湯小蘋(píng)

由于銀行業(yè)在國(guó)民經(jīng)濟(jì)中的戰(zhàn)略定位及其服務(wù)敏感性，其業(yè)務(wù)連續(xù)性計(jì)劃(BCP)對(duì)于保證銀行持續(xù)經(jīng)營(yíng)能力有著特殊重要的意義。本文結(jié)合國(guó)內(nèi)銀行業(yè)的實(shí)際情況，從IT管理者的角度出發(fā)，對(duì)銀行業(yè)業(yè)務(wù)連續(xù)性計(jì)劃的定位、制定、演練等做了一個(gè)初步的探討

BCP計(jì)劃的制定首先要明確本行面臨的風(fēng)險(xiǎn)，包括自然風(fēng)險(xiǎn)、人為風(fēng)險(xiǎn)、硬件類型風(fēng)險(xiǎn)、應(yīng)用類型風(fēng)險(xiǎn)；并對(duì)風(fēng)險(xiǎn)可能造成的損失進(jìn)行評(píng)估，以指導(dǎo)后續(xù)應(yīng)對(duì)計(jì)劃的制定。

其次根據(jù)本行的實(shí)際情況，決策本行BCP計(jì)劃的目標(biāo)和指標(biāo)；

然后根據(jù)目標(biāo)和指標(biāo)，通過(guò)技術(shù)手段和管理手段，明確整個(gè)BCP計(jì)劃貫徹涉及到的組織結(jié)構(gòu)、職責(zé)分工、技術(shù)體系、演練和維護(hù)環(huán)節(jié)等，保證整個(gè)計(jì)劃的可落實(shí)性、可管理性、可維護(hù)性。

1、基本過(guò)程分析

1.1七級(jí)容災(zāi)和七級(jí)恢復(fù)

據(jù)國(guó)際標(biāo)準(zhǔn)SHARE78的定義，災(zāi)難恢復(fù)解決方案可根據(jù)以下主要方面所達(dá)到的程度分為七級(jí)，即從低到高有七種不同層次的災(zāi)難恢復(fù)解決方案。

0層-沒(méi)有異地?cái)?shù)據(jù)

1層-PTAI卡車運(yùn)送訪問(wèn)方式

2層-PTAM卡車運(yùn)送訪問(wèn)方武+熱備份中心

3層-電子鏈接

4層-話動(dòng)狀態(tài)的備份中心

5層-兩個(gè)活動(dòng)的數(shù)據(jù)中心

6層-O數(shù)據(jù)丟失，自動(dòng)系統(tǒng)故障切換

同樣的，七級(jí)恢復(fù)包括：

O層：無(wú)異地備份數(shù)據(jù)

1層：有數(shù)據(jù)備份，無(wú)備用系統(tǒng)

2層：有數(shù)據(jù)備份，有備用系統(tǒng)

3層：電子鏈接

4層：使用快照技術(shù)拷貝數(shù)據(jù)

5層：交易的完整性

6層：少量或無(wú)數(shù)據(jù)丟失

7層：解決方案與具體業(yè)務(wù)相結(jié)合，實(shí)現(xiàn)自主管理

1.2業(yè)務(wù)連續(xù)規(guī)劃基本方面

本業(yè)務(wù)連續(xù)性規(guī)劃包括以下幾個(gè)方面的主要部分：

災(zāi)難類型分析

業(yè)務(wù)沖擊分析

當(dāng)前業(yè)務(wù)環(huán)境及恢復(fù)能力分析

容災(zāi)策略制訂

容災(zāi)方案設(shè)計(jì)

業(yè)務(wù)連續(xù)性流程設(shè)計(jì)

業(yè)務(wù)連續(xù)性流程及容災(zāi)方案管理和測(cè)試

其過(guò)程如下圖所示，是一個(gè)周而復(fù)始的過(guò)程，隨著銀行內(nèi)部環(huán)境的變化隨時(shí)靈活變化

階段一、災(zāi)難類型分析(風(fēng)險(xiǎn)分析)

在本階段，需要進(jìn)行詳細(xì)而量化的風(fēng)險(xiǎn)分析，以確定當(dāng)前IT環(huán)境之中存在哪些無(wú)法接受的物理威脅或者可能發(fā)生的災(zāi)難，并對(duì)災(zāi)難發(fā)生的可能性、目前可能的防護(hù)措施的有效性和該災(zāi)難所威脅的資產(chǎn)價(jià)值進(jìn)行分析，最終得到帶有優(yōu)先級(jí)別的需要防護(hù)的災(zāi)難列表，并制訂可能的處理方法，如接受該災(zāi)難發(fā)生的風(fēng)險(xiǎn)而不進(jìn)行防護(hù)、自行制訂該災(zāi)難的防護(hù)方法或者采取購(gòu)買(mǎi)保險(xiǎn)等風(fēng)險(xiǎn)轉(zhuǎn)嫁策略。

階段二、業(yè)務(wù)沖擊分析

在本階段，應(yīng)該針對(duì)各種業(yè)務(wù)流程進(jìn)行分析，通過(guò)走訪各業(yè)務(wù)部門(mén)的相關(guān)人員，了解各種業(yè)務(wù)流程本身對(duì)該銀行的重要程度。(例如在銀行業(yè)里，儲(chǔ)蓄和單據(jù)、網(wǎng)上支付、電話銀行等業(yè)務(wù)就具有不同的優(yōu)先等級(jí)。)同時(shí)根據(jù)一定的評(píng)判原則，得出在核心流程由于災(zāi)難的發(fā)生而無(wú)法正常進(jìn)行時(shí)對(duì)銀行本身的損失情況。這種損失可能是可以量化的，例如單據(jù)的丟失、計(jì)算的錯(cuò)誤而導(dǎo)致的直接損失；也可以是無(wú)形的損失，例如客戶滿意度及競(jìng)爭(zhēng)優(yōu)勢(shì)的丟失。通過(guò)對(duì)可量化和不可量化損失的綜合考慮，得出各種核心業(yè)務(wù)流程由于災(zāi)難受損的可容忍程度及損失的決策依據(jù)。體現(xiàn)在IT系統(tǒng)上，是三個(gè)指標(biāo)

數(shù)據(jù)恢復(fù)點(diǎn)目標(biāo)(RECOVERY POINTOBJECTIVE)：體現(xiàn)為該流程在災(zāi)難發(fā)生后，恢復(fù)運(yùn)轉(zhuǎn)時(shí)數(shù)據(jù)丟失的可容忍程度；

恢復(fù)時(shí)間目標(biāo)(RECOVERY TIMEOBJECTIE)：體現(xiàn)為該流程在災(zāi)難發(fā)生后，需要恢復(fù)的緊迫性也即多久能夠得到恢復(fù)的問(wèn)題；

網(wǎng)絡(luò)恢復(fù)目標(biāo)(NETWORK RECOV—ERY OBJECTIVE)：即營(yíng)業(yè)網(wǎng)點(diǎn)什么時(shí)候才能通過(guò)備份網(wǎng)絡(luò)與數(shù)據(jù)中心重新恢復(fù)通信的指標(biāo)；

階段三、容災(zāi)環(huán)境分析

本階段主要針對(duì)業(yè)務(wù)沖擊分析的結(jié)果，對(duì)目前的內(nèi)部環(huán)境進(jìn)行評(píng)估，得出與恢復(fù)目標(biāo)之間的差距。分析的對(duì)象為業(yè)務(wù)流程需要的資源，如IT環(huán)境等。通過(guò)本階段的工作，得出各業(yè)務(wù)流程所牽涉的銀行資產(chǎn)及資源(人力資源、IT架構(gòu)、技術(shù)儲(chǔ)備、技術(shù)使用程度、網(wǎng)絡(luò)環(huán)境等)，并分析得出目前的業(yè)務(wù)環(huán)境對(duì)客災(zāi)需求、冗余程度、可能造成的數(shù)據(jù)損失是否能夠支持等方面的報(bào)告。

階段四、容災(zāi)策略制訂

在本階段，結(jié)合以上各階段的分析成果，以及銀行本身在容災(zāi)上的投入能力，制訂銀行短期、長(zhǎng)期范圍內(nèi)的容災(zāi)策略和目標(biāo)，并有意識(shí)地將銀行本身的人員組成和組織架構(gòu)做出調(diào)整以適應(yīng)策略要求。最重要的是制訂出容災(zāi)實(shí)施步驟，優(yōu)先解決最為重點(diǎn)的問(wèn)題。

階段五、容災(zāi)方案設(shè)計(jì)

容災(zāi)方案可供選擇的范圍很大，但所有的容災(zāi)方案都必須考慮的因素包括恢復(fù)時(shí)間、實(shí)施與維護(hù)容災(zāi)策略所需的投入等。容災(zāi)恢復(fù)時(shí)間的需求越短，所需的實(shí)施成本就越大，實(shí)施難度也就越高。

階段六、業(yè)務(wù)連續(xù)性流程設(shè)計(jì)

有了IT系統(tǒng)的恢復(fù)方案，只能夠保證在災(zāi)難環(huán)境下，IT系統(tǒng)的恢復(fù)能夠保證業(yè)務(wù)沖擊分析的目標(biāo)，但是業(yè)務(wù)的連續(xù)性并不只是IT系統(tǒng)的恢復(fù)，還包括辦公場(chǎng)地、辦公設(shè)備、緊急流程、指揮架構(gòu)、人員調(diào)度等等多方面、各部門(mén)的綜合考慮。只有業(yè)務(wù)流程執(zhí)行過(guò)程的每一個(gè)環(huán)節(jié)都達(dá)到容災(zāi)目標(biāo)的要求，才能夠認(rèn)為業(yè)務(wù)沖擊分析的目標(biāo)得到了滿足。一般來(lái)說(shuō)，每個(gè)銀行都應(yīng)該設(shè)立一個(gè)由領(lǐng)導(dǎo)掛帥，各業(yè)務(wù)部門(mén)和IT部門(mén)聯(lián)合組成的一個(gè)容災(zāi)指揮小組：由該小組指揮，IT部門(mén)和業(yè)務(wù)部門(mén)分別執(zhí)行，IT恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃才能得到同步，從而達(dá)到容災(zāi)設(shè)計(jì)的目標(biāo)。

階段七、業(yè)務(wù)連續(xù)性流程及容災(zāi)方案管理和測(cè)試

任何制訂的計(jì)劃，都必須經(jīng)過(guò)不斷的測(cè)試和修正，才能滿足銀行不斷發(fā)展的需求。同時(shí)，通過(guò)測(cè)試過(guò)程，也能夠使銀行內(nèi)部各部門(mén)及人員熟悉自己在業(yè)務(wù)連續(xù)性計(jì)劃中所扮演的角色，做到胸有成竹，才能夠在災(zāi)難真正發(fā)生的時(shí)刻有條不紊地開(kāi)展恢復(fù)的過(guò)程。

2、步驟一：危險(xiǎn)評(píng)估和定義

2.1分類

危險(xiǎn)評(píng)估的主要目的是從IT管理者角度出發(fā)，對(duì)于本行可能遇到的危險(xiǎn)進(jìn)行評(píng)估和分類，并提出應(yīng)對(duì)方向和原則。

我們將危險(xiǎn)劃分為自然災(zāi)害類型危險(xiǎn)、人為類型危險(xiǎn)、硬件類型危險(xiǎn)、應(yīng)用軟件類型危險(xiǎn)。

對(duì)于每類危險(xiǎn)應(yīng)該明確其類別、危險(xiǎn)程度、發(fā)生可能性、主要預(yù)防和預(yù)防措施。

例如針對(duì)應(yīng)用軟件類型，我們可以定義：

2.2業(yè)務(wù)影響分析

失效損害定義：業(yè)務(wù)分析影響主要是針對(duì)各類危險(xiǎn)進(jìn)行綜合評(píng)估，對(duì)我行功能影響進(jìn)行評(píng)估，從而指導(dǎo)BCP目標(biāo)的制定。

首先，需要定義基本功能表。此表對(duì)IT系統(tǒng)進(jìn)行全面整理，區(qū)分系統(tǒng)內(nèi)交易和系統(tǒng)外交易，并且對(duì)其失效后可能造成的損害做一個(gè)評(píng)估。評(píng)估可以按照交易發(fā)生頻率、交易失效后人替代交易或者人工交易是否可行、是否是關(guān)聯(lián)外系統(tǒng)的交易等等方面綜合考評(píng)，并精確定義失效損害。

其中對(duì)于特殊業(yè)務(wù)的渠道要特別注意，例如電話銀行業(yè)務(wù)，其中的掛失業(yè)務(wù)作為非營(yíng)業(yè)時(shí)間緊急口頭掛失的唯一途徑，其失效性質(zhì)是非常嚴(yán)重的。

允許失效定義：在上述失效損害定義的基礎(chǔ)上，結(jié)合本行的實(shí)際情況對(duì)允許失效的交易功能進(jìn)行定義。

允許失效的功能可以劃分為以下兩類：(1)非基本必須業(yè)務(wù)。例如柜面通等業(yè)務(wù)。(2)可替代業(yè)務(wù)。通過(guò)其它途徑可以達(dá)到同樣目的的業(yè)務(wù)。例如借記卡行內(nèi)交易可以通過(guò)柜面完成、行內(nèi)資金管理業(yè)務(wù)可以通過(guò)手工傳單辦理等。

2.3新客戶業(yè)務(wù)。銀行在遭受巨大災(zāi)難的時(shí)候，首要目標(biāo)是保持現(xiàn)有客戶的基本服務(wù)功能，對(duì)于新客戶業(yè)務(wù)可以暫時(shí)不辦理。

2.4管理業(yè)務(wù)。主要是行內(nèi)管理業(yè)務(wù)，可以通過(guò)手工方式予以辦理。

最大可承受／允許失效建義：進(jìn)一步的在上述基礎(chǔ)上定義最大可承受／允許失效的功能。超出這個(gè)定義范圍之外的功能是必須保證的。這個(gè)定義規(guī)則和允許失效定義形成了兩層隔離，以便于針對(duì)不同情況作出不同安排，并確定BCP計(jì)劃承受的失效底線。

3、步驟二：BCP目標(biāo)制定

明確了系統(tǒng)功能范圍，對(duì)可允許失效功能和最大失效功能進(jìn)行定義后，需要對(duì)業(yè)務(wù)恢復(fù)進(jìn)行定義。

首先要定義業(yè)務(wù)恢復(fù)所需要的資源：

其次要定義業(yè)務(wù)恢復(fù)的順序和恢復(fù)，時(shí)II間等要求。

業(yè)務(wù)恢復(fù)資源定義

業(yè)務(wù)的恢復(fù)涉及到硬件資源、系統(tǒng)軟件資源、應(yīng)用軟件資源、業(yè)務(wù)要素資源。我們針對(duì)每類必須恢復(fù)的業(yè)務(wù)分析其需要的上述備類資源，從而能明確在恢復(fù)時(shí)候的目標(biāo)。

例如對(duì)于網(wǎng)上銀行業(yè)務(wù)，其需要的硬件資源有網(wǎng)上銀行WEB服務(wù)器、網(wǎng)銀應(yīng)用服務(wù)器、硬件防火墻、證書(shū)服務(wù)器、核心主機(jī)存儲(chǔ)網(wǎng)絡(luò)系統(tǒng)等；其需要軟件資源有網(wǎng)上銀行應(yīng)用平臺(tái)、證書(shū)服務(wù)軟件、安全代理軟件、系統(tǒng)軟件等。這樣就可以明確定義恢復(fù)時(shí)候的恢復(fù)序列及其操作步驟。

業(yè)務(wù)恢復(fù)等級(jí)和目標(biāo)：針對(duì)我行定義四種功能恢復(fù)等級(jí)。分別是：

a)IT基礎(chǔ)一這是所有功能恢復(fù)的前提。他的恢復(fù)時(shí)效我們定位于2小時(shí)。

b)關(guān)鍵功能——如果這類功能被中斷或失效，就會(huì)徹底危及銀行的業(yè)務(wù)并造成嚴(yán)重?fù)p失。我們定義其恢復(fù)的時(shí)效為4小時(shí)。

c)必要功能

銀行可以繼續(xù)運(yùn)營(yíng)，但這些功能的失效會(huì)在很大程度上限制銀行的客戶服務(wù)效率，我們定位其恢復(fù)失效為1天。

d)有利功能——這些功能對(duì)銀行是有利的；它們的缺失不會(huì)影響銀行的運(yùn)營(yíng)能力；對(duì)于運(yùn)行效率有影響，我們定位其恢復(fù)失效為3天。

影響分析可以確定各類業(yè)務(wù)功能的優(yōu)先順序，換句話說(shuō)，也就確定了各業(yè)務(wù)功能的優(yōu)先恢復(fù)順序。在一次災(zāi)難之后恢復(fù)業(yè)務(wù)運(yùn)營(yíng)時(shí)，首先恢復(fù)部分功能就足夠了，比如說(shuō)在24小時(shí)內(nèi)先恢復(fù)日常業(yè)務(wù)的40％就夠了。

除了確定恢復(fù)的時(shí)序、恢復(fù)最大允許的時(shí)間外，還需要精確定義每部恢復(fù)之間的相互依賴關(guān)系。例如核心應(yīng)用的恢復(fù)依賴中心主機(jī)、中心存儲(chǔ)、sAN網(wǎng)絡(luò)、中心網(wǎng)絡(luò)等IT基礎(chǔ)的恢復(fù)。

4、步驟三：實(shí)施和維護(hù)

4.1組織機(jī)構(gòu)

業(yè)務(wù)恢復(fù)所需要的組織機(jī)構(gòu)和日常業(yè)務(wù)辦理所需要的組織結(jié)構(gòu)不同。其關(guān)鍵在于：

(1)決策機(jī)構(gòu)。明確具體的決策機(jī)構(gòu)，根據(jù)決策依據(jù)下達(dá)業(yè)務(wù)恢復(fù)指令。決策依據(jù)需要需要詳細(xì)描述災(zāi)難類型、災(zāi)難表現(xiàn)、啟動(dòng)恢復(fù)的標(biāo)準(zhǔn)。

(2)在具體實(shí)施的時(shí)候，要將全行各人力資源進(jìn)行重組，劃分為BCP領(lǐng)導(dǎo)小組、BCP管理小組、EDP執(zhí)行組三個(gè)層次。每個(gè)層次按照其具體職責(zé)決定其在業(yè)務(wù)恢復(fù)中的角色和權(quán)利。

上述關(guān)系如下圖所示：

4.2操作和演練

定義恢復(fù)時(shí)序表：在上述危險(xiǎn)評(píng)估和定義、BCP目標(biāo)制定的基礎(chǔ)上，精確定義業(yè)務(wù)恢復(fù)的時(shí)序表。其基本原則IT基礎(chǔ)為第一環(huán)節(jié)；關(guān)鍵功能為第二階段；必要功能為第三階段；有利功能為第四階段。每個(gè)階段內(nèi)在詳細(xì)劃分為不同的子目標(biāo)，井明確順序、并發(fā)、交錯(cuò)等時(shí)序關(guān)系。

定義操作手冊(cè)：針對(duì)恢復(fù)是續(xù)表中的每步恢復(fù)日標(biāo)，定義恢復(fù)操作手冊(cè)，明確具體的操作方法。主要包括技術(shù)操作說(shuō)明書(shū)、業(yè)務(wù)管理說(shuō)明書(shū)、風(fēng)險(xiǎn)防范措施等。

定義演練手冊(cè)：BCP計(jì)劃制定后，必須通過(guò)演練來(lái)使得全行各職能部門(mén)熟悉和掌握整個(gè)業(yè)務(wù)恢復(fù)的過(guò)程，同時(shí)檢驗(yàn)各技術(shù)條件是否完備。否則只有計(jì)劃而沒(méi)有演練，將可能導(dǎo)致各種不可預(yù)料的后果。

演練計(jì)劃的制定要充分考慮的是和現(xiàn)有真實(shí)生產(chǎn)的關(guān)系。對(duì)于IT部門(mén)要仔細(xì)考慮演練技術(shù)環(huán)境和生產(chǎn)技術(shù)環(huán)境的關(guān)系；對(duì)于業(yè)務(wù)部門(mén)要仔細(xì)考慮演練賬務(wù)環(huán)境、管理手段和生產(chǎn)之間的差異。

演練需要準(zhǔn)備的預(yù)案和備案主要包括：

演練計(jì)劃

各部門(mén)、崗位操作手冊(cè)

主機(jī)環(huán)境表

存儲(chǔ)環(huán)境表

網(wǎng)絡(luò)環(huán)境表

用戶環(huán)境表

特殊管理憑證清單等等。