中国某保险公司it战略规划项目灾备中心高端设计(编辑修改稿)

中国某保险公司it战略规划项目灾备中心高端设计(编辑修改稿)内容摘要：

合性风险分析，有助于企业做出有关应对，迁移或转移风险的业务决策。 根据中国人寿的具体情况，我们建议中国人寿灾备中心的建设分 4 个阶段进行： 中国人寿业务永续环境实施方法阶段任务• 建设基础架构• 为开发业务永续运行计划而制订项目计划• 定义灾难恢复组织架构• 开发灾难恢复流程• 开发业务永续运行计划任务• 演练业务永续运行计划• 对业务永续运行计划实施变更管理• 对业务永续运行计划进行重审 .1. 0业务需求业务影响分析3. 0开发和实施构架基础架构开发业务永续运行计划4. 0运行和维护恢复计划演习恢复计划审计任务• 理解灾难恢复的业务需求• 评估风险和风险发生的概率• 为预防灾难发生而评估当前的环境• 分析开发业务永续运行计划将给客户带来的好处主要交付物• 风险和业务关联性分析• 灾难预防分析• 业务影响分析报告主要交付物• 恢复策略定义• 基础架构技术设计主要交付物• 项目计划• 恢复流程• 业务永续运行计划2. 0设计定义恢复策略基础架构，技术方案设计任务• 将恢复需求翻译成恢复测略• 为支持恢复策略设计技术基础架构主要交付物• 业务永续运行计划演习• 变更管理• 恢复计划审计• 恢复计划更新 图 24 中国人寿业务永续运行环境实施方法 业务影响分析 执行业务永续运行项目 的第一步就是做业务影响分析 (Business Impact Analysis)。 以后的基础架构 设计和业务永续运行计划都是根据业务影响分析的结果。 业务影响分析是确定不同业务流程对企业的影响程度。 优先级的制订主要根据分析有形的和无形的影响，对停止业务时间长短的接受情况和为使影响降至最低的最低需求。 这些数据可以用来做制订恢复和业务永续运行策略的基础。 BIA 的目标：  识别和量化每个业务单元或者资源对整个企业在财务和运行方面的影响  识别潜在的失效场景和评估潜在的威胁  帮助定义针对不同的可用性 /灾难恢复要求所需要的 不同级别的投资情况  规定恢复策略  建立灾难恢复时的恢复流程优先级 我们认为，中国人寿应该按照如下步骤进行业务影响分析： 阶段任务• 以定性的观点评估数据• 以定量的观点评估数据• 根据收集到的数据定义恢复目标• 估计恢复期间的损失• 定义最大能够承受的服务中断时间任务• 完成报告。 包括发现，分析，服务中断对财务和运行的影响• 计算每小时的损失程度和恢复时间目标 .• 设计应用 / 流程与估计停机时间的矩阵• 汇报1 . 0项目计划3 . 0分析和结论4 . 0结果介绍任务• 制订项目提纲• 定义项目范围和目标• 定义要分析的应用和流程• 定义关键参与者• 召开项目启动会议并在会议上向与会者介绍项目情况2 . 0数据收集任务• 定义衡量标准• 确定需要的数据及其来源• 查阅相关信息• 决定数据收集的方法• 设计和分发调查问卷• 设计面谈问题• 进行面谈中国人寿业务影响分析方法主要交付物• 范围和目标• 资源需求• 项目参与者• 项目启动会议主要交付物• 分析标准• 问卷 / 调查• 面谈名单和日程主要交付物• 初步结论• 关键业务流程列表• 资源需求主要交付物• 关键业务单元 / 流程和恢复时间目标 (RTO )• 报告，包括关键应用，流程，估计停机时间， 服务中断对财务和运行的影响• 现场汇报 图 25 中国人寿业务影响分析方法 业务永续运行计划 业务永续运行计划是关于一些流程的正式文件，这些流程是制订企业面对不利的意外事件时的策略和行动计划的。 使用这些策略和行动计划可以使企业在预先定义的时间段内恢复关键业务的运行，从而使灾难的影响 降至最小，使受影响的业务尽快的恢复。 业务永续运行计划是灾备中心最重要的文件之一。 我们根据中国人寿的情况制订了如下开发业务永续运行计划的方法： 阶段任务• 制订管理流程和步骤• 制订恢复步骤• 操作系统• 网络• 应用 / 数据库• 工作场地• 替代方案• 定义灾备中心启动计划• 定义恢复 / 回退流程任务• 制订对计划中的部分内容进行演练的流程• 制订计划更新和重审的流程• 将重审流程和变更管理流程集成• 开发针对关键参与人的培训计划• 开发如何将演习的反馈意见输入目前计划的流程• 开发文档管理流程功能需求流程和步骤演习和维护任务• 定义目标和范围• 定义业务需求• 定义恢复流程• 确认关键应用• 识别相关的业务单元• 制订项目。 • 定义角色和责任• 召开项目启动会议定义阶段任务• 对意外情况和灾难进行定义和分类• 定义上报流程• 定义通知流程• 搜集备份需求• 识别和消除潜在的风险和灾害• 建立 / 记录财产清单中国人寿开发业务永续运行计划的方法主要交付物• 计划的目标和范围• 项目启动会议• 项目计划• 项目组内每个业务单元的角色和责任主要交付物• 灾难分类• 上报和通知流程• 归档的财产清单主要交付物• 重审，演习，维护的计划和日程• 业务永续运行计划主要交付物• 恢复流程• 激活流程 图 26 中国人寿开发业务永续运行计划的方法 根据中国人寿的具体情况，我们认为中国人寿在制订和执行业务永续运行计划时应参考如下原则： 原则 1: 董事会和管理层应该对其企业的业务永续运行计划准备情况负责。 1. 企业的业务永 续运行计划是董事会和管理层的责任。 管理层应该通过对业务永续运行计划准备情况的定期验证来表明其对于风险及其消减措施的充分了解和重视。 2. 验证的内容应该明确包括 ：  企业的准备情况以及  企业考虑到其业务活动水平、风险管理策略和在保护保险体系系统稳定性方面所扮演的角色这些因素的情况下，选择遵循本文中原则的程度 3. 这些验证应该提交给董事会。 企业业务优先情况的变化可能影响到其业务永续运行计划准备的效率。 所以验证应该定期进行更新。 4. 越来越多的客户和合作伙伴也在寻求为其提供金融服务的企业在业务永续运行计划准备方面的保证。 所 以，如果适当，应该将这些验证与客户、合作伙伴以及其它有关方面共享。 原则 2：企业应该将业务永续运行计划融入到日常的业务活动中使之成为良好的工作习惯。 1. 业务永续运行计划是面向风险和事先反应的方法，它包括对业务分枝的全面理解、事件响应、危机管理和对外联络。 它通过制定恢复业务功能以履行业务职责的方法和规程来处理风险。 2. 业务永续运行计划应该是可信的，包含清晰的策略和职责，具有可操作性，随着业务变化得到更新并经过切实的测试。 依据企业业务规模和范围的不同，良好的工作措施可包括：  明确业务永续运行计划政策和策略  明确 业务永续运行计划项目中的角色和责任  进行业务影响分析  制定、部署、测试和维护业务永续运行计划  不断对员工进行相关的意识培养和技能培训  应急响应和操作规程  对外联络和危机管理协调规程  对外协调规程（包括管理当局和相互依赖的团体等） 3. 一旦建立了业务永续运行计划，就应该定期对其进行检查、维护和测试以确保其具有及时性、高效性和可操作性。 企业应该努力将面向风险的业务永续运行计划融入到日常运行和管理中并使之成为企业文化的一部分。 原则 3：企业应该定期、全面和切实地测试其业务永续运行计划。 1. 需要通过测试来 确定业务永续运行计划的有效性。 技术、业务方法以及员工角色和责任的变化将影响和降低业务永续运行计划的效率并最终影响到企业的准备状态。 因此，通过对业务永续运行计划的测试来测量其可用性和有效性是很重要的。 测试还将使员工熟悉恢复站点的位置以及中断期间所需的恢复规程。 测试的目标是确保企业在启动业务永续运行计划后能够按照计划可靠、及时和有效地恢复运行。 2. 定期：企业对其业务永续运行计划一年至少要测试一次。 经常性的测试对于保证业务永续运行计划的效率是至关重要的。 一些企业发现，每月或每季度进行测试能够有效帮助其进行中断处理的 准备。 管理层应该参与到测试中并熟悉其在计划启动时的角色和责任。 3. 全面和切实：业务方法的所有部分都应该得到切实的测试（比如从前台到支持和处理部分），其中包括测试恢复站点所提供基础设施的连接性、功能性和负载能力。 企业应该 能够证明其测试项目充分涵盖了定性和定量等各方面的问题。 所有的策略和计划的假设都应该定期地被检讨以确保其适当性，在业务范围和方向发生变化时尤其应该如此。 全面性还包括测试人员的意识和准备情况以及对外协调情况。 相互依赖性，特别是对企业控制范围之外的外部团体的依赖性应该被全面测试。 这包括在新加坡以外工作 的企业官员、分枝或服务提供商。 4. 其它可能的测试包括：  整个系统的桌面排演测试  员工呼叫测试（人员调动和无调动情况下）  备份站点到备份站点的测试（包括与外部服务提供商）  共享服务替代测试  备份磁带还原测试以及  关键记录恢复（数字的或书面的） 应该准备好正式的测试文档和列有经验教训以及风险消减措施的测后分析报告供管理层签署。 原则 4：企业应该制定恢复策略和关键业务功能的恢复时间目标。 1. 建立恢复策略可以使企业以有序和事先定义的方式执行业务永续运行计划以减少中断时间和经济损失。 它是定义关键业务功能的恢 复时间目标 的基础。 没有这些清晰的定义，有限的资源就有可能被不恰当的用于次要的活动。 这样就可能对企业的信誉和生存能力造成负面的影响。 关键业务功能 2. 在危机中，全部恢复所有的业务功能可能是不实际的。 所以，企业应该确定其关键的业务功能以及这些操作中断情况下的潜在损失（经济或非经济方面）。 获取这些信息的常用方法是进行业务影响分析。 这种方法也用来凸现各种关键功能之间的相对优先顺序并帮助企业确定其恢复策略和恢复时间目标。 3. 由于不同企业的业务导向和顾客预期不同，所以其关键业务功能也有所不同。 但是，与完成大额支付业务、 清算和结算事务、履行每日资金和担保职责、管理客户风险以及维护客户、投资者或公众信心有关的功能通常被视作关键的。 恢复时间目标 4. 不同企业的恢复时间目标可能不同，范围从中断后的一天之内到数分钟之内，非常重要的企业功能比其它企业要求有更快的恢复能力。 原则 5：企业应该了解和适当地消减关键业务功能互相依赖的风险。 1. 企业具有将风险和过程分散和分布在本地、区域内和全球范围的倾向。 这使其增加了对其它团体（内部或外部的）的依赖。 任何对互相依赖风险的不当管理都可能造成风险叠加而降低运行或系统效率，从而有可能损害企业的运行。 2. 在制定关键业务功能的应急计划时，企业应该考虑到这些功能的相互依赖性及其相互依赖的程度。 企业也应该了解支持这些关键功能的相关业务方法，尤其是业务永续运行计划准备和恢复优先顺序方面的。 这些依赖性的例子有：  企业中的  企业之间（如银保通）  对供应商（如灾难恢复服务供应商）  对基础设施提供者（如电信） 业务永续运行计划应该将复杂的依赖关系考虑进去并且尽可能地消减这些风险。 这些依赖关系应该在制定恢复策略和恢复时间目标时做为考虑因素。 3. 虽然有些依赖性风险不在企业的控制范围内而无法彻底消减（如无法使用电信网络） ，但是这并不能降低其客户和合作伙伴对企业服务和履行职责的期望。 最终，依赖性风险将会落在企业身上而无法回避。 所以，企业应采取合理的步骤消减这些风险（如同电信供应商讨论确保通信线路通过不同的交换局进行路由的问题）。 4. 在与任何外部供应商签订合同之前，企业都应该确信外来风险在当前风险策略可接受的范围内，并且不会破坏自己的业务永续运行计划。 它们应该确定其服务供应商也有相应的应急计划，即使这些计划没有自己的业务永续运行计划准备的那么充分。 企业还应该事先向其服务供应商寻求其业务永续运行计划得到定期测试的保证。 5. 在外部供应 商异常终止或破产的事件中，企业寻找其它合适的供应商并进行安置和部署可能要花费数月的时间，这样的过渡期风险是无法接受的。 企业应该采取合理步骤以保持适当的控制水平并保留采取适当措施继续其关键业务运行和维护其业务永续运行计划不容破坏的权力。 原则 6：企业应该为大范围中断情况制定计划。 1. 9’11事件表明，企业应该为大范围中断情况制定计划。 范围被定义为同一中断所影响的可能区域。 企业考虑的因素还应该包括什么情况下关键人员可能会遭受严重损失或无法使用，什么情况下诸如电信这样的关键服务会大面积中断。 企业应该在业务永续运 行计划中考虑到多个区域中断的情况，考虑到各关键业务活动的水平、风险承受能力和风险管理策略。 另外，它们还应该考虑到长期中断情况下对业务永续运行计划的范围进行扩大和深化的问题。 2. 大范围中断可能会增加依赖性风险。 同一区域的关键功能和服务提供者的相互。