保险业容灾建设的几点建议

　　1.统筹规划容灾。各保险公司必须认真做好风险分析和业务影响分析，明确信息系统的灾难恢复总体目标，确定信息系统的最低灾难恢复能力等级要求。而目前的一个现象是：很多保险公司在启动容灾系统建设的时候，考虑的不是业务上的实际需求，而是一开始就想做一个高等级的方案，这样的方案会导致预算比较高，董事会或管理层就会觉得做容灾系统是一个很费钱的事。

　　容灾系统应该具有三个层次，包括了主机的高可用系统、备份系统和整体系统故障异地容灾。但是国内的许多企业在做异地容灾的时候,都只重视第三个层次。前两个层次能够有效地屏蔽掉单点故障等局部故障问题，在整个容灾系统中也起着重要的作用。

　　实际上，做容灾系统并不见得一定要花很多钱。如果充分考虑了公司的业务需要，选择一个恰当的恢复等级，这时候公司花的就是按需定制的钱，投入也会比较合理。这是保险公司需要买什么样“保险”的问题。

　　2.按需建立容灾系统。保险公司的容灾系统与银行相比，有自身的特点。保险公司的数据恢复时间不像银行要求那么短，容灾系统的级别相对就低一些。现在有些保险公司走入了一个误区，在建设容灾系统时动不动就做实时的。除非保险公司的电子化程度非常高，在线投保是保险公司的主销售渠道，否则，建立实时的容灾系统是一种浪费。另外，保险公司容灾系统的共享性比银行要大得多，完全可以由几个保险公司共享一个容灾系统，这样对保险公司来说会大大降低建设容灾系统的成本。

　　《指引》的第四条，介绍了灾难恢复建设的三种模式：第一种模式就是自建。就是自行出资建设并拥有灾备中心，目前我们国家大部分机构都是这种方式。第二种就是共建，就是多个机构共同出资建设和拥有灾难备份中心，为参与单位提供灾难备份服务。第三种就是外包，也就是指选择外部资源来承担或者协助完成信息系统灾难恢复的规划、实施、运营维护，以及应急响应和恢复工作。应该说，外包方式是当前国际上灾备市场的主流形式。据统计，国外采用灾难备份外包服务的比例已经达到71%，灾备系统外包得到国际上的广泛认可。

　　因此，根据自身的业务需求，选择哪种灾难恢复建设模式，明确容灾系统要做到哪一级最低灾难恢复能力等级要求，这是涉及到投入与产出的关系，也是各公司最为关心的问题之一。这是保险公司怎么样去买“保险”的问题。

　　3.灾难恢复是系统工程。据专家分析，各企业上马灾难恢复计划仅是做了保险工作的第一步，而能否在灾后正确、顺利地实施才最为关键。灾难恢复是一项系统工程，只建项目是不够的，项目内容应该包括灾难风险评估、业务影响分析、灾难恢复策略设计、详细方案设计、容灾方案实施、灾难恢复计划开发以及最后的灾难恢复测试和演习等。

　　非常专业的容灾系统建设指引和检查流程，是项目得以顺利完成的重要因素之一。其中，保险机构灾难恢复组织机构的建立，是项目能否成功的重要保证，其在灾难恢复规划、实施和运营维护阶段以及在应急响应和恢复阶段都担当了主要的职责。容灾演习是对容灾项目建设是否成功的检验标准，也是容灾维护管理流程和文档检测的重要手段。通过定期举行灾难恢复演习，一方面可以及时发现操作流程中可能出现的问题，另一方面使每次演习后员工能对灾难恢复工作的了解逐渐加深，并有助于培养员工的应急处理能力。

　　灾难恢复建设并不是一劳永逸的，《指引》指出：“保险机构应持续开展灾难恢复工作，以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性”。“灾难恢复的需求应定期进行再分析”、“保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作”。只有这样，保险公司买的“保险”才能真正发挥其保障作用。