保监会 保险业信息系统灾难恢复管理指引 - 2008

合集下载

灾难恢复体系建设

灾难恢复体系建设

企业规避风险、健康发展的要求 企业进行全球化战略发展和布局、成为世界级企业的要求 行业监管政策的要求
《信息系统灾难恢复规范》--GB/T 20988-2007 《银行业信息系统灾难恢复管理规范 》-- JR/T 0044—2008)
保险业信息系统灾难恢复管理指引》-- 保监发〔2008〕20号
业务持续性与灾难恢复的关系
灾难恢复建设选型——技术选型
灾难恢复建设选型——建设模式
灾难恢复关键资源 灾难备份中心场地资源 灾难恢复系统 (含数据备份系统、备用数据处理系统和备用通信 网络系统) 灾难恢复系统的运行维护支持 可选择的获取方式
三种选择方式: 自行投资建设灾难备份中心; 使用外包的灾难备份中心场地资源; 企业之间联合共建,共同投资与使用。 三种选择方式: 自行投资建设灾难恢复系统; 事先与厂商签订紧急供货协议; 由专业服务商提供,采用租赁模式使用。它机构进行运行和维护。 三种选择方式: 由企业独立完成; 聘请外部专家指导完成; 委托专业服务商完成。 三种选择方式: 专职技术支持人员; 第三方提供技术支持; 由主中心技术支持人员兼任。
灾后回退处理流程 计划内备份系统切换处理流程 人员联系清单等相关信息资料
灾备中心运维——服务体系
灾备中心运维——演练
1.
2.
3.
4.
桌面演练
对预案中的关键内容, 包括工作流程、组织 架构、操作内容等进 行基础性验证。
模拟演练
对灾备系统的关键灾 难恢复能力进行真实 性、有效性验证,包 括系统的RTO、RPO 等参数。
灾难恢复整体规划——灾备中心布局规划
灾备中心布局
生产中心 和灾备中心 应对灾难
可选的 数据复制技术 数据丢失量 灾难恢复和 演练的协调

中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知

中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知

中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2008.04.23•【文号】银监办发[2008]53号•【施行日期】2008.04.23•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于印发《银行业重要信息系统突发事件应急管理规范(试行)》的通知(银监办发[2008]53号)各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮政储蓄银行,各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:现将《银行业重要信息系统突发事件应急管理规范(试行)》印发给你们,请遵照执行。

请各银监局将本通知转发至辖内各银行业金融机构。

中国银行业监督管理委员会办公厅二00八年四月二十三日银行业重要信息系统突发事件应急管理规范(试行)第一章总则第一条为规范银行业重要信息系统的突发事件应急管理,提高应对突发事件的综合管理水平和应急处置能力,有效防范银行业信息系统风险,根据《中华人民共和国银行业监督管理法》、《中华人民共和国突发事件应对法》以及相关法律法规,制定本规范。

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社,外商独资银行、中外合资银行和外国银行分行适用本规范。

第三条银行业重要信息系统突发事件应对工作原则包括:(一)健全机制。

银行业金融机构应建立统一指挥、协调有序的应急管理机制,主动开展应急管理工作,定期演练和评价应急预案,持续改进本机构的应急预案和相关协调机制。

(二)明确职责。

银行业金融机构应明确本机构各部门在应急管理工作中的职责,以保障银行业金融机构业务连续性为目标,以落实和完善应急预案为基础,全面加强信息系统应急管理工作,并制定有效的问责制度。

信息系统灾难恢复方案

信息系统灾难恢复方案

信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户的合法权益,根据国家信息安全法律法规及有关规定,制定本预案。

第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。

第三条本指引所称灾难恢复为生产系统灾难恢复。

灾难恢复工作是指,为保障生产系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

第二章总体工作要求当生产系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。

加强与业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。

第三章灾难恢复项目小组的制定和职能1.管理组:小组人员:职责:统筹规划,指挥各小组按照既定计划进行执行。

2.部门恢复组小组成员:职责:负责制定各部门情况制定应急备案,确定各部门数据和财产的保护方式并执行保护,确定各部门数据的恢复方式并执行恢复。

3.计算机恢复组:小组成员:职责:负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。

4.损坏评估组:小组成员:职责:负责对公司损失的重要数据、财务进行总体评估。

并针对相应损失的财产进行汇总并结合拥有的保险进行申报。

5.安全组:小组成员职责:负责灾难发生后的人员、数据、财务的安全进行保护。

并制定相应的安全策略。

6.设备支持组:小组成员:职责:负责对公司服务器、网络设备、交换机的故障进行排除,制定相应解决重建方案。

7、数据恢复组:小组成员:职责:负责对公司各平台数据进行恢复,并制定相应数据恢复方案。

信息系统灾难恢复方案

信息系统灾难恢复方案

信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户的合法权益,根据国家信息安全法律法规及有关规定,制定本预案。

第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。

第三条本指引所称灾难恢复为生产系统灾难恢复。

灾难恢复工作是指,为保障生产系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

第二章总体工作要求当生产系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。

加强与业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。

第三章灾难恢复项目小组的制定和职能1.管理组:小组人员:职责:统筹规划,指挥各小组按照既定计划进行执行。

2.部门恢复组小组成员:职责:负责制定各部门情况制定应急备案,确定各部门数据和财产的保护方式并执行保护,确定各部门数据的恢复方式并执行恢复。

3.计算机恢复组:小组成员:职责:负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。

4.损坏评估组:小组成员:职责:负责对公司损失的重要数据、财务进行总体评估。

并针对相应损失的财产进行汇总并结合拥有的保险进行申报。

5.安全组:小组成员职责:负责灾难发生后的人员、数据、财务的安全进行保护。

并制定相应的安全策略。

6.设备支持组:小组成员:职责:负责对公司服务器、网络设备、交换机的故障进行排除,制定相应解决重建方案。

7、数据恢复组:小组成员:职责:负责对公司各平台数据进行恢复,并制定相应数据恢复方案。

保险业信息系统灾难恢复管理指引

保险业信息系统灾难恢复管理指引

保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。

第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。

灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。

例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。

本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。

本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。

本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。

中国保险监督管理委员会关于印发《保险公司信息系统安全管理指引(试行)》的通知

中国保险监督管理委员会关于印发《保险公司信息系统安全管理指引(试行)》的通知

中国保险监督管理委员会关于印发《保险公司信息系统安全管理指引(试行)》的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2011.11.16•【文号】保监发[2011]68号•【施行日期】2011.11.16•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险正文中国保险监督管理委员会关于印发《保险公司信息系统安全管理指引(试行)》的通知(保监发〔2011〕68号)各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。

现印发给你们,请遵照执行。

中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。

第四条信息系统安全是公司持续稳定发展的重要基础。

各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。

实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。

第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。

二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。

第七条各公司是信息系统安全的责任主体。

信息系统灾难恢复计划

信息系统灾难恢复计划

信息系统灾难恢复计划一、引言信息系统的稳定运行对于现代企业的正常运转至关重要。

然而,灾难随时可能发生,如自然灾害、人为破坏、硬件故障等,这些灾难都有可能导致信息系统的中断,给企业带来重大损失。

为了确保信息系统的连续性运行,企业需要建立一个完善的信息系统灾难恢复计划(Disaster Recovery Plan, DRP),以应对各种突发情况。

二、目标和原则1.目标:确保信息系统在灾难发生后能够快速、有效地恢复运行,最小化业务中断时间和损失。

2.原则:a.及时性:对灾难的应对措施要快速启动,减少业务中断时间;b.完整性:恢复后的信息系统要保证功能完整,数据准确;c.灵活性:应对各种不同类型的灾难情况,采取相应的措施;d.系统化:全面覆盖信息系统各个方面,包括硬件、软件、数据、人员等;e.可展示性:计划要经过测试验证,确保可行性,同时要定期修订和更新。

三、组织机构1.灾难恢复团队:由跨职能部门的成员组成,包括技术人员、管理人员等;3.备份和恢复团队:负责定期备份数据和恢复数据的技术人员。

四、灾难类型和风险评估1.灾难类型:包括自然灾害(地震、火灾、水灾等)、人为破坏(黑客攻击、恶意破坏等)、硬件故障(服务器故障、存储设备故障等)等;2.风险评估:对各类灾难进行评估,确定其对信息系统的影响程度和可能带来的损失。

五、恢复策略1.数据备份:定期对关键数据进行备份,并将备份数据存储在远离灾害区域的地方,确保数据可以快速恢复;2.硬件备份:备份关键硬件设备,如服务器、交换机等,以备灾难发生时使用;3.灾难恢复设施:建立备用数据中心或恢复站点,用于灾难发生后的信息系统恢复;4.人员可替代性:确保信息系统的关键人员具备备份,并培养和训练新的技术人员,以保证业务的连续性;5.灾难演练:定期进行灾难演练,测试灾难恢复计划的有效性。

六、恢复流程1.灾难发生后立即启动灾难恢复计划;2.确定灾难类型和影响范围,评估影响程度;3.启动恢复设施,恢复关键硬件设备,优先保证系统运行;4.恢复数据备份,并确保数据的安全性和完整性;5.恢复应用和系统功能,确保业务能够正常运行;6.持续监控系统运行情况,确保恢复后的系统稳定。

重要信息系统灾难恢复指南(国务院信息化办公室)

重要信息系统灾难恢复指南(国务院信息化办公室)

重要信息系统灾难恢复指南(国务院信息化办公室)引言灾难恢复是确保信息和信息系统安全的一项重要措施。

遵从重要信息系统灾难恢复指南的要求,是做好重要信息系统灾难恢复工作的基础。

本指南用于规范和指导重要信息系统的使用和管理单位对信息系统灾难恢复的规划和准备工作。

本指南主要从灾难恢复规划的管理、灾难恢复的需求分析、灾难恢复等级的确定、灾难恢复等级的实现、灾难恢复预案的制订、落实和管理等方面,对灾难恢复的规划和准备活动的规范化要求进行全面描述。

本指南还以规范性附录的形式对灾难恢复的等级划分进行了描述,并以资料性附录的形式对灾难恢复预案的框架进行了说明。

1-11 范围本指南规定了对重要信息系统的灾难恢复应遵循的基本要求。

本指南适用于指导重要信息系统的使用和管理单位(以下简称“单位”)进行灾难恢复的规划和准备工作,对重要信息系统灾难恢复规划项目的审批和监督管理也可参照使用。

2 规范性引用文件下列文件中的条款通过本指南的引用而成为本指南的条款。

凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容)或修订版均不适用于本指南,然而,鼓励根据本指南达成协议的各方研究是否可适用这些文件的最新版本。

凡是不注日期的引用文件,其最新版本适用于本指南。

GB/T 5271.1—2000 信息技术词汇第1 部分:基本术语GB/T 5271.9—2000 信息技术词汇第9 部分数据通信GB/T 5271.12—2000 信息技术词汇第12 部分外围设备GB/T 5271.20—94 信息技术词汇20 部分系统开发GB/T 2887-2000 电子计算机场地通用规范3 术语和定义GB/T 5271.1—2000 第1 部分、GB/T 5271.9—2000 第9 部分、GB/T 5271.12—2000 第12 部分和GB/T 5271.20—94 第20 部分确立的术语和定义,以及下列术语和定义适用于本指南。

3.1灾难disaster由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。

信息系统灾难恢复规范

信息系统灾难恢复规范

信息系统灾难恢复规范(GB/T 20988-2007,2007年11月1日开始正式实施)目次前言III1 范围12 规范性引用文件13 术语和定义14 灾难恢复概述24.1 灾难恢复的工作范围24.2 灾难恢复的组织机构34.3 灾难恢复规划的管理34.4 灾难恢复的外部协作44.5 灾难恢复的审计和备案45 灾难恢复需求的确定45.1 风险分析45.2 业务影响分析45.3 确定灾难恢复目标46 灾难恢复策略的制定46.1 灾难恢复策略制定的过程46.2 灾难恢复资源的获取方式56.3 灾难恢复资源的要求57 灾难恢复策略的实现67.1 灾难备份系统技术方案的实现67.2 灾难备份中心的选择和建设77.3 技术支持能力的实现77.4 运行维护管理能力的实现77.5 灾难恢复预案的实现78 灾难恢复预案的制定、落实和管理78.1 灾难恢复预案的制定78.2 灾难恢复预案的教育、培训和演练88.3 灾难恢复预案的管理8附录 A (规范性附录)灾难恢复的等级划分9 A.1 第1级基本支持9A.2 第2级备用场地支持9A.3 第3级电子传输和部分设备支持9A.4 第4级电子传输及完整设备支持10A.5 第5级实时数据传输及完整设备支持11A.6 第6级数据零丢失和远程集群支持11A.7 灾难恢复等级评定原则12A.8 灾难备份中心的等级12附录 B (资料性附录)灾难恢复预案框架13 B.1 目标和范围13B.2 组织和职责13B.3 联络与通讯13B.4 应急响应流程13B.4.1 事件通告13B.4.2 人员疏散13B.4.3 损害评估13B.4.4 灾难宣告13B.5 恢复及重续运行流程13B.5.1 恢复13B.5.2 重续运行13B.6 灾后重建和回退13B.7 预案的保障条件14B.8 预案附录14前言本标准的附录A是规范性附录,附录B是资料性附录。

本标准由xxxxx提出。

本标准由xxxxx归口。

数据中心与信息系统灾难恢复

数据中心与信息系统灾难恢复

数据中心是集成化的IT应用环境,并且随着业务的整合以及新业务的不断涌现,数据中心变得愈加庞大和复杂,业务数据也变得愈加关键。

任何断电、系统故障和人为操作不当都有可能造成关键数据的丢失,继而造成企业业务的停滞和不可估量的经济损失。

如何应对数据大集中所带来的风险已成为人们关注的重点。

为了应对各种自然灾难(火灾、水灾、地震等)和人为灾难(误操作、病毒等)对企业数据中心的安全和正常运行带来的冲击,近年来,信息系统灾难恢复(通常也称为“灾备”)建设日益受到社会的关注和重视。

信息系统灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。

为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程称为灾难备份。

正常情况下,对生产系统运行进行数据处理和支持关键业务功能运作的场所被称为生产中心。

在灾难发生时接替生产系统运行进行数据处理和支持关键业务功能运作的场所被称为灾难备份中心(简称“灾备中心”),它包括备用的数据处理中心、备用的工作环境、备用的生活设施和技术支持及运行管理人员。

生产中心是信息系统灾难恢复的对象,而灾备中心是信息系统灾难恢复的基础,生产中心和灾备中心是数据中心的不同形态,而数据中心则是信息系统灾难恢复的载体。

对于那些高度依赖其信息系统运作的行业和企业而言,为保障信息系统安全稳定运行,人们采用了从技术、管理直至备份等诸方面的措施。

其中数据中心基础设施是保障信息系统安全运行最重要的基础。

从国际行业经验来看,大部分引发信息系统灾难的事件完全可以通过加强数据中心基础设施建设及运维管理来消除、或者减轻其不良影响。

因此,对于业务连续性要求较高的行业和企业来说,选择高可用性数据中心作为生产中心和灾备中心是抵御灾难风险,保障业务持续运行的前提和根本。

9.2?数据中心的灾难恢复策略信息系统灾难恢复起源于20世纪70年代,目前在政府、金融、电信、交通、能源、公共服务业以及大型制造、零售业等对信息化依存程度高的行业应用极其广泛。

中国保险监督管理委员会关于开展2008年整顿和规范财产保险市场秩

中国保险监督管理委员会关于开展2008年整顿和规范财产保险市场秩

中国保险监督管理委员会关于开展2008年整顿和规范财产保险市场秩第一篇:中国保险监督管理委员会关于开展2008年整顿和规范财产保险市场秩【发布单位】中国保险监督管理委员会【发布文号】保监产险〔2008〕379号【发布日期】2008-04-02 【生效日期】2008-04-02 【失效日期】【所属类别】政策参考【文件来源】中国保险监督管理委员会中国保险监督管理委员会关于开展2008年整顿和规范财产保险市场秩序工作的通知(保监产险〔2008〕379号)各保监局:为全面贯彻落实全国保险工作会议和财产保险监管工作要点精神,继续加大现场检查力度,治理和整顿市场非理性价格竞争,规范经营秩序,有效防范经营风险,保护消费者利益,促进财产保险业又好又快地发展,我会决定开展整顿和规范财产保险市场秩序工作。

现将有关事项通知如下:一、指导思想和工作目标2008年整顿和规范财产保险市场秩序工作,以科学发展观为统领,全面贯彻落实全国保险工作会议和财产保险监管工作要点精神,围绕“速度、效益、诚信、规范”八字方针,以数据真实性为重点,继续加大现场检查力度,严厉打击违法违规扰乱市场、损害消费者利益行为,督促公司建立健全内控制度并提高执行力,有效防范经营风险,促进财产保险业又好又快地发展。

二、主要任务中国保监会以交强险为重点业务,对2家产险公司统一组织开展全国性专项检查工作。

各保监局结合当地实际,针对交强险、商业车险、意外险、大型商业保险项目和政策性农业保险等,对重点业务、重点公司、重点地区加大现场检查力度,同时对近两年实施过检查的公司进行后续跟踪检查。

三、工作原则(一)坚持集中重点的专项整治和强化日常监管并重的原则。

各保监局在整顿和规范财产保险市场秩序工作中,应将中国保监会组织的全国性专项检查、后续跟踪检查和日常自行安排的其它检查工作有机地结合起来,在按照本通知精神做好专项检查工作的同时,结合辖区内产险市场的实际统筹安排好日常检查和监管工作,特别是做好2007年对阳光产险和天安公司进行现场检查等案件的后续监管工作,保持监管的连续性、持续性和有效性,形成并保持治理整顿的高压态势。

信息系统的灾难恢复规范

信息系统的灾难恢复规范

信息系统的灾难恢复规范信息系统的灾难恢复工作包括灾难恢复规划和灾难备份中心的日常运维,关键业务功能在灾难备份中心的恢复和重续运行,以及主系统的灾后重建和回退工作,还涉及突发事件发生后的应急响应,灾难恢复是一个周而复始,持续改进的过程,包括以下几个阶段:1、灾难恢复需求的确定2、灾难恢复策略的制定3、灾难恢复策略的实现4、灾难恢复预案的制定、落实和管理。

灾难恢复的组织架构中的人员有管理、业务、技术和行政后勤等人员组成,一般设定灾难恢复领导小组和灾难恢复规划实施小组和灾难恢复日常允许组。

组织可以聘请具有相应资质的外部专家协助灾难恢复实施工作,也可以委托具有相应资质的外部机构承担实施组织,以及日常运行组的部分或全部工作。

灾难恢复领导小组的职责:是信息系统灾难恢复工作的组织领导机构,组长应由组织最高管理层成员担任。

领导小组的职责是领导和决策信息系统灾难恢复重大事宜,主要如下:审核并批准经费预算审核并批准灾难恢复预案批准灾难恢复预案的执行灾难恢复实施组灾难恢复规划实施组的主要职责是负责:灾难恢复的需求分析提出灾难恢复策略和等级灾难恢复策略的实现制定灾难恢复预案组织灾难恢复预案的测试和演练灾难恢复日常运行组灾难恢复日常运行组的主要职责是负责协助灾难恢复系统实施灾难备份中心日常管理灾难备份系统的运行和维护灾难恢复的专业技术支持参与和协助灾难预案的教育、培训和演练维护和管理灾难恢复预案突发时间按发生时的随时控制和损失评估灾难发生后信息系统和业务功能的恢复。

灾难发生后的外部协作。

灾难恢复需求的确定风险分析的主要内容包括:标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性并定量或定性描述可能造成的损失,识别现有的风险防范和控制措施。

通过技术和管理手段,防范或控制信息系统系统的风险。

依据防范或控制风险的可行性和残余的可接受程度,确定对风险的防范和控制措施。

业务影响分析分析业务功能和相关资源配置对组织的各项业务功能及各项业务功能之间相关性进行分析,确定支持各种业务功能的相应信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求。

灾备的网上资料二

灾备的网上资料二

保险企业信息化建设上险来源:本站原创作者:中国人寿保险股份有限公司梁祥肖良华点击次数:次数据中心时间:2009-12-8保险业信息化建设不断推进,企业对信息化手段的依赖性加强,如何为信息化建设上保险,提高企业弹性、保证业务连续性已成为保险行业所面临的重要课题。

保监会在2008年专门颁发了《保险业信息系统灾难恢复管理指引》(以下简称《指引》),首次对保险机构信息系统灾备建设进行了明确要求,并且对灾备建设、灾备管理等提出具体规范。

本文就《指引》的要求和规范,探讨灾备建设对保险企业的重要意义及其在建设过程中需要关注的问题。

一、数据集中福兮祸伏自从2000年我国银行业开始进行数据大集中以来,保险行业出于各种考虑也相继开展数据大集中、业务处理大集中等。

数据中心或后援中心的建设成为各家保险企业信息化建设的热点。

大集中可以提高管理水平、降低运营成本、提高效率、优化资源、提升竞争力等。

但正如古语所言“福兮,祸之所伏”,大集中也带来了风险的集中。

具体表现为数据中心一个小的故障都有可能影响整个企业所有业务的正常运营,一旦发生大的灾难甚至可能导致企业倒闭。

据IDC统计数字表明,发生过灾难的美国公司中,有55%当时倒闭,有29%在两年之内因数据丢失而倒闭,生存下来的仅占16%。

二、灾备建设有备无患如何应对集中所带来的风险?在国际和国内IT行业,已经有成熟的方法论,并且也取得很多实践经验。

业务连续管理(BCM)、业务连续性计划(BCP)以及细化的灾难恢复计划(DRP)是目前主流的方法论,在国际和国内应用都非常广泛,属于行业最佳实践。

DRP主要围绕IT的备份与恢复,面向信息系统;BCP在DRP的基础上增加了业务影响风险分析(BIA)、业务恢复预案等,主要面向业务连续性;BCM把BCP的外延扩大到紧急事件的应急响应处理等,面向企业整体的业务连续管理。

企业需要进行整体的BCM和BCP建设。

具体到信息化建设,企业一般比较关注DRP建设,以达到“居安思危,思则有备,有备无患”的目的。

信息系统灾难恢复计划

信息系统灾难恢复计划

信息系统灾难恢复计划一、引言信息系统是现代企业运作的核心,对企业的日常运营和持续发展起到至关重要的作用。

但是,无论企业规模大小,都无法完全排除信息系统遭受灾难的风险。

为了应对信息系统遭受灾难时的应急处理和恢复工作,制定一套完整的信息系统灾难恢复计划至关重要。

二、灾难恢复计划目标1.灾难发生后,能够迅速将业务恢复到正常运作状态,以降低损失和影响。

2.保障重要数据的安全性及完整性,确保关键数据能够及时恢复。

3.提供灾难发生时的应急响应指导及组织安排,以确保工作人员能够高效地应对灾难情况。

4.定期测试与评估灾难恢复计划的有效性和可行性,及时更新并优化计划内容,以保持计划的实用性。

三、制定流程1.风险评估与等级划分首先,对可能导致信息系统灾难的风险进行评估,如火灾、水灾、硬件故障、网络攻击等。

根据风险的等级,对信息系统及其重要性进行划分。

2.备份策略制定完善的数据备份策略,包括定期备份关键数据、数据备份存储的位置和频率,以及数据备份的可用性和完整性检测等。

3.灾难恢复团队和职责成立灾难恢复团队,明确团队成员及其职责。

团队成员应包括系统管理员、数据库管理员、网络管理员等专业人员,并明确各自的责任和权限。

4.灾难恢复指南和流程制定灾难恢复的详细流程和指南,包括灾难发生时的应急响应、恢复流程、测试和评估等。

确保团队成员清楚明白,能够按照指南和流程高效地应对灾难情况。

5.备份设备和备份数据的存放确保备份设备和备份数据的存放位置安全可靠,避免与原始数据存放在同一地点,防止因同一灾难导致原始数据和备份数据同时丢失。

6.备份数据的恢复测试定期进行备份数据的恢复测试,验证备份数据的可用性和完整性。

发现问题及时修复,并记录测试结果和问题处理的措施。

7.灾难发生后的应急响应准备必要的应急物资和设备,以及与相关部门的沟通和协调机制。

在灾难发生后迅速启动灾难恢复计划,实施应急响应措施。

8.灾难恢复结束后的总结和分析灾难恢复结束后,及时总结分析灾难恢复的过程和效果,发现问题并提出改进措施。

保险业信息系统灾难恢复管理指引

保险业信息系统灾难恢复管理指引

各保险公司、保险资产管理公司:为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。

二○○八年三月二十一日保险业信息系统灾难恢复管理指引【42】第一章总则【6】第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。

第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。

灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。

例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。

本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。

中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指引》的通知

中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指引》的通知

中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指引》的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2008.03.21•【文号】保监发[2008]20号•【施行日期】2008.03.21•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险正文中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指引》的通知(保监发〔2008〕20号)各保险公司、保险资产管理公司:为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。

二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。

第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。

灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。

2008年保险政务信息工作要点(保监厅发〔2008〕8号)

2008年保险政务信息工作要点(保监厅发〔2008〕8号)

【发布单位】中国保险监督管理委员会【发布文号】保监厅发〔2008〕8号【发布日期】2008-02-26【生效日期】2008-02-26【失效日期】【所属类别】政策参考【文件来源】中国保险监督管理委员会2008年保险政务信息工作要点(保监厅发〔2008〕8号)各保监局,各保险公司,中国保险行业协会,中国保险学会:现将2008年保险政务信息工作要点印发给你们,请对照相关要求,结合实际,抓住重点,加强信息的组织、采编和报送,进一步提高政务信息工作的质量和水平。

二○○八年二月二十六日2008年保险政务信息工作要点2008年,保险信息工作要继续坚持“为监管服务、为业务服务”的指导思想,以全保会确定的重点工作为主线,贴近市场、贴近实际,真实、客观、全面、及时地反映保险业各项工作进展情况、遇到的困难和问题以及改进工作的意见和建议,大力推介保险理论研究、实务创新、法制建设等方面所取得的积极成果,切实发挥信息的辅助决策和引导宣传作用,并以信息为载体,促使大家及时整理思路,总结经验规律,更好地开展保险监管和经营工作。

2008年,信息采编侧重于以下五个方面:一、科学发展、开拓创新(一)保险产品创新。

重点关注寿险保障型产品、社保补充类产品、农险产品以及贴近生活、贴近市场的产险、责任险产品创新工作,包括产品特点、保障范围、实施效果等;继续关注2007年推出的新产品的运行情况、问题及下一步发展思路;市场表现优异的投连险、万能险等新产品的设计、开发、管理和销售情况;中外资保险机构的产品创新机制、思路、方法等。

(二)区域结构优化。

东部地区、中西部地区以及东北地区保险市场发展特点、模式、不足以及加快发展的建议;深圳、大连和天津滨海新区等保险改革创新试验区的发展思路、措施、成效、困难、需要的政策支持等。

(三)经营管理创新。

如产、寿险渠道交叉销售试点实施情况、运作机制、存在问题、经验借鉴及改进思路等;保险公司区域集中的做法、成效、优势、问题及监管建议;保险中介机构发挥自身优势、创新产品、开拓市场的做法、成效和经验等。

中国保险监督管理委员会关于做好灾后恢复重建工作中保险理赔服务工作的通知-保监发[2008]15号

中国保险监督管理委员会关于做好灾后恢复重建工作中保险理赔服务工作的通知-保监发[2008]15号

中国保险监督管理委员会关于做好灾后恢复重建工作中保险理赔服务工作的通知正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 中国保险监督管理委员会关于做好灾后恢复重建工作中保险理赔服务工作的通知(保监发〔2008〕15号)各保险公司、再保险公司,各保监局:当前,全国抗击低温雨雪冰冻灾害工作取得重大的阶段性胜利。

保险业抗灾救灾工作现已从应急抢险抗灾转入全面恢复重建阶段,随着灾害全面恢复重建工作的推进,保险报案数量逐步增多,勘查定损工作日显繁重,理赔服务质量要求越来越高。

坚持灾后企业自救、政府支持的原则,国务院已将保险赔付作为灾害恢复重建的一个重要资金筹集渠道,并对保险业及时勘查定损、做好保险理赔提出了明确要求。

为更好地发挥保险业在灾后全面恢复重建工作中的作用,现将有关事项通知如下:一、要及时、快捷地做好保险理赔服务工作各保险公司要切实加强对保险理赔工作的组织领导,统筹协调公司资源,按照“主动、迅速、准确、合理”的要求,认真部署和督促落实理赔服务措施,真正做到组织到位、责任到人、措施有力。

在政策上,要针对本次灾情的特点和各受灾地区的受灾情况,简化理赔程序,切实提高理赔效率。

一要根据基层一线保险机构的理赔案件数量、结案进度状况,可采取理赔服务绿色通道、适当调整理赔权限、简化理赔手续等办法,加快结案进度。

二要做好理赔服务中的条款解释说明,避免因理解歧义而影响理赔工作。

三要想群众之所想,急灾区之所急,切实做到服务及时、到位,对受灾地区的保险赔案,只要与灾害有直接关系并在合理范围内,要及时赔付,并采取快捷方式直接将赔款送到客户手中。

在人力上,要向查勘定损、防灾防损业务一线倾斜,向受灾严重的地区和农业、交通、电力、通讯行业,以及受损严重的大企业配备懂技术、专业水平高的业务人员及早定损理赔。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

关于印发《保险业信息系统灾难恢复管理指引》的通知2008-03-27 【字体:大中小】【打印本页】【关闭窗口】保监发〔2008〕20号各保险公司、保险资产管理公司:为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。

二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。

第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。

灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。

例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。

本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。

本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。

本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。

本指引所称外包是指,选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护,以及应急响应和恢复工作。

第五条中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。

第六条《信息安全技术信息系统灾难恢复规范》(GB/T 20988-2007)中的条款通过本指引的引用而成为本指引的条款。

第二章总体工作要求第七条保险机构应统筹规划信息系统灾难恢复工作,自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。

保险机构新建信息系统时,应同步规划和实施灾难备份系统建设。

本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。

第八条保险机构应持续开展灾难恢复工作,以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。

灾难恢复的需求应定期进行再分析。

灾难恢复需求再分析周期最长为三年。

当信息系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。

第九条保险机构应加强与其业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。

第三章组织机构第十条保险机构法定代表人或主要负责人是灾难恢复工作的责任人。

保险机构董事会或最高决策层应参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。

第十一条灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。

保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。

保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务。

第十二条保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责:(一)灾难恢复需求分析和策略制订;(二)资源准备和经费审批;(三)灾难备份中心的选择和建设;(四)灾难备份中心的日常运行和维护;(五)灾难恢复预案的制订、维护和演练;(六)人员的教育和培训;(七)监督检查和审计。

保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责:(一)应急响应和预警报告;(二)事件通报和沟通;(三)损害评估、抢修拯救和敏感数据保护;(四)灾难恢复工作的重大决策;(五)生产中心的恢复、重建和回退;(六)业务恢复和客户服务;(七)资源保障和供应;(八)媒体公关和信息通报;(九)恢复成效评估和总结。

第十三条从事灾难恢复的专业工作人员应符合以下要求:(一)具备良好的职业道德和风险意识,掌握履行灾难恢复相关岗位职责所需的专业知识和技能;(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。

第四章需求分析和策略制定第十四条灾难恢复需求分析包括风险分析和业务影响分析。

保险机构的风险分析和业务影响分析应符合以下要求:(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。

根据风险发生的概率和可能造成的损失,评估风险可接受的程度,针对不可接受的风险,制定相应的风险防范措施;(二)应根据信息系统支持的业务区域范围,分析信息系统面临的灾难风险。

应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点,以及影响范围的广泛性;(三)应根据业务经营范围确定关键业务功能。

关键业务功能包括但不限于承保、理赔、投资和财务管理等。

采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。

第十五条保险机构应根据风险分析和业务影响分析的结果,确定信息系统的灾难恢复目标,包括:(一)信息系统的灾难恢复范围;(二)信息系统的灾难恢复顺序;(三)信息系统的灾难恢复能力等级。

第十六条保险机构应加强重要数据的备份和传输安全管理,保证数据的完整性。

重要数据应异地备份,防范区域性灾难风险。

重要数据包括但不限于:客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。

第十七条保险机构应根据风险分析和业务影响分析的结论,将直接或间接支持关键业务功能的信息系统分成三种类别:第一类:信息系统短时间中断会造成重大社会影响;或影响保险机构关键业务功能,并造成重大经济损失。

第二类:信息系统短时间中断会造成较大社会影响;或影响保险机构部分关键业务功能,并造成较大经济损失。

第三类:信息系统间接支持关键业务功能;或保险机构对系统中断具有一定容忍度的系统。

第十八条信息系统的最低灾难恢复能力等级要求:(一)第一类1、第4级电子传输及完整设备支持2、RTO<=36小时,RPO<=8小时(二)第二类1、第3级电子传输和部分设备支持2、RTO<=72小时,RPO<=24小时(三)第三类1、第2级备用场地支持2、RTO<=7天,RPO<=36小时第十九条保险机构应制定统一的灾难恢复策略。

灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。

保险机构应根据各信息系统的灾难恢复目标,确定灾难恢复所需的七个方面的资源要素:(一)数据备份系统;(二)备用数据处理系统;(三)备用网络系统;(四)备用基础设施;(五)专业技术支持能力;(六)运行维护管理能力;(七)灾难恢复预案。

第二十条保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。

灾难恢复策略经决策层审查和批准后,按本指引要求备案。

第五章灾难备份中心的建设与运行维护第二十一条保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。

保险机构应根据风险分析的结果,确定同城和/或异地灾备建设方案。

灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。

第二十二条灾难备份中心的基础设施应符合以下要求:(一)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;(二)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受一定的同类风险;(三)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据、人员等资源可及时到达;(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B 类机房标准,并通过当地消防部门验收;(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式,只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备;(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。

(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。

第二十三条灾难备份系统的建设应符合以下要求:(一)根据灾难恢复策略制定灾难备份系统技术方案,建立数据备份系统、备用数据处理系统和备用网络系统等。

技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性;(二)应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统;(三)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求;(四)应根据灾难恢复策略的要求,建立灾难备份系统的技术支持体系。

第二十四条灾难备份中心的运行维护应符合以下要求:(一)建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等;(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员,保障设备和系统正常稳定运行;(三)定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能提供切换和运行时的技术支持;(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。

相关文档
最新文档