灾备中心选址与资源获取-商业银行业务连续性管理

1.灾备中心选址标准

鉴于灾备中心的特殊性，在灾备中心选址时，商业银行需要综合分析灾备中心所在城市及区域的自然环境条件、地方配套条件、区域经济环境、专业支持保障能力、政策环境和成本等各方面因素。

国内灾备规范及相关数据中心规范中关于选址的建议如下：

1）《信息安全技术 信息系统灾难恢复规范》（GB/T 20988—2007）中关于灾备中心选址有如下叙述：“选择或建设灾难备份中心时，应根据风险分析的结果，避免灾难备份中心与主中心同时遭受同类风险。灾难备份中心包括同城和异地两种类型，以规避不同影响范围的灾难风险。灾难备份中心应具有数据备份和灾难恢复所需的通信、电力等资源，以及方便灾难恢复人员和设备到达的交通条件。”此外，灾难备份中心的城市选址应根据统筹规划、资源共享、平战结合的原则，合理布局。

2）《电子信息系统机房设计规范》（GB 50174—2008）要求电子信息系统机房位置选择应符合下列要求：

①电力供给应稳定可靠，交通、通信应便捷，自然环境应清洁。

②应远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的场所。

③应远离水灾和水灾隐患区域。

④应远离强振源和强噪声源。

⑤应避开强电磁场干扰。

3）ANSI/TIA-942—2005标准附录F中关于选址的有关参考如下：

①数据中心不应靠近附近机场的飞行航线。

②与铁路及高速公路距离大于800m，以保证降低化学物质溅落危险。

③与军事基地距离大于800m，与核设施、国防设施等大于1600m。

④其他需要注意的事项：污染风险，接近警察局、消防队、医院，地区规划、多路接入、震动问题、环境问题。

2.商业银行灾备中心选址要素分析

商业银行灾备中心的场地选址规划应充分考虑组织的场地建设的合规性、组织业务的持续发展和组织现有资源配置状况等多方面因素等，提出场地选址要求。

灾备中心场地选址规划应根据灾备中心的职能定位，通过对各城市的自然条件、政策环境、区域经济环境、配套设施条件、专业支持保障能力、建设成本等多方面的综合评估，制定选址策略。

在灾备中心的场地选址策略的制定过程中，还应综合考虑国家的环境资源、技术资源、人力资源、配套生活资源等方面的整体布局。

灾备中心的场地选址应本着规避和管理风险的原则，充分考虑灾备中心的场地条件和风险状况，避免灾备中心与生产中心处于同类风险区域，或发生与生产中心类似的风险状况。

灾备中心场地选址时还应综合考虑以下因素：

1）自然威胁：灾备中心应避免建立在环境灾害高发或高危地区，例如：地震带、气象灾害高发区、低洼易涝地区等。

2）临近威胁：灾备中心的选址应该避开一些临近的工业和商业风险。这些风险可能包括：制造危险化学品或爆炸物品的工厂、飞机航线直接经过的地区、工业废气（粉尘、酸雾）影响地区、高速和高架桥临近区域等。

3）交通条件：灾备中心的选址应考虑交通便利的地区，保证人员和装备能够顺利地进入目标恢复区域而不会遭遇计划外的延迟。

4）连带威胁：灾备中心应尽量避免临近公共设施，尽量避免受到公共设施动荡，冲突或被破坏所造成的影响。

5）网络接入：灾备中心的选址应便于不同网络运营商的线路接入，以方便分支组织和合作伙伴的网络接入。

3.灾备中心的获取模式(www.xing528.com)

灾备中心是灾难恢复资源中投入相对较大、建设周期较长、运维比较复杂的资源。《商业银行业务连续性监管指引》对资源建设提出要求：应按照业务恢复策略确定灾难恢复资源获取方式和灾难恢复等级。

《商业银行业务连续性监管指引》

第三十一条 商业银行应当依据业务恢复策略，确定灾难恢复资源获取方式和灾难恢复等级。

商业银行通过对灾备中心建设的可行性分析，包括财务分析、技术及运维能力分析，确定灾备中心的场地资源的获取方式。

灾备中心基础设施资源获取方式，根据商业银行的具体情况可采取四种方式获得：

1）自建数据中心，即从数据中心土地购买、规划、建设均由商业银行自行完成。数据中心产权属于商业银行所有，商业银行自行组建团队负责灾备中心的运维管理。

2）购买的方式获取，即商业银行直接从第三方数据中心建设机构购买或租赁现有第三方基础设施。

3）共建数据中心，即由多个组织共同建设，数据中心归多个组织共有，由多个组织共同负责运维管理。

4）服务外包，即由具有信息系统灾难恢复能力的第三方商业机构提供灾备中心运维管理服务。

灾备中心场地资源获取方式规划应根据灾备中心场地资源需求，结合组织的具体情况，从财务能力、保障能力、效率、人员要求、实践经验、场地环境技术要求等方面，综合分析自建、采购、联合共建和外包几种模式的优缺点，以确定适用的资源获取方式。

如果商业银行决定采用服务外包模式，应对外包服务机构进行严格地考核，并制定有效的外包服务管理机制，以确保外包服务质量。选择外包服务机构应注重：

1）专业性：考察服务提供机构是否专业从事灾难恢复服务领域。

2）服务质量：是否具有完善的质量管理体系，以及服务管理体系和安全管理体系的认证。

3）机构规模：考察服务提供机构是否具有一定规模，是否能够长期稳定地提供服务。

4）服务经验：研究服务提供机构从事灾难恢复服务的历史，服务案例，提供恢复测试、演练的服务经历。

5）服务范围：考察服务体系是否完整，是否能够涵盖商业银行灾备需求。

6）地理区域：考察服务是否有地理区域限定，商业银行需求会不会受到限制。

7）服务人员考察：服务提供机构能否维持一个专业的灾难恢复服务团队。

8）应急管理：服务提供机构发生意外时是否有适用的应急响应体系和计划。

如果商业银行采用非驻场外包的模式获取资源，那么对于外包商的选择尤为重要。商业银行选择外包商需要注意以下几点：

1）合约保障，签订书面合同，在合同中明确重要事项，包括双方的权利和义务、外包服务水平、服务的可靠性、服务的可用性、信息安全控制、服务持续性计划、审计、合规性要求、违约赔偿等。

2）服务水平，通过服务水平协议（SLA），明确可检核的灾备中心外包服务质量水平目标，作为检验灾难恢复外包服务的质量标准，根据服务内容约定服务的质量和时间要求。

3）服务控制，应禁止服务提供机构转包并严格控制分包，保证外包服务水平。

4）服务安全，通过技术和流程手段控制服务人员接触系统的权限和内容，执行信息安全管理的标准和规范，保障业务、管理和客户敏感数据信息安全。

5）考核机制，应建立外包服务考核、评价机制，定期对外包服务活动和服务提供方的服务能力进行审核和评估，确保获得持续、稳定的外包服务。