共享资料-信息系统灾难恢复管理指引
企业管理信息系统的灾难恢复计划制定
企业管理信息系统的灾难恢复计划制定在当今数字化时代,企业管理信息系统对于企业的运营和发展起着至关重要的作用。
然而,各种自然灾害、人为失误、网络攻击等不可预见的灾难随时可能威胁到信息系统的正常运行,导致数据丢失、业务中断,给企业带来巨大的损失。
因此,制定一套完善的灾难恢复计划对于企业来说是至关重要的。
一、灾难恢复计划的重要性企业管理信息系统中存储着大量的关键业务数据,如客户信息、财务数据、供应链数据等。
一旦这些数据丢失或损坏,企业可能面临客户流失、信誉受损、法律纠纷等严重后果。
此外,业务中断也会导致生产停滞、销售受阻,直接影响企业的经济效益。
一个有效的灾难恢复计划可以在灾难发生后迅速恢复信息系统的运行,减少数据损失和业务中断的时间,帮助企业尽快恢复正常运营。
同时,它还能够增强企业的应急响应能力,提高员工的应对信心,为企业的持续发展提供有力保障。
二、灾难恢复计划的制定步骤1、风险评估首先,需要对企业可能面临的各种灾难风险进行全面评估。
这包括自然灾害(如地震、洪水、火灾等)、人为灾害(如误操作、恶意破坏、网络攻击等)以及技术故障(如硬件故障、软件错误、电力中断等)。
通过评估风险的可能性和潜在影响,确定灾难恢复的优先级和重点。
2、确定恢复目标根据风险评估的结果,明确灾难恢复的目标。
这包括恢复时间目标(RTO)和恢复点目标(RPO)。
RTO 是指在灾难发生后,信息系统需要在多长时间内恢复正常运行;RPO 是指允许的数据丢失量。
例如,对于某些关键业务系统,可能要求 RTO 在数小时内,RPO 接近于零。
3、制定恢复策略根据恢复目标,制定相应的恢复策略。
常见的恢复策略包括数据备份与恢复、备用系统切换、异地容灾等。
数据备份可以采用定期全量备份和实时增量备份相结合的方式,确保数据的完整性和可用性。
备用系统可以是热备、冷备或温备,根据恢复时间要求和成本进行选择。
异地容灾则可以将数据和系统复制到远离本地的地点,以应对本地灾难。
集团公司信息系统灾难恢复管理办法
中国*股份有限公司
信息系统灾难恢复管理办法
第一章总则
第一条为进一步规范公司信息系统灾难恢复工作,提高防范灾难风险的能力,降低或消除因重要信息系统发生运营中断所造成的影响,根据国家有关法律、法规等规范性文件,结合《中国*集团信息系统灾难恢复管理细则》有关文件要求,制定本办法。
第二章组织机构
第二条公司总裁室是公司信息系统灾难恢复管理工作的最高领导机构,负责公司信息系统灾难恢复管理工作的领导、指挥和统筹部署,决定灾备工作的重大事项。
第三条信息技术部负责汇总、审定各业务主管部门拟定的重要业务系统的灾难恢复策略和恢复目标,参与全面的灾难恢复演练和审阅灾难恢复演练报告,参与重大灾难发生时的恢复工作和接收灾难恢复报告。
第四条信息技术部作为信息系统的运行维护部门,参。
工信部《重要信息系统灾难恢复指南》
工信部《重要信息系统灾难恢复指南》工信部《重要信息系统灾难恢复指南》是一个有关信息系统灾难恢复的重要指南,旨在帮助组织建立有效的应急预案和措施,以应对重要信息系统遭受各种灾难事件的风险。
以下为《重要信息系统灾难恢复指南》的内容总结,共计1200字以上。
第一部分:引言本部分介绍了指南的目的和范围,以及指南的适用对象和术语定义。
同时,还介绍了灾难恢复的重要性和需求,以及在应对灾难中建立和保护重要信息系统的重要性。
第二部分:灾难恢复框架本部分包括灾难恢复框架的定义、原则和目标。
其中,灾难恢复框架定义了灾难恢复的基本概念和方法,原则指导了组织在灾难恢复过程中的行为,目标明确了组织应对灾难的总体要求。
第三部分:灾难风险评估与管理本部分介绍了灾难风险评估与管理的基本流程和方法。
其中,灾难风险评估包括对重要信息系统灾难风险的识别、评估和分析,并制定相应的策略和措施进行管理。
同时,还介绍了灾难风险管理的步骤和方法,包括制定灾难应急预案、建立应急机制等。
第四部分:灾难响应与恢复本部分介绍了灾难响应与恢复的基本原则和步骤。
其中,灾难响应包括建立应急响应团队、实施应急措施等;灾难恢复包括恢复重要信息系统的基础设施、数据和应用。
此外,还介绍了灾难恢复过程中的关键措施,如备份与还原、业务持续性计划等。
第五部分:灾难恢复验证和演练本部分介绍了灾难恢复验证和演练的意义和方法。
其中,灾难恢复验证是指对恢复方案进行验证和测试,以确保其有效性;灾难恢复演练是指定期进行的灾难恢复演习活动,以提升组织灾难应对能力和协同合作能力。
第六部分:灾难恢复管理与持续改进本部分介绍了灾难恢复管理与持续改进的方法和要点。
其中,灾难恢复管理包括建立灾难恢复管理制度、持续监测和评估灾难恢复能力等;持续改进包括根据灾难恢复演练和实践经验不断改进灾难恢复策略和措施。
第七部分:附则总结《重要信息系统灾难恢复指南》全面系统地介绍了灾难恢复的基本概念、框架和方法,为组织建立有效的灾难恢复体系提供了指导。
重要信息系统灾难恢复指南
重要信息系统灾难恢复指南在现代社会,信息系统对组织和企业的运营起着至关重要的作用。
然而,灾难事件可能会导致信息系统中断或数据丢失,对组织造成巨大的影响。
因此,建立一套健全的重要信息系统灾难恢复指南至关重要。
本文将介绍一套包含重要信息系统灾难恢复指南的方法,以帮助组织应对可能出现的灾难事件。
1.风险评估与业务连续性计划在建立重要信息系统灾难恢复指南之前,组织需要进行全面的风险评估。
这包括确定潜在的灾难事件,如自然灾害、黑客攻击等,并评估其对信息系统的威胁程度。
根据风险评估的结果,组织可以制定适当的业务连续性计划,以确保即使在灾难事件中也能够继续运营。
2.信息系统备份与恢复组织应定期进行信息系统备份,并将备份数据存储在安全可靠的地方。
备份数据可以用于在灾难事件中恢复信息系统。
组织应制定备份策略,包括备份频率、备份存储位置、备份数据的完整性验证等。
4.灾难恢复计划测试与演练灾难恢复计划的有效性需要通过定期测试和演练来确保。
组织应定期组织模拟灾难事件的演练,以检验灾难恢复计划的可行性和有效性。
这将帮助团队了解应急响应程序、恢复过程以及相互之间的协作方式,并及时发现和解决问题。
5.异地备份与云存储除了本地备份外,组织还应考虑将信息系统数据备份到异地存储或云存储中。
这样即使发生本地灾难,数据仍可恢复。
异地备份和云存储可以提高数据的安全性和可靠性,确保信息系统灾难恢复的成功。
6.完善的安全措施信息系统的安全是组织应急响应和灾难恢复的重要一环。
组织应采取各种安全措施,如防火墙、入侵检测系统、数据加密等,以提高信息系统的安全性并减少黑客攻击和数据泄露的风险。
7.持续监测和改进建立一套重要信息系统灾难恢复指南后,组织需要持续监测信息系统的安全和有效性,并根据新的威胁和技术变化进行不断改进。
这可以通过定期的风险评估、安全演练和技术更新来实现。
总之,建立一套重要信息系统灾难恢复指南对于组织的稳定运营至关重要。
通过风险评估、备份与恢复、灾难恢复团队、计划测试与演练、异地备份与云存储、安全措施以及持续监测和改进,组织可以有效地应对灾难事件,并尽快恢复信息系统的运行。
QSY 1332-2010 信息系统灾难恢复管理规范
Q/SY 1332—2010 3.7
关键业务功能 critical business functions 如果中断一定时间,将显著影响业务运作的服务或职能。 [GB/T 20988-2007,定义 3.6] 3.8 信息系统 Information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统。 [GB/Z 20986-2007,定义 2.1] 3.9 生产系统 production system 支持企业日常业务运作的信息系统,包括生产数据、生产数据处理系统、生产数据存储系统和生产 网络系统。 [GB/T 20988-2007,定义 3.16] 3.10 生产中心 production site 生产系统提供运行环境的数据中心,也称为主中心。 [GB/T 20988-2007,定义 3.15] 3.11 灾难备份中心 alternate site 用于灾难发生后,接替生产中心进行数据处理和支持关键业务功能运作的数据中心,包括备用数据 处理中心、备用的工作环境、备用生活设施和技术支持及运行管理人员。 [GB/T 20988-2007,定义 3.1] 3.12 灾难备份 backup for disaster recovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行 备份的过程。 [GB/T 20988-2007,定义 3.2] 3.13 灾难备份系统 backup system for disaster recovery 用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。 [GB/T 20988-2007,定义 3.3] 3.14 数据备份策略 data backup strategy 为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外存 放方式,以保证达到恢复点目标(RPO)和恢复时间目标(RTO)。 [GB/T 20988-2007,定义 3.7] 3.15 灾难恢复预案 disaster recovery plan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件,用于指导相关人员在预定的 灾难恢复目标内恢复信息系统支持的关键业务功能。 [GB/T 20988-2007,定义 3.10] 3.16 业务连续性规划 business continuity planning(BCP) 灾难事故的预防和响应机制,是一系列事先制定的策略和规划,确保组织在面临突发的灾难事故时,
重要信息系统灾难恢复指南
重要信息系统灾难恢复指南重要信息系统灾难恢复指南1. 灾难恢复计划1.1 定义灾难恢复计划的目标和范围1.2 制定灾难恢复责任人和团队1.3 风险评估和业务连续性分析1.4 制定恢复策略和步骤1.5 确定灾难恢复的时间目标1.6 制定通信和协调机制1.7 灾难恢复计划的测试和演练1.8 定期评估和更新灾难恢复计划2. 灾难通知和报告程序2.1 灾难事件的识别和报告责任2.2 灾难事件通知的流程和渠道2.3 灾难事件的紧急联系人清单2.4 灾难事件的报告和更新要求2.5 灾难事件报告的格式和内容要求3. 数据备份和恢复策略3.1 确定关键数据和系统资源3.2 设计备份策略:全量备份、增量备份、差异备份3.3 确定备份存储介质和位置3.4 确保备份数据的完整性和可用性3.5 制定数据恢复计划:备份数据的恢复顺序和策略3.6 制定数据恢复的测试和验证过程4. 灾难恢复设施和资源准备4.1 建立灾难恢复中心和备份站点4.2 配置必要的服务器、网络设备和存储设备4.3 灾难恢复设施和资源的维护和管理4.4 灾难恢复设施的可靠性和容错性评估5. 灾难恢复团队的组织和培训5.1 灾难恢复团队的组织结构和职责5.2 灾难恢复培训和技能要求5.3 灾难恢复团队的演习和评估5.4 灾难恢复团队的持续改进和发展6. 监控和评估6.1 灾难恢复计划的监控机制6.2 监控恢复进度和效果6.3 灾难恢复计划的评估和审查6.4 灾难恢复计划的改进和更新附件:灾难恢复计划模板、数据备份策略模板、灾难事件通知流程图、灾难恢复团队联系人清单法律名词及注释:1. 灾难恢复计划:指组织为保障重要信息系统连续运行,在灾难事件发生时采取的一系列措施和步骤。
2. 业务连续性分析:指对组织的关键业务进行分析和评估,确定其对灾难的敏感程度及恢复的优先级。
3. 数据备份:指将组织的重要数据复制到备份介质中,以备灾难事件发生时恢复使用。
4. 备份策略:指根据组织的业务需求和恢复要求制定的数据备份的操作流程和规则。
信息系统灾难恢复方案
信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户的合法权益,根据国家信息安全法律法规及有关规定,制定本预案。
第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称灾难恢复为生产系统灾难恢复。
灾难恢复工作是指,为保障生产系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
第二章总体工作要求当生产系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
加强与业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章灾难恢复项目小组的制定和职能1.管理组:小组人员:职责:统筹规划,指挥各小组按照既定计划进行执行。
2.部门恢复组小组成员:职责:负责制定各部门情况制定应急备案,确定各部门数据和财产的保护方式并执行保护,确定各部门数据的恢复方式并执行恢复。
3.计算机恢复组:小组成员:职责:负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。
4.损坏评估组:小组成员:职责:负责对公司损失的重要数据、财务进行总体评估。
并针对相应损失的财产进行汇总并结合拥有的保险进行申报。
5.安全组:小组成员职责:负责灾难发生后的人员、数据、财务的安全进行保护。
并制定相应的安全策略。
6.设备支持组:小组成员:职责:负责对公司服务器、网络设备、交换机的故障进行排除,制定相应解决重建方案。
7、数据恢复组:小组成员:职责:负责对公司各平台数据进行恢复,并制定相应数据恢复方案。
信息数据备份及灾难恢复制度
数据备份及灾难恢复制度目录第一章数据灾难的种类及应对方法 (2)第二章数据备份及灾难恢复制度与策略 (2)第三章应用系统备份及灾难恢复制度与策略 (4)第一章数据灾难的种类及应对方法第一条为避免工作中出现问题造成数据损坏,通过将重要数据的备份放到其它地区、城市以“冷备份”的方式保存或者在异地建立热备份站点来进行在线备份。
第二条计算机设备故障等导致业务系统数据损坏。
如硬盘、磁带等存储设备的老化等。
可以从制度上要求对计算机设备进行定期维护检测,重要数据定期进行备份,树立安全意识,防患于未然,在存储设备突然损坏时,通过事前的备份迅速开展灾难恢复工作,以保证业务系统的及时正常运行,使其对系统的影响减到最小。
第三条病毒或人为等因素造成业务数据丢失。
通过建立数据访问控制制度和策略,设置网络访问权限,及时更新系统补丁,定期查杀病毒,以及定期备份数据来保障应用系统的稳定运行。
第四条数据备份和灾难恢复目标就是克服上述各种情况对计算机系统造成的不利影响,保障业务系统的持续稳定运行,其核心思想是明确数据备份内容,构建适宜的备份系统架构,针对不同备份对象设置合理备份策略,建立数据备份保管制度,灾难恢复重建制度,确保业务系统遭遇上述几种灾难后能被迅速恢复至稳态运行。
第二章数据备份及灾难恢复制度与策略第一条备份内容公司业务系统需要备份的数据对象大体有以下几种:2.1重要业务系统寄宿的操作系统,其包括所有的补丁、修改和更新。
2.2单位网络配置参数。
2.3重要业务系统安装程序配置文档以及软件许可证等。
2.4数据库及其业务数据文件。
第二条备份架构为确保各业务系统的平稳运行,设置了一套软硬结合备份架构,具体如下:2.5硬件备份对重要业务系统建立一主一备服务器,业务数据由工作人员在每日业务结束时,与手工进行同步,避免因硬件故障、服务器无法启动而导致业务停运,同时保留其备份文件至指定服务器,以备不测。
2.6软件备份在内网建立专门的软件备份服务器,其存储设备通过一块SCSI卡连接到磁盘阵列柜,利用Legato NetWorker对所有服务器数据进行集中备份。
保险业信息系统灾难恢复管理指引
保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。
本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。
IT制度灾难恢复计划管理制度(1)
IT 制度灾难恢复计划管理制度一、定义本计划书所称灾难恢复为信息系统灾难恢复。
灾难恢复计划包括:灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
二、组织机构及其职责1.总经理或者信息总监为信息系统灾难恢复工作的责任人,负责灾难恢复需求分析和策略制订。
2.董事会参预制订和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
3.灾难恢复的组织机构由信息部的管理、业务、技术等相关人员组成。
4.信息部总监负责灾难恢复预案的审批、维护和演练,负责资源准备和经费审批。
5.信息部经理负责灾难备份中心的日常运行和管理。
6.信息部主管负责灾难恢复预案的制订、灾难备份中心的日常运行和维护。
7.信息部专员负责灾难备份中心的日常运行和维护。
三、灾难等级1.第一类:信息系统短期中断会影响公司的关键业务的进行,并造成重大经济损失。
2.第二类:信息系统短期中断会影响公司部份业务的正常进行,并造成较大经济损失。
3.第三类:信息系统短期中断会影响公司某个或者某些部门业务的正常进行,可能造成间接损失。
四、灾难恢复的目标要求1.第一类灾难等级恢复要求:(1)第四级电子传输及完整设备支持;(2)RTO≤36 小时,RPO≤8 小时。
2.第二类灾难等级恢复要求:(1)第三级电子传输和部份设备支持;(2)RTO≤72 小时,RPO≤24 小时。
3.第三类灾难等级恢复要求:(1)第二级备用场地支持;(2)RTO≤7 天,RPO≤36 小时。
五、灾难备份系统实施要求1.建立数据备份系统、备用数据处理系统和备用网络系统,技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性。
2.应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统。
3.应充分考虑到灾难备份系统的处理能力、存储容量、网络宽带能否满足业务运作要求。
信息系统灾难恢复规范
信息安全技术信息系统灾难恢复规范Information security technology-Disaster recovery specifications for information systems目次前言 (II)引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 灾难恢复概述 (3)4.1 灾难恢复的工作范围 (3)4.2 灾难恢复的组织机构 (3)4.3 灾难恢复规划的管理 (4)4.4 灾难恢复的外部协作 (4)4.5 灾难恢复的审计和备案 (4)5 灾难恢复需求的确定 (4)5.1 风险分析 (4)5.2 业务影响分析 (4)5.3 确定灾难恢复目标 (5)6 灾难恢复策略的制定 (5)6.1 灾难恢复策略制定的要素 (5)6.2 灾难恢复资源的获取方式 (5)6.3 灾难恢复资源的要求 (6)7 灾难恢复策略的实现 (7)7.1 灾难备份系统技术方案的实现 (7)7.2 灾难备份中心的选择和建设 (7)7.3 专业技术支持能力的实现 (7)7.4 运行维护管理能力的实现 (7)7.5 灾难恢复预案的实现 (8)附录A (规范性附录)灾难恢复能力等级划分 (10)附录B (资料性附录)灾难恢复预案框架 (14)附录C (资料性附录)某行业RTO/RPO与灾难恢复能力等级的关系示例 (16)信息系统灾难恢复规范1 范围本标准规定了信息系统灾难恢复应遵循的基本要求。
本标准适用于信息系统灾难恢复的规划、审批、实施和管理。
2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001 信息技术词汇第8部分:安全GB/T 20984 信息安全技术信息安全风险评估规范3 术语和定义GB/T 5271.8-2001确立的以及下列术语和定义适用于本标准。
信息系统灾难恢复方案
信息系统灾难恢复方案信息系统是现代社会运行的重要支撑,一旦发生灾难,将严重影响社会正常运行和个体的生产生活。
因此,建立一个完善的信息系统灾难恢复方案至关重要。
下面,我将从建立灾难恢复团队、灾难评估和预警、备份和恢复、通信设备和物资准备等方面,进行详细阐述。
首先,建立一个专门的灾难恢复团队,该团队应由具备技术能力和相关经验的人员组成,包括系统管理员、数据恢复专家、网络工程师等。
团队成员需定期接受培训,了解最新的系统架构和灾难恢复技术,以应对各种可能的灾难情况。
其次,进行灾难评估和预警。
通过定期的灾难演练和风险评估,发现潜在的灾难风险和薄弱环节,并采取相应的风险控制措施。
在建立预警机制,及时获取灾难信息,做好预警工作,以提前做好准备工作。
再次,备份和恢复是信息系统灾难恢复的关键步骤。
对关键数据和系统进行定期备份,确保数据的完整性和可靠性。
备份数据应存储在不同的物理位置,以免单点故障造成数据灾难。
同时,建立一个高效的恢复流程,能够快速恢复系统和数据,减少停机时间,从而减少损失。
最后,灾难恢复方案需要定期检查和更新。
由于信息系统和灾难恢复技术在不断发展,方案中的技术和流程也需要不断的更新和改进。
定期的测试和演练可以有效地发现问题和薄弱环节,并对方案进行修订,以确保方案的有效性和实用性。
综上所述,信息系统灾难恢复方案是确保信息系统能够在灾难中快速恢复并实现正常运行的重要保障。
通过建立灾难恢复团队、灾难评估和预警、备份和恢复、通信设备和物资准备等措施,可以大大提高灾难恢复的效率和可靠性,减少灾难带来的损失。
但需要强调的是,方案的有效性还需通过定期的演练和测试来验证,以保证在真正的灾难中能够得到有效应用。
灾难应对与恢复管理制度
灾难应对与恢复管理制度1. 前言本制度旨在规范灾难应对和恢复管理的相关措施,确保企业在灾难事件发生时能够快速、有序地处理,并尽快恢复正常运营。
全部员工都应遵守本制度的规定,乐观参加灾难应对和恢复工作,共同维护企业的安全、稳定和可连续发展。
2. 灾难应对措施2.1 祸害风险评估在企业日常经营中,应建立祸害风险评估制度,在周期性地对企业可能发生的各类祸害进行评估,并订立相应的预案和对策。
2.2 祸害预警与提前应对当接收到祸害预警信息后,相关部门应立刻启动应急响应机制,向全体员工发布相关信息,并组织开展防备、掌控及处理工作。
各部门应保持通畅的沟通渠道,及时报告灾情和祸害应对措施执行情况,确保信息流通畅。
2.3 紧急疏散与救援当祸害发生或预警升级时,相关部门应快速组织员工疏散到安全区域,并指引员工做好必需的自救工作。
同时,应与相关救援机构、政府部门保持紧密联系,帮助救援工作的开展。
2.4 通信与协调在祸害发生后,企业应合理利用现有通信设备,确保与外界的通信畅通。
同时,各部门应加强内部协调,确保资源的合理调配和协同作战,在灾难应对和恢复过程中形成整体合力。
3. 灾难恢复措施3.1 恢复评估与规划在祸害过后,企业应尽快组织专业人员对损失进行评估,并订立相应的恢复规划。
恢复规划应包含对工作环境、设备、供应链、人员等方面的恢复措施,并确保与保险公司、相关部门的合作。
3.2 紧要资源与设备保护企业应建立健全的紧要资源和设备保护机制,确保关键设备和信息的备份、存档以及紧急迁移。
同时,应加强安全防范措施,确保紧要资源和设备免受祸害的影响。
3.3 人员安排与心理疏导面对祸害,企业应关注员工的安全和心理健康。
在祸害过后,应组织相应的紧急救助和安排工作,并供应心理疏导服务,帮忙员工恢复正常生活和工作状态。
3.4 防范措施改进与演练祸害发生后,企业应总结教训,改进防范措施,并定期组织祸害演练,提高员工应对祸害的本领和效率。
同时,应加强与相关救援机构、政府部门的合作,提升整体祸害应对和恢复水平。
重要信息系统灾难恢复指南
重要信息系统灾难恢复指南引言灾难恢复是确保信息和信息系统安全的一项重要措施。
遵从重要信息系统灾难恢复指南的要求,是做好重要信息系统灾难恢复工作的基础。
本指南用于规范和指导重要信息系统的使用和管理单位对信息系统灾难恢复的规划和准备工作。
本指南主要从灾难恢复规划的管理、灾难恢复的需求分析、灾难恢复等级的确定、灾难恢复等级的实现、灾难恢复预案的制订、落实和管理等方面,对灾难恢复的规划和准备活动的规范化要求进行全面描述。
本指南还以规范性附录的形式对灾难恢复的等级划分进行了描述,并以资料性附录的形式对灾难恢复预案的框架进行了说明。
1-11 范围本指南规定了对重要信息系统的灾难恢复应遵循的基本要求。
本指南适用于指导重要信息系统的使用和管理单位(以下简称“单位”)进行灾难恢复的规划和准备工作,对重要信息系统灾难恢复规划项目的审批和监督管理也可参照使用。
2 规范性引用文件下列文件中的条款通过本指南的引用而成为本指南的条款。
凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容)或修订版均不适用于本指南,然而,鼓励根据本指南达成协议的各方研究是否可适用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本指南。
GB/T 5271.1—2000 信息技术词汇第1 部分:基本术语GB/T 5271.9—2000 信息技术词汇第9 部分数据通信GB/T 5271.12—2000 信息技术词汇第12 部分外围设备GB/T 5271.20—94 信息技术词汇20 部分系统开发GB/T 2887-2000 电子计算机场地通用规范3 术语和定义GB/T 5271.1—2000 第1 部分、GB/T 5271.9—2000 第9 部分、GB/T 5271.12—2000 第12 部分和GB/T 5271.20—94 第20 部分确立的术语和定义,以及下列术语和定义适用于本指南。
3.1灾难disaster由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。
共享资料-信息系统灾难恢复管理指引
为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
信息系统灾难恢复方案
信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户的合法权益,根据国家信息安全法律法规及有关规定,制定本预案。
第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称灾难恢复为生产系统灾难恢复。
灾难恢复工作是指,为保障生产系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
第二章总体工作要求当生产系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
加强与业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章灾难恢复项目小组的制定和职能1.管理组:小组人员:职责:统筹规划,指挥各小组按照既定计划进行执行。
2.部门恢复组小组成员:职责:负责制定各部门情况制定应急备案,确定各部门数据和财产的保护方式并执行保护,确定各部门数据的恢复方式并执行恢复。
3.计算机恢复组:小组成员:职责:负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。
4.损坏评估组:小组成员:职责:负责对公司损失的重要数据、财务进行总体评估。
并针对相应损失的财产进行汇总并结合拥有的保险进行申报。
5.安全组:小组成员职责:负责灾难发生后的人员、数据、财务的安全进行保护。
并制定相应的安全策略。
6.设备支持组:小组成员:职责:负责对公司服务器、网络设备、交换机的故障进行排除,制定相应解决重建方案。
7、数据恢复组:小组成员:职责:负责对公司各平台数据进行恢复,并制定相应数据恢复方案。
保险业信息系统灾难恢复管理指引
各保险公司、保险资产管理公司:为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日保险业信息系统灾难恢复管理指引【42】第一章总则【6】第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
系统数据存储,备份管理和灾难恢复制度
系统数据存储备份管理和灾难恢复制度为了确保系统计算机系统的数据安全,使得在计算机系统失效或数据丢失时,能依靠备份尽快地恢复系统和数据,保护关键应用数据的安全,加强我院信息系统数据存储、备份管理,保障电子文件和电子档案的安全保管和开发利用,特制定本制度。
本制度适用于日常工作中对信息系统的备份,维护和保管。
一、总则1、信息系统的备份恢复工作要有专人负责,负责人要认真贯彻信息管理中心有关规定。
监督并审核每日的备份数据,检验确保数据备份的完整性和可用性后,方可刻录光盘。
2、备份数据应该严格管理,妥善保存。
3、必须定期检查存储备份数据的空间是否足够。
4、数据在备份过程中要保证其完整性,备份过程要经过加密,密码分前后2部分,由2位管理员分别持有。
5、所有信息系统数据采用集中存储,原则上不允许外接移动介质(U盘、移动硬盘、光刻录机等)拷贝或备份数据。
6、一旦发生数据备份失败或数据被破坏等情况,由负责人再次进行手动恢复并总结备份失败原因,情节严重要及时上报主管领导。
二、备份范围:数据库文件、计算机软件系统,进行信息处理等过程中形成的各种信息数据、文件等。
三、日常备份工作安排1、白天的备份操作由主班人员负责,夜间的备份操作由夜班值班人员负责。
2、电子病历数据备份时间每日9:00,RMAN数据备份事件每周一9:00。
3、值班人员要在备份成功后第一时间检查备份是否成功并压缩加密。
4、备份工作值班人员要在交班表中填写。
四、日常恢复工作安排1、服务器数据恢复由指定系统管理员负责。
2、服务器数据恢复每月至少2次。
3、恢复完成后要第一时间配置并测试是否可用。
4、恢复工作系统管理员要做好记录。
五、归档方式要求:1、网络管理人员要及时清理计算机或网络上重复的电子文件,并做好记录。
2、对光盘、磁盘、磁带等介质的电子文件应注明是否已经做过查、杀毒处理。
3、拒收含有问题或其它隐患的数据文件,要把问题最大限度地解决在归档之前。
4、目前主要通过磁盘阵列本地保存,在异地保存时,必须注明日期、内容、分类及交接人员等相关信息。
信息系统容灾备份与恢复制度
信息系统容灾备份与恢复制度1.目的:为了加强我院信息系统数据备份与恢复的管理,避免信息数据丢失,特制定本管理制度根据《中华人民共和国计算机信息系统安全保护条例》和国家有关法律规定,结合我院实际情况,特制定本规定。
2.范围:适用于信息科3.职责:3.1.信息科对信息系统安全保护工作有监督、检查、指导、查处危害信息系统安全的违规行为。
3.2.我院信息系统数据的备份工作由信息科统一管理,负责全院信息系统数据的备份工作。
4.具体要求4.1.提高数据备份的自动化运行管理水平,做好信息系统数据容灾备份,减少人的操作与干预,或制定严格的管理规范,避免误操作。
4.2.信息系统数据的备份包括定期备份和临时备份两种,定期备份是指按照规定的日期定期对数据进行备份;临时备份指在特殊情况(如软件升级、设备更换、感染病毒等)下,临时对信息数据进行备份。
4.3.信息系统数据根据系统情况和备份内容,可以采取以下备份方式:4.3.1 完全备份:对备份的内容进行整体备份;4.3.2 增量备份:仅对备份相对于上一次备份后新增加和修改过的数据;4.4.根据各种数据的重要程度及其容量进行分级分类,确定备份方式、备份周期和保留周期;4.4.1 A级:出现故障可停机时间小于12小时,如HIS、PASS、体检系统等;备份机制完全备份每周备份1次,数据保留二周,增量备份每天4小时备份1次,数据保留一周;4.4.2 B级:出现故障可停机时间12小时-48小时,如移动护理、掌上佳音、排队叫号系统等;备份机制完全备份每周备份1次,数据保留二周,增量备份每天备份1次,数据保留一周;4.4.3 C级:出现故障停机时间48小时以上,如饭卡系统、停车系统等;备份机制完全备份每周备份1次,数据保留二周,增量备份每周备份1次,数据保留二周;4.5.为保证所备份的内容可再现系统运行环境,数据备份内容应包括网络系统的所有关键数据。
具体指计算机和网络设备的操作系统、应用软件、系统数据和应用数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。
本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。
本指引所称外包是指,选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护,以及应急响应和恢复工作。
第五条中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。
第六条《信息安全技术信息系统灾难恢复规范》(GB/T 20988-2007)中的条款通过本指引的引用而成为本指引的条款。
第二章总体工作要求第七条保险机构应统筹规划信息系统灾难恢复工作,自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。
保险机构新建信息系统时,应同步规划和实施灾难备份系统建设。
本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。
第八条保险机构应持续开展灾难恢复工作,以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。
灾难恢复的需求应定期进行再分析。
灾难恢复需求再分析周期最长为三年。
当信息系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
第九条保险机构应加强与其业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章组织机构第十条保险机构法定代表人或主要负责人是灾难恢复工作的责任人。
保险机构董事会或最高决策层应参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
第十一条灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。
保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。
保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务。
第十二条保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责:(一)灾难恢复需求分析和策略制订;(二)资源准备和经费审批;(三)灾难备份中心的选择和建设;(四)灾难备份中心的日常运行和维护;(五)灾难恢复预案的制订、维护和演练;(六)人员的教育和培训;(七)监督检查和审计。
保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责:(一)应急响应和预警报告;(二)事件通报和沟通;(三)损害评估、抢修拯救和敏感数据保护;(四)灾难恢复工作的重大决策;(五)生产中心的恢复、重建和回退;(六)业务恢复和客户服务;(七)资源保障和供应;(八)媒体公关和信息通报;(九)恢复成效评估和总结。
第十三条从事灾难恢复的专业工作人员应符合以下要求:(一)具备良好的职业道德和风险意识,掌握履行灾难恢复相关岗位职责所需的专业知识和技能;(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第四章需求分析和策略制定第十四条灾难恢复需求分析包括风险分析和业务影响分析。
保险机构的风险分析和业务影响分析应符合以下要求:(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。
根据风险发生的概率和可能造成的损失,评估风险可接受的程度,针对不可接受的风险,制定相应的风险防范措施;(二)应根据信息系统支持的业务区域范围,分析信息系统面临的灾难风险。
应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点,以及影响范围的广泛性;(三)应根据业务经营范围确定关键业务功能。
关键业务功能包括但不限于承保、理赔、投资和财务管理等。
采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。
第十五条保险机构应根据风险分析和业务影响分析的结果,确定信息系统的灾难恢复目标,包括:(一)信息系统的灾难恢复范围;(二)信息系统的灾难恢复顺序;(三)信息系统的灾难恢复能力等级。
第十六条保险机构应加强重要数据的备份和传输安全管理,保证数据的完整性。
重要数据应异地备份,防范区域性灾难风险。
重要数据包括但不限于:客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。
第十七条保险机构应根据风险分析和业务影响分析的结论,将直接或间接支持关键业务功能的信息系统分成三种类别:第一类:信息系统短时间中断会造成重大社会影响;或影响保险机构关键业务功能,并造成重大经济损失。
第二类:信息系统短时间中断会造成较大社会影响;或影响保险机构部分关键业务功能,并造成较大经济损失。
第三类:信息系统间接支持关键业务功能;或保险机构对系统中断具有一定容忍度的系统。
第十八条信息系统的最低灾难恢复能力等级要求:(一)第一类1、第4级电子传输及完整设备支持2、RTO<=36小时,RPO<=8小时(二)第二类1、第3级电子传输和部分设备支持2、RTO<=72小时,RPO<=24小时(三)第三类1、第2级备用场地支持2、RTO<=7天,RPO<=36小时第十九条保险机构应制定统一的灾难恢复策略。
灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。
保险机构应根据各信息系统的灾难恢复目标,确定灾难恢复所需的七个方面的资源要素:(一)数据备份系统;(二)备用数据处理系统;(三)备用网络系统;(四)备用基础设施;(五)专业技术支持能力;(六)运行维护管理能力;(七)灾难恢复预案。
第二十条保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。
灾难恢复策略经决策层审查和批准后,按本指引要求备案。
第五章灾难备份中心的建设与运行维护第二十一条保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。
保险机构应根据风险分析的结果,确定同城和/或异地灾备建设方案。
灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。
第二十二条灾难备份中心的基础设施应符合以下要求:(一)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;(二)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受一定的同类风险;(三)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据、人员等资源可及时到达;(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准,并通过当地消防部门验收;(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式,只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备;(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。
(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。
第二十三条灾难备份系统的建设应符合以下要求:(一)根据灾难恢复策略制定灾难备份系统技术方案,建立数据备份系统、备用数据处理系统和备用网络系统等。
技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性;(二)应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统;(三)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求;(四)应根据灾难恢复策略的要求,建立灾难备份系统的技术支持体系。
第二十四条灾难备份中心的运行维护应符合以下要求:(一)建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等;(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员,保障设备和系统正常稳定运行;(三)定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能提供切换和运行时的技术支持;(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。
记录灾难备份系统运行过程中输出的相应记录表单与统计信息;记录机房环境、系统运行和网络状态等监控信息。
第六章资源和专业服务的获取和保障第二十五条灾难恢复建设可以采用自建、共建和外包等模式,并按有关要求向中国保监会备案。