下载掌阅APP,畅读海量书库
立即打开
20世纪90年代末,随着信息技术在各行业的快速发展,我国的业务连续性管理工作也从信息安全和灾难恢复领域起步。2000年的“千年虫”事件引发了人们对信息系统灾难的广泛关注。数据大集中的建设和国家对IT灾难恢复工作的高度重视,让越来越多的行业和部门认识到IT灾难恢复的重要性和必要性,开始投入灾备中心建设。2002年前后,部分国有商业银行以及全国性股份制商业银行率先建立了同城或异地灾备中心。2002年,中国人民银行出台并下发了《中国人民银行关于加强银行数据集中安全工作的指导意见》,明确提出商业银行要加强信息系统灾备建设。
2003年9月,中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》,明确指出国家和社会各行业基础网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置方案。同时,文件要求高度重视灾难备份工作;指出灾备建设要从实际出发,提倡资源共享、鼓励社会力量参与灾难备份建设和提供技术服务;明确了“谁主管,谁负责;谁运行,谁负责”的建设及管理方针。
2004年9月,国家网络与信息安全协调小组下发了《关于做好重要信息系统灾难恢复备份工作的通知》(以下简称《通知》),明确指出重要信息系统容灾备份工作的主要目标是提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失,确保重要信息系统的数据安全和作业连续性,避免引起社会重要服务功能的严重中断,保障社会经济的稳定。同时,《通知》强调了“统筹规划、资源共享、平战结合”的灾备工作原则;并指出,灾难备份建设要从实际需求出发,提倡资源共享,可以采用自建、共建和利用社会化服务等模式,鼓励社会力量参与灾难备份设施建设,提倡使用社会化灾难备份服务,走专业化服务道路。
2005年4月,国务院信息化工作办公室下发了《重要信息系统灾难恢复指南》。指南指明了灾难恢复工作的流程、灾备中心的等级划分(6个等级)及灾难恢复预案的制订框架。这使得国内灾备建设迈上了一个新台阶。
2006年3月,中共中央办公厅、国务院办公厅发布《2006—2020年国家信息化发展战略》,指出“建设国家信息安全保障体系”要求信息系统建设从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
2006年5月,原信息产业部发布《信息产业科技发展“十一五”规划和2020年中长期规划(纲要)》,明确将“应急响应和灾难恢复技术”作为今后的发展重点。
2007年11月,国家标准《信息安全技术 信息系统灾难恢复规范》(GB/ T 20988—2007)正式发布。该标准作为我国第一部信息系统灾难恢复工作的行动指南和标准,明确定义了灾备行业的规范用语;规范了整个灾难恢复的工作流程;引入了灾难恢复的分级机制(6个等级);并在资料性附录中提供了灾难恢复预案框架。
2008年,我国南方的雨雪冰冻灾害,汶川、玉树、雅安地震,人们对奥运会期间信息系统运行保障的要求,对信息安全的重视等因素让越来越多的行业开始认识到业务连续性管理的重要性,业务连续性管理因此开始被广泛关注。例如,为保证奥运会顺利举办,国家及行业监管部门纷纷对金融、交通、能源等国家重要保障行业提出要求,加强奥运会期间的保障工作,开展应急演练工作。
2008—2009年,国家出台了一系列针对信息系统安全稳健运行的监管指引,如《银行业重要信息系统突发事件应急管理规范(试行)》《商业银行信息科技风险管理指引》等。虽然信息系统灾备的国家规范和行业规范逐渐完善,但是企业面临的风险仍然存在。保障企业持续运营不仅涉及信息系统的顺利运行,还涉及企业的人员稳定、信息沟通顺畅、公司治理完善等方方面面的问题。因此,为了应对灾难事件对金融行业尤其是银行造成的重大影响,2011年12月,原中国银行业监督管理委员会发布了《商业银行业务连续性监管指引》(以下简称《指引》)。《指引》是我国第一个有关行业业务连续性的规范性文件,对商业银行实施业务连续性管理提出了详细的要求,并提供了一定的实施指导。
2013年12月,国家标准《GB/T 30285—2013 信息安全技术 灾难恢复中心建设与运维管理规范》发布。该标准聚焦于灾难恢复中心的建设与管理,细化了与灾难恢复等级相对应的灾备中心建设指标,明确了灾难恢复中心在规划、设计、建设、运维过程中的管理内容。
2013年12月,国家标准《GB/T 30146—2013公共安全 业务连续性管理体系要求》发布,该标准等同采用ISO 22301:2012,是国内第一个业务连续性管理国家标准,具有标志性意义。该标准为策划、建立、实施、运行、监视、评审、保持和持续改进一个成文的业务连续性管理体系做出了规定,可作为组织实施业务连续性管理工作的指导规范和评估标准,以减少中断事件发生的可能性,并帮助组织有效应对中断事件。随后,我国等同采用了多项ISO 22301系列国际标准,为ISO 22301业务连续性管理体系的实施提供了指南和相关技术规范。
总体而言,我国除少数行业和领域,包括多数大型企业在内的各类组织都有待进一步加强业务连续性意识和管理体系建设。