金融机构业务连续性管理框架及其相关标准
2022-06-24谢宗晓中国金融认证中心
谢宗晓(中国金融认证中心)
甄杰(重庆工商大学 管理科学与工程学院)
董坤祥(山东财经大学 管理科学与工程学院)
1 概述
业务连续性管理是信息安全很重要的一部分,在金融行业中尤为明显。本质而言,业务连续性管理是区别于信息安全的一个领域,但在实践中,又经常将业务连续性作为信息安全的一个控制域处理,如 GB/T 22080—2016 / ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》A.17中所指出的那样,“业务连续性管理的信息安全方面”。这一点在国际标准化组织(ISO)的标准开发分类中也能看出来。例如,业务连续性的两个基础标准,都是ISO/TC 292(Security and Resilience)所发布的,如表1所示。
表1 关于业务连续性管理的2个重要国际标准
2 框架
对于商业银行而言,要特别注意,《商业银行业务连续性监管指引》(银监发〔2011〕104号),该文件与推荐性标准的不同在于,其中规定了诸多硬性的指标,例如,第四十九条:商业银行应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点或在关键资源发生重大变化之前也应当开展业务连续性计划的专项演练。业务连续性管理的框架大致如下。
2.1 业务影响分析
业务影响分析通俗而言就是业务连续性管理的需求分析阶段,是商业银行对其自身业务连续性的需求评估。其大致过程如图1所示。
图1 业务影响分析
恢复点目标(recovery point objective,RPO)是指为使活动能够恢复进行,而必须将该活动所用的信息恢复到某时间点。恢复时间目标(recovery time objective,RTO)事件发生后下列活动完成之间的时间段:产品或服务必须恢复,或资源必须恢复,或资源必须复原。RPO和RTO示意图,如图2所示。
图2 RPO和RTO示意图
2.2 风险评估
业务连续性的风险评估,在方法上与通用的风险评估是一致的。区别在于评估的重点是业务连续性所需的关键资源。
2.3 业务连续性策略
此处的策略英文原文为strategy,而不是policy。确定业务连续性策略就是从BIA和风险评估的发现来识别需要采取的措施并以某种方式满足组织的业务连续性目标。该措施可能在中断事件之前、之中和之后都需要。业务连续性策略应该包括:应急组织架构决策与授权策略、业务恢复策略、数据恢复策略、系统恢复策略和危机沟通策略等所有的方面。
2.4 业务连续性计划
组织应建立响应中断事件以及如何在预定的时间内继续或恢复活动的文件化程序。此程序应能针对使用者提出要求。这就是业务连续性计划,业务连续性计划应该涵盖中断事件的应急响应、危机沟通、资源恢复、业务恢复、重建和返回等整个过程,其中包含了事先制定的一系列预案、措施、程序或作业手册等。
2.5 演练和测试
演练和测试的目的在于保证组织的业务连续性程序符合其既定的目标。
综上所述,业务连续性管理的框架应该是一个持续改进的过程,如图3所示。
图3 业务连续性管理的框架
3 标准
目前发布的与业务连续性管理相关的金融行业标准如表2所示。
表2 与业务连续性管理相关的金融行业标准
JR/T 0044—2008发布于2008年2月13日,自2008年2月13日起实施。目前仍为现行标准。灾难恢复能力等级分为1~6级,6级最高,这是在GB/T 20988—2007《信息安全技术 信息系统灾难恢复规范》中已经确定的。在JR/T 0044—2008中给出了更具体的RTO和RPO等参数要求。其架构大致如图4所示。
图4 JR/T 0044—2008的框架
JR/T 0207—2021发布于2021年2月7日,自2021年2月7日起实施。在JR/T 0207—2021中,“多活”和“多地理节点并行工作能力”是同义词,指的是信息系统利用两个及以上多地理节点部署的信息系统协同工作,实现业务并行多点接入、业务并行多点处理、数据并行多点存储的能力。当部分地理节点的信息系统发生灾难或故障时,只有部分业务受到影响,并且部署于其他地理节点的信息系统可以及时完成业务接管。JR/T 0208—2021发布于2021年2月7日,自2021年2月7日起实施。金融信息系统多活技术属于灾难备份的范畴,而灾难备份本身是网络安全/信息安全的控制域。JR/T 0209—2021发布于2021年2月7日,自2021年2月7日起实施。JR/T 0209—2021结合多活技术的特性和金融信息系统的功能,将信息系统的应用场景分为流水型系统、账户型系统、计算型系统和查询型系统。对于不同应用场景多活技术的应用效果和应用策略存在差异,据此,JR/T 0209—2021中分别进行了描述。JR/T 0207—2021、JR/T 0208—2021和JR/T 0209—2021是系列标准。
4 小结
业务连续性管理与信息安全联系紧密,信息系统的业务连续性往往是业务连续性的前提,就框架而言,两者也基本是一致的。例如,无论是ISO/IEC 27001:2013还是ISO 22301:2019,都以PDCA为框架,因此存在良好的整合基础。组织在部署过程中,应该尽量将诸多管理系统整合在一起。