商业银行数据大集中的完成,为银行业务带来便利的同时,也带来了风险的高度集中,特别是,由于硬件故障、网络故障、电力中断、人为操作失误等问题而导致大面积、较长时间的业务中断,产生了较大的社会影响,其教训引起了各银行以及监管机构的高度重视。
为加强商业银行数据中心风险管理,保障数据中心安全、可靠、稳定运行,提高银行业务连续性水平,中国银行业监督管理委员会于2010年4月底发布了《商业银行数据中心监管指引》(以下简称指引)。该指引对数据中心风险管理、运行环境管理、运营维护管理、灾难恢复管理、外包管理等方面提出了明确要求,如,商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立后两年内,设立灾备中心;总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行及省级农村信用联合社应设立异地模式灾备中心,重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上等等。
该指引是国内第一个数据中心建设和管理方面的行业监管要求和规范性文件,指引的发布和实施不仅有利于促进银行业数据中心管理和灾难恢复、业务连续管理水平的整体提升,保障业务持续高效运营;同时,对保险、证券、能源等其他行业监管机构对数据中心领域的监管和科技风险管控也有很好的借鉴意义。
风险管理
信息科技为银行业提供广阔的业务发展空间和持续创新能力的同时,也带来了诸多风险,如硬件故障、网络故障、电力中断、人为操作失误等。这些风险轻则降低银行的服务水平、阻碍业务的正常运营;重则导致大范围、长时间停业,使银行面临信用危机以及不良社会影响。因此,近年来,监管机构对信息科技风险的重视程度非常高,此次发布的指引将信息科技风险管理放在了首位,其重视程度可见一斑。
其中,指引要求:商业银行信息科技风险管理部门应制定数据中心风险管理策略、风险识别和评估流程,定期开展风险评估工作,对风险进行分级管理,持续监督风险管理状况,及时预警,将风险控制在可接受水平。
商业银行信息科技部门应指导、监督和协调数据中心明确信息系统运营维护管理策略,建立运营维护管理制度、标准和流程,落实信息科技风险管理措施。
商业银行数据中心应建立健全各项管理与内控制度,从技术和管理等方面实施风险控制措施。
商业银行内部审计部门应至少每三年进行一次数据中心内部审计。商业银行在采取有效信息安全控制措施的前提下,可聘请合格的外部审计机构定期对数据中心进行审计。
运行环境管理
运行环境选择的成功与否对数据中心的正常运转影响非常大,例如某商业银行将数据中心选在了湖边;再如,个别银行的数据中心距离易燃、易爆场所过于接近,其潜在风险可想而知。因此,指引对数据中心的选址和建筑物提出了明确的要求:
商业银行进行数据中心选址时,应进行全面的风险评估,综合考虑地理位置、环境、设施等各种因素对数据中心安全运营的潜在影响,规避选址不当风险,避免数据中心选址过度集中。
数据中心选址应满足:生产中心与灾备中心的场所应保持合理距离,避免同时遭受同类风险;应选址于电力供给可靠,交通、通信便捷地区;远离水灾和火灾隐患区域;远离易燃、易爆场所等危险区域;远离强振源和强噪声源,避开强电磁场干扰;应避免选址于地震、地质灾害高发区域。数据中心应用两家或多家通信运营商线路互为备份。互为备份的通信线路不得经过同一路由节点。
灾难恢复管理
近年来,国家、银行业监管机构以及银行企业自身对灾难恢复、业务连续管理的重视程度越来越高:一方面,国家、人民银行以及银监会对于银行机构的应急管理和业务连续运作提出了更为明确、更为细致的要求;另一方面,银行自身也在逐步完善应急管理体系和业务连续性预案。但部分商业银行在应急管理体系和业务连续性建设过程中,往往缺乏统一的应急管理工作组织保障和制度,缺乏规范的应急体系和流程支持,缺乏完善的应急管理体系整体规划,缺乏完善的信息系统、基础设施应急预案及必要的演练。因此,银监会在指引中,对灾难恢复管理进行了诸多明确要求,如:
商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立后两年内,设立灾备中心。
总资产规模一千亿元人民币以上且跨省设立分支机构的法人商业银行,及省级农村信用联合社应设立异地模式灾备中心,重要信息系统灾难恢复能力应达到《 信息安全技术信息系统灾难恢复规范》 中定义的灾难恢复等级第5级(含)以上;其他法人商业银行应设立同城模式灾备中心并实现数据异地备份,重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》中定义的灾难恢复等级第4级(含)以上。
商业银行应统筹规划灾难恢复工作,定期进行风险评估和业务影响分析,确定灾难恢复目标和恢复等级,明确灾难恢复策略、预案并及时更新。
商业银行应每年至少进行一次重要信息系统专项灾备切换演练,每三年至少进行一次重要信息系统全面灾备切换演练,以真实业务接管为目标,验证灾备系统有效接管生产系统及安全回切的能力。
外包管理
近年来,商业银行逐渐开始接受并采用外包方式降低IT投入成本、提升IT服务能力,其外包范围包括:通信网络管理、系统备份、灾难恢复、信息系统管理、应用系统开发和维护、自助服务、呼叫中心、网上银行等新型业务处理系统以及数据分析系统、办公自动化系统等等,而且外包范围越来越广。相对于自建灾难恢复中心,灾难恢复外包不仅成本更加低廉、安全、可靠,而且服务效率、服务水平更有保障。但外包过程中面临的风险同样不可小觊。因此,指引对银行外包管理进行了诸多要求,如:商业银行应根据信息科技战略规划制定数据中心外包策略;应制定数据中心服务外包管理制度、流程,建立全面的风险控制机制。
商业银行应充分识别、分析、评估数据中心外包风险,包括信息安全风险、服务中断风险、系统失控风险以及声誉风险、战略风险等,形成风险评估报告并报董事会和高管层审核。
商业银行在选择数据中心外包服务商时,应充分审查、评估外包服务商的资质、专业能力和服务方案,对外包服务商进行风险评估,考查其服务能力是否足以承担相应的责任。