“中国人民
银行要认真组织做好银
行业信息安全指导和服务工作,努力提高银行业信息安全保障能力,包括:组织贯彻落实国家信息安全
政策、法规,推动建立信息安全专门组织机构,推进信息安全标准化建设,加快建立同城、异地灾备中心建设,建立信息安全评估制度和应急演练制度,完善银行卡、网银安全防护和监测措施,有效协调处置银行业信息安全事件等。”这是前不久
央行召开的银行业信息安全通报会所发布的内容。针对当前银行业对信息技术的依赖程度越来越高,银行业信息安全保障工作的难度也随之不断增大的现状,进一步加强银行业信息安全工作成为保障我国银行业健康有序发展的头等大事。
与银行相同, 证券、保险等金融行业的信息系统是关系国计民生的重要系统,一旦发生火灾、地震、台风、主机故障、电源故障、存储故障等突发灾难,造成金融行业信息系统中断,将会直接影响到国家财产安全、社会生活稳定和国民经济正常运转。因此,为了保证金融行业信息系统的安全稳定运行,人民银行、 银监会、证监会、保监会及相关行业协会近年来在信息系统灾难恢复标准方面制定了多个管理规范和指引,以加强金融行业信息安全保障体系建设,规范金融领域信息系统灾难恢复工作。
金融业标准以国家标准为指引
据国家安全标准化委员会“信息系统灾难恢复规划”课题组组长汪琪介绍,2005年,×××信息化工作办公室下发了《重要信息系统灾难恢复指南》。2007年,该指南正式成为国家标准《信息系统灾难恢复规范》。该指南和标准最大的意义在于:对灾难备份、灾难恢复相关术语进行了规范和梳理,指明了灾难恢复工作的流程,明确了灾难恢复的等级和相关要素,制订了灾难恢复工作的主要环节及各环节具体工作,其中包括灾难恢复的管理,需求的确定, 策略的制定和实现,预案的制订、落实和管理,预案框架等。指南及标准的出台为人民银行、银监会、证监会、保监会等金融监管机构起草、制定灾难恢复行业相关标准提供了充分的参考依据和方向指引。
银行业灾难恢复标准率先响应
随着《重要信息系统灾难恢复指南》以及相关政策、标准的出台,银行业率先出台了相关的行业政策和标准。
2006年4月,×××颁布了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,要求全国性大型银行,原则上应同时采用同城和异地灾难备份和恢复策略;区域性银行可采用同城或异地灾难备份和恢复策略。2006年8月,银监会发布了《银行业金融机构信息系统风险管理指引》,明确提出金融机构应制订信息系统应急预案,并定期演练、评审和修订,省域以下 数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
2008年2月,×××发布和实施《银行业信息系统灾难恢复管理规范》。其中要求:短时间中断对国家、外部机构和社会产生重大影响或影响单位关键业务功能并造成重大经济损失的系统:恢复时间目标(RTO)<6小时,恢复点目标(RPO)<15分钟;短时间中断会影响单位部分关键业务功能并造成较大经济损失的系统:RTO<24小时,RPO<120分钟;短时间中断会影响单位非关键业务功能并造成较大一定经济损失的系统:RTO<7天。
2009年6月,为进一步加强商业银行信息科技风险管理,银监会发布了新的《商业银行信息科技风险管理指引》,原指引同时废止。新指引将信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求,对商业银行信息科技整个生命周期内的信息安全和外包等方面提出了高标准、高要求。特别是第七章,对业务连续性管理作了专门的要求描述,使可操作性更强。
保险业灾难恢复标准目标逐渐清晰
2004年10月,保监会下发了《关于做好重要信息系统灾难备份工作的通知》,通知虽然要求保险企业需要确定本单位的灾难恢复目标和建设模式,制定完善的灾难恢复计划,但是,并没有具体内容描述和参考指标。2008年3月,参考国家标准《信息系统灾难恢复规范》,保监会下发了《保险业信息系统灾难恢复管理指引》,对最低的灾难恢复能力等级进行了详细描述和规定:针对信息系统短时间中断会造成重大社会影响或影响保险机构关键业务功能,并造成重大经济损失的信息系统,必须具备第4级电子传输及完整设备支持;针对信息系统短时间中断会造成较大社会影响或影响保险机构部分关键业务功能,并造成较大经济损失的系统必须具备第3级电子传输和部分设备支持;针对间接支持关键业务功能或对系统中断具有一定容忍度的系统,必须具备第2级备用场地支持。
《保险业信息系统灾难恢复管理指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求:保险机构应统筹规划信息系统灾难恢复工作,自《指引》生效起5年内至少达到《指引》规定的最低灾难恢复能力等级要求。业内人士表示,该标准仅仅是一个开始,随着保险机构业务的发展、IT应用能力的提升以及灾备需求的增长,未来,保监会还会在此基础上推出更为严格的灾备规范、要求。
证券业灾难恢复标准后续可期
证券业虽然目前还未颁布针对整个证券行业的信息系统灾难恢复管理规范或指引,但是,证券行业对信息系统灾难备份、恢复工作也非常重视。2005年4月,证监会发布《关于印发<证券 期货业信息安全保障管理暂行办法>通知》,要求证券期货业提高信息系统的可用性和灾难恢复能力,为业务的可持续运行提供保障。
2009年,中国证券业协会先后发布了《证券公司网上证券信息系统技术指引》、《期货公司信息技术管理指引》、《证券营业部信息技术指引》等多个指引,其中都强调了信息系统灾难恢复、应急预案以及进行应急演练的重要性。在2009年9月所颁布的《证券营业部信息技术指引》中,还明确要求,证券营业部应每年至少进行两次应急演练,并留存演练记录。随着证券公司、期货公司对信息系统依赖程度的进一步提高,证券行业的灾难恢复标准必将及时出台,引领、指导证券公司、 基金公司灾难恢复和应急体系的健康发展。
此外,与金融行业灾难恢复相关的标准还有ISO20000IT服务管理体系、ISO27001信息安全管理体系、ISO9000质量管理体系、BS25999业务连续管理体系,以及将在2010年实施的《企业内部控制规范》等。这些标准在一定程度上有助于帮助金融企业完善灾难恢复体系,提升业务连续运作能力。
灾备技术国家工程实验室主任杨义先曾表示,由于我国信息系统具有行业分布广,信息化层次参差不齐,信息量巨大的特点,这就决定了我国不可能建立完全统一的国家灾备标准,来规范所有行业的信息系统灾备,结合国内各行业特点,应建立一个融合绝大部分通用的标准集,和专有标准集的灾备标准体系,而不是孤单一个的灾备标准。这个标准体系不仅包含有技术体系,还应包含管理体系、监控体系,验证标准等一系列的标准规范。从金融业灾备标准发展的脉络来看,金融行业监管机构的政策发展、变迁,经历了从最初要求运行安全,到要求进行信息系统灾难恢复预案制订、应急演练,到建立完善的应急保障和业务连续管理体系,所制定的内容也由模糊逐渐明确,由概括逐渐具体。
与银行相同, 证券、保险等金融行业的信息系统是关系国计民生的重要系统,一旦发生火灾、地震、台风、主机故障、电源故障、存储故障等突发灾难,造成金融行业信息系统中断,将会直接影响到国家财产安全、社会生活稳定和国民经济正常运转。因此,为了保证金融行业信息系统的安全稳定运行,人民银行、 银监会、证监会、保监会及相关行业协会近年来在信息系统灾难恢复标准方面制定了多个管理规范和指引,以加强金融行业信息安全保障体系建设,规范金融领域信息系统灾难恢复工作。
金融业标准以国家标准为指引
据国家安全标准化委员会“信息系统灾难恢复规划”课题组组长汪琪介绍,2005年,×××信息化工作办公室下发了《重要信息系统灾难恢复指南》。2007年,该指南正式成为国家标准《信息系统灾难恢复规范》。该指南和标准最大的意义在于:对灾难备份、灾难恢复相关术语进行了规范和梳理,指明了灾难恢复工作的流程,明确了灾难恢复的等级和相关要素,制订了灾难恢复工作的主要环节及各环节具体工作,其中包括灾难恢复的管理,需求的确定, 策略的制定和实现,预案的制订、落实和管理,预案框架等。指南及标准的出台为人民银行、银监会、证监会、保监会等金融监管机构起草、制定灾难恢复行业相关标准提供了充分的参考依据和方向指引。
银行业灾难恢复标准率先响应
随着《重要信息系统灾难恢复指南》以及相关政策、标准的出台,银行业率先出台了相关的行业政策和标准。
2006年4月,×××颁布了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,要求全国性大型银行,原则上应同时采用同城和异地灾难备份和恢复策略;区域性银行可采用同城或异地灾难备份和恢复策略。2006年8月,银监会发布了《银行业金融机构信息系统风险管理指引》,明确提出金融机构应制订信息系统应急预案,并定期演练、评审和修订,省域以下 数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
2008年2月,×××发布和实施《银行业信息系统灾难恢复管理规范》。其中要求:短时间中断对国家、外部机构和社会产生重大影响或影响单位关键业务功能并造成重大经济损失的系统:恢复时间目标(RTO)<6小时,恢复点目标(RPO)<15分钟;短时间中断会影响单位部分关键业务功能并造成较大经济损失的系统:RTO<24小时,RPO<120分钟;短时间中断会影响单位非关键业务功能并造成较大一定经济损失的系统:RTO<7天。
2009年6月,为进一步加强商业银行信息科技风险管理,银监会发布了新的《商业银行信息科技风险管理指引》,原指引同时废止。新指引将信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求,对商业银行信息科技整个生命周期内的信息安全和外包等方面提出了高标准、高要求。特别是第七章,对业务连续性管理作了专门的要求描述,使可操作性更强。
保险业灾难恢复标准目标逐渐清晰
2004年10月,保监会下发了《关于做好重要信息系统灾难备份工作的通知》,通知虽然要求保险企业需要确定本单位的灾难恢复目标和建设模式,制定完善的灾难恢复计划,但是,并没有具体内容描述和参考指标。2008年3月,参考国家标准《信息系统灾难恢复规范》,保监会下发了《保险业信息系统灾难恢复管理指引》,对最低的灾难恢复能力等级进行了详细描述和规定:针对信息系统短时间中断会造成重大社会影响或影响保险机构关键业务功能,并造成重大经济损失的信息系统,必须具备第4级电子传输及完整设备支持;针对信息系统短时间中断会造成较大社会影响或影响保险机构部分关键业务功能,并造成较大经济损失的系统必须具备第3级电子传输和部分设备支持;针对间接支持关键业务功能或对系统中断具有一定容忍度的系统,必须具备第2级备用场地支持。
《保险业信息系统灾难恢复管理指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求:保险机构应统筹规划信息系统灾难恢复工作,自《指引》生效起5年内至少达到《指引》规定的最低灾难恢复能力等级要求。业内人士表示,该标准仅仅是一个开始,随着保险机构业务的发展、IT应用能力的提升以及灾备需求的增长,未来,保监会还会在此基础上推出更为严格的灾备规范、要求。
证券业灾难恢复标准后续可期
证券业虽然目前还未颁布针对整个证券行业的信息系统灾难恢复管理规范或指引,但是,证券行业对信息系统灾难备份、恢复工作也非常重视。2005年4月,证监会发布《关于印发<证券 期货业信息安全保障管理暂行办法>通知》,要求证券期货业提高信息系统的可用性和灾难恢复能力,为业务的可持续运行提供保障。
2009年,中国证券业协会先后发布了《证券公司网上证券信息系统技术指引》、《期货公司信息技术管理指引》、《证券营业部信息技术指引》等多个指引,其中都强调了信息系统灾难恢复、应急预案以及进行应急演练的重要性。在2009年9月所颁布的《证券营业部信息技术指引》中,还明确要求,证券营业部应每年至少进行两次应急演练,并留存演练记录。随着证券公司、期货公司对信息系统依赖程度的进一步提高,证券行业的灾难恢复标准必将及时出台,引领、指导证券公司、 基金公司灾难恢复和应急体系的健康发展。
此外,与金融行业灾难恢复相关的标准还有ISO20000IT服务管理体系、ISO27001信息安全管理体系、ISO9000质量管理体系、BS25999业务连续管理体系,以及将在2010年实施的《企业内部控制规范》等。这些标准在一定程度上有助于帮助金融企业完善灾难恢复体系,提升业务连续运作能力。
灾备技术国家工程实验室主任杨义先曾表示,由于我国信息系统具有行业分布广,信息化层次参差不齐,信息量巨大的特点,这就决定了我国不可能建立完全统一的国家灾备标准,来规范所有行业的信息系统灾备,结合国内各行业特点,应建立一个融合绝大部分通用的标准集,和专有标准集的灾备标准体系,而不是孤单一个的灾备标准。这个标准体系不仅包含有技术体系,还应包含管理体系、监控体系,验证标准等一系列的标准规范。从金融业灾备标准发展的脉络来看,金融行业监管机构的政策发展、变迁,经历了从最初要求运行安全,到要求进行信息系统灾难恢复预案制订、应急演练,到建立完善的应急保障和业务连续管理体系,所制定的内容也由模糊逐渐明确,由概括逐渐具体。
转载于:https://blog.51cto.com/64239/215097
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
