保险业信息系统灾难恢复管理指引解读

“9·11”、卡特里娜飓风、“SARS”、南方暴雨雪等等事件告诫我们：看似遥不可及的突发性灾难并非想象得那么遥远。灾难备份的最大益处就是为企业和非盈利组织“买一份万能险”，使其在突发灾难发生之后，有机会将损失降到最低——这与企业和非盈利组织购买商业保险有“异曲同工”之处。

让企业和非盈利组织担心的是：一旦所购买“商业保险”的保险公司也在突发灾难后业务中断，甚至关张怎么办？这并非耸人听闻，Gartner Group的调研数据显示：在经历大型灾难而导致系统停运的公司中有2/5再也没有恢复运营，剩下的公司中也有1/3在两年内破产。

近日，中国保监会《保险业信息系统灾难恢复管理指引》（以下简称《指引》）的印发，让有此担心的企业和非盈利组织心里“踏实”了许多。

5年内，保险企业灾备必须“达标”

与此前中国银监会、中国证监会以及其它主管行业机构所颁发的相关灾难备份、恢复法律、法规所不同的是，此次，中国保监会所印发的《指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求——保险机构应统筹规划信息系统灾难恢复工作，自《指引》生效起五年内至少达到《指引》规定的最低灾难恢复能力等级要求。

据了解，《指引》中所指的最低灾难恢复能力等级是根据信息系统中断对社会影响、保险机构业务影响以及经济损失程度来划分的。其中，针对“信息系统短时间中断会造成重大社会影响或影响保险机构关键业务功能，并造成重大经济损失的信息系统”，《指引》要求：该系统必须具备第4级电子传输及完整设备支持；RTO（Recovery Time Object，灾难恢复时间指标）必须<=36小时、rpo（recovery Point Object，灾难恢复数据指标）必须<=8小时。针对“信息系统短时间中断会造成较大社会影响或影响保险机构部分关键业务功能，并造成较大经济损失的系统”必须具备：第3级电子传输和部分设备支持；rto必须<=72小时，rpo必须<=24小时。针对“间接支持关键业务功能或对系统中断具有一定容忍度的系统”必须具备第2级备用场地支持；rto必须<=7天，rpo必须<=36小时。

此最低标准与2008年2月中国人民银行颁发《银行业信息系统灾难恢复管理规范》中所要求的最低标准（第一类：RTO<6小时，rpo<15分钟；第二类：rto<24小时，rpo<120分钟；第三类：rto<7天）相比，虽然有些偏低，但由于《指引》是中国保监会第一次明确对灾难恢复时间和灾难恢复能力进行定性、定量要求，并在灾备系统建设完成时间上“设坎”，因此“门槛”设置不高也在情理之中。并且，保险业的行业特性也决定了保险业没有必要像银行业那样对灾难恢复时间和恢复目标那样紧迫。

业内人士强调，该标准仅仅是一个开始，随着保险机构业务的发展、IT应用能力的提升以及灾备需求的增长，未来，中国保监会肯定还会在此基础上推出更为严格的灾备规范、要求。

不能“光建不管”

最近两年，不少保险机构都“宣称”自己进行了灾备建设或灾难恢复系统已经建设完成。这对保险行业灾备发展以及降低灾难发生后的影响都具有非常积极的意义，但其中我们也发现一些问题，部分保险机构所宣称的“建设或已建完灾难恢复系统”中存在一定“水分”，比如，没有根据机构业务发展，组织架构调整再做相应需求分析，缺乏必要的应急演练和灾备培训等等；这些不足有可能导致在灾难发生时，早已制定的灾难恢复计划和灾难恢复措施“形同虚设”。

灾备系统建设其实是一项复杂的系统工程，制定了灾难恢复计划和灾难恢复策略仅仅是做完灾备工作的第一步。如何保证灾难发生后，灾备措施能够正确、有效地实施才是灾备建设的“关键”和“根本”。

对此，中国保监会在《指引》中要求：保险机构应持续开展灾难恢复工作，以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。灾难恢复的需求应定期进行再分析。灾难恢复需求再分析周期最长为三年。当信息系统及相关业务流程发生重大变更时，应立即启动灾难恢复需求的再分析，并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作。

笔者以为，在保证灾备系统有效性方面，最为核心的内容是加强应急演练工作。目前，很多保险机构在此方面都缺乏足够重视和未采取必要举措。很多灾难恢复应急演练都“流于形式”，“敷衍了事”。在这样一种“过场”式演练行为中，保险机构的组织协调能力、决策执行能力、危机事件处理能力等都没有得到锻炼，一旦灾难发生，我们很难想象最终的后果。

业内专家指出，应急演练的作用在于对应急响应过程中的组织协调、响应处置、决策执行等各方面能力进行全面检查，起到锻炼队伍、优化流程、暴露弱点、改进体系的作用，是保证灾后恢复真正有条不紊进行的“核心部件”。

外包“有法可依”

对于保险机构而言，并非所有的灾备服务提供商都是“精于灾备之道”的，部分灾难恢复服务提供商既缺乏专业的灾难恢复服务能力，提供的建设方案也不能满足灾难恢复要求，后期的运营和维护工作更得不到保证。

如何甄选优质、合格的服务提供商，避免灾备投资失败？《指引》中也提供了一些参考：保险机构在进行灾难恢复外包时，应根据灾难恢复策略确定外包服务范围，认真分析和评估外包存在的风险，制定相关的风险管控措施。应与外包服务商签署服务水平协议，并定期验证灾难恢复服务商的服务水平和能力，加强外包系统的安全和保密管理。

另外，保监会还对选择灾难恢复外包服务提供商的条件进行了规定：首先，必须是在中华人民共和国境内注册的法人机构；其次，应具备三年以上灾难恢复外包服务经验，服务的灾难恢复外包客户不少于三家；第三；具备完整的服务质量保证体系和信息安全管理体系，通过相关权威认证；第四，基础设施应达到本《指引》的要求，灾难恢复能力等级应在四级以上；最后，满足中国保监会规定的其他要求。这些条件对于帮助保险机构保护灾备投资将起到重要保障作用。

此外，《指引》中还有很多保障保险机构灾备项目实施的要求，比如，为了保证灾备项目的有效执行，《指引》中将灾备建设确定为“一把手”工程：保险机构法定代表人或主要负责人是灾难恢复工作的责任人；保险机构应设立灾难恢复管理委员会，统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理、决策工作等等。

业内人士指出，《指引》的推出对于规范、指导、督促保险机构灾备建设具有非常现实的意义。因为，从2003年起，我国各大保险公司纷纷开始进行灾备建设。但总体而言，我国保险公司在风险管理以及BCP（业务连续性规划）建设方面还比较薄弱，大部分资源都被配置到业务拓展方面。

《指引》的印发为保险机构灾备建设设置了一道必须跨越的“门槛”。对部分保险机构而言，门槛现在虽然不高，但保险机构不管是为了保监会法律、法规要求，还是出于保护自身业务连续性要求，都不应擦着“门槛”过。保险机构在灾备建设过程中，惟有高标准、严要求、勤修正、常演练才能在突发灾难发生后，尽可能降低经济损失、业务影响以及社会影响。