存储 频道

揭开业务连续性难题 技术领先管理滞后

  【IT168 专稿】说起BCM,可能大家还有些陌生,其英文全称为Business Continuity Management,中文一般译为业务连续性管理。谈到业务连续性,可能大家会首先想到备份和容灾,备份和容灾是在IT系统层面上对业务连续性进行保障,而BCM不仅包括IT技术层面,还体现在整个机构(企业、政府、组织)的整个管理架构层面。

  BCM的主要作用是当灾难发生后,迅速对业务进行切换、恢复,以保证业务的连续性。其不仅包括我们目前耳熟能详的备份、容灾,还更多地体现在整个企业(政府、组织)的管理层面,对人的作用要求较高。由于全球自然灾害的频发,使得人们对于容灾的必要性已经上升到了新的高度,诸多企业越来越重视容灾的重要性。但在我国,虽然(IT系统)的备份容灾已经提上日程,但BCM(业务连续性管理)依然不够完善。目前BCM做得较好的仍只停留在金融政府等信息较为敏感的行业。

  BCM的前世今生

  BCM是一个一体化的管理过程,通过这一过程,可以识别威胁组织机构的潜在风险,并提供一个指导性框架来建立组织机构的恢复能力和有效应急响应能力,从而保障组织机构的资产、信誉,品牌及其创造价值的活动。

  BCM在国外发展较早,2001年美国“911”事件发生之后,我国才意识到BCM的重要性,由此,针对金融等高度依赖信息系统的行业,国家发布了一系列的指导性文件,包括GB/T20988(国家标准)、GB/T20984、《银行业信息系统突发事件应急管理规范》、《商业银行数据中心管理规范》、《商业银行操作风险管理指引》、《商业银行业务连续性管理监管指引》、《商业银行信息科技风险管理指引》,2011年,由中国银监会(全称:中国银行业监督管理委员会)发布的104号文件《商业银行业务连续性监管指引》(俗称:104文)中首次对银行业业务连续性作出强制性措施,并将定期对银行业业务连续性措施进行检查。

  关于BCM在灾难发生后的作用,可通过“911”事件后的德意志银行和纽约银行两个案例进行对比。德意志银行从93年开始就对风险进行分析,并建立了一整套完整的业务连续性计划(BCP),以应对突发事件或灾难。当“911”发生之后,德意志银行调动4000多名员工及全球分行的资源,短时间内在距离纽约30公里的地方恢复了业务运行。而反观纽约银行,虽然其在纽约同城建立了备用数据中心,但由于距离灾场较近,通讯线路全部中断,以致造成连锁反应,据2001年10月18日纽约银行发布的声明,恐怖袭击破坏了部分计算机系统,一些分支机构被迫关闭,其第三季度利润因此下降了33%。

  通过上述两个案例可以明显看出BCM在灾难发生后所发挥出的巨大作用。而“911”事件的发生,也给全球的金融业带来了深远的影响,欧美、香港以及日本等发达国家或区域分别发布了一系列的指导性文件,以对金融业尤其是银行业的业务连续性管理进行标准和规范。其中最具影响力的是巴塞尔银行监管委员会发布的《业务连续性高级原则》,在其中同时针对监管机构和银行进行了责任定位和规范,并提出了原则性需求,对业务连续性管理的相关重点进行了突出。

BCM的前世今生
▲欧美等发达国家或区域从上世纪70年代就已经有BCM萌芽,经过几十年的发展,目前BCM方面的经验已经较为成熟。其BCM体系也从最初的仅是数据中心恢复发展到对业务的连续性和可用性进行保障

BCM的前世今生
▲BCM(业务连续性管理)不仅是指IT系统的恢复,还包括管理层面的操作流程。BCM包括事前的危机预测、事中的危机管理和应急管理以及业务连续性计划等。是组织机构整个管理层面的操作,更强调的是人的作用。

${PageNumber}

  我国银行业BCM难题:技术领先管理滞后

  尽管我国的BCM(业务连续性管理)起步相对较晚,仅就银行业尤其是全国型的几大银行而言,技术已经较为成熟,已经接近于国际领先水平。如在2008年汶川大地震后三天,工行四川分行就在都江堰用帐篷搭起应急业务网点,一台ATM取款机率先恢复正常取款。据工行都江堰支行行长文永祥介绍,帐篷银行可以办理对公账户、转账等对公业务,个人业务方面则可办理挂失、ATM取现等。统计显示,在这个帐篷银行成立几天之内,就办理对公结算业务共计76万元,ATM取现近20笔。

  业务连续性管理(BCM)是一项涉及IT技术和企业管理的大项目,其不仅对IT技术的要求较高,还要与企业业务紧密结合。在国内,目前仅有中金数据系统有限公司在内的少数几家企业较为全面地开展了此项业务,其能为企业或组织提供包括风险评估、业务影响分析、预案开发、方案架构设计、演练服务等一整套BCM流程设计,目前国内几大银行均为中金数据公司的客户。中金数据公司BCM业务主要负责人尹晖先生坦言,尽管目前国内大多数银行基本上都已进行了基于同城或异地的灾备基础设施的准备,并开始向“两地三中心”发展过度,但在灾难发生时,是否能够实现业务级的切换与恢复,以及业务的回退,这是大家心中都不敢保证的问题。

我国银行业BCM难题:技术领先管理滞后
▲图为中金数据系统有限公司领导正在介绍BCM在我国的发展现状。从左到右依次为中金数据系统公司市场部总经理张松、高级副总裁罗耀兴、咨询业务部总经理尹晖以及咨询服务部副总经理李可先生

  尹晖先生认为,BCM体系归纳起来包括信息系统和业务两个层面,目前国内很多金融机构的信息系统的灾备切换技术几乎已经达到了国际领先水平,但在管理层面,我们还需要更多的经验累积。国外的一些先进银行,其应急预案达到了7000份以上,几乎每种可能出现的灾难(包括自然灾难和人为灾难)都有对应的预案。而我们预案最多的大型银行紧急预案大约在4000多份,在这方面还有不小差距,而这主要受限于起步较晚,不可能一蹴而就。

  业务连续性管理跟目前企业灾备面临的情况有一些共通,有灾备,但灾备是否可用,是否能够在中断发生时,保证可以切换,而不是像某位监管机构领导曾经批评一家建设了灾备系统但是关键时刻不敢切换的金融机构那样“有备无换”。尹晖先生在谈到我国银行业的业务连续性现状时说,目前几大银行各有特色,信息系统方面当中做得最好的应该是交行,其能够实现在同城切换和负载分摊,而建设银行则是在业务连续性管理的组织架构、流程、政策、演练等管理方面迈上了更高的台阶。。而“104号文”(银监会最新发布的《商业银行业务连续性监管指引》)中已经明确规定银行必须建立全面的业务连续性管理体系,而且要和关联方、监管方形成有效沟通协作机制,,并且会定期检查。尹晖认为,业务在主数据中心和灾备中心之间进行有选择的切换是中国银行业所面临的一大难题,因为中国银行业的信息系统架构复杂,业务种类繁多、复杂,切换难度相当的大,更为困难的是当业务从主数据中心切换到备用数据中心之后,在回退阶段,还需要从备用数据中心回滚到主数据中心,而这是BCM中最为困难的问题。

  尹晖先生认为,不管是切换还是回退,其在IT技术上与国外先进经验相差正在缩小,而造成不敢进行切换的最大原因在于管理层面,因为管理的不完善造成是在BCM演练中不敢进行切换的最大因素。而这一原因在IT行业的灾备系统建设中也发现具有同样的问题,如最新发布的《Acronis全球灾难复原指数》中,我们看到与国外相比,中国企业在灾备方面的投入较高,技术也较为先进,但成功复原的信心却较低。报告分析认为,没有相关的灾备演练经验、没有类似的经历是导致其成功复原信心较低的主要因素。而最新发布的 “104号文”主要针对这些问题,明确要求银行业必须进行真实的切换演练,而这将推动中国银行业的BCM向前发展。

${PageNumber}

  成熟型社会 BCM是必备条件

  不仅仅金融行业需要BCM,政府、组织以及其他行业企业同样需要BCM。对比去年发生的东日本地震和2008年发生的汶川大地震,我们可以发现,尽管东日本地震为9级,并且地震引发了海啸以及核泄漏危机,但死亡人数、倒塌的房屋间数却仅有汶川地震的1/4和1/7了,震后的恢复速度和重建速度是汶川远远不能比的,地质环境的恶劣使得日本在灾害预防和恢复生产方面具有成熟并先进的经验,日本一直都是灾备强国。

  近几年来,全球范围内的自然灾害频发,如加拿大龙卷风、印尼海啸、汶川大地震、东日本大地震以及去年的泰国洪水,都给所在国经济带来深远的影响,有些甚至影响全球的经济。如泰国洪水使得硬盘工厂停业,而全球几乎有四分之一的硬盘产自泰国,一时之间,硬盘紧缺,波及到了整个全球IT市场。。

  灾害不可避免,除了做好事前预警之外,更为重要的是危机应对和事后重建恢复。而这正是BCM所能发挥的作用,BCM不仅仅是IT系统的恢复,更为重要的是业务的恢复,这需要涉及到整个企业的管理层,需要各参与人员的紧密配合。尹晖先生认为,通常情况下,灾难发生后,不管是高管还是员工都面临巨大的精神压力,那么BCM就必须标准化和流程化。而这就是事前的预案制定和演练所需要达到的目标。

  由于业务模式非常复杂,银行业的BCM建设通常难度较大,并且建设周期长。需要事先对业务模式及风险进行分析,再根据实际业务制定预案,对预案进行论证,并且因为需要应对各种灾难,预案数量庞大,根据不同规模的银行,其预案多达几千份不等。目前我国预案最为完备的建行多达4000多份预案,而这还远远不够,如美国银行,其预案多达7000份。

  目前国内除了中金数据系统公司提供BCM建设方面的咨询和软件服务之外,鲜有专业公司提供类似的服务。中金数据高级副总裁罗耀兴先生坦言,由于银行业的BCM的建设周期长,难度大、技术要求高,BCM项目在中金数据系统公司所占的比重并不大,但作为一家国内起步最早的业务连续性服务企业,中金仍将BCM业务作为重点,其能够帮助发展中的企业、组织更好地保证业务连续性。同时,中金数据本身主营数据中心外包服务,这对中金的主营业务将起着很好的推动作用,并树立良好的企业形象。

  在参与了多次的银行业BCM项目建设之后,中金数据公司在BCM项目,尤其是银行业BCM建设方面积累了诸多的经验,为帮助更多的具有区域性的中小银行进行BCM建设,中金数据于08年的时候推出了一款帮助银行业BCM建设的产品——CeBCM,其中包含了与银行业相关的国内外标准以及中金在多年BCM建设方面的经验。并在09年发布了CeBCM 2.0版本,增加了监管报送模块,完善了RA和BIA模块中的自动量化分析功能,加入了新的风险计量模型和风险算法,增强了对业务功能的精细化分析;在去年,中金又发布了CeBCM 3.0,针对企业演练不足,没有灾难复原经验等问题,专门增加了事中处理、演练自动化管理等功能,同时软件在合规性做出了完善,特别是在事中处理模块中加入了短信群发、事中监控管理和专家辅助决策功能,加入中金创新的“业务连续性和灾备能力等级评估模型”。CeBCM软件形成了集“事前-事中-事后”完整的闭环结构。

  尹晖先生认为,IT资源的集中化服务模式给企业业务带来了更高的风险,BCM建设就势在必行。而随着云计算等概念的深入普及,IT资源将更加的集中,并承担更高的风险,一个好的完善的BCM将有助于企业、组织降低业务所遭遇的停顿风险。中金数据系统公司目前在北京、烟台、广州等地建有四个大型数据中心,并对运营数据中心有着丰富的经验,BCM业务将中金公司的先进经验传递给客户的同时,也对客户存在的实际问题进行收集,以更好地促进中国BCM的发展,同时也间接地为云数据中心的合理运营提供经验与参考。

1
相关文章