港證監終「注視」資訊系統安全
港證監終「注視」資訊系統安全
今年1月22日,恆生指數系統開市前突然中斷運作,要在開市後半小時才回復正常。事發後2日,負責製作恆指的恆生指數有限公司發表報告,解解釋是次服務中斷,是由於該公司從數據傳送專線中接收的數據,出現罕見的傳送次序,因而引起一個未能預見的情況。
恆指公司的報告似乎來得輕描淡寫,卻反映資訊科技正支配著不少商業機構、特別是金融機構的營運命脈。當一個電腦程式系統的一小部份出現錯誤或故障,就足以導致整個資訊科技系統癱瘓,令業務無法正常運作。
記得在今年初時,我就曾致電香港證監會查詢,若我買股票的經紀行電腦「當機」了,有沒有指引要多久才能回復,以及數據容許丟失多久,得到的回覆居然是:「我們有指引的,就是要求『盡快』恢復正常 …… 」。大家認為,一個秒秒鐘涉及鉅額資金交易的系統,對資訊科技監管的指引原來竟這樣兒戲,是否覺得不可思議?
相對於國際金融中心香港,原來早於2006年,中國內地已對全國所有證券公司,明確規定在資訊科技的要求。中國證監會規定,實行集中交易的證券公司,必須建立災難備份中心。其後中國證券業協會組織業內人士起草了《證券公司集中交易安全管理技術指引》,有關指引經中國證監會核准及予以發布,並請各證券公司會員參照執行。
回說中國證監會的規定中,提出的指引相當明確,例如當中的第45條就提到,災難備份BCP(業務連續性計劃)的三個具體指標RPO(恢復點目標)、RTO(恢復時間目標)、DOO(運行性能降低預期),是衡量災難恢復性能好壞的關鍵指標,應分別達到:RPO<16分鐘,RTO<1小時,DOO<50%才符合標準。
好了,後知後覺的香港證監會也終在3月16日,向持牌法團發出關於資訊科技管理的指引通函,指最近在監察過程中注意到,法團在資訊科技方面有兩方面的缺失,並提出6項持牌法團須考慮的資訊科技管理項目。其中,針對數據備份及持續運作規劃方面,指引提出6個要點,包括在政策上應定期為關鍵數據進行備份;規定只有獲授權人員方可接達/連接/使用數據備份媒體;在場外儲存一套備份數據;定期進行從備份復原數據的測試,確保備份數據在緊急情況下可供使用;規定只有獲授權人員方可使用數據復原功能;以及實施有效的業務持續運作計劃,並根據該計劃制定資訊科技災難復原計劃,確保能恢復關鍵的資訊系統以支援業務運作。
大家看到香港的指引有何問題嗎?在資訊科技操作要求日趨精確的情況下,他們在今年才發表的指引,竟仍使用「定期進行」、「確保」等字眼,別說跟歐美等先進地區比較,就是跟內地比也明顯不及,這樣模糊的指引究竟有甚麼用處呢?相對外國監管機構的先知先覺,香港的進步往往有賴先進企業懂得自我檢討,以及業界不斷推動這方面的意識。例如BizCONLINE就針對證監會提出異地容災要求,並結合外地在這方面的嚴格指引標準,連結多個夥伴去提供一套完整方案,以相對低的使用成本,兼不必額外投資,即可實現超乎本地指引要求的容災安排。
作者:BizCONLINE 創辦人兼行政總裁李德豪博士
6 回應
Digg
列印Similar
