免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 3849 | 回复: 0

灾备外包重在审计 [复制链接]

论坛徽章:
0
发表于 2006-09-22 11:37 |显示全部楼层
《新金融》广东发展银行 钟展东2006-07-25  \r\n  \r\n \r\n \r\n\r\n \r\n    外包与自建该如何选择?该如何挑选合适的服务商?广发行用自己的实践与经验对此作出了解答。\r\n \r\n    在进行灾难备份中心建设时,是采取自建还是外包模式?在具体的建设过程中又有哪些问题值得注意?对于这些问题的解答,目前无疑还需要用户不断摸索和实践。\r\n \r\n    在广东发展银行(以下简称广发行)的灾备中心建设中,我们选择了外包模式。广发行成立于1988年9月,是第一家经国务院和中国银行批准组建的股份制商业银行,银行总部是在广州,目前在全国有26家分行、500多个局域网点,主要分布在长江三角洲、珠江三角洲以及渤海地区。经过仔细分析后,我们认为通过外包模式来建立我们的灾难备份中心更为合适。\r\n \r\n    采用外包模式\r\n \r\n    2003年,广发行完成了全行的数据集中工作,与此同时,银行领导开始考虑灾难备份中心的建设问题。经过一段时间调查与分析,广发行最终决定采用外包的方式来建立灾难备份中心。\r\n \r\n    选择外包模式来建设灾难备份中心,广发行有着自己明确的目标和考虑。\r\n \r\n    首先,通过外包服务建设专业的灾难备份中心机房设施和业务恢复的环境,广发行不必自己去建设灾难备份中心,以及机房的环境。\r\n \r\n    其次,通过外包服务,广发行可以获取专业、科学的咨询服务。这种咨询服务不仅包括风险、业务影响的问题,也包括了整个应急响应体系的建设,以及灾难备份预案制定和演练。\r\n \r\n    第三,广发行可以通过外包服务获取信息系统和数据的灾难备份与业务恢复能力。\r\n \r\n    第四,通过外包服务,广发行可以建立健全灾难备份中心的运营管理体系,保障银行灾难备份系统安全稳定的运行,保障灾难备份中心的可用性和快速响应。\r\n \r\n    为了实现上述目标,广发行首先对整个灾难备份中心做整体规划,然后分步实施。建设的范围包括银行的日常业务,如信用卡业务、银行卡交易渠道。另外,广发行的灾备中心还包括了一个呼叫中心。将呼叫中心的接口加进灾难备份中心,广发行的考虑是:客户服务中心是与客户沟通的很好的渠道,当灾难发生时,它可以成为一个解决问题的好渠道。\r\n \r\n    模式选择费心思\r\n \r\n    为什么广发行会选择外包的模式来建设灾难备份中心呢?这是费了一番心思的。\r\n \r\n    建立灾难备份中心,首先要考虑的就是资金投入问题。这是所有的银行都会遇到的问题。起初,广发行也考虑过自己建设灾难备份中心,也做过相应的计划、方案和预算。经过科学合理的计算,广发行发现,自己建设灾难备份中心,银行要自己建大楼、装修机房、买相应的系统软硬件,预计需要投入大概一个亿的资金。而且自建中心还要投入大量的设施维护费用和人工费用等,仅中心运营费一年就需要一千万元左右。而通过外包的方式来建设灾难备份中心,费用比自建要划算得多。\r\n \r\n    其次,建设的周期也是一个需要考虑的问题。如果广发行自己建设灾难备份中心,从开始到实施,起码要18个月,特别一期的工作是最难控制的阶段,往往会花费更多的时间,这样就不止18个月了。而通过外包服务的方式,从开始到完成最多只用10个月。\r\n \r\n    灾难备份中心建设是一个非常复杂的系统工程,涉及到专业的信息技术、很多的业务管理信息,以及大量的外部资源,这需要专业的协调、沟通和管理能力,难度相当大,而银行往往又缺乏相应的经验。如果采用外包的方式,让更专业的公司来做这一复杂的系统工程效果会更好。\r\n \r\n    灾难备份中心的运营和管理需要一支专业的运行管理队伍,这不太可能完全由生产中心来负责,所以就一定要成立相应的专职队伍。而这样一支队伍要达到一定水平,需要很长的一段时间,没有三年是不可能的。\r\n \r\n    建设灾难备份中心最终是为了应用,是为了实现业务连续性管理。然而,灾难备份中心的可用性管理面临着巨大的挑战,如果自己建设灾难备份中心的话,灾难备份中心可用性管理是银行内部IT部门来管理的。这种在繁忙的工作当中进行的内部管理,很有可能被放到次要的位置上,这很容易把灾备的工作做坏。而采取外包服务的方式,银行就可以通过严格的合同来约束灾难备份中心公司的相应服务,这是广发行考虑外包模式的重要原因。\r\n \r\n    虽然外包的模式有很多优点,但是外包不是大撒把,银行把灾难备份中心外包给专业的公司,会涉及到安全的问题。所以,在灾备项目招标过程中,一定要有很明确的安全要求,系统安全的管理、数据的管理、密钥的管理,是不能外包出去的,最关键的东西要由自己来掌握。而且外包灾难备份中心建设必须有相当严格的安全管理技术流程,能够符合行内相应的管理要求,并且要和外包服务公司签一个很详细的保密协议。\r\n \r\n    仔细选择服务商\r\n \r\n    当前,外包服务商水平良莠不齐,怎样才能选择到合适的外包服务公司呢?\r\n \r\n    灾难备份中心对银行来说是非常关键的,涉及到银行的安全,因此外包服务商一定要相当专业。外包服务商的选择是有一定学问的,对服务商要有严格细致的要求,在选择时一定要非常仔细。灾难备份中心建设的成本相当高,如果银行跟某一家公司签了合同,进行了开工建设,这个时候若再想换一家公司,对银行来说损失将是非常巨大的。\r\n \r\n    以外包模式建设灾备中心的银行,在选择外包服务商时要认真考察服务商的专业性、稳定性、整体服务质量以及管理的经验。服务商要有专业的技术、稳定的队伍、完整服务体系和丰富的项目经验。\r\n \r\n    稳定的队伍相当重要,最好将服务商的队伍稳定性把握在自己的手里,服务公司员工的出差、人员的更换,都要求进行审查,由银行做出决定。这是因为如果外包公司队伍不稳定的话,一方面建设风险会比较大,另外一方面外包公司如果没有很好的成长空间,公司的业务发展很难跟得上银行灾备中心的发展 。\r\n \r\n    对服务商的数据中心也要有相应的要求。数据中心和生产中心的距离最好在一百公里以上,且银行、电力、通信等公共的资源不能在一个区里面,最好用多个路由分开。处理中心的网络环境也要符合国家标准。灾难备份中心要有安保的机构,安防的技术要能够达到要求。数据中心最少要有两家电信供应商。\r\n \r\n    另外,还应要求灾难备份中心必须有突发事件快速应急响应的能力,在可能的灾难发生的时候,灾难备份中心要能够帮助银行尽快恢复业务。\r\n \r\n    服务商必须在灾难备份系统设计实施方面要有相应的技术能力、信息安全能力,还有灾难演练方面的能力,以及灾难备份中心运营管理的能力。这就要求服务商必须要有多年的数据中心运营管理经验。\r\n \r\n    同时,服务商对重要的信息系统要有完整、详细的操作细则,且操作要可审计,要求灾难备份中心每一项操作银行都能进行审计,灾难备份中心操作过的最终都要通过银行的检验,实现可审计的管理。\r\n \r\n    服务商数据中心要能实现访问控制。除了系统网络访问有严格的控制外,进入机房也要严格控制,要求灾难备份中心机房分安全等级,什么样的等级能进哪里。这些都要有协议约定。\r\n \r\n    严把质量关\r\n \r\n    把灾难备份中心外包给服务商并不是就万事大吉了,要建立服务商质量评估分析制度,要签订合同规定服务商达到什么样的要求才能付款。要对服务商每一段时间的执行结果把好关,如果达不到要求,还会有相应的惩罚办法。\r\n \r\n    对外包服务商的质量考核要相当严格,除了签订严格的服务范围和服务水平合同,并对服务商要实时现场考核、审计外,还要根据实际情况的变更,及时调整数据中心的管理。另外,要通过定期的演练来考核服务商的应急恢复能力,而且预案要切实、易用、灵活、反应迅速,易于银行领导了解、学习。\r\n \r\n    从整个项目的管理来看,要注意两方面:第一,银行要建立多层次、多方面的监理制度,要组织严密、权责明确;第二,银行的相关人员要稳定,生产中心有一套严格的生产管理制度,与服务商的外包灾难备份中心生产管理制度配套。这两个制度必须要协调。\r\n \r\n    灾难备份中心建设需要长期的规划,要着眼全局、分步实施。灾难的发生不可控,银行面对的风险在不断的变化,如果没有一个长期的规划,银行很难面对变化莫测的风险,也就很难实现业务的连续性管理。\r\n \r\n    我们通过专业的咨询服务,制定了长期的业务连续性管理和灾难备份中心建设的策略。然后,通过可审计的外包服务建立了符合国家要求的灾难备份中心和高效可用的应急灾难恢复预案,从而保证了业务的连续性管理。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP