1同行回答
信息化发展的今天,人们的生活在不知不觉中变化,有人可能也亲历过灾难事故,比如2001年911恐怖袭击,2008年5.12汶川大地震,或者有的事故就发生在我们身边,如2013年6月23日多地网友在其所持的某银行卡在ATM机、柜台和网银均被告知故障,不能受理业务,同年6月24日,另一家银行也因其银期前置系统出现短时交易缓慢,影响了个别客户银期转账交易等,当人们不能阻止灾难的发生,主动预防应该是降低损失,挽救生命,保持业务的最好的方式,解决灾难问题的理论和方法常见的有风险管理,危机管理,应急管理,灾难恢复和业务连续性管理,这里我们主要讨论业务连续性管理。
业务连续性管理中常见的10个国际最佳专业惯例是项目启动与管理,风险评估和控制(RA),业务影响分析(BIA),制定业务连续性策略,应急响应和措施,编制和贯彻执行业务持续性,认知和培训计划,维护及演练业务持续计划,危机沟通和与外部机构的协调,在这里我们主要探讨的是业务影响分析在银行灾备方案中的应用。
业务连续就是不仅要使业务功能在灾难后能得到全面恢复,还要确保关键业务功能在中断或灾难事件中,能够迅速地恢复持续运行。
先简单介绍一下银行灾备中心的情况,灾备中心根据在灾难发生后的灾备能力可以分为数据级灾备,应用级灾备和全业务灾备,数据级灾备属于2-3级的灾备中心,基本要求是,当灾难发生后可以确保原有的数据不丢失,依靠镜像/复制技术,实现数据的远程备份,这种灾备中心投入低、易实现,但灾难恢复时间长,尽管原有数据没有丢失,但应用系统会中断,业务停止。应用级灾备属于5-6级灾备中心,在数据灾备的基础上,备份站点提供同样的数据处理系统,具备应用处理能力,但需要网络通讯系统、服务器系统、存储系统、应用系统的的协作,应用级灾备系统能提供不间断的应用服务。业务级灾备也就是全业务灾备,要求具备全部的基础设施,可以实现数据、应用灾备是IT范畴的容灾,业务及灾备的大部分内容是非IT系统,例如办公地点、环境等,当大灾难发生后,原有的办公场所都会受到破坏,除了需要数据、应用的恢复,更需要一个备份的工作场所能够正常的开展业务。
在实际的运作中,组织可以通过业务影响分析来选择确定建立几级的灾备中心,这里我们假设我们已经选择了应用级的灾备,目的是分析主要业务的灾备需求指标及信息系统恢复范围及指标,前提假设在物理场所和人员没有受到灾难的影响,中断发生在业务正常的对外服务时段,生产环境的IT应用系统发生意外中断,其他支持业务运行的IT应用系统和网络可用,在整个过程中可以采用会议调研,访谈和问卷调研等方式。
主要的步骤,如下:
(一) 明确业务范围和目标,通常可以采用图表的形式,如核心业务(储蓄、转账、汇兑和票据),中间业务(银行间的业务),ATM业务(本行和他行),贷记业务,网银业务等。
(二) 灾难恢复需求可以根据业务重点的财务影响和非财务影响两个因素进行评估。进行财务影响评估,考虑银行业的特点,有的收益信息即使对内部员工也不公开,可以采用主观评测的方法,定义财务影响级别,如极高,高,略高,中,稍低,低和无财务损失。
(三) 非财务影响可以从几个方面考虑如:对银行声誉的影响,不能满足银监部门的要求,业务经营资质的影响,法律/诉讼风险,影响客户满意度,造成客户流失,影响投资者信心,给国家安全、社会稳定造成影响等,同样需要定义非财务影响的级别,如非常严重,严重,一般,轻微和无影响。
(四) 分析业务中断影响情况:
a) 定义服务时间(如:724,78)和评估估值之间的对应关系,根据实际的业务的服务时间推测出服务时间估值。
b) 定义用户数量和评估估值之间的对应关系,根据每个业务的用户量推出用户数量估值,
c) 定义月业务量和评估估值之间的对应关系,并分析每个业务的月服务评估值。
d) 假设业务中断30分钟,1小时,8小时和2天,评估每个业务在中断各个时间段对财务影响情况,推导出每个业务的月评估估值,还可以得出随着时间的增长,财务损失情况。
e) 同样的方法分析,假设业务中断30分钟,1小时,8小时和2天,对非财务影响的情况,根据对银行声誉的影响,不能满足银监部门的要求,业务经营资质的影响,法律/诉讼风险,影响客户满意度,造成客户流失,影响投资者信心,给国家安全、社会稳定造成影响等几种非财务情况分别的进行估值。经过这些分析后,还可以得出对业务不同程度影响的业务的数量以及随着中断时间的增长,影响等级较高的业务数量的变化情况。
(五) 综合评价,输入每个业务名称对应的用户数评估值,业务量评估值,服务时间评估值,财务影响评估值,非财务影响评估值,根据权重得出总的评估值得出业务恢复优先级,根据银行业务的可容忍最大中断时间和最大数据丢失时间分析得出业务恢复时间目标(RTO)和恢复数据点目标(RPO)。
有了这些指标,就可以确定主要业务的灾备需求指标及信息系统恢复范围及指标,需要注意的是当组织的业务系统和业务流程发生重大变化的时候,要重新进行业务影响分析。
在整个业务连续性管理过程中,业务影响分析只是其中的一个过程,要保证整个过程成果的决定因素还包括管理层的重视和支持,组建一支完善的BCM组织机构,人员、资金和资源的保障,指定拥有适当权利的业务部门代表参与,相关人员应具备全面的业务持续管理知识和专心致志及高度责任感。
业务影响分析的方法有很多种,组织可以根据业务的实际情况选择适合自身特点的原则和方法。