商业银行业务连续性管理：灾难恢复预案和流程

灾难恢复主要是指业务恢复流程，通常需要用到备用资源，或者采用非常规处理手段恢复业务运营，以尽快恢复关键服务，尽量降低业务不可用所造成的负面影响。整个过程一般需要决策层审批后实施。

《商业银行业务连续性监管指引》中对商业银行灾难恢复提出以下要求：

《商业银行业务连续性监管指引》

第七十条 对于导致或可能导致大范围业务运营中断的事件，商业银行应当迅速决策，确定是否实施灾难备份切换。

第七十一条 商业银行应当事先对备份资源进行技术验证，确保其可用性；在实施灾难备份切换时，信息科技部门应当向业务条线部门告知可能出现的数据损失情况，并对备份系统的运行情况实施监控，预警并防止出现二次中断风险。

第七十二条 商业银行在灾难备份切换、回切时，业务条线部门应当对中断时的重要业务数据进行核对，并在信息科技部门配合下，对丢失的数据进行追补；同时，应当进行测试和验证，确保交易的可靠性。

灾难恢复预案文档可按典型灾难性场景、组织运营的物理位置、部门职能或业务条线进行划分，各专项预案通常需要同时组合使用，才能达到最好的恢复效果。在商业银行的灾难恢复预案当中，信息系统灾难恢复预案和业务恢复预案相对重要和复杂些，以下重点介绍这两类预案。

1.信息系统灾难恢复预案

当商业银行信息系统发生中断，事态发展达到一定级别时，会启用信息系统灾难恢复预案。信息系统灾难恢复方式可分为：本地应急恢复、灾备切换两类。在《银行业重要信息系统突发事件应急管理规范（试行）》（银监办发[2008]53号）文件中，对信息系统应急预案有如下规定：

第二十条 银行业金融机构编制的信息系统应急预案应包括以下内容：

（一）明确有关各方的分工和责任；

（二）说明重要信息系统的业务影响范围、恢复时间目标、恢复点目标以及信息系统包括的系统资源，明确资源的物理位置、设备型号、软件资源、网络配置等关键信息；

（三）明确各类故障的诊断方法和流程；应急场景应至少覆盖电力故障、通信线路故障、火情水灾、治安、病毒爆发、网络攻击、人为破坏、不可抗力、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与信息系统相关的故障；

（四）制定系统恢复流程和应急处置操作手册，应尽可能将操作代码化、自动化，降低应急处置过程中产生的操作风险；

（五）明确应急恢复过程中的关键状态，并明确不同状态的沟通和报告内容及等级；

（六）明确应急相关人员的协调内容和沟通方式；

（七）明确系统重建步骤，确保信息系统恢复正常业务处理能力。

商业银行在编制信息系统灾难恢复预案时，除遵循上述要求外，还要注意以下几点：

（1）信息系统应急处置方案确定 不同类型的信息系统故障需要不同的处置策略，商业银行根据自身业务连续性管理策略细化信息系统应急恢复方式，并以文字形式体现在预案中。

（2）信息系统本地应急恢复 信息系统本地应急恢复的关注点不在于深挖事故原因，而在于使用合适的手段尽快恢复系统运行，如应用版本回退、双机热切换、备份数据恢复、平台补丁包、重新安装等。其恢复操作步骤应形成文字手册，包括操作人员、操作指令、执行结果检查、注意事项以及测试方法等。

（3）信息系统灾备切换 信息系统灾备切换可分为同城灾备切换和异地灾备切换。当决策启用灾备中心后，信息系统灾难恢复流程分为以下四个阶段：

1）灾备中心准备阶段。应急指挥层可根据事态发展判断是否启用灾备中心。一旦灾备中心接到预警指令，相关应急团队需要立即检查灾备中心状态，确保一切准备就绪。应急团队需要事先制定灾备中心状态检查项目列表，在接到指挥层指令后，按照列表逐项进行检查和审核。检查列表一般包括灾备中心机房基础设施、网络与通讯线路、服务器与存储等硬件设备、操作系统、中间件平台、数据库、应用系统等。

此外，在预案中要说明应急团队到达灾备中心所需资源，如路线图、交通工具、办公座席等。

2）信息系统切换至灾备中心。在预案中，应急团队可根据业务连续性管理策略定义信息系统恢复优先级顺序进行系统灾备切换。其切换操作流程如图7-6所示。切换与计划性回切操作步骤、预期花费时间、责任人、操作指令、执行结果检查、异常情况处理、注意事项等信息均需要体现在预案中。

3）重续运行与回退生产中心。重续运行是指在灾备中心恢复所有信息系统到正常服务水平，将灾备中心作为生产中心长时间提供对外服务。这个阶段可能涉及灾备中心的扩建、升级改造、设备采购、安装调试等工作。(www.xing528.com)

当生产中心修复或重建完成，商业银行也可将信息系统计划性地回切到生产中心，即为回退生产中心。这一过程对应业务连续性管理6R模型中的重建和返回。

图7-6 信息系统灾难恢复流程图

2.业务恢复预案

商业银行重要业务恢复预案按照场景可分为两大类，即办公场地不可用的场景下的业务恢复预案和信息系统不可用场景下的业务恢复预案。以下分别阐述两类预案的开发要点。

1）办公场地不可用场景下的业务恢复预案

①说明本预案的业务范围，与其他业务功能的关联关系。

②说明本预案所涵盖的业务功能、业务正常办理时间、办理渠道、敏感时间段信息。

③说明业务恢复指标RTO和RPO。

④各业务主要负责人、关键岗位及其备份名单。

⑤说明办公场地不可用场景下的替代措施和启用条件，如到备用场地办公、在家办公、移动办公等。说明每类替代措施所需的办公资源，如办公座席、电脑终端、复印机、打印机、电话、传真、通讯线路、办公所需文档等。

⑥按照业务影响分析结果和业务连续性管理策略，确定业务恢复优先顺序，说明具体业务恢复操作步骤及注意事项。

⑦定义对内对外沟通路径、工具及策略。

⑧将相关联络清单、操作手册、资源工具清单、备用办公场地位置等必要信息作为附件。

2）信息系统不可用场景下的业务恢复预案

①说明本预案的业务范围，与其他业务功能的关联关系，与信息系统的依赖关系。

②说明业务恢复指标RTO和RPO，相关信息系统的RTO和RPO。

③说明本预案所涵盖的业务功能、业务正常办理时间、办理渠道、敏感时间段信息。

④说明当信息系统中断时对业务的影响程度，哪些业务可以做，哪些业务不可以做。

⑤说明信息系统不可用场景下的业务替代方式、限制条件、授权审核机制、操作步骤、风险管控策略、所需资源及其他注意事项。

⑥说明信息系统恢复后的业务功能检查、业务数据核对、业务数据补录的方式和步骤。

⑦说明当业务无法办理时，对客户的安抚策略；说明当业务中断或数据丢失，造成法律纠纷时的处理策略。

⑧定义对内对外沟通路径、工具及策略。

⑨将相关联络清单、操作手册、资源工具清单、业务测试用例等必要信息资料作为附件。