金融行业灾备系统建设--你不是一个人在战斗！

既然是研讨会，那就是研讨，就是说话，就是唠嗑，也就不需要再准从什么八股行文要求，就是随便聊聊，茶已泡好，那就开始啦。

一、不是一个人在战斗

其实这几年从监管乃至到银行，其观念都已经或多或少有所改变，信息系统的安全稳定运行也不再是科技部门一个部门的事情，首先我们一起来看银监会这五年出台的监管要求：

1、2008年出台的《银行业重要信息系统突发事件应急管理规范》；
2、2010年发布的《商业银行数据中心监管指引》。

可以看出，前几年监管的关注点更多集中在信息科技本身的应急响应和处置，包括灾备恢复基础设施建设方面。但信息系统连续运行的根本目标是保证银行业务系统的连续运行进而支撑银行业务的连续运营，所以说，银行更应该从业务角度出发，以业务持续为目标，进而形成应对突发事件，以及灾难灾害发生时各部门系统作战的管理体系。可喜的是，在2011年12月，银监会颁发了《商业银行业务连续性监管指引》，对银行机构业务连续性管理体系架构、工作内容、演练等应急处置提出了明确的监管要求。更主要的，《指引》中要求商业银行应建立BCM组织框架，设立BCM的部门能从整体上协调全行其他部门，并建议该部门应为“风险部”或“办公室”等综合管理部门而非信息科技部门。 在BCM的组织框架下，业务和科技部门应作为业务连续性的执行部门，尤其是业务部门应负责设定业务恢复指标、建立业务回复资源等，强调了以业务为主体的连续性管理职能及业务部门在全行业务连续性管理建设中的义务和重要作用。

这几年银行科技部门也不再埋头苦干的单纯的致力于灾备建设，而是逐步建设建立BCP、BCM的管理体系，从全行层面建立应急响应体系，在诸如风险管理部门的牵头和组织下，和业务部门协同进行RA风险分析、BIA业务影响分析、包括业务连续性计划的制定、业务连续性演练等，包括非常必要的危机处理、舆情监督、信息沟通和发布、如何消除和降低负面影响等，都不再、也不可能只是科技部门一个人的事情。科技部门需要将业务连续运营的要求和指标，翻译成信息系统建设和运营的指标。

综上，银行不仅仅需要灾备系统建设，而需要从业务运营的层面出发，建立和完善其业务连续性管理体系，干这个活也不仅仅是信息科技部门的事情，而需要全行各级部门协同联动，合力建设、管理及持续改进，进而保障其业务系统的连续性。收起