业务连续性2024-05-29 14:24
业务连续性是计算机容灾技术的升华概念,一种由计划和执行过程组成的策略,其目的是为了保证企业包括生产、销售、市场、财务、管理以及其他各种重要的功能完全在内的运营状况百分之百可用。可以这样说,业务连续性是覆盖整个企业的技术以及操作方式的集合,其目的是保证企业信息流在任何时候以及任何需要的状况下都能保持业务连续运行。
概述定义
到目前为止,大多数的业务连续性策略是以
服务器及主机为核心的。实际上,整个IT系统以及基础通信设施也同样重要,其中包括语音及无线通信、E-mail、办公空间以及基础网络等
物理设备等。业务连续性是一种预防性机制。
它明确一个机构的关键职能以及可能对这些职能构成的威胁,并据此采取相应的技术手段,制定计划和流程,确保这些关键职能在任何环境下都能持续发挥作用。业务连续性包含三个领域:
业务状态数据的备份和复制、业务处理能力的
冗余和切换、外部接口冗余和切换。
相比之下,灾难备份只是一种尽可能减少宕机损失的工具或者策略。不过,灾难备份是业务连续性的基础,没有前者,后者就是空中楼阁,但是如果一个灾难备份系统使数据恢复正常的时间过长,那也就不存在所谓的业务连续性了,缩短这个时间,就是业务连续性的目标,消除这个时间,则是业务连续性的终极目标,在
网络存储技术等的支撑下,这个目标实现是完全可能的。
众所周知,银行业务对业务连续性方面的要求近乎苛刻,需要采用业内最高标准进行系统的规划,设计和构建。但近期发生的多次银行业务中断事件表明,尽管银行业的灾难恢复和数据保全方面已经非常完善,仍然不能避免业务中断事件的发生,而
业务连续性管理所解决的就是“一旦灾难发生,企业能够在多长时间内恢复多少业务”的问题。
银监会对业务连续性方面的关注也从其陆续发布的系列指引可见一斑。早在2010年4月银监会发布的《商业银行数据中心监管指引》中,就已经提及了灾难恢复管理,并指出重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上的要求;2011年12月28日银监会更是专门针对业务连续性管理下发了《商业银行业务连续性监管指引》(以下简称:指引),足见银行业对业务连续性的重视。
从该指引的结构上来看,其主要要求覆盖了BS 25999标准中的全部主要内容,并针对银行业的具体情况对相关方面进行了量化的规定。
指引主要分为八个章节,其中第一章到第五章基本上与BS25999的3到6能够完全对应。第六章描述了所建立的业务连续性管理体系如何在中断事件中应用,第七章则提出了银监会在业务连续性方面的监管要求。
指引要求的落地,可以考虑参考被业界广泛认可的来自业务连续性协会BCI的《业务连续管理良好实践指南》,并基于BSI的业务连续管理生命周期模型来实现,共分为六部分工作。
一、方针和方案管理:
推动组织实施业务连续性管理需要组织在实施初期启动一个业务连续性Program,这一阶段的初始目的是成功的完成一个BCM的生命周期,但是BCM方案管理的长期目标是提高组织的BCM能力,并因此通过实现连续的BCM生命周期循环,加强组织的运营弹性。一旦实施,如果BCM方案有效,则应制定持续改善的周期对其进行管理,在指引中明确规定了持续改善的周期是3年。
二、将BCM融入组织文化:
指引第九条指出,商业银行应当将业务连续性管理融入到企业文化中,使其成为银行机构日常运营管理的有机组成部分。
实现文化融入的方法和途径在BS 25999的3.3有明确的叙述。
三、理解组织:
理解组织主要由业务影响分析BIA,风险评估RA和连续性资源分析CRA三部分组成。
由于指引针对的是银行这个特定行业,因此在指引中也具体规定了“重要业务恢复时间目标不得大于4小时,重要业务恢复点目标不得大于半小时。”的具体要求。
四、确定BCM策略:
在商业银行具体实施指引过程中要求根据业务影响分析结果,依据业务恢复指标,制定差别化的业务恢复策略,主要包括关键资源恢复、业务替代手段、数据追补和恢复优先级别等。
五、制定和实施BCM响应:
指引中要求商业银行应该制定覆盖所有重要业务的业务连续性计划,并建立制定总体应急预案和重要业务
专项应急预案。同时还强调了应当要求重要业务及信息系统的外部供应商建立业务连续性计划,证明其业务连续性计划的有效性,其业务恢复目标应当满足商业银行要求。另外根据银行业同业间的特点,特别强调了商业银行应当注重与金融同业单位、外部金融市场、金融服务平台和公共事业部门等业务连续性计划的有效衔接问题。
六、演练、保持和评审:
指引强调商业银行应当开展业务连续性计划演练,以检验应急预案的完整性、可操作性和有效性,验证业务连续性资源的可用性,提高运营中断事件的综合处置能力。商业银行应当将外部供应商纳入演练范围并定期开展演练;同时,应当积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练,确保应急和协调措施的有效性。指引要求商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。
指引的最后部分强调指出了银监会对业务连续性管理的监管要求。指引中要求商业银行应当于每年一季度向银监会或其派出机构提交业务连续性管理报告,包括上一年度业务连续性管理的评估报告与审计报告。此类报告的完成可以自行完成,但考虑到专业性和公信力的问题,银行也可以考虑请BSI这样对标准有深入理解,对行业有丰富经验的专业第三方公司或组织来进行。
第一个业务连续性管理国际标准ISO 22301正式发布,该标准是BSI对行业的再一个重大的贡献。作为行业的领先者BSI目前已经在100多个国家进行了ISO 22301的前身BS 25999相关服务的推广,并在43个国家开展了BS 25999的认证业务。借助
BSI在业务连续性管理方面丰富的经验,必将为提升银行业业务连续性能力做出贡献。
业务演练
划执行业务连续性(business continuity,BC)演练是业务连续性计划中一项最重要的活动之一。
BC计划演练和灾难恢复测试不同。举个例子来说,在BC计划演练中,你其实并没有进行失效转移(failover),而在典型的技术性灾难恢复测试中你会这么做,以处理IT系统、数据和数据库等的恢复工作。这是严格意义的业务连续性。
每年执行一次或多次BC计划的演练是业务连续性管理系统(business continuity management system,BCMS)的一个关键组成部分。这个演练应该包括计划更新、应急小组训练、策略审查和审计、业务影响分析(BIA)、风险评估(RA)、宣传方案等各种BCMS活动。
业务保证
要保证业务连续,前提是做好容灾备份,而且要做应用级的容灾备份。这样当系统因为磁盘损坏或数据丢失、病毒入侵或机器失灵而引起宕机时,将能够保证业务不中断,减少损失 [1]。
参考资料
1保障业务连续,体验备特佳业务接管功能的强大。中小企业IT网.2012-09-22 [引用日期2013-04-7]