- 快捷搜索
- 全站搜索
随着银行业信息化建设的快速发展,信息技术渗透到了经营管理的全过程,业务与技术的融合变得越来越紧密,银行的业务经营活动几乎完全依赖信息科技的支撑。伴随着各家银行全国数据大集中工作的陆续完成,在带来集约化管理优势的同时,信息科技所面临的风险也相对集中,一旦风险演变为安全事故,所造成的经济和名誉的损失将无法估量。
近年来,农业银行根据监管部门要求,结合行内业务经营发展的要求,坚持“安全、发展”两大主题齐抓并举,开展了多层次、成体系的信息科技风险管理和应急管理探索与实践工作,努力提升业务连续性保障能力,保障广大股东的根本利益,维护国家金融市场的稳定与发展。
一、统筹规划:建立“四大体系、六大机制”的工作框架
信息系统应急管理是农业银行IT风险管理的重要组成部分,是保障业务连续性的必要措施。经过国内外多年的实践与积累,应急管理已逐渐形成了比较成熟的标准与方法论,在国内外先进同业中得到了广泛应用。如何从整体层面对全行应急管理进行统筹规划,构建适应农业银行信息系统应急管理的体系,从而形成更加科学、规范、标准的体系框架,建立职责明确、控制有效、技术先进、流程统一的应急管理体系,是农行目前面临的一项重要工作。经过深入研究和思考,科技部门提出了应急管理工作的总体框架(如图1所示)。
在实际工作中,通过逐步建立和完善以应急管理策略体系为先导,以应急管理组织体系为支撑,以应急预案体系为主体,以应急管理制度体系为保障,以监测预警、应急响应处置、应急事件报告、协调联络、资源保障和监督管理为手段的“四大体系、六大机制”,贯彻落实应急管理策略目标,确定近期和中期任务及实施计划,持续推进全行应急管理工作的开展,为保证全行的业务连续性打下坚实的基础。
二、突出重点:以应急预案体系建设为主体
应急预案是应急管理体系的主体,是在突发事件发生时,能够快速高效有序地响应和处置的行动方案,是突发事件发生后响应处置工作的主要依据。出色的应急预案将直接影响响应处置工作的效率。预案体系涵盖了应急预案的制订、演练、管理和培训等4方面工作。
1.预案制订
(1)内容要点
应急预案的内容主要包括业务影响分析和应急策略、应急管理组织机构及职责、应急响应处置和报告的流程,以及各技术条线的应对措施等内容。
业务影响分析和应急策略制订工作是制订预案的前提和依据。根据业务影响分析结果制定的应急策略的具体内容,主要包括业务功能分析、应急恢复目标、资源保障策略方面的内容。
应急管理组织机构及职责主要描述本层级应急管理组织的机构组成,明确突发事件发生后响应处置等工作的责任主体。
应急响应处置流程分为响应和处置两大部分。其中,事件响应包括事件核实与响应启动、应急人员的集结等,这部分可以通过呼叫树和联络清单的方式予以展现。应急处置包括本级单位发生突发事件后的响应处置工作,以及对下级单位发生突发事件进行的处置支持、协调资源等工作。
突发事件报告主要描述本级单位发生突发事件后的初次报告、事中报告和事后报告的报告流程、报告要求(报告频率、报告表、报告方式、报告路径等)。
考虑到突发事件发生的情况比较复杂,为了便于系统恢复人员查明原因,预案中可以增加技术配置方案的描述,包括信息系统的部署现状,如生产系统的部署架构、高可用设计和资源备份信息等内容。
(2)评审与审议
为保证预案的完整性、准确性、易用性,完成预案编制后,需组织一定范围内的预案评审,如运营管理部门、风险管理部门、信息科技部门中一个或多个相关单位,也可以邀请外部专家参与。预案评审及修订完善后,需要进一步提交风险管理委员会进行审议,审议通过后的预案即在本级单位范围内正式发布。同时,上报到上级单位的计算机应急领导部门进行统一管理和备案。
(3)应用案例
应急预案应根据信息系统的变化及针对新的风险隐患及时进行修订,保持预案的有效性。例如2013年韩国农协银行事件发生后,全球金融业对APT攻击都建立了全新的认识。针对这种攻击的性质、方法和特点应采取相应的应对措施,更新和完善应急预案,长期保持警惕与关注,保障金融信息系统的平稳运行。
ITIL是一套方法论,能为IT服务提供良好的指导思想,将工作中习惯的以技术为
农业银行高度重视信息化建设,近些年特别强化了安全生产工作,加强了IT运维