“中國人民銀行要認真組織做好銀行業資訊安全指導和服務工作,努力提高銀行業資訊安全保障能力,包括:組織貫徹落實國家資訊安全政策、法規,推動建立資訊安全專門組織機構,推進資訊安全标準化建設,加快建立同城、異地災備中心建設,建立資訊安全評估制度和應急演練制度,完善銀行卡、網銀安全防護和監測措施,有效協調處置銀行業資訊安全事件等。”這是前不久央行召開的銀行業資訊安全通報會所釋出的内容。針對目前銀行業對資訊技術的依賴程度越來越高,銀行業資訊安全保障工作的難度也随之不斷增大的現狀,進一步加強銀行業資訊安全工作成為保障我國銀行業健康有序發展的頭等大事。
與銀行相同,證券、保險等金融行業的資訊系統是關系國計民生的重要系統,一旦發生火災、地震、台風、主機故障、電源故障、存儲故障等突發災難,造成金融行業資訊系統中斷,将會直接影響到國家财産安全、社會生活穩定和國民經濟正常運轉。是以,為了保證金融行業資訊系統的安全穩定運作,人民銀行、銀監會、證監會、保監會及相關行業協會近年來在資訊系統災難恢複标準方面制定了多個管理規範和指引,以加強金融行業資訊安全保障體系建設,規範金融領域資訊系統災難恢複工作。
金融業标準以國家标準為指引
據國家安全标準化委員會“資訊系統災難恢複規劃”課題組組長汪琪介紹,2005年,×××資訊化工作辦公室下發了《重要資訊系統災難恢複指南》。2007年,該指南正式成為國家标準《資訊系統災難恢複規範》。該指南和标準最大的意義在于:對災難備份、災難恢複相關術語進行了規範和梳理,指明了災難恢複工作的流程,明确了災難恢複的等級和相關要素,制訂了災難恢複工作的主要環節及各環節具體工作,其中包括災難恢複的管理,需求的确定,政策的制定和實作,預案的制訂、落實和管理,預案架構等。指南及标準的出台為人民銀行、銀監會、證監會、保監會等金融監管機構起草、制定災難恢複行業相關标準提供了充分的參考依據和方向指引。
銀行業災難恢複标準率先響應
随着《重要資訊系統災難恢複指南》以及相關政策、标準的出台,銀行業率先出台了相關的行業政策和标準。
2006年4月,×××頒布了《關于進一步加強銀行業金融機構資訊安全保障工作的指導意見》,要求全國性大型銀行,原則上應同時采用同城和異地災難備份和恢複政策;區域性銀行可采用同城或異地災難備份和恢複政策。2006年8月,銀監會釋出了《銀行業金融機構資訊系統風險管理指引》,明确提出金融機構應制訂資訊系統應急預案,并定期演練、評審和修訂,省域以下資料中心至少實作資料備份異地儲存,省域資料中心至少實作異地資料實時備份,全國性資料中心實作異地災備。
2008年2月,×××釋出和實施《銀行業資訊系統災難恢複管理規範》。其中要求:短時間中斷對國家、外部機構和社會産生重大影響或影響機關關鍵業務功能并造成重大經濟損失的系統:恢複時間目标(RTO)<6小時,恢複點目标(RPO)<15分鐘;短時間中斷會影響機關部分關鍵業務功能并造成較大經濟損失的系統:RTO<24小時,RPO<120分鐘;短時間中斷會影響機關非關鍵業務功能并造成較大一定經濟損失的系統:RTO<7天。
2009年6月,為進一步加強商業銀行資訊科技風險管理,銀監會釋出了新的《商業銀行資訊科技風險管理指引》,原指引同時廢止。新指引将資訊科技治理作為首要内容提出,充實并細化了對商業銀行在治理層面的具體要求,對商業銀行資訊科技整個生命周期内的資訊安全和外包等方面提出了高标準、高要求。特别是第七章,對業務連續性管理作了專門的要求描述,使可操作性更強。
保險業災難恢複标準目标逐漸清晰
2004年10月,保監會下發了《關于做好重要資訊系統災難備份工作的通知》,通知雖然要求保險企業需要确定本機關的災難恢複目标和建設模式,制定完善的災難恢複計劃,但是,并沒有具體内容描述和參考名額。2008年3月,參考國家标準《資訊系統災難恢複規範》,保監會下發了《保險業資訊系統災難恢複管理指引》,對最低的災難恢複能力等級進行了較長的描述和規定:針對資訊系統短時間中斷會造成重大社會影響或影響保險機構關鍵業務功能,并造成重大經濟損失的資訊系統,必須具備第4級電子傳輸及完整裝置支援;針對資訊系統短時間中斷會造成較大社會影響或影響保險機構部分關鍵業務功能,并造成較大經濟損失的系統必須具備第3級電子傳輸和部分裝置支援;針對間接支援關鍵業務功能或對系統中斷具有一定容忍度的系統,必須具備第2級備用場地支援。
《保險業資訊系統災難恢複管理指引》第一次對保險機構資訊系統災備建設進度和災難恢複能力進行了明确要求:保險機構應統籌規劃資訊系統災難恢複工作,自《指引》生效起5年内至少達到《指引》規定的最低災難恢複能力等級要求。業内人士表示,該标準僅僅是一個開始,随着保險機構業務的發展、IT應用能力的提升以及災備需求的增長,未來,保監會還會在此基礎上推出更為嚴格的災備規範、要求。
證券業災難恢複标準後續可期
證券業雖然目前還未頒布針對整個證券行業的資訊系統災難恢複管理規範或指引,但是,證券行業對資訊系統災難備份、恢複工作也非常重視。2005年4月,證監會釋出《關于印發<證券期貨業資訊安全保障管理暫行辦法>通知》,要求證券期貨業提高資訊系統的可用性和災難恢複能力,為業務的可持續運作提供保障。
2009年,中國證券業協會先後釋出了《證券公司網上證券資訊系統技術指引》、《期貨公司資訊技術管理指引》、《證券營業部資訊技術指引》等多個指引,其中都強調了資訊系統災難恢複、應急預案以及進行應急演練的重要性。在2009年9月所頒布的《證券營業部資訊技術指引》中,還明确要求,證券營業部應每年至少進行兩次應急演練,并留存演練記錄。随着證券公司、期貨公司對資訊系統依賴程度的進一步提高,證券行業的災難恢複标準必将及時出台,引領、指導證券公司、基金公司災難恢複和應急體系的健康發展。
此外,與金融行業災難恢複相關的标準還有ISO20000IT服務管理體系、ISO27001資訊安全管理體系、ISO9000品質管理體系、BS25999業務連續管理體系,以及将在2010年實施的《企業内部控制規範》等。這些标準在一定程度上有助于幫助金融企業完善災難恢複體系,提升業務連續運作能力。
災備技術國家工程實驗室主任楊義先曾表示,由于我國資訊系統具有行業分布廣,資訊化層次參差不齊,資訊量巨大的特點,這就決定了我國不可能建立完全統一的國家災備标準,來規範所有行業的資訊系統災備,結合國内各行業特點,應建立一個融合絕大部分通用的标準集,和專有标準集的災備标準體系,而不是孤單一個的災備标準。這個标準體系不僅包含有技術體系,還應包含管理體系、監控體系,驗證标準等一系列的标準規範。從金融業災備标準發展的脈絡來看,金融行業監管機構的政策發展、變遷,經曆了從最初要求運作安全,到要求進行資訊系統災難恢複預案制訂、應急演練,到建立完善的應急保障和業務連續管理體系,所制定的内容也由模糊逐漸明确,由概括逐漸具體。
![什麼是期貨反跟單交易[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)