中信银行“断网”事件再敲警钟

银行信息系统的重要性毋庸置疑。

试想，当你正准备买入一只快速上涨的股票，而突然银行的信息系统出了故障，你只能眼睁睁看着股票上涨而无法成交；当然，你可能还有更重要的业务因为银行信息系统故障而无法办理，给你造成了重大损失……

正因为银行信息系统的极端重要性，银行很少出现信息系统故障，而一旦出现故障，要根据情况上报监管部门甚至国务院。

8月9日，银保监会的一则处罚信息，意外暴露了中信银行的“重要信息系统中断”事件。

事故发生又隐瞒

8月9日，银保监会公布了今年的“天价”罚单，中信银行因十三项违法违规行为，被合计罚没2223.7万元，刷新今年以来银保监系统最高罚没金额记录。

而且，这个罚单是自去年12月7日以来，银保监会机关8个月内开出的首张罚单。

罚单信息显示，中信银行“未向监管部门报告重要信息系统运营中断事件”，且认定“信息系统控制存在较大安全漏洞，未做到有效的安全控制”。

银行机构的信息系统中断会对企业造成很大的影响和损失。对于任何金融机构而言，确保业务运行不中断，关键数据得到充分保护，以及在意外发生时，能够实现数据的实时恢复，这都是业务运营中的重中之重。因此，银行的信息系统会面临着更加严格的国家监管。

但是，作为股份制银行第一梯队的中信银行，却在信息系统安全性上“掉链子”，以致遭到银保监会的严厉处罚。

监管严查信息系统风险

信息系统安全运行是商业银行业务正常开展的重要保障和基本前提，关乎商业银行声誉、金融安全和社会稳定。银行服务对象复杂、分布广泛，所提供的金融服务与个人、企业利益乃至国民经济息息相关，一旦发生重大信息科技事件，会引起一系列的连锁反应。

下表是近几年的信息系统风险事件案例。

监管部门此前就对银行的信息系统安全提出诸多指导意见。早在2006年，央行和银监会就分别发文，要求全国性大型银行，原则上同时采用同城和异地灾难备份和恢复策略，区域性银行可采用同城或异地灾难备份和恢复策略。

2008年2月，央行发布《银行业信息系统灾难恢复管理规范》要求：短时间中断对国家、外部机构和社会产生重大影响或影响单位关键业务功能并造成重大经济损失的系统RTO（恢复时间目标）<6小时，RPO（恢复点目标）<15分钟。

RTO是反映业务恢复及时性的指标，表示业务从中断到恢复正常所需的时间；RPO是反映恢复完整性的指标，在同步复制下，RPO等于数据传输时延长时间。

原文链接：http://www.sohu.com/a/333107529_120244062

转载自安全加：http://toutiao.secjia.com/article/page?topid=111869