自2008年發(fā)布《保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》,首次對保險機構(gòu)信息系統(tǒng)災(zāi)備建設(shè)進度和最低災(zāi)難恢復(fù)能力提出明確要求后,保監(jiān)會在近日發(fā)布的《保險公司信息系統(tǒng)安全管理指引(試行)》中,再次強調(diào)保險公司要按照國家和監(jiān)管部門信息系統(tǒng)災(zāi)難恢復(fù)管理要求、規(guī)范和技術(shù)標準,推進信息系統(tǒng)災(zāi)難恢復(fù)建設(shè)工作并定期進行演練,確保業(yè)務(wù)連續(xù)性。
在《保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》發(fā)布后,各保險公司紛紛加緊了建設(shè)和優(yōu)化災(zāi)難備份。保監(jiān)會相關(guān)文件顯示,目前全行業(yè)已有44%的保險公司建立了同城或異地災(zāi)難備份中心,有些保險公司還正在規(guī)劃包括同城+異地”在內(nèi)的兩地三中心數(shù)據(jù)中心架構(gòu)。保險行業(yè)的信息安全保障水平得到進一步加強。
相關(guān)數(shù)據(jù)顯示,2010年,有49家保險公司組織了不同范圍、不同層面的災(zāi)難恢復(fù)演練工作。由于資金、技術(shù)和客觀需求等方面的原因,國內(nèi)大型保險公司已在災(zāi)難備份建設(shè)方面先行一步。如中國人保、中國人壽[16.65 2.08% 股吧 研報]、太平洋[6.94 0.73% 股吧 研報]保險、平安保險、泰康人壽和新華保險[27.16 0.74% 股吧 研報]等大型保險公司都已經(jīng)完成了災(zāi)難備份的建設(shè)。
相對而言,部分中小型保險公司信息化建設(shè)則有些滯后。除安誠保險、新光海航、天安[3.95 -1.25%]保險等已建設(shè)完成數(shù)據(jù)災(zāi)難備份,生命人壽和安邦保險正在規(guī)劃設(shè)計中外,許多中小保險公司則將更多資金和力量傾注在IT應(yīng)用方面,還沒來得及進行災(zāi)難備份建設(shè)。不少中小保險公司反映,對于災(zāi)難備份,并非重視程度不夠,而是心有余而力不足。
對于保險公司來說,建立災(zāi)難備份的成本到底有多高?中金數(shù)據(jù)系統(tǒng)有限公司系統(tǒng)架構(gòu)總工程師王緒生告訴記者,如果是自行建設(shè)和運營,災(zāi)難備份中心與生產(chǎn)中心所用成本相當。
即使成本高企,進行災(zāi)難備份建設(shè)、防范技術(shù)風險、確保數(shù)據(jù)安全和業(yè)務(wù)持續(xù)運作,仍是保險公司急需解決的問題。一方面與保監(jiān)會的嚴格監(jiān)管有關(guān);另一方面更與保險公司數(shù)據(jù)性質(zhì)和自身成長對數(shù)據(jù)的高度依賴有關(guān)。眾所周知,保險數(shù)據(jù)對實效性和安全性要求很高。一旦數(shù)據(jù)丟失,保險企業(yè)就要承擔法律責任和聲譽損失,甚至對保險企業(yè)的生存和發(fā)展帶來致命影響。
在成本和現(xiàn)實需要之間,除了人保、國壽這樣的大型保險集團之外,越來越多的保險公司選擇了在國際上通行的服務(wù)外包來解決災(zāi)難備份的問題。但王緒生也特別指出,保險公司對外包服務(wù)也還存在一些理解上的誤區(qū),有人認為,采用社會化專業(yè)服務(wù)方式,就是把整個災(zāi)難恢復(fù)工作交給了專業(yè)服務(wù)商,將自己在災(zāi)難恢復(fù)工作中置于配合的角色。事實上,購買外包服務(wù)僅僅是利用了外部的優(yōu)勢資源,如災(zāi)難備份中心場地資源、災(zāi)難恢復(fù)專業(yè)知識和運行管理資源,而災(zāi)難恢復(fù)的關(guān)鍵工作,如災(zāi)難恢復(fù)預(yù)案、測試與演練、災(zāi)難恢復(fù)等核心工作,還得由保險公司自己掌控,這樣才能避免社會化服務(wù)所帶來的風險。
也正是看到了外包服務(wù)可能帶來的種種風險,保監(jiān)會特別強調(diào),保險公司不得將信息系統(tǒng)安全管理責任外包;要建立有效的外包和采購內(nèi)部評估審核流程與監(jiān)督管理機制,要嚴格控制外包承包方的再轉(zhuǎn)包行為;優(yōu)先選用通過信息安全管理體系認證的信息技術(shù)服務(wù)機構(gòu)提供外包服務(wù),以及接受監(jiān)管部門的檢查。