三、五年灾备外包经验和体会
    深发行对灾难恢复体系的建设通过整体规划、分步实施保持了体系持续改进和完善；以计划、行动、检查、改进的循环又不断提高业务连续运作能力。通过几年的实践探索和综合分析，我们认为，在灾难恢复建设过程中，保障项目成功的重要因素主要包括以下三个方面：
    1．战略层高度重视
    灾难恢复工作不仅仅是IT部门的工作，它关系到银行的信誉、股东利益和客户服务质量。在整个灾难恢复建设过程中都需要行内战略层、领导层的持续重视。应当避免抓一抓紧一紧，放一放松一松的状态。深发行的董事长和行长等高层领导非常重视业务连续性规划的开展，在新一期项目开始之际举办了涉及所有业务部门和分行领导的培训和项目启动会议，强调了业务连续性规划对于银行举足轻重的作用。
    2．严格选择服务商
    服务商选择的核心是了解、评估并审定其专业度、成熟度和可靠度方面的服务能力。我行对服务商的管理结合了我行多年的外包服务经验总结和国外可参照的外包服务商管理规范体系。我们认为对灾备服务外包服务商的选择应当严格审核和控制以下的所有要素：
    厂商的专业度——在灾难发生时客户的生存依赖于灾难恢复服务供应商的专业服务；
    服务质量——是否有成功的客户，是否具有服务体系和安全体系的认证(如 IS09001、ISO27001、ITIL等)；
    经验——有无完整有效的方法论，从事相关行业的历史，有多少实际恢复测试、演练的经验；
    稳定性——公司管理、实施队伍、 运营队伍；
    成长性——是否能够根据发展需要变更、提高服务支持的技术能力；
    服务的范围——能够提供客户所需要的所有服务；
    地理区域——服务是否有地理区域限定，需求会不会受到限制；
    人员——是否维持了一个专业的灾难恢复服务团队，服务团队是否成熟；
    运营管理体系——是否有成熟和严谨的运营管理体系、制度、工作流程；
    参考案例——通过参考案例更好地了解其服务的范围和服务质量。
    对灾难恢复外包商的管理需要从严格执行合同做起，必须要与外包商签署严密的服务范围和服务水平协议，并在实施全过程中认真执行协议。
    在运行服务过程中，我们十分注重阶段性评估。项目组定期对服务商（GDS）进行现场考察，定期执行联合测试演练考查服务商的恢复能力和水平，对每一个阶段的成果交付物（如：报告）进行抽查、抽测，保证交付物的质量。
    在服务商的安全控制方面应注重对外包服务相关各方采取足够的物理和逻辑安全控制手段来限制和保护对组织外包功能的访问（这包括所有相关的设备、计算机硬件和软件以及基础设施）；所有由外包方提供的物理和逻辑访问控制应进行定期的审计,检查对既定的信息安全管理规定和制度的执行状况。
    在服务商人员资质方面，我们非常强调外包服务商需要有一套严密的用工政策和流程来管理员工。这些政策和流程是外包合同的一部分。其主要包括：人员资质要求、安全管理制度、人力资源风险评估和忠诚度调查。
    3．严格项目管理
    严格的项目控制、管理和执行是灾备建设过程得以有效实施的保障，我们在全部实施过程中严格执行国际上通行的项目管理标准PMBOK，项目配备经过PMP认证且精通BCM业务知识的人员负责项目管理工作。在项目专业领域管理、范围管理、成本管理、进度管理、人力资源管理、沟通管理、风险管理等方面制定了严格的制度并做到一致、规范、持续的认真执行。在本项目的BCM专业领域管理方面综合运用了DRI International的方法论；在项目范围管理方面执行严格的变更管理制度和流程；在成本管理方面实施增值分析和成本审计制度；在进度管理方面实施里程碑管理制度；在人力资源管理方面实施关键岗位AB角、人力调配表和人力池制度；在沟通管理方面实施沟通渠道管理和信息发布管理；在风险管理方面实施10大风险分析和风险动态更新制度。

(责任编辑：adminadmin2008)