• 快捷搜索
  • 全站搜索

商业银行需建立信息系统应急管理体系

2013-02-28 15:33:39作者:中国农业银行软件开发中心 毛南编辑:
随着商业银行信息化建设与业务的深度融合,如何确保在发生重大自然灾害、安全事故时,提高应对突发事件的综合管理水平和应急处置能力,已成为亟待研究和解决的重大课题。

近年来,由于信息系统原因发生了全国范围的停业事件,引起国务院和监管部门的高度关注。为此,人民银行发布《银行业信息系统灾难恢复管理规范》,银监会发布《银行业重要信息系统突发事件应急管理规范(试行)》、《商业银行信息科技风险管理指引》,要求各商业银行加强信息系统应急管理(以下简称应急管理),保障业务连续性。商业银行董事会和高管层已经认识到此问题的重要性。研究建立信息系统应急管理体系,建立应急管理长效机制势在必行。

一、应急管理工作定位

        应急管理是指贯穿于整个信息系统生命周期中,通过风险防范、应急响应、应急保障以确保信息系统能够满足业务发展战略对业务连续性要求的管理。应急管理工作与日常生产运行、灾难恢复管理、业务连续性管理密切相关。开展应急管理工作之前,必须理清应急管理与上述工作的关系,明确应急管理工作定位。

        1.应急管理与日常生产运行管理的关系
        应急管理与日常生产运行管理工作密不可分:业务影响分析、监测预警、风险评估、联络协调等是双方需共同面对的工作;同时,部分日常生产运行人员在发生突发事件时会转为应急管理组织人员。应急管理与日常生产运行也有明显区别:应急管理的重点是避免发生突发事件,或一旦发生突发事件后将损失降为最低;日常生产运行的重点是处理日常运维工作,保障业务正常办理。

        2.应急管理与灾难恢复管理的关系
        灾难恢复是指为了将信息系统从灾难造成的故障和瘫痪状态恢复到可正常运行的状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。灾难恢复管理需要专门的人员组织、系统设备、场地等需求,在灾备恢复策略、恢复能力、恢复流程中与应急管理工作存在一定差异。但两者目标是一致的,灾难恢复管理可以认为是极端情况下的应急管理。从这个角度讲,应急管理包含灾备管理。

        3.应急管理与业务连续性管理的关系
        业务连续性管理与应急管理概念和内容极其相近,难以区分。业务连续性管理是指商业银行为有效应对重要业务运营中断事件,建设应急响应、恢复机制和管理能力框架,保障重要业务持续运营的一整套管理过程,包括策略、组织架构、方法、标准和程序。业务连续性管理关注银行的业务活动和流程,应急管理关注信息系统突发事件,应急管理的目的是为了保障业务连续性。应急管理可以认为是业务连续性管理方法和手段,是业务连续性管理的子集。通过分析应急管理与日常生产运行、灾难恢复管理、业务连续性管理的关系,可以基本明确应急管理工作定位,如图1所示。
 


商业银行信息系统应急管理体系建设研究图1.jpg

二、应急管理存在问题分析

        根据定义,应急管理不仅局限于传统意义上“事后”的应急管理,而是贯穿于整个信息系统生命周期中。下面以突发事件发生作为一个基准点,按照“事前”、“事中”、“事后”3个维度,简要分析应急管理工作存在的问题。

        1.“事前”存在问题
        应急管理“事前”工作是关键。现阶段,商业银行基本能够编制部分应急预案,初步明确应急管理组织及职责,开展部分应急演练和培训,建立联络协调机制。在应急管理策略制订、应急管理人员职责和技能、应急预案的实用性和可操作性、应急演练的针对性、应急培训范围和力度等方面存在不足;在监测预警、业务影响分析、风险评估、应急管理信息系统建设等方面存在较大差距。

        2.“事中”存在问题
        应急管理“事中”工作主要包括应急决策、应急响应、事件报告等。其中,应急决策缺少相关系统和数据支撑,仅仅依靠事件报告,决策依据不充分;应急响应主要依靠技术人员个人经验,应急预案内容覆盖不充分,可操作性不强;事件报告存在瞒报漏报可能性,易导致一般事件拖延成重大事件。

        3.“事后”存在问题
        应急管理“事后”工作主要包括事件分析报告、责任追究、应急管理体系持续改进等。其中,事件分析报告存在调查不充分、避重就轻、逃避责任等现象,不利于吸取经验教训;责任追究存在“大事化小小事化了”、“只拍苍蝇不打老虎”现象,警示性不够;应急管理体系持续改进缺少专人负责,改进频率不高、内容不完善、效果不明显。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章