自2008年发布《保险业信息系统灾难恢复管理指引》,首次对保险机构信息系统灾备建设进度和最低灾难恢复能力提出明确要求后,保监会在近日发布的《保险公司信息系统安全管理指引(试行)》中,再次强调保险公司要按照国家和监管部门信息系统灾难恢复管理要求、规范和技术标准,推进信息系统灾难恢复建设工作并定期进行演练,确保业务连续性。
在《保险业信息系统灾难恢复管理指引》发布后,各保险公司纷纷加紧了建设和优化灾难备份。保监会相关文件显示,目前全行业已有44%的保险公司建立了同城或异地灾难备份中心,有些保险公司还正在规划包括同城+异地”在内的两地三中心数据中心架构。保险行业的信息安全保障水平得到进一步加强。
相关数据显示,2010年,有49家保险公司组织了不同范围、不同层面的灾难恢复演练工作。由于资金、技术和客观需求等方面的原因,国内大型保险公司已在灾难备份建设方面先行一步。如中国人保、中国人寿[16.65 2.08% 股吧 研报]、太平洋[6.94 0.73% 股吧 研报]保险、平安保险、泰康人寿和新华保险[27.16 0.74% 股吧 研报]等大型保险公司都已经完成了灾难备份的建设。
相对而言,部分中小型保险公司信息化建设则有些滞后。除安诚保险、新光海航、天安[3.95 -1.25%]保险等已建设完成数据灾难备份,生命人寿和安邦保险正在规划设计中外,许多中小保险公司则将更多资金和力量倾注在IT应用方面,还没来得及进行灾难备份建设。不少中小保险公司反映,对于灾难备份,并非重视程度不够,而是心有余而力不足。
对于保险公司来说,建立灾难备份的成本到底有多高?中金数据系统有限公司系统架构总工程师王绪生告诉记者,如果是自行建设和运营,灾难备份中心与生产中心所用成本相当。
即使成本高企,进行灾难备份建设、防范技术风险、确保数据安全和业务持续运作,仍是保险公司急需解决的问题。一方面与保监会的严格监管有关;另一方面更与保险公司数据性质和自身成长对数据的高度依赖有关。众所周知,保险数据对实效性和安全性要求很高。一旦数据丢失,保险企业就要承担法律责任和声誉损失,甚至对保险企业的生存和发展带来致命影响。
在成本和现实需要之间,除了人保、国寿这样的大型保险集团之外,越来越多的保险公司选择了在国际上通行的服务外包来解决灾难备份的问题。但王绪生也特别指出,保险公司对外包服务也还存在一些理解上的误区,有人认为,采用社会化专业服务方式,就是把整个灾难恢复工作交给了专业服务商,将自己在灾难恢复工作中置于配合的角色。事实上,购买外包服务仅仅是利用了外部的优势资源,如灾难备份中心场地资源、灾难恢复专业知识和运行管理资源,而灾难恢复的关键工作,如灾难恢复预案、测试与演练、灾难恢复等核心工作,还得由保险公司自己掌控,这样才能避免社会化服务所带来的风险。
也正是看到了外包服务可能带来的种种风险,保监会特别强调,保险公司不得将信息系统安全管理责任外包;要建立有效的外包和采购内部评估审核流程与监督管理机制,要严格控制外包承包方的再转包行为;优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务,以及接受监管部门的检查。