金融信息化已成为我国金融运营最基本的生存支撑环境,没有金融信息化就没有现代金融服务。银行业金融机构的业务开展高度依赖于信息技术的应用,影响银行业务连续性的信息技术风险已成为银行操作风险的重要方面,引起银行金融机构和监管部门的高度重视。
当前,我国银行金融机构的信息化建设取得显着进展,进一步对银行的改革与创新、提高金融服务质量和防范与化解金融风险作出了基础性的贡献。各商业银行基本完成了数据全国集中处理,进一步建设完善了新一代核心业务应用处理系统。银行金融服务创新加快,服务水平进一步提高。重要的标志是银行卡的应用和网上金融服务的迅速发展。我国各家商业银行目前均建立了网上银行、电话银行、企业银行、自助银行、移动(手机)银行等多种先进、方便的新型服务手段,形成功能较完善的电子银行服务体系,向客户提供网上支付、转账、贷款、代收代缴多种公用事业费用、个人理财、代购保险、债券买卖、代理股票、基金买卖等一揽子金融服务。中国现代化支付清算系统已建成,我国银行间的支付清算能力接近世界先进水平,极大地提升了中央银行的金融服务能力。中国人民银行的国库信息处理系统的建成解决了国库、财政、税务、银行相关数据不能联网处理的问题,有效地改善了对纳税人的服务和税款准确、及时征收入库的效率。中国人民银行成功建设了全国个人信用信息基础数据库,改进和完善了企业信用信息基础数据库,实现了与所有中、外资商业银行和有条件的农村信用社的全国联网,收录了近7亿自然人的相关信用信息,为提高银行金融机构的信贷服务水平,防范金融风险作出了基础性贡献。反洗钱系统建设稳步推进,开发建立了大额异常支付监测系统,实现了对本币大额和可疑支付交易的监测。银行业信息安全应急协调机制建立和完善,基础安全设施建设加快,信息安全工作进一步加强。
一、加强银行业务连续性管理、防范技术风险的重要性和紧迫性
我国银行金融机构已基本实现集中的计算机数据处理。这为银行的改革与金融创新提供了重要的技术手段和条件,但同时也带来银行技术风险高度集中的新问题。由于我国银行完成数据处理集中的时间还不长,全国性超大型数据处理中心的管理、灾难备份机制及应急处置等业务连续管理还缺乏足够的经验,系统监控、分析、故障诊断等自动化程度还不高,应对突发事件和系统风险的能力还不强。近几年中,个别银行金融机构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断,产生了很大的社会影响,引起各方面的高度关注,其教训已引起银行金融机构以及监管部门的高度重视。我国银行金融机构必须进一步重视业务连续性管理,切实采取措施防范数据处理集中后的技术风险,加快建设金融同城数据备份中心和异地灾难备份中心等基础设施。同时,需进一步重视与加强大型数据处理中心的管理,努力学习、借鉴、引进相关先进的管理理念和系统,提升系统管理与技术风险予警的能力。银行监管部门为适应新形势的要求,也急需进一步加大对防范信息技术风险的监管力度。
二、银行业积极开展业务持续性管理工作
银行业务高度依赖信息系统,对包括灾难备份在内的业务持续性管理工作一直高度关注和重视。在“9.11”事件之后,各家银行进一步认识到业务持续性管理工作的重要性,纷纷切实加强灾难备份工作,积极建设和完善同城、异地备份中心。中国人民银行已在江苏建成现代化支付系统灾难应急备份中心,几年前已成功实施业务切换演练,受到国务院领导的重视。同时,正抓紧在上海建设相关重要信息系统的灾难备份中心。各家政策性银行和商业银行都将备份数据中心的建设列入计划。如中国工商银行建立了南北两大数据中心,南中心为生产中心,北中心为备份中心,几年前成功地进行了切换演练。交通银行已建成具有先进技术水平的生产、备份一体化的“双活”数据系统。另外,再如光大银行、福建兴业银行等都已建立了灾难备份中心。深圳发展银行采用“合作建设、租赁服务”方式,与第三方外包服务机构合作完成灾难备份系统的建设。城市商业银行正抓紧重点建设同城备份措施。总体上看,我国银行的主要信息系统都做到了数据级的冗余备份。
同时,我们也应清醒地看到存在问题与不足。我国银行金融机构的灾难备份体系基础薄弱,还存在一些亟待解决的问题和困难。如对灾难备份工作的重要性、紧迫性认识还不到位;许多重要应用系统甚至还没有建立有效的灾难备份措施,不具备应急恢复能力;重要应用系统灾难备份建设的法规和标准不完善;银行灾难备份建设缺乏统一的规划和部署,存在盲目建设和发展的倾向等。已有的灾难备份中心缺少实际业务的切换演练,灾难应急规范不完善,存在技术与管理困难。同时,中小银行建立灾难备份中心存在资源、费用困难等。我们必须进一步积极研究相关对策与措施,切实加快我国银行灾难备份应急工作的步伐。
三、加强银行业务持续性管理工作的几个问题
根据银行业务的特点,银行业务持续性管理工作需注意以下问题:
第一,正确认识灾难备份在保证银行业务持续运行中的地位和作用, 合理选择灾难备份策略。实施灾难备份的目标是确保重要信息系统的数据安全和业务可以持续服务,提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失。灾难备份作为保证业务持续运作的关键环节,其含义是多方面的,灾难备份工作不等同于灾难备份中心;其应用是多层次的,既有数据级的灾难备份,也有系统级的灾难备份。 灾难备份资源是为高风险、小概率事件准备的,一般情况下处于闲置状态,高投入、低效益现象突出。因此,实施灾难备份应从实际需求出发,明确目标,统筹规划,准确定位,突出重点,首先确保关键业务的灾难恢复;应在对信息系统的脆弱性和面临的安全威胁分析评估的基础上,根据所保护信息资产与服务的价值、面临风险的大小、业务中断的损失和影响、业务恢复的优先级与相关性等因素,综合平衡安全成本投入和效益,确定灾难备份建设等级,合理选择灾难备份方案,切忌脱离实际需求,一哄而上。国内外的经验证明:同城备份中心的重要性和必要性一般来说要大于异地灾备中心,其建设与管理难度也较低。但在过去相当一段时间,很多银行金融机构往往忽视了同城备份中心的建设、有的区域性银行金融也关注异地灾备中心建设等,应引起重视。要在确保灾难备份和恢复功能的前提下,按照“平战结合”的原则,充分利用灾难备份资源,统筹安排,将日常运营和应急备份需求结合起来,使之发挥更大的效益。灾难备份设施建设要充分利用现有各种资源,提倡资源共享,降低成本。综合考虑业务规模、技术力量、财力和风险共担等因素,可采用或综合运用自建、联合共建和社会化服务等模式。
第二,进一步重视数据中心的建设与管理,努力应用先进适用的技术。实践证明,数据中心已成为保障信息系统正常工作的重要基础设施。因此,搞好银行的业务持续性管理,关键的环节是建设与管理好高质量、高可靠、高效节能的数据中心。这一方面需要我们切实加强领导,进一步列入战略发展规划。统筹规划,切实列入计划,科学合理地加大投入,加快人才培养;另一方面要高度重视、努力应用先进适用的系统与技术,吸取世界上在这个领域最新、适合我国国情的科技成果,使我国新一代金融数据中心的建设起点高,高可用、高效、环保节能、投入合理。比如当今世界“绿色、节能数据中心”的理念和实践;已在交通银行成功应用的生产、同城备份一体化“双活”系统的技术与管理;异地灾备中心的合理应用及高效的应急管理理念和技术等。
第三,深化改革,加强IT治理,充分重视利用社会化服务。灾难备份系统具有建设容易、运行维护难的特点,一次性建设投入高,运行维护成本可能更高,特别是长期维护一支高水平、灾难发生时能真正发挥作用的灾难恢复队伍更难。如何解决好这个难题?重要的趋势是:按照市场经济的客观规律和信息科学技术迅速发展的现实,充分借鉴国内外经验,鼓励社会力量参与灾难备份设施建设,大力提倡走社会化、专业化灾难备份服务的道路。社会化服务包括灾难备份服务整体外包、投资参与灾难备份设施建设、租用第三方灾难备份设施、利用社会专业技术力量运营、管理和应急支援等多种形式。从我国银行的实际情况看,国有大型银行的技术与经济实力比较强,在灾难备份中心的建设上能够走自建自营的道路,对多数中小银行来说,完全靠自己的力量建设和运行维护灾难备份中心,无论从投资上、从应用上、从应用的效果上都值得研究。据国外经验和测算,外包租用灾难备份服务的成本费用只有独自建设灾难备份中心的五分之一到二分之一。我国越来越多的银行经过反复论证,深化改革,转变观念,已开始走灾难备份外包服务的新路。外包服务的优势是降低成本、提高管理水平、缩短建设周期等。当前,一个值得关注的现象和趋势是:部分银行金融机构不仅是灾难备份中心,同时开始把生产数据中心机房等基础设施也都外包给社会第三方专业服务机构。我们应看到,目前世界上兴起的“云计算”等与其说是一新技术,不如说是新的社会化服务的理念和模式。信息时代的必然发展趋势是:将来,计算能力的提供绝非各家各户都自建机房、买计算机,而是象电力、自来水、煤气一样由社会专业机构来可靠、可信、廉价地提供!这是一场大变革,必将深刻影响人类社会的各个方面。仅管这不可避免地会遇到很多问题与困难、不是短时间可实现,但必将大大推动包括数据中心及相关增值服务在内的社会化第三方、集约化的服务。
第四,重视规范灾难备份技术与管理标准。
灾难备份涉及多方面的工作,如灾难备份中心建设、灾难备份等级标准、灾难备份实施方法、灾难备份方案和灾难恢复计划的制定、灾难恢复机制的建立、灾难备份中心的信息安全保障和运营管理等。目前,由于缺乏完善的国家、行业的相关技术与管理规范,灾难备份的很多工作难以有序展开,甚至会在灾难备份工作中产生许多新的风险。因此,我们应认真总结我国灾难备份工作中成功的经验,学习和借鉴国外的先进经验,抓紧开展灾难备份的技术和管理标准规范工作,做到标准先行。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。