对日美银行业信息系统灾难备份的思考及建议

作者
作者

【摘要】现代银行业面临的突发灾难主要来自非经济因素,包括自然灾难事件与社会灾难事件,历次突发事件都在不断地提醒灾难备份体系建设的重要性。突发灾害给银行业造成巨大经济损失的同时,也引发了社会各界对银行业灾难备份能力的关注。

【关键词】银行机构 信息系统 灾难备份 思考及建议

一、日美银行业灾难备份的主要做法

(一)建设完善的银行业灾难备份制度体系

1996 年,日本金融情报系统中心制定了《金融机构等紧急时应对计划纲要》;2002 年 3 月,日本银行公布了《假定金融机构据点受灾的业务持续计划方案》;2003 年 7 月,日本银行制定了指导性文件《关于完善金融机关的业务持续体质》;2006 年 3 月,日本金融情报系统中心再次修订了《金融机关等紧急时应对计划指南书》,金融厅分别制定了《面向主要银行的综合监督指引》和《面向中小地域金融机关的综合监督指引》。正因为日本金融管理部门对信息系统灾备建设高度重视,建立了完善的制度体系,平时周密进行灾备部署,所以在灾害后能够迅速恢复服务。

(二)实行银行业强制性灾难备份

1983 年,美国金融管理局首次要求银行制定灾难恢复计划,并每 18 个月对金融机构灾难备份情况进行审查。美国通过立法强制要求金融机构必须制定灾难备份计划,对于没有落实要求的金融机构进行曝光和处罚,并对相关责任人进行罚款甚至监禁。1989 年,美国货币监理署发出「BC177 银行通告」,要求美国所有的金融机构按照美国联邦金融机构监督委员会公布的《灾难恢复计划指引》制定维护业务持续发展的计划。「9.11」事件之后,美联储、美国货币监理署、美国证券交易委员会于 2003 年 5 月 28 日联合发布了《关于增强美国金融系统灾难恢复能力的可靠措施跨部门白皮书》,对金融机构在遭遇灾难打击后的恢复能力提出了明确要求,并限定了恢复能力到位的时间表。

(三)银行业灾难备份采取外包模式

目前,美国灾难备份系统建设主要有 3 种模式:自建、共建和外包。鉴于灾难恢复系统建设具有高风险小概率、高投入低回报、建设难、运营维护更难的特点,美国金融机构越来越倾向外包模式,即由专业化灾难备份服务商提供灾难备份服务,依据服务协议将灾难备份项目建设和服务的持续管理,交给专业的提供灾难备份服务的企业执行。在美国,除了特大型、特别有实力的金融机构有实力自建灾备中心之外,一般的中小型金融机构都采取外包模式。因此,灾备建设模式的分布状况为「独立建设占 29%,联合共建占 15%,社会化服务占 56%」。

(四)实施灾备资质认证

1988 年,美国灾难备份业内专家和华盛顿大学的部分教授共同发起成立了国际业务存续及危机处理学会(DRII),现已成为世界性权威灾难备份行业培训和认机构,对灾难备份从业人员提供专业化的灾备知识和技能培训,并通过实施资质认证制度,全面提升行业水准,其颁发的业务连续性专家资质认证证书(CBCP)是世界灾难备份行业公认的专业资格证书。

(五)注重灾难恢复演练

美国金融机构非常注重进行灾难恢复演练,通过制定详实的灾难恢复预案,模拟灾难发生时可能出现的情况,提高金融业应对灾难的能力。2013 年 7 月 25 日,美国金融机构进行了一场模拟应对黑客网络攻击的演练,测试银行如何应对黑客网络攻击,为迎接新一轮的网络威胁做好准备。

二、目前国内银行业灾难备份的现状

(一)制度建设起步较晚

2002 年,人民银行发布《关于加强银行数据集中安全工作的指导意见》,要求实施数据集中的银行必须建立相应的灾难备份中心;2006 年,发布《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,要求实施数据集中的银行业金融机构应同步规划、同步建设、同步运行信息系统灾难恢复系统。2008 年 2 月,《银行业信息系统灾难恢复管理规范》颁布实施,对金融灾难备份中心建设、运行维护管理等做出了规范性要求,为金融业灾难备份提供了具体的行业标准。

(二)系统建设相对滞后

一是灾难备份应用程度相对较低。虽然部分银行已针对金融业务数据集中进行了总行、总数据中心的灾难备份,但只备份了存取、结算等核心业务系统,其他的很多系统并没有备份。二是中小金融机构灾备建设相对滞后。全国 160 家城市商行中,80% 以上的商业银行没有灾备中心,仅进行了简单的数据备份措施。

(三)备份模式以自建为主

受传统理念、社会诚信、数据保密等因素的影响,国内建立灾难备份的金融机构普遍采取了自建模式。据中国权威研究咨询机构——计世资讯(CCW Research)调查数据显示:国内灾难备份自建比例高达 91.7%。

(四)现有灾备中心应急演练不到位

由于应急演练需要多个部门配合,将现有系统运行的业务全部切换到备份系统上,为了不影响业务正常运行,演练通常需要在夜间进行,耗时耗力,由于没有强制性的政策要求,进行了灾难备份的金融机构演练意愿不强,无法发现灾备中心的缺陷。

三、完善我国银行业灾难备份的几点建议

2013 年年初,周小川行长在人民银行工作会议上指出「进一步规划和实施人民银行灾备体系建设」的具体要求。

(一)建立健全银行业灾难备份制度体系

建议出台相关政策强制要求银行机构进行灾难备份。建立和完善灾难备份检查制度和惩戒措施,定期对银行业灾难备份工作进行检查,督促银行机构严格按照规定加强灾难备份系统建设;对不按照规定进行灾难备份的金融机构,实施严厉的处罚措施。

(二)采取多种模式推进银行业灾难备份系统建设

一是由人民银行牵头组建银行业灾难备份中心,按照会员制管理方式,入会银行机构缴纳会费并享受灾难备份服务。通过这一模式,避免重复建设造成的浪费,提高灾难恢复能力。二是人民银行协调已建立灾难备份中心的大型商业银行,为其他中小金融机构提供灾难备份服务,并收取相关费用,以此充分利用现有资源,实现多方共赢。

(三)督促银行机构加强灾备演练

建议出台相关政策,强制要求银行机构进行灾备演练,并建立相应的灾备演练检查制度和惩戒措施,定期对银行业机构灾备演练情况进行检查,督促银行机构按照规定进行灾备演练,对不按照规定进行灾备演练的银行机构,加大惩戒力度。

(四)采取措施加快国内灾难备份专业服务商的发展

目前,我国灾难备份市场刚刚起步,专业灾难备份服务商与国外具有 30 多年经验的大公司相比还有较大差距,一定程度上抑制了国内银行机构特别是地方中小金融机构的灾难备份外包需求。因此,建议推动国内专业灾难备份服务商发展,在政策、资金、技术、人员、税收等方面给予支持,为建立完备的银行业灾难备份体系奠定良好基础。

作者简介:杨一帆(1991-),男,山东日照人,中国计量学院经济与管理学院。


作者 杨一帆