|
IT业务应急计划的法规需求
前言
业务应急计划的主要目的在于减少由于意外中断事件或灾难给机构带来的损失、尽快恢复机构的关键业务功能并最终使机构能够平稳顺利地回复到发生中断或灾难以前的工作状态。从国家的角度讲,就是要确保关系到国计民生的国家基础设施,如武装力量、国家机构以及金融、交通、医疗、能源等服务体系在发生意外灾难的情况下能够及时恢复关键的职能,确保国家的稳定繁荣和长治久安。所以,国家及其行政部门都会通过法律或法规的形式对重要机构提出制定业务应急计划的强制要求。
随着计算机和网络技术的普及应用,IT技术在国家基础设施和商业机构中所起的作用越来越大,IT业务应急计划已经成为各级应急体系中不可或缺的重要组成部分。911事件后很多受到毁灭性破坏的信息密集型机构能够很快恢复运作,得益于事前所制定的高水平的IT业务应急计划。这些机构之所以能够做到这一点,是因为美国整个社会对应急体系的重视和及其具有完善的相关法律法规。
由于认识、管理和经济水平的滞后,中国社会对应急体系建设的重视程度不够。不过,经历了SARS这场突如其来的灾难之后,中国社会从政府、业界到普通百姓都对应急体系建设的重要性有了进一步的认识,政府机构和商业企业迫切需要提升自己的抗灾和应变能力。但是,应急体系建设需要投入大量的人力、物力和财力,没有一整套完善的法律法规制约,应急体系的建设就会具有很大的随意性,就会出现很多短期行为,最终将无法形成持续、有效的应急机制。
在这里,我将罗列一些国内外法律法规对IT业务应急计划的相关规定,目的在于使IT业务应急计划的制定者能够对内地相关的法律法规的情况有一个大致了解,也能借鉴一些境外的法律法规的内容,以便制定符合法律要求并具有一定先进性的IT业务应急计划。由于资料来源有限,目前只收集了一小部分的内容,我相信随着我国相关领域法律法规的不断完善以及读者和作者的共同努力,本文将不断地得到充实和完善。欢迎各领域的读者通过电子邮件(phrackchen@hotmail.com)对本文提出意见和建议。
一、内地的法律法规
1、中华人民共和国国家军用标准(GJB 1281-91):《指挥自动化计算机网络安全要求》。
2、中华人民共和国国家军用标准(GJB 1295-91):《军队通用计算机系统使用安全要求》。
3、银发〔2002〕260号:《中国人民银行关于加强银行数据集中安全工作的指导意见》(2002-9-10)。
4、银发〔2002〕102号:《中国人民银行关于落实“网上银行业务管理暂行办法”有关规定的通知》(2002-4-23)。
5、中国人民银行令〔2001〕第6号:《网上银行业务管理暂行办法》(2001.07.09)。
6、证监信息字[1999]18号:《“证券经营机构营业部信息系统技术
管理规范(试行)”技术指引》(1999.11.03)。
7、证监信息字[1998]2 号:《中国证券经营机构营业部信息系统技术管理规范(试行)》。
二、台湾地区的法律法规
8、台湾“行政院”研考会(88)会讯字第05787号函颁:《行政院及所属各机关信息安全管理规范》(1988.11.16)。
三、外国的法律法规
9、美国OMB A-130规章之附录三:《联邦自动化信息系统的安全》。
10、美国NIST特别报告书800-34:《信息技术系统应急计划指南》(2002年6月)。
11、新加坡金融管理局咨询文件:《业务应急计划指导方针》(2003年1月10日)。
|
