中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指

中国保险监督管理委员会关于印发《保险业信息系统灾难恢

复管理指引》的通知

【法规类别】保险综合规定

【发文字号】保监发[2008]20号

【发布部门】中国保险监督管理委员会

【发布日期】2008.03.21

【实施日期】2008.03.21

【时效性】现行有效

【效力级别】XE0303

中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指引》的通知

（保监发〔2008〕20号）

各保险公司、保险资产管理公司：

为加强保险信息安全基础设施建设，推进信息系统灾难恢复工作，根据《中华人民共和国保险法》和国家有关信息安全法律法规，我会制订了《保险业信息系统灾难恢复管理指引》，现印发给你们，请遵照执行。

二○○八年三月二十一日

保险业信息系统灾难恢复管理指引

第一章总则

第一条为规范并指导我国保险业信息系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户和股东的合法权益，根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定，制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

第三条本指引所称保险机构是指，经中国保险监督管理委员会（以下简称“中国保监会”）批准设立，并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。灾难恢复工作是指，为保障信息系统持续运营，防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作，包括：组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

本指引所称区域性灾难是指，造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏，关键信息网络设备毁损、重大故障或大规模人口疏散的事件，将会导致信息系统无法正常运行。例如：地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

本指引所称同城灾备是指，生产中心与灾难备份中心处于同一地理区域，面临同一区域性灾难风险，能够抵御小范围区域内的灾难，例如小面积停电、火灾、设备故障等，距离通常在数十公里左右。

本指引所称异地灾备是指，生产中心与灾难备份中心处于不同地理区域，一般不会同时面临同一区域性灾难风险，能够抵御较大范围区域内的灾难，例如大面积停电、地震、战争等，距离通常在数百公里以上。

本指引所称自建是指，自行出资建设和拥有灾难备份中心，为自身提供灾难恢复服务。本指引所称共建是指，多个机构共同出资建设和拥有灾难备份中心，为参与单位提供灾难恢复服务。

本指引所称外包是指，选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护，以及应急响应和恢复工作。

第五条中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。

第六条《信息安全技术信息系统灾难恢复规范》（GB/T20988-2007）中的条款通过本指引的引用而成为本指引的条款。

第二章总体工作要求

第七条保险机构应统筹规划信息系统灾难恢复工作，自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。

保险机构新建信息系统时，应同步规划和实施灾难备份系统建设。本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。

第八条保险机构应持续开展灾难恢复工作，以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。

灾难恢复的需求应定期进行再分析。灾难恢复需求再分析周期最长为三年。当信息系统及相关业务流程发生重大变更时，应立即启动灾难恢复需求的再分析，并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作。

第九条保险机构应加强与其业务密切相关的机构间的协调，共同评估面临的风险，协同制定灾难恢复策略，提高整体风险防范和灾难恢复能力。

第三章组织机构

第十条保险机构法定代表人或主要负责人是灾难恢复工作的责任人。

保险机构董事会或最高决策层应参与制定和审核灾难恢复策略，保证灾难恢复策略与经营目标的一致性。

第十一条灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。

保险机构应设立灾难恢复管理委员会，统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。

保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常

设办公机构，负责处理灾难恢复工作的具体事务。

第十二条保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责：

（一）灾难恢复需求分析和策略制订；

（二）资源准备和经费审批；

（三）灾难备份中心的选择和建设；

（四）灾难备份中心的日常运行和维护；

（五）灾难恢复预案的制订、维护和演练；

（六）人员的教育和培训；

（七）监督检查和审计。

保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责：

（一）应急响应和预警报告；

（二）事件通报和沟通；

（三）损害评估、抢修拯救和敏感数据保护；

（四）灾