業務連續性
業務連續性
業務連續性是計算機容災技術的升華概念,一種由計劃和執行過程組成的策略,其目的是為了保證企業包括生產、銷售、市場、財務、管理以及其他各種重要的功能完全在內的運營狀況百分之百可用。可以這樣說,業務連續性是覆蓋整個企業的技術以及操作方式的集合,其目的是保證企業信息流在任何時候以及任何需要的狀況下都能保持業務連續運行。
到目前為止,大多數的業務連續性策略是以伺服器及主機為核心的。實際上,整個IT系統以及基礎通信設施也同樣重要,其中包括語音及無線通信、E-mali、辦公空間以及基礎網路等物理設備等。業務連續性是一種預防性機制。
它明確一個機構的關鍵職能以及可能對這些職能構成的威脅,並據此採取相應的技術手段,制定計劃和流程,確保這些關鍵職能在任何環境下都能持續發揮作用。業務連續性包含三個領域:業務狀態數據的備份和複製、業務處理能力的冗餘和切換、外部介面冗餘和切換。
相比之下,災難備份只是一種儘可能減少宕機損失的工具或者策略。不過,災難備份是業務連續性的基礎,沒有前者,後者就是空中樓閣,但是如果一個災難備份系統使數據恢復正常的時間過長,那也就不存在所謂的業務連續性了,縮短這個時間,就是業務連續性的目標,消除這個時間,則是業務連續性的終極目標,在網路存儲技術等的支撐下,這個目標實現是完全可能的。
(自:容災鏈路系統顧問 黃嘉偉)
銀監會BCM指引解讀及落地123
作者:BSI 毛宇
眾所周知,銀行業務對業務連續性方面的要求近乎苛刻,需要採用業內最高標準進行系統的規劃,設計和構建。但近期發生的多次銀行業務中斷事件表明,儘管銀行業的災難恢復和數據保全方面已經非常完善,仍然不能避免業務中斷事件的發生,而業務連續性管理所解決的就是“一旦災難發生,企業能夠在多長時間內恢復多少業務”的問題。
銀監會對業務連續性方面的關注也從其陸續發布的系列指引可見一斑。早在2010年4月銀監會發布的《商業銀行數據中心監管指引》中,就已經提及了災難恢復管理,並指出重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規範》 中定義的災難恢復等級第5級(含)以上的要求;2011年12月28日銀監會更是專門針對業務連續性管理下發了《商業銀行業務連續性監管指引》(以下簡稱:指引),足見銀行業對業務連續性的重視。
從該指引的結構上來看,其主要要求覆蓋了BS 25999標準中的全部主要內容,並針對銀行業的具體情況對相關方面進行了量化的規定。
指引主要分為八個章節,其中第一章到第五章基本上與BS25999的3到6能夠完全對應。第六章描述了所建立的業務連續性管理體系如何在中斷事件中應用,第七章則提出了銀監會在業務連續性方面的監管要求。
指引要求的落地,可以考慮參考被業界廣泛認可的來自業務連續性協會BCI的《業務連續管理良好實踐指南》,並基於BSI的業務連續管理生命周期模型來實現,共分為六部分工作。
一、方針和方案管理:
推動組織實施業務連續性管理需要組織在實施初期啟動一個業務連續性Program,這一階段的初始目的是成功的完成一個BCM的生命周期,但是BCM方案管理的長期目標是提高組織的BCM能力,並因此通過實現連續的BCM生命周期循環,加強組織的運營彈性。一旦實施,如果BCM方案有效,則應制定持續改善的周期對其進行管理,在指引中明確規定了持續改善的周期是3年。
二、將BCM融入組織文化:
指引第九條指出,商業銀行應當將業務連續性管理融入到企業文化中,使其成為銀行機構日常運營管理的有機組成部分。
實現文化融入的方法和途徑在BS 25999的3.3有明確的敘述。
三、理解組織:
理解組織主要由業務影響分析BIA,風險評估RA和連續性資源分析CRA三部分組成。
由於指引針對的是銀行這個特定行業,因此在指引中也具體規定了“重要業務恢復時間目標不得大於4小時,重要業務恢復點目標不得大於半小時。”的具體要求。
四、確定BCM策略:
在商業銀行具體實施指引過程中要求根據業務影響分析結果,依據業務恢復指標,制定差別化的業務恢復策略,主要包括關鍵資源恢復、業務替代手段、數據追補和恢復優先順序別等。
五、制定和實施BCM響應:
指引中要求商業銀行應該制定覆蓋所有重要業務的業務連續性計劃,並建立制定總體應急預案和重要業務專項應急預案。同時還強調了應當要求重要業務及信息系統的外部供應商建立業務連續性計劃,證明其業務連續性計劃的有效性,其業務恢複目標應當滿足商業銀行要求。另外根據銀行業同業間的特點,特彆強調了商業銀行應當注重與金融同業單位、外部金融市場、金融服務平台和公共事業部門等業務連續性計劃的有效銜接問題。
六、演練、保持和評審:
指引強調商業銀行應當開展業務連續性計劃演練,以檢驗應急預案的完整性、可操作性和有效性,驗證業務連續性資源的可用性,提高運營中斷事件的綜合處置能力。商業銀行應當將外部供應商納入演練範圍並定期開展演練;同時,應當積極參加金融同業單位、外部金融市場、金融服務平台和公共事業部門等組織的業務連續性計劃演練,確保應急和協調措施的有效性。指引要求商業銀行應當至少每三年對全部重要業務開展一次業務連續性計劃演練。
指引的最後部分強調指出了銀監會對業務連續性管理的監管要求。指引中要求商業銀行應當於每年一季度向銀監會或其派出機構提交業務連續性管理報告,包括上一年度業務連續性管理的評估報告與審計報告。此類報告的完成可以自行完成,但考慮到專業性和公信力的問題,銀行也可以考慮請BSI這樣對標準有深入理解,對行業有豐富經驗的專業第三方公司或組織來進行。
今年5月15日第一個業務連續性管理國際標準ISO 22301 正式發布,該標準是BSI對行業的再一個重大的貢獻。作為行業的領先者BSI目前已經在100多個國家進行了ISO 22301的前身BS 25999相關服務的推廣,並在43個國家開展了BS 25999的認證業務。藉助BSI在業務連續性管理方面豐富的經驗,必將為提升銀行業業務連續性能力做出貢獻。
划執行業務連續性(business continuity,BC)演練是業務連續性計劃中一項最重要的活動之一。
BC計劃演練和災難恢複測試不同。舉個例子來說,在BC計劃演練中,你其實並沒有進行失效轉移(failover),而在典型的技術性災難恢複測試中你會這麼做,以處理IT系統、數據和資料庫等的恢復工作。這是嚴格意義的業務連續性。
每年執行一次或多次BC計劃的演練是業務連續性管理系統(business continuity management system,BCMS)的一個關鍵組成部分。這個演練應該包括計劃更新、應急小組訓練、策略審查和審計、業務影響分析(BIA)、風險評估(RA)、宣傳方案等各種BCMS活動。
要保證業務連續,前提是做好容災備份,而且要做應用級的容災備份。這樣當系統因為磁碟損壞或數據丟失、病毒入侵或機器失靈而引起宕機時,將能夠保證業務不中斷,減少損失。