银行业信息系统灾备体系成熟度评价分析

我国银行业信息系统灾备体系建设近几年获得长足发展，并已取得阶段性成果。而灾备体系有效性如何，仍是银行监管机构和银行从业者共同关注的问题。只有将灾备体系有效纳入日常工作，将灾备与生产运行和应急体系衔接组成一体化的体系，才能真正防患于未然。本文结合工作实际，对评判灾备体系是否成熟和完善的影响因素进行分析。

一、评价因素

        1．灾备中心布局是否统筹兼顾

        灾备基础设施是灾备系统的载体，建立灾备中心是开展灾备体系建设的基础条件。无论是异地灾备中心、同城灾备中心，还是包含同城和异地的两地三中心或多中心，灾备中心的选址、各中心的定位、容量和基础设施的设计与建设，都关乎银行灾备体系水平。受距离影响，同城和异地灾备中心选择的数据同步方案亦有不同侧重：同城灾备模式主要应对园区级的灾难场景，可选择实时性更好的数据备份方案；异地灾备中心可以有效应对区域性灾难场景。

        2．生产系统的灾备覆盖率是否全面

        灾备是用来保障业务连续性的。如果重要的生产系统没有灾备，灾难发生时要保障业务连续性只能是空谈。依据监管机构的要求，银行的重要信息系统需要进行灾备。这既是监管的要求也是业务连续性保障的需要，是需坚守的底线。现实中一些系统的保障力度和投入很大，但一些外围、辅助和渠道类系统却未开展灾备，存在潜在风险。

        灾备覆盖率是考量灾备体系保障能力的一个重要指标，有无灾备方案会在灾难发生时产生质的影响。尽管如此，并非所有银行的信息系统都需要做灾备，而是应该按照风险成本平衡的原则，重点保障核心银行系统，优先保障重要信息系统的灾备建设。

        灾难恢复能力存在很多等级，每个等级的RTO和RPO等指标都不一样。监管机构对此发布了指导意见，各银行也制订了相应指标，我们认为，并非所有生产系统都要达到最高等级的灾备水平，而是应该根据生产系统的重要程度，对应灾难恢复能力等级，制订差异化的灾备方案。不同灾备方案所需要的投入存在差异，使用的技术也干差万别，并不一定都需要实时备份、高性能服务器和高带宽的网络。对实时性要求不高的数据可以采用多种备份方案和备份技术，充分利用已有资源。因此，不能简单以灾备成本高作为灾备覆盖率低的理由。

        3．灾备组织体系是否覆盖全面

        灾难恢复可以考验一个银行业务、科技和支持保障的综合实力，需要完整的组织体系与之对应。灾备日常管理和灾难发生时响应处置的组织体系是否建立、职责是否明确，是考量灾备体系成熟度的一个重要标志。尤其大型银行的业务、科技和保障板块部门众多且分工具体，各部门、各单位之间在灾备上的职责分工是否明晰，彼此是否了解，能否形成合力，是对银行灾备体系是否完善，甚至是否可靠的考验。组织体系需要覆盖所有灾难恢复涉及的单位和人员。需要制订包括分工和组织的人员联系名单，明确相关责任人，并考虑人员变化因素，出现变化要及时更新。

        4．灾备规划是否科学明晰

        规划是一切行动的源头，灾备规划会对灾备体系建设产生深远影响。作为企业信息化建设整体规划的重要组成部分，灾备规划需要具有前瞻眭，以满足未来业务和信息化发展的需要；同时需要具有可行性，以对灾备体系建设的实施、数据备份和运行维护工作的开展提供指导。规划是把双刃剑，好的灾备规划可以促进和保障灾备体系成熟，不合理的规划会阻碍或制约灾备体系的发展。

        灾备规划应明确灾备体系建设目标。如业务的恢复范围是全部网点还是部分网点；信息系统的恢复范围除保障核心账务数据、柜面渠道外，是否还考虑ATM和电子银行等的恢复；除恢复全行推广的传统业务外，是否还包括地方特色业务等。这些目标需要研究并定义清楚，以用来指导灾备的资源配置。有了清晰的规划，在灾备建设和灾备运维中，各部门各单位就可以按照共同目标开展工作。灾备规划不明确，目标不清晰，开展工作时就会遇到很多困难。

        5．灾备建设是否顺畅

        灾备管理体系需要一套完整的建设流程规范，从需求提出到方案论证，再到项目实施和后评价。我国银行业灾备体系建设的启动时间一般晚于生产中心的建设和数据大集中，因此初期灾备建设应主要面向已投产上线的生产系统。在开展灾备体系建设的同时，一批新核心银行系统和重要信息系统也陆续开发上线。通常，针对已上线的生产系统实施灾备的难度要大于生产系统从初始就考虑灾备的情形。因此，银行在对现有生产系统持续开展灾备建设、去存量的同时，需要建立灾备建设的管理流程和机制。在生产系统的需求阶段就开始同步考虑灾备需求，明确系统和数据的灾备建设目标，对需要灾备的信息系统，在需求、设计、研发和上线过程中同步实施生产和灾备，建立常态化的灾备建设机制。这是灾备体系走向健康和可持续发展的必由之路。同时，要重视灾备建设计划的制订工作，灾备覆盖率中未覆盖的信息系统应在建设计划中加以考虑。

        6．灾备系统的运维是否规范

        为使灾备体系在灾难发生时真正发挥作用，灾备系统需要同生产系统一样开展有效运维。在日常运维过程中，做好系统切换的各项应用、系统和数据准备。灾备决策启用、灾备系统接管生产后往往需要运行一段时间。这就需要明确灾备启用后运行的主体单位和组织方式，并以生产的标准开展灾备系统监控，梳理灾备启用后的系统运行作业流程。考虑到生产系统变更和新系统上线等因素，需要通过定期组织培训，使灾备中心的运维人员了解和掌握生产系统的运维技能。

        7．预案的有效性和演练的真实性

        制订预案并组织演练是检验灾备体系在技术和管理、理论和现实方面差距最有效的方法。针对已经制订的预案，不仅要定期审视预案的有效性和完整性，还要检查预案更新、分发、保管和培训机制，保证参与灾难恢复的人员能够及时获取预案，且使用的预案版本统一。在根据预案组织的演练中，要保证演练的真实性，最大程度地接近真实恢复场景，应使用真实的生产环境，而不是为演练搭建的模拟环境，做到以“练”为主，而不是以“演”为主。应将单纯的技术演练，与由业务人员参与的包括业务验证环节的业务级演练相结合，覆盖的组织机构、信息系统和业务恢复范围要全面，广度到边、深度到底，仔细查找响应和恢复流程中的漏洞，全面发现实际恢复工作和预案的差距。

二、总结

        虽然与生产和应急相比，灾备启用的概率较小，但灾难情况一旦出现，灾备方案一旦决策启用，全面接管生产的责任就重如泰山。这需要银行在继续坚持灾备体系建设的同时，定期评估灾备体系的完善度和成熟度。虽然理论并不复杂，但在实施过程中将遇到各种困难和阻力。银行从业者不仅要重视灾备建设和切换演练，还要认真研究灾备启用后的情况，将日常准备状态、演练状态和启用运行状态下的流程、规范和职责梳理清楚，将三个环节贯穿起来，突破管理和技术瓶颈，真正为业务发展保驾护航。

（文章来源：《金融电子化》杂志）

扫码即可手机
阅读转发此文