CeBCM在金融行业中的应用特点解析.docx

CeBCM在金融行业中的应用特点解析 2011-10-11 12:07:05   来源：中金数据    编辑：包圆   作者： 徐飞    评论：0 随着国内金融机构信息化工作的深入，大量业务数据初步实现了集中化管理，而数据和应用大集中也带来了另一个重要问题----如何应对突发事件以及消减业务中断造成的影响。   　　(中国软件网讯)随着国内金融机构信息化工作的深入，大量业务数据初步实现了集中化管理，而数据和应用大集中也带来了另一个重要问题----如何应对突发事件以及消减业务中断造成的影响。 　　数据和应用集中化管理使金融机构面临的风险更加集中，破坏力也更强，突发事件及其灾难性后果对金融机构的生存与发展的影响也日益加重，成为金融机构不容忽视的问题，如2001年“9.11”恐怖袭击事件、2003年“非典”爆发事件、2008年南方特大雪灾事件、汶川地震灾害、2009年初的湖南长沙大停电事故、2011年日本大地震引发海啸和核泄漏等等。种种事例让金融机构深切认识到灾难事件将会导致企业不能持续运营而遭受巨大损失，突显出全面增强灾难恢复和业务持续能力已经刻不容缓。 　　国际金融同业基于多年实践和理论探索，逐步形成了较为全面的业务持续管理理论体系，即业务持续管理是当自然灾害、人为破坏和技术故障等原因影响到业务运营或造成业务中断的事件发生时，为了确保关键业务能在一定时间内持续运营或及时恢复的一整套管理办法，包括政策、制度和预案等，业务持续管理逐渐成为金融风险管理的重要内容之一，并在风险管理实践中广泛应用。 　　当前，国内金融机构纷纷从建立灾备基础设施入手，逐步建立覆盖应急管理、灾难恢复和危机公关等方面的业务持续管理体系。能否在突发事件发生之前积极防范、发生之后从容应对、控制影响并尽可能降低损失、切实有效地保障业务恢复及服务水平，亟需引入一整套行之有效的方法和工具来助力保险企业提高业务持续管理能力，对金融机构提高风险管理水平，增强风险抵御能力，满足监管要求，实现稳健运营、可持续发展有着极为重要的意义。 　　中金数据系统有限公司研发的CeBCM产品正是围绕业务持续管理的要求，提供了以业务持续管理软件(CeBCM)为核心的整体解决方案，获得了国内首个业务持续管理领域的计算机软件著作权，为提升业务持续管理能力提供了可靠保证。 　　   　　业务持续管理体系的建设是个非常复杂的流程，目前国内金融机构在实施部署该套管理流程时，大多依靠专业咨询公司提供服务。虽然咨询公司有着比较丰富的经验，但对于用户而言不可能长期依赖专业咨询顾问来优化内部管理机制。引入CeBCM则可以帮助金融机构提升相关管理工作的效率，特别是对于大型金融机构而言，通过CeBCM可以把业务持续管理过程中很多的知识资产，如问卷、报告、预案、图表、项目计划等集中管理起来，形成管理和实践的积累，为业务持续管理流程的持续改进提供重要支持。 　　CeBCM应用特点 　　CeBCM主要拥有以下功能： 　　·风险识别和预防CeBCM提供了丰富的金融行业信息技术及业务运营中断风险知识库，及国内外业务持续管理领域的法律、法规和最新研究成果，方便客户查询使用，极大地提高了风险评估和业务影响分析问卷设计的适用性和准确性。 　　CeBCM将风险评估和业务影响分析的科学方法及实施步骤有机融入产品设计中，可以对环境、基础设施、IT设施和人员等方面资源潜在的风险和暴露的弱点进行评估，有效帮助客户收集整理调研资料、定制评估问卷、组织调研访谈、并形成风险评估报告和业务影响分析报告。 　　   　　CeBCM通过模型量化分析威胁事件发生的可能性和可能损失的价值，及时识别风险，通过深入分析企业的业务功能与业务资源及系统的关联性、业务中断的影响等信息，确定和明确业务的恢复优先顺序和关键恢复资源，确定业务可容忍的最大中断时间和数据丢失时间，帮助行业客户有效梳理业务持续管理需求，分析突发事件的分类和分级、制定RTO和RPO指标、业务恢复优先级、信息系统恢复优先级和恢复资源等策略，指导客户采取管控措施，防范和缓释潜在业务中断风险，积极做好突发事件的事前防范。 　　   　　·应急响应预案设计和演练评估 　　CeBCM提供了完备的应急响应预案制定和演练评估功能，能够有效维护风险评估、业务影响分析和预案开发所需的组织结构、人员、关键资源、业务与职能、应用系统和IT资产等基础信息，并对这些基础信息进行可靠管理。 　　CeBCM能够根据应急响应策略要求，根据预先采集到系统内的场地、组织结构、资源和其他重要信息，提供针对各种场景，提供不同类型和种类的应急/灾难恢复和业务持续性预案模版，帮助行业客户进一步开发各类突发事件应急响应预案和灾难恢复预案等，大大简化预案的制定和管理工作，迅速提高预案的可操作性。 　　   　　CeBCM还能够对各类应急预案制定桌面演练、模拟演练和实战演练等方案，可以满足制定演练方案和计划等相关工作的需要，培训参演人员的应急处置知识，帮助客户对演练成果进行评估、总结和改进，及时有效维护各类预案，锻炼应急处置人员，确保处置人员在面对突发事件时能够切实启动相关预案，有效处置各类问题，最大限度地减少客户的损失。 　　   　　CeBCM高度智能化的设计将有效提高预案开发效率、优化应急管理流程，为客户贯彻落实业务持续管理各项要求提供了可靠保证，使应对突发事件的积极准备变为可能，切实提高针对突发事件的事后响应及处置能力，控制和减小灾害影响，保障业务持续运营。 　　·业务持续管理知识库 　　   　　CeBCM内置风险知识库、重点行业业务影响分析知识库，预案流程知识库、模板库，还有业务持续管理的算法和模型，包含了业务持续管理有关的各种技术标准、最佳实践和政策监管要求等，能够满足不同领域的业务持续管理要求。 　　·监管报送 　　CeBCM内置了人民银行和银监会关于信息科技报表的大量模板，能够结合金融机构信息科技治理情况实现自动填报、生成符合监管要求的报表，有效解决用户填报过程中遇到的各种难题。 　　   　　目前，业务持续管理已经从面向信息系统灾备管理上升到金融机构全面风险管理的重要组成部分，而CeBCM则能够帮助金融机构从单纯的信息技术管理走向全面的业务持续管理，通过搭建信息化的业务持续管理平台，真正解决现实管理中的跨部门协调、沟通和应急处置等问题，形成常态化的管理机制，真正提升金融机构的业务持续管理水平。 　　CeBCM在银行业的应用 　　CeBCM在银行业有着广泛的应用，确保银行满足与业务持续运营相关的法律法规、银行业监管要求，如： 　　《中华人民共和国突发事件应对法》 　　《GB/T20988-2007信息安全技术信息系统灾难恢复规范》 　　《JR/T0044-2008银行业信息系统灾难恢复管理规范》 　　《商业银行操作风险管理指引》 　　《巴塞尔新资本协议业务持续高级原则》 　　人民银行和银监会的信息科技监管要求 　　CeBCM在银行业典型应用案例如下。 　　案例1： 　　某大型国有银行当前处于战略转型和业务扩充时期，面临诸多实际困难：数据和业务大集中之后带来信息科技风险集中，系统升级频繁，应急预案及演练工作开展不力等。行领导充分意识到业务持续管理工作的紧迫性、重要性和专业性，选择了CeBCM解决方案。该行部署了CeBCM产品后，不但能够迅速、有效地开展风险评估、业务影响分析、策略制定、预案制定和应急演练等工作，极大地提升了业务持续管理整体水平。点评：由于该银行领导充分意识到业务持续管理工作的紧迫性、重要性和专业性，及时引进CeBCM解决方案。CeBCM产品易于部署、使用方便，在不增加业务持续管理专业岗位编制的前提下，实现了业务持续管理工作的专业化和流程化。 　　案例2： 　　人民银行和银监会出台了一系列的信息科技监管要求，规定各商业银行定期上报监管报表。某城市商业银行部署了CeBCM产品，该产品能够协助客户准确理解各项信息科技监管要求，并实现准确报送，从而保障本行信息科技治理的日常工作满足监管要求。点评：CeBCM产品内置了人民银行和银监会关于信息科技报表的大量模板，能够结合客户信息科技治理情况实现自动填报、生成符合监管要求的报表，解决了该行填报过程中遇到的各种难题。 　　银监会信息科技风险非现场监管报表(示例) 　　案例3： 　　某银行由于系统升级导致核心业务系统故障，造成该行全国所有营业网点、网络银行和电话银行等都无法受理业务，中断时间长达6个多小时。事故发生后，无法及时切换到灾备系统，同时未在规定时限向上级监管部门汇报。另外，由于该行客户人员对此次故障的解释口径不一致，引发社会及媒体更多的猜测——有关负面报道在互联网上瞬间四处扩散，在社会上造成极大的负面影响。点评：由于该银行没有全面实施业务持续管理工作——定期开展风险评估、业务影响分析、预案的更新和演练、强制决策、危机公关等，最终造成极度的不利局面。 　　CeBCM在保险业的应用 　　CeBCM确保保险企业满足与业务持续运营相关的法律法规、保险业监管要求，如： 　　《中华人民共和国突发事件应对法》 　　保监会发布的《保险业信息系统灾难恢复管理指引》 　　财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》 　　国家标准《GB/T20988-2007信息安全技术信息系统灾难恢复规范》 　　CeBCM在保险业典型应用案例如下。 　　案例1： 　　中国沿海发达地区某城市，其关键输变电设备突然发生严重故障，导致主城区大规模停电，基本生产和生活用电全面中断。国内某保险公司的数据中心正位于停电区域，面临业务中断、相关服务无法提供的巨大风险。该公司平时已借助CeBCM系统搭建了完善的业务持续管理体系，应急工作分工具体、职责明确。因此针对这一突发事件，能够迅速启动数据中心相关应急响应及恢复预案，在预定的时间内将业务从本地数据中心切换至异地灾备中心，从而保障各项业务的持续运行，大大减少了业务损失，显示了卓越的应急处置能力，树立了良好的服务形象。点评：为了确保关键业务能在一定时间内持续运营或及时恢复，必须制定业务持续管理政策、制度和预案等，借助信息化手段能够不断强化日常管理要求，当突发自然灾害、人为破坏和技术故障等原因影响到业务运营或造成业务中断时，才能够积极有效应对突发事件，切实提高业务持续运营能力。 　　案例2： 　　同样是受到突发停电事故的影响，同城另一家保险公司的数据中心由于缺乏业务持续运营的必要应急预案和资源，导致业务中断了24个小时以上。在此期间，客户保单的查询和修改等业务无法进行，引起了大规模投诉，承保、理赔等保险业务陷入停顿，造成大量业务损失。 　　点评：提高应对突发事件的能力，就要在日常运营中积极落实业务持续管理制度，开展业务持续风险评估和问题整改，制定应急预案并推进预案演练和评估改进，真正做到预案切实有效、人员训练有素、资源准备到位。一旦突发灾难，才能从容应对。而缺乏行之有效的信息化工具，这些极为重要的工作往往由于十分复杂、难以落实，继而流于形式，最终为企业招致难以挽回的巨大损失。