业務(wù)连续性2024-05-29 14:24
业務(wù)连续性是计算机容灾技(jì )术的升华概念,一种由计划和执行过程组成的策略,其目的是為(wèi)了保证企业包括生产(chǎn)、销售、市场、财務(wù)、管理(lǐ)以及其他(tā)各种重要的功能(néng)完全在内的运营状况百分(fēn)之百可(kě)用(yòng)。可(kě)以这样说,业務(wù)连续性是覆盖整个企业的技(jì )术以及操作(zuò)方式的集合,其目的是保证企业信息流在任何时候以及任何需要的状况下都能(néng)保持业務(wù)连续运行。
概述定义
到目前為(wèi)止,大多(duō)数的业務(wù)连续性策略是以
服務(wù)器及主机為(wèi)核心的。实际上,整个IT系统以及基础通信设施也同样重要,其中(zhōng)包括语音及无線(xiàn)通信、E-mail、办(bàn)公(gōng)空间以及基础网络等
物(wù)理(lǐ)设备等。业務(wù)连续性是一种预防性机制。
它明确一个机构的关键职能(néng)以及可(kě)能(néng)对这些职能(néng)构成的威胁,并据此采取相应的技(jì )术手段,制定计划和流程,确保这些关键职能(néng)在任何环境下都能(néng)持续发挥作(zuò)用(yòng)。业務(wù)连续性包含三个领域:
业務(wù)状态数据的备份和复制、业務(wù)处理(lǐ)能(néng)力的
冗余和切换、外部接口冗余和切换。
相比之下,灾难备份只是一种尽可(kě)能(néng)减少宕机损失的工(gōng)具(jù)或者策略。不过,灾难备份是业務(wù)连续性的基础,没有(yǒu)前者,后者就是空中(zhōng)楼阁,但是如果一个灾难备份系统使数据恢复正常的时间过長(cháng),那也就不存在所谓的业務(wù)连续性了,缩短这个时间,就是业務(wù)连续性的目标,消除这个时间,则是业務(wù)连续性的终极目标,在
网络存储技(jì )术等的支撑下,这个目标实现是完全可(kě)能(néng)的。
众所周知,银行业務(wù)对业務(wù)连续性方面的要求近乎苛刻,需要采用(yòng)业内最高标准进行系统的规划,设计和构建。但近期发生的多(duō)次银行业務(wù)中(zhōng)断事件表明,尽管银行业的灾难恢复和数据保全方面已经非常完善,仍然不能(néng)避免业務(wù)中(zhōng)断事件的发生,而
业務(wù)连续性管理(lǐ)所解决的就是“一旦灾难发生,企业能(néng)够在多(duō)長(cháng)时间内恢复多(duō)少业務(wù)”的问题。
银监会对业務(wù)连续性方面的关注也从其陆续发布的系列指引可(kě)见一斑。早在2010年4月银监会发布的《商(shāng)业银行数据中(zhōng)心监管指引》中(zhōng),就已经提及了灾难恢复管理(lǐ),并指出重要信息系统灾难恢复能(néng)力应达到《信息安(ān)全技(jì )术信息系统灾难恢复规范》 中(zhōng)定义的灾难恢复等级第5级(含)以上的要求;2011年12月28日银监会更是专门针对业務(wù)连续性管理(lǐ)下发了《商(shāng)业银行业務(wù)连续性监管指引》(以下简称:指引),足见银行业对业務(wù)连续性的重视。
从该指引的结构上来看,其主要要求覆盖了BS 25999标准中(zhōng)的全部主要内容,并针对银行业的具(jù)體(tǐ)情况对相关方面进行了量化的规定。
指引主要分(fēn)為(wèi)八个章节,其中(zhōng)第一章到第五章基本上与BS25999的3到6能(néng)够完全对应。第六章描述了所建立的业務(wù)连续性管理(lǐ)體(tǐ)系如何在中(zhōng)断事件中(zhōng)应用(yòng),第七章则提出了银监会在业務(wù)连续性方面的监管要求。
指引要求的落地,可(kě)以考虑参考被业界广泛认可(kě)的来自业務(wù)连续性协会BCI的《业務(wù)连续管理(lǐ)良好实践指南》,并基于BSI的业務(wù)连续管理(lǐ)生命周期模型来实现,共分(fēn)為(wèi)六部分(fēn)工(gōng)作(zuò)。
一、方针和方案管理(lǐ):
推动组织实施业務(wù)连续性管理(lǐ)需要组织在实施初期启动一个业務(wù)连续性Program,这一阶段的初始目的是成功的完成一个BCM的生命周期,但是BCM方案管理(lǐ)的長(cháng)期目标是提高组织的BCM能(néng)力,并因此通过实现连续的BCM生命周期循环,加强组织的运营弹性。一旦实施,如果BCM方案有(yǒu)效,则应制定持续改善的周期对其进行管理(lǐ),在指引中(zhōng)明确规定了持续改善的周期是3年。
二、将BCM融入组织文(wén)化:
指引第九条指出,商(shāng)业银行应当将业務(wù)连续性管理(lǐ)融入到企业文(wén)化中(zhōng),使其成為(wèi)银行机构日常运营管理(lǐ)的有(yǒu)机组成部分(fēn)。
实现文(wén)化融入的方法和途径在BS 25999的3.3有(yǒu)明确的叙述。
三、理(lǐ)解组织:
理(lǐ)解组织主要由业務(wù)影响分(fēn)析BIA,风险评估RA和连续性资源分(fēn)析CRA三部分(fēn)组成。
由于指引针对的是银行这个特定行业,因此在指引中(zhōng)也具(jù)體(tǐ)规定了“重要业務(wù)恢复时间目标不得大于4小(xiǎo)时,重要业務(wù)恢复点目标不得大于半小(xiǎo)时。”的具(jù)體(tǐ)要求。
四、确定BCM策略:
在商(shāng)业银行具(jù)體(tǐ)实施指引过程中(zhōng)要求根据业務(wù)影响分(fēn)析结果,依据业務(wù)恢复指标,制定差别化的业務(wù)恢复策略,主要包括关键资源恢复、业務(wù)替代手段、数据追补和恢复优先级别等。
五、制定和实施BCM响应:
指引中(zhōng)要求商(shāng)业银行应该制定覆盖所有(yǒu)重要业務(wù)的业務(wù)连续性计划,并建立制定总體(tǐ)应急预案和重要业務(wù)
专项应急预案。同时还强调了应当要求重要业務(wù)及信息系统的外部供应商(shāng)建立业務(wù)连续性计划,证明其业務(wù)连续性计划的有(yǒu)效性,其业務(wù)恢复目标应当满足商(shāng)业银行要求。另外根据银行业同业间的特点,特别强调了商(shāng)业银行应当注重与金融同业单位、外部金融市场、金融服務(wù)平台和公(gōng)共事业部门等业務(wù)连续性计划的有(yǒu)效衔接问题。
六、演练、保持和评审:
指引强调商(shāng)业银行应当开展业務(wù)连续性计划演练,以检验应急预案的完整性、可(kě)操作(zuò)性和有(yǒu)效性,验证业務(wù)连续性资源的可(kě)用(yòng)性,提高运营中(zhōng)断事件的综合处置能(néng)力。商(shāng)业银行应当将外部供应商(shāng)纳入演练范围并定期开展演练;同时,应当积极参加金融同业单位、外部金融市场、金融服務(wù)平台和公(gōng)共事业部门等组织的业務(wù)连续性计划演练,确保应急和协调措施的有(yǒu)效性。指引要求商(shāng)业银行应当至少每三年对全部重要业務(wù)开展一次业務(wù)连续性计划演练。
指引的最后部分(fēn)强调指出了银监会对业務(wù)连续性管理(lǐ)的监管要求。指引中(zhōng)要求商(shāng)业银行应当于每年一季度向银监会或其派出机构提交业務(wù)连续性管理(lǐ)报告,包括上一年度业務(wù)连续性管理(lǐ)的评估报告与审计报告。此类报告的完成可(kě)以自行完成,但考虑到专业性和公(gōng)信力的问题,银行也可(kě)以考虑请BSI这样对标准有(yǒu)深入理(lǐ)解,对行业有(yǒu)丰富经验的专业第三方公(gōng)司或组织来进行。
第一个业務(wù)连续性管理(lǐ)國(guó)际标准ISO 22301正式发布,该标准是BSI对行业的再一个重大的贡献。作(zuò)為(wèi)行业的领先者BSI目前已经在100多(duō)个國(guó)家进行了ISO 22301的前身BS 25999相关服務(wù)的推广,并在43个國(guó)家开展了BS 25999的认证业務(wù)。借助
BSI在业務(wù)连续性管理(lǐ)方面丰富的经验,必将為(wèi)提升银行业业務(wù)连续性能(néng)力做出贡献。
业務(wù)演练
划执行业務(wù)连续性(business continuity,BC)演练是业務(wù)连续性计划中(zhōng)一项最重要的活动之一。
BC计划演练和灾难恢复测试不同。举个例子来说,在BC计划演练中(zhōng),你其实并没有(yǒu)进行失效转移(failover),而在典型的技(jì )术性灾难恢复测试中(zhōng)你会这么做,以处理(lǐ)IT系统、数据和数据库等的恢复工(gōng)作(zuò)。这是严格意义的业務(wù)连续性。
每年执行一次或多(duō)次BC计划的演练是业務(wù)连续性管理(lǐ)系统(business continuity management system,BCMS)的一个关键组成部分(fēn)。这个演练应该包括计划更新(xīn)、应急小(xiǎo)组训练、策略审查和审计、业務(wù)影响分(fēn)析(BIA)、风险评估(RA)、宣传方案等各种BCMS活动。
业務(wù)保证
要保证业務(wù)连续,前提是做好容灾备份,而且要做应用(yòng)级的容灾备份。这样当系统因為(wèi)磁盘损坏或数据丢失、病毒入侵或机器失灵而引起宕机时,将能(néng)够保证业務(wù)不中(zhōng)断,减少损失 [1]。
参考资料
1保障业務(wù)连续,體(tǐ)验备特佳业務(wù)接管功能(néng)的强大。中(zhōng)小(xiǎo)企业IT网.2012-09-22 [引用(yòng)日期2013-04-7]
