如俺的签名一样,凡事做必然要有接口,灾备是个烧钱的玩意儿,理由必须充分,不过这次不用愁:
《Professional Practices for Business Continuity Planners》国际灾难恢复协会(DRII) 《BS25999:2007 Business Continuity Management》英国标准协会(British Standard Institution) 《信息系统灾难恢复规范》(GB/T 20988-2007)《银行业IT系统灾难恢复管理规范》(JR/T0044-2008)《2009商业银行信息科技风险管理指引》中国银行业监督管理委员会
做灾备一般都有着相对比较一致的方法论
一般的情况下,都是首先要做业务影响分析,也就是传说中的BIA,包括关键的业务产品与系统、系统终端对业务的功能性影响和财务影响、业务系统的RTO,RPO要求等等
BIA的方法则是比较成熟,客户问卷调研,市场调研,同业及国际标准,进行优先级的划分和定性及定量的分析
根据人行《银行业信息系统灾难恢复管理规范》,根据信息系统的时间敏感性,确定信息系统灾难恢复目标的最低要求:
a) 第一类:RTO 6 小时,RPO 15 分钟;
b) 第二类:RTO 24 小时,RPO 120 分钟;
c) 第三类:RTO 7 天。
实际上,各行在这个具体实施上都略高一点,总的有安全余量不是
第二十五条 商业银行应当综合分析重要业务运营中断可能产生的损失与业务恢复成本,结合主务服务时效性、服务周期等运行特点,确定重要业务恢复时间目标(业务RTO ) '\ .业务恢复点目标〈业务RPO),原则上,重要业务恢复时间目标不得大于4小时,重要韭务恢复点自标不得大于半小时.
如何将业务连续性管理和通常的IT应急有效的结合起来,嗯,需要建立持续性、常态化的BCM生命周期管理体系,目前国内银行哪家有做到吗?
偶不是公司的,现在多数银行应急和灾备相割裂,更别说统一的业务连续性管理了,很多业务部门的人都没有BCM的意识,意识是基础,IT是支撑。
发表于 2022-9-11 07:51:46
