建设；涵盖关联机构的全企业范围的业务连续性管理。

作为商业银行，如果能够按照这5步骤依次构建业务连续性管理体系，既可从 IT 系统的备份与灾难恢复上启动 BCP 建设，又可将业务连续性管理嵌入到银行的整体制度、组织和资源中，全面提高银行的风险防范能力。

实施业务连续性管理并非一日之功，国内银行在标准体系建设、方法论和由最佳实践总结出的经验等方面尚需完善，但相对于其所采用的技术手段和 IT 解决方案，建立长效机制可能是目前国内银行在业务连续性管理构建中最为重要的一件事。

从天津银行同城灾难备份中心建设的实际经验来看，商业银行信息科技部门作为支撑商业银行业务生产运行的服务部门，要服从行内统一的决策领导，充分理解商业银行决策层的风险防范考虑，从商业银行业务经营的角度出发，统筹规划商业银行的业务连续性建设。正所谓“统筹规划，分步实施”，放之四海而皆准。

三、应急演练，时刻准备应对危机

两年前，由于灾难备份建设缺乏行业规范，商业银行内部的业务部门与 IT 部门配合不易达成，灾难备份日常管理维护经验的不足，以及系统切换、应急演练自身具有的复杂性等种种原因，导致商业银行的灾难备份系统应急演练一直未能定期进行。这种状况在 2006 年有了很大改观——不但大银行增加了应急演练的次数，扩大了演练规模，而且中小银行也尝试着进行应急演练，以检验灾难备份系统的可用性和计算机系统抵御风险的能力。

2006 年 10 月 30 日～11 月 3 日，中央国债登记结算公司展开的为期一周的“中央债券综合业务系统”灾难备份系统演练。成功检验了债券系统各主要业务功能保障能力及其与交易系统、支付系统和 C A 认证系统接口的灾难备份运行能力；建立了中央结算公司与相关单位密切合作、共同应对全国银行间债券市场突发事件、确保市场安全运行的有效机制，提高了金融市场基础设施的运行管理能力。

应急演练是检验、评价和保持应急能力的重要手段。可以在事故真正发生前暴露预案和程序的缺陷，发现应急资源的不足，改善各应急部门、机构、人员之间的协调，提升应急人员的熟练程度和技术水平，明确各自的岗位与职责，提高各级预案之间的协调性与整体应急反应能力。

通过灾难备份运行的实际经验，我们认为：商业银行每年要对生产中心和备份中心至少做一次切换演练。过去，一些银行认为灾难备份系统及业务连续性管理体系一旦建立，就可以高枕无忧了。其实，这只是保持业务连续性的开始而已，只是迈出了万里长征的第一步。任何一家银行的任何一个业务连续管理流程和整体解决方案，都不会是完美无缺的，都需要在实践中不断完善改进，如此才能在灾难真正降临时做到心中有数，应对有方。

四、灾难备份外包，新的建设模式和手段

基于对资金投入大、建设周期长、专业管理水平高等方面的综合考量，天津银行也曾经在同城灾难备份中心建设初期考虑采用外包的方式。然而由于外包服务的相关政策尚未明确，最终决定通过自行建设的方式开展了天津银行的灾难备份中心建设。

通过对同业者的调查看到：2002～2005 年，国内银行真正全面采用灾难备份外包的只有深圳发展银行一家。进入2006 年，广东发展银行、国家开发银行等几家银行，陆续引入第三方外包服务商进行灾难备份及业务连续性管理规划及项目建设。

从商业银行信息科技部门的角度出发，我们认为：一方面，银监会发布的《银行业金融机构信息系统风险管理指引》中对信息系统外包已有了明确的规定与要求；另一方面，商业银行本身对外包商的选择更加审慎，对外包商的管理也更加到位。

通过对外包服务商的调查，我们认为：商业银行选择外包服务商是很有学问的，对服务商定要有严格细致的要求，在选择时定要非常仔细。

首先，一定要选择有多年经验的外包服务商，如果我们选择的外包服务商没有多年的商业银行灾难备份服务经验，就好比把一项对专业要求很高的工作交给没有经验的人去做。我们不能把这么重要的事情当作外包服务商的实验田。

其次，要认真考察服务商的专业性、稳定性、整体服务质量以及管理的经验。稳定的服务队伍、数据中心与生产中心的地理位置与间隔距离、对突发事件的应急技术与能力都需要综合考虑。

另外，在外包给服务商之后，还要建立对服务商质量评估分析制度。签订严格的服务范围和服务水平合同，并对服务商进行实时现场考核与审计。同时根据实际情况的变更，及时调整数据中心的管理；通过定期的演练去考核服务商的应急恢复能力。

在项目实施期间，商业银行也绝不能袖手旁观。建立在商业银行统一管控下的项目监督控制体系是非常必要的。

首先，商业银行需建立多层次、多方面的监理制度，便于权责明确，做到组织严密。

其次，商业银行相关人员要稳定。生产中心需要有一套严格的生产管理制度，并与服务商的外包灾难备份中心生产管理制度相配套和协调。

再次，安全是外包的核心问题。在灾难备份项目招标过程中，一定要有很明确的安全要求，系统的安全管理、数据的管理、密钥的管理是不能外包的，最关键的内容要由银行自己来掌握。

此外，外包灾难备份中心建设必须要有相当严格的安全管理技术流程，能够符合银行内部相应的管理要求，并且与外包服务商签订详细的保密协议。

对于商业银行，威胁到业务连续运营的各种风险会永远存在。但是只要破除种种错误混淆的见解，清晰地评估分析这些风险，同时建立应对风险的完善机制，全行上下形成业务连续性管理的企业文化，不断加强灾难备份建设，强化应急演练，风险将会被有效地分散与排除，商业银行也将被锻造得更加强而有力。

声明： 此文观点不代表本站立场；转载须要保留原文链接；版权疑问请联系我们。