银行、证券、保险等金融行业的信息系统是关系国计民生的重要系统,一旦发生火灾、地震、台风、主机故障、电源故障、存储故障等突发灾难,造成金融行业信息系统中断,将会直接影响到国家财产安全、社会生活稳定和国民经济正常运转。
金融行业信息系统灾难恢复标准经历了从最初要求运行安全,到要求进行信息系统灾难恢复预案制定、应急演练,到建立完善的应急保障和业务连续管理体系,所制定的内容也由模糊逐渐明确,由概括逐渐具体。
因此,为了保证金融行业信息系统的安全稳定运行,人民银行、银监会、证监会、保监会及相关行业协会在信息系统灾难恢复标准制定方面制订了多个管理规范和指引,以加强金融行业信息安全保障体系建设,规范金融领域信息系统灾难恢复工作。
金融业标准以国标为指引
国内有关灾难恢复的政策,最早一份是2003年由中共中央办公厅颁布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),提规定:各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置预案。“谁主管谁负责,谁运营谁负责”。
2004年9月,信安通(国家网络与信息安全协调小组办公室)发[2004]11号文件——《关于做好重要信息系统灾难备份工作的通知》:提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造 成的损失、确保重要信息系统的数据安全和作业连续性,避免引起社会重要服务功能的严重中断,保障社会经济的稳定,要求“统筹规划、资源共享、平战结合”!
2005年,万国数据服务有限公司(GDS)作为唯一一家商业机构参与了原国务院信息化工作办公室组织,由中央办公厅、人民银行、证监会、保监会、国税总局、海关总署、铁道部、民航总局、国家电网等重点行业以及北京、上海、广东三地政府代表共同制订了《重要信息系统灾难恢复指南》。2007年,该指南正式成为国家标准《信息系统灾难恢复规范》(GB/T 20988-2007)。该指南和国家标准最大的意义在于:对灾难备份、灾难恢复相关术语进行了规范和梳理,指明了灾难恢复工作的流程,明确了灾难恢复的等级和相关要素,制订了灾难恢复工作的主要环节及各环节具体工作,其中包括灾难恢复的管理,需求的确定,策略的制订和实现,预案的制订、落实和管理,预案框架等。
《重要信息系统灾难恢复指南》及《信息系统灾难恢复规范》的出台为人民银行、银监会、证监会、保监会等金融监管机构起草、制定灾难恢复行业相关标准提供了充分的参考依据和方向指引。
银行业灾备标准率先响应
随着《重要信息系统灾难恢复指南》以及相关政策、标准的出台,银行业率先出台了相关的行业政策和标准。
2006年4月,中国人民银行颁布了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》(银发[2006]123号文),要求全国性大型银行,原则上应同时采用同城和异地灾难备份和恢复策略;区域性银行可采用同城或异地灾难备份和恢复策略。
2006年8月,银监会发布的《银行业金融机构信息系统风险管理指引》(银监发[2006]63号),明确地提出金融机构应制定信息系统应急预案,并定期演练、评审和修订,省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
2008年2月,中国人民银行正式发布和实施《银行业信息系统灾难恢复管理规范》(JR/T0044-2008)。其中要求:短时间中断对国家、外部机构和社会产生重大影响或影响单位关键业务功能并造成重大经济损失的系统:RTO(恢复时间目标)<6小时,RPO(恢复点目标)<15分钟;短时间中断会影响单位部分关键业务功能并造成较大经济损失的系统:RTO<24小时,RPO<120分钟;短时间中断会影响单位非关键业务功能并造成较大一定经济损失的系统:RTO<7天。
2009年6月,为进一步加强商业银行信息科技风险管理,银监会发布了新的《商业银行信息科技风险管理指引》,原指引同时废止。新指引将信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求;重点阐述了信息科技风险管理和内外部审计要求;对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出了高标准、高要求,使可操作性更强。
保险业灾备标准目标逐渐清晰
2004年10月,根据《关于做好重要信息系统灾难备份工作的通知》,保监会下发了《关于做好保险信息系统灾难备份工作的通知》,通知虽然要求保险企业需要确定本单位的灾难恢复目标和建设模式,制定完善的灾难恢复计划,但是,并没有具体内容描述和参考指标。
2008年3月,参考国家标准《信息系统灾难恢复规范》,保监会下发了《保险业信息系统灾难恢复管理指引》,对最低的灾难恢复能力等级进行了详细描述和规定:针对信息系统短时间中断会造成重大社会影响或影响保险机构关键业务功能,并造成重大经济损失的信息系统,必须具备第4级电子传输及完整设备支持,RTO <=36小时、RPO<=8小时;针对信息系统短时间中断会造成较大社会影响或影响保险机构部分关键业务功能,并造成较大经济损失的系统必须具备:第3级电子传输和部分设备支持,RTO <=72小时,RPO<=24小时;针对间接支持关键业务功能或对系统中断具有一定容忍度的系统,必须具备第2级备用场地支持,RTO<=7天,RPO <=36小时。
与此前中国人民银行所发的《银行业信息系统灾难恢复管理规范》相比,中国保监会所印发的《保险业信息系统灾难恢复管理指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求:“保险机构应统筹规划信息系统灾难恢复工作,自《指引》生效起5年内至少达到《指引》规定的最低灾难恢复能力等级要求。”
证券业灾备标准后续可期
证券业虽然目前还未颁布针对整个证券行业的信息系统灾难恢复管理规范或指引,但是,证券行业对信息系统灾难备份、恢复工作也非常重视,2012年8月23日中国证券监督管理委员会第22次主席办公会议审议通过《证券期货业信息安全保障管理办法》,自2012年11月1日起施行,原来的《证券期货业信息安全保障管理暂行办法》(证监信息字〔2005〕5号)同时废止。
中国证券业协会发布的《证券公司网上证券信息系统技术指引》、《期货公司信息技术管理指引》、《证券营业部信息技术指引》等多个指引,其中都强调了信息系统灾难恢复、应急预案以及进行应急演练的重要性。在2009年9月所颁布的《证券营业部信息技术指引》中,还明确要求,证券营业部应每年至少进行两次应急演练,并留存演练记录。
随着证券公司、期货公司对信息系统依赖程度的进一步提高,证券行业的灾难恢复标准必将及时出台,引领、指导证券公司、基金公司灾难恢复和应急体系的健康发展。
此外,与金融行业灾难恢复相关的标准还有ISO20000IT服务管理体系、ISO27001信息安全管理体系、ISO9000质量管理体系、BS25999业务连续管理体系,以及将在2010年实施的《企业内部控制规范》等。这些标准在一定程度上有助于帮助金融企业完善灾难恢复体系,提升业务连续运作能力。