第二页
对企业灾难备份、恢复建设,近年来,政府监管机构也非常重视,2005年,中央办公厅、人民银行、证监会、保监会、国税总局、海关总署、铁道部、民航总局、国家电网公司等重点行业及北京、上海、广东三地政府代表就共同制定了《重要信息系统灾难恢复指南》,2007年6月,该指南正式成为国家标准(GB/T 20988-2007《信息系统灾难恢复规范》)。2008年3月底,保监会也发布了《保险业信息系统灾难恢复管理指引》,与此前银监会、证监会以及其它主管行业机构所颁发的相关灾难备份、恢复法律、法规所不同的是,此次,保监会所印发的《指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求——保险机构应统筹规划信息系统灾难恢复工作,自《指引》生效起五年内至少达到《指引》规定的最低灾难恢复能力等级要求。
就项目实施而言,内控管理与灾备管理面临的问题有很多共通之处:比如,在内部环境方面,都面临如何明确各分支机构职责分工?在风险分析方面,均需研究究竟面对何种风险,各种风险对企业的影响是什么等问题。
而就灾备管理和企业内控管理内容而言,两者也有很多异曲同工之处,比如,在内部环境方面,内控管理需要对组织机构进行设置与权责分配,明确公司治理结构等;灾备管理需要进行战略规划,明确各分支机构、各部门的分工及职责。在风险评估方面,内控管理需要设定目标、识别、分析以及应对风险;灾备管理则需要进行战略规划,明确目标,分析风险,分析技术恢复资源和业务恢复资源,分析业务影响,制定业务连续策略等(详见表1)。
基本要素 |
内控内容 |
灾备内容 |
内部环境 |
组织机构设置与权责分配、治理结构等 |
战略规划,明确各分支机构、各部门的分工及职责 |
风险评估 |
目标设定、风险识别、风险分析与风险应对 |
战略规划,明确目标 风险分析 技术恢复资源分析 业务恢复资源分析 业务影响分析 业务连续策略 |
内部控制 |
职责分工控制、成本控制等 |
信息系统灾难恢复预案 业务灾难恢复预案 战略规划,明确各分支机构、各部门的分工及职责 |
信息沟通 |
信息的收集机制及沟通机制 |
应急响应计划 危机管理计划 |
监督检查 |
监督检查与评估,并形成报告,提出改进的有效建议 |
预案计划的维护与加强 预案计划的稽核审计 风险/脆弱性评估 基础设施评估 |
表1:内控管理与灾备管理内容对比
灾备服务,助力内控管理
近年来,随着保险企业的快速发展,保险企业在IT方面的挑战越来越大:IT系统不断升级,生产及灾备中心对基础设施的要求越来越严格;业务规模也在不断增大,数据量日益增多,对服务质量的要求越来越高,要求业务系统具备高可用性,具备完备可靠的数据/系统备份措施等功能特性;保险行业产品细化越来越深入、专业,以客户为中心的客户化理念被广泛的应用;此外,数据和业务的大集中,使保险企业业务连续性的要求越来越高,数据的集中管理与灾难备份已成为保险行业信息管理的当务之急。
从IT治理和灾备风险分析而言,保险企业对楼层的层高、承重、室内温度、防火防震等要求越来越高,普通的楼房已难以达到这些要求;系统的业务处理速度大大减慢,系统性能降低,业务处理速度减缓,业务停顿的隐患越来越突出;信息资源不断增多,在企业发生重大事件时如何进行企业公众形象的宣导,危机公关等;在数据及业务集中时可能因为业务停顿造成的业务影响以及在数据大集中管理下如何应对突发事件等已成为保险企业不容忽视的问题。
这些问题正是灾备管理建设的内容。
GDS万国数据是中国灾难恢复行业的领军企业,在保险行业灾备建设方面具有丰富的服务经验和良好的实施方法论,并在灾备服务领域取得了诸多荣誉,比如在今年1月,GDS万国数据成功通过了中国信息安全产品测评认证中心的审核,成功获得国家信息安全认证”信息安全服务资质(灾难恢复类)一级证书“,这是国内灾难恢复行业第一份信息安全服务资质认证;3月,入选“2007中国服务外包企业最佳实践50强”;7月,以"零缺失"通过ISO20000认证,并通过ISO27001和ISO9001换证认证。
目前,GDS万国数据已经在北京、上海、深圳、香港、日本设有分公司,在北京、深圳、广州、上海、成都等地拥有高可用性数据中心,可以向客户提供高可用性IT基础环境服务、灾难恢复(BC/DR)服务(规划、设计、实施、运行)、测试中心服务、数据中心平台服务、ECC运行监控服务等以业务连续管理体系为核心的IT外包服务。未来3年内,GDS万国数据将在中国大陆地区运营超过20个数据中心。
近期,GDS万国数据还与台湾地区合作伙伴宏碁电子化信息管理中心(Acer eDC)、日本合作伙伴软银电信株式会社合作建立亚洲数据中心联盟,多方的创新式联盟合作将可以为在华地区的全球知名保险合资公司和国内保险企业提供更高质量、更稳定、更完善的灾备中心服务、数据中心服务和IT外包服务。
网友评论