《保险业信息系统灾难恢复管理指引》
灾难恢复体系建设
企业规避风险、健康发展的要求 企业进行全球化战略发展和布局、成为世界级企业的要求 行业监管政策的要求
《信息系统灾难恢复规范》--GB/T 20988-2007 《银行业信息系统灾难恢复管理规范 》-- JR/T 0044—2008)
保险业信息系统灾难恢复管理指引》-- 保监发〔2008〕20号
业务持续性与灾难恢复的关系
灾难恢复建设选型——技术选型
灾难恢复建设选型——建设模式
灾难恢复关键资源 灾难备份中心场地资源 灾难恢复系统 (含数据备份系统、备用数据处理系统和备用通信 网络系统) 灾难恢复系统的运行维护支持 可选择的获取方式
三种选择方式: 自行投资建设灾难备份中心; 使用外包的灾难备份中心场地资源; 企业之间联合共建,共同投资与使用。 三种选择方式: 自行投资建设灾难恢复系统; 事先与厂商签订紧急供货协议; 由专业服务商提供,采用租赁模式使用。它机构进行运行和维护。 三种选择方式: 由企业独立完成; 聘请外部专家指导完成; 委托专业服务商完成。 三种选择方式: 专职技术支持人员; 第三方提供技术支持; 由主中心技术支持人员兼任。
灾后回退处理流程 计划内备份系统切换处理流程 人员联系清单等相关信息资料
灾备中心运维——服务体系
灾备中心运维——演练
1.
2.
3.
4.
桌面演练
对预案中的关键内容, 包括工作流程、组织 架构、操作内容等进 行基础性验证。
模拟演练
对灾备系统的关键灾 难恢复能力进行真实 性、有效性验证,包 括系统的RTO、RPO 等参数。
灾难恢复整体规划——灾备中心布局规划
灾备中心布局
生产中心 和灾备中心 应对灾难
可选的 数据复制技术 数据丢失量 灾难恢复和 演练的协调
XX财产保险股份有限公司信息系统灾难恢复预案DOC
2014-11
容灾恢复预案
目录
1 目标与范围 ................................................................................................................. 2 1.1 灾难的定义 ........................................................................错. 误!未定义书签。 1.2 容灾目标 ............................................................................................................... 3 1.3 容灾范围 ............................................................................................................... 4 1.4 灾难恢复演习执行周期 ....................................................................................... 5 1.5 灾难恢复计划启动决策流程 ............................................................................... 5 1.6 灾难声明的内容 ................................................................................................... 5 1.7 灾难恢复指挥中心和异地灾备中心 ................................................................... 5
保险公司信息系统安全管理指引
关于印发《保险公司信息系统安全管理指引(试行)》的通知保监发〔2011〕68号各保险公司、保险资产管理公司:为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,中国保险监督管理委员会制定了《保险公司信息系统安全管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引(试行)一、总则第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行,根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
第四条信息系统安全是公司持续稳定发展的重要基础。
各公司应通过管理机制和技术手段,加强信息安全保障工作,保障业务活动的连续性。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息系统安全工作统筹规划执行。
第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。
二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则,与自身业务及信息系统同步规划、同步建设、同步运行,构建完备的信息系统安全保障体系。
第七条各公司是信息系统安全的责任主体。
公司法定代表人或主要负责人为信息系统安全的第一责任人。
第八条信息化工作委员会之下应设立信息安全专业工作机构,全面统筹协调公司信息系统安全相关事项的研判决策,并应指定公司级高级管理人员负责信息安全专业工作机构,作为信息系统安全的直接责任人。
第九条各公司应履行以下信息系统安全管理职责:(一)贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。
信息系统灾难恢复方案
信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户的合法权益,根据国家信息安全法律法规及有关规定,制定本预案。
第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称灾难恢复为生产系统灾难恢复。
灾难恢复工作是指,为保障生产系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
第二章总体工作要求当生产系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
加强与业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章灾难恢复项目小组的制定和职能1.管理组:小组人员:职责:统筹规划,指挥各小组按照既定计划进行执行。
2.部门恢复组小组成员:职责:负责制定各部门情况制定应急备案,确定各部门数据和财产的保护方式并执行保护,确定各部门数据的恢复方式并执行恢复。
3.计算机恢复组:小组成员:职责:负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。
4.损坏评估组:小组成员:职责:负责对公司损失的重要数据、财务进行总体评估。
并针对相应损失的财产进行汇总并结合拥有的保险进行申报。
5.安全组:小组成员职责:负责灾难发生后的人员、数据、财务的安全进行保护。
并制定相应的安全策略。
6.设备支持组:小组成员:职责:负责对公司服务器、网络设备、交换机的故障进行排除,制定相应解决重建方案。
7、数据恢复组:小组成员:职责:负责对公司各平台数据进行恢复,并制定相应数据恢复方案。
信息系统灾难恢复方案
信息系统灾难恢复方案(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户的合法权益,根据国家信息安全法律法规及有关规定,制定本预案。
第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称灾难恢复为生产系统灾难恢复。
灾难恢复工作是指,为保障生产系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
第二章总体工作要求当生产系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
加强与业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章灾难恢复项目小组的制定和职能1.管理组:小组人员:职责:统筹规划,指挥各小组按照既定计划进行执行。
2.部门恢复组小组成员:职责:负责制定各部门情况制定应急备案,确定各部门数据和财产的保护方式并执行保护,确定各部门数据的恢复方式并执行恢复。
3.计算机恢复组:小组成员:职责:负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。
4.损坏评估组:小组成员:职责:负责对公司损失的重要数据、财务进行总体评估。
并针对相应损失的财产进行汇总并结合拥有的保险进行申报。
5.安全组:小组成员职责:负责灾难发生后的人员、数据、财务的安全进行保护。
保险业信息系统灾难恢复管理指引
保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。
本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。
保险公司备份与恢复管理制度
****保险有限公司备份与恢复管理制度信息技术中心第一章总则第一条为了加强**人寿保险有限公司(以下简称公司)信息系统的安全稳定运行,加强系统和数据的备份恢复管理,结合公司的应用系统环境,特制定本制度。
第二条本办法适用于公司所管理的所有生产系统和数据库。
第二章职责定义第三条岗位说明(一)备份管理员:负责管理和修订数据备份与恢复管理办法,负责管理和制定备份恢复策略,执行数据备份和恢复测试。
(二)数据库管理员:负责对数据库系统进行数据备份与恢复测试。
(三)主机管理员:负责在生产服务器上实施系统日志以及中间件日志策略以及日志备份策略。
(四)应用系统管理员:负责定义应用系统日志备份和归档策略。
(五)安全合规员:定期对数据恢复测试工作进行审计。
第三章备份管理第四条主机备份(一)主机备份是指使用系统对主机进行备份,备份内容包括操作系统、系统配置、系统日志以及主机上所有的应用系统。
(二)系统对公司生产系统的操作系统和应用进行备份,备份频率不低于每天1次,备份保存期限不低于5天。
第五条应用系统备份(一)应用系统下线时,系统应打包封存至备份存储中,备份的内容必须包含应用文件、应用日志。
(二)应用系统负责人应在系统下线时明确备份保存期限,原则上不低于5年。
第六条数据库备份(一)数据库备份是指将数据库日志文件和数据文件备份至另外的数据库系统中。
(二)生产数据库必须提供至少1个实时备份的数据库,实时备份的间隔不超过1分钟。
(三)生产数据库的数据文件原则上永久保存,数据库日志文件保存期限不低于6个月。
第七条日志备份(一)操作系统日志是指操作系统记录的系统变更、用户登录、命令执行等系统日志。
操作系统日志备份期限不低于6个月。
(二)应用系统日志是指应用系统中产生的用户访问、登录、操作、交易等行为的日志。
应用系统管理员应定义应用系统日志保存期限,原则上不低于6个月。
(三)应用日志中包含用户从互联网发起的访问记录或用户访问互联网的记录,日志保存期限不低于6个月。
中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(
中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(【发布单位】中国保险监督管理委员【发布文号】保监发〔2009〕133号【发布日期】2009-12-29【生效日期】2010-01-01【失效日期】【所属类别】政策参考【文件来源】中国保险监督管理委员中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(试行)》的通知(保监发〔2009〕133号)各保监局,各保险公司、保险资产管理公司:为加强保险公司信息化工作管理,提高保险业信息化工作水平,中国保险监督管理委员会制定了《保险公司信息化工作管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二○○九年十二月二十九日保险公司信息化工作管理指引(试行)一、总则第一条第一条为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本指引。
第二条第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第十二条第十二条各公司应制定明确的信息化工作制度、标准和操作流程,定期或根据需要及时进行更新、发布。
第十三条第十三条各公司应根据公司业务发展战略,制订明确的信息化工作规划。
规划应具有开放性和前瞻性,符合公司经营管理的需要,并确保信息化建设的稳定性和延续性。
规划应经过信息化工作委员会的审批,并提交公司最高决策层批准实施。
第十四条第十四条各公司应建立信息化规划定期审查、评估和修订机制,规划的审查、评估工作至少每年一次,修订后的规划应经信息化工作委员会审批,并提交公司最高决策层批准实施。
三、基础环境与信息系统建设第十五条第十五条各公司信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求。
第十六条第十六条各公司应实现数据信息集中管控,建立健全数据管理的有效机制,提高数据资产价值的利用能力和水平。
第十七条第十七条各保险集团(控股)公司可根据业务管理、风险管控等需要,对下属各子公司信息化建设统筹协调管理,提高信息资源的利用率。
保险公司信息系统安全管理指引(试行)
总则
总则
第一条为防范化解保险公司信息系统安全风险,完善信息系统安全保障体系,确保信息系统安全、稳定运行, 根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全,是指利用信息安全技术及管理手段,保护信息在采集、传输、交换、处理 和存储等过程中的可用性、保密性、完整性和不可抵赖性,保障信息系统的安全、稳定运行。
采购服务
采购服务
第五十一条实施信息化工作外包的公司,应制定完备的外包服务管理制度,将外包纳入全面风险管理体系, 合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包 时,应遵守国家和监管部门有关法律法规与要求,并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定,结合风险控制和实际需要,建立有效的外包和采购内 部评估审核流程与监督管理机制。
基础设施
基础设施
第二十三条根据信息化发展需要,建设相应的中心机房和灾备机房(以下统称“机房”)。机房应设置在中 华人民共和国境内(不包括港、澳、台地区),机房建设须符合国家有关标准规范和监管部门要求。将机房外包 托管的公司,应保证受托方机房符合上述标准,主机托管应具有独立的操作空间和严格的安全措施。
第二十八条建立较为完备的网络体系,具有合理的网络结构,重要网络设备和通信线路应具有冗余备份,确 保业务系统安全稳定运行。
应用系统
应用系统
第三十六条建立完善的信息系统开发运行维护管理组织体系,制订完备管理制度与操作规范,确保信息系统 开发与运行维护过程独立、人员分离。
保险业信息系统灾难恢复管理指引
保监发〔2008〕20号各保险公司、保险资产管理公司:为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(试行)》的通知
中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(试行)》的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2009.12.29•【文号】保监发[2009]133号•【施行日期】2010.01.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险正文中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(试行)》的通知(保监发〔2009〕133号)各保监局,各保险公司、保险资产管理公司:为加强保险公司信息化工作管理,提高保险业信息化工作水平,中国保险监督管理委员会制定了《保险公司信息化工作管理指引(试行)》。
现印发给你们,请遵照执行。
中国保险监督管理委员会二○○九年十二月二十九日保险公司信息化工作管理指引(试行)一、总则第一条为加强保险公司信息化工作管理,促进信息化工作规范化与标准化建设,提高保险业信息化工作水平,根据《中华人民共和国保险法》及国家有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息化工作,是指计算机、通信、网络等现代信息技术在保险公司业务处理、经营管理等方面的应用,包括相应的信息化组织架构建立、制度建设,以及基础环境建设等工作。
第四条各公司应把信息化工作纳入公司全面发展框架进行统筹考虑,建立有效的信息化治理机制,明确信息化工作决策权归属,实现信息资源的合理利用,确保信息化工作与业务发展目标一致;加强信息系统风险管理,确保信息系统安全、稳定运行。
实现信息化工作集中管理的保险集团(控股)公司,可以集团(控股)公司为单位对信息化工作统筹规划执行。
第五条中国保监会依法对保险公司信息化工作实施监督管理。
二、组织管理与规划第六条各公司是信息化工作规划、建设、管理和安全的责任主体。
公司法定代表人或主要负责人对此负有最终责任。
第七条各公司应建立信息化工作委员会,明确其工作职责和工作制度。
数据中心与信息系统灾难恢复
数据中心是集成化的IT应用环境,并且随着业务的整合以及新业务的不断涌现,数据中心变得愈加庞大和复杂,业务数据也变得愈加关键。
任何断电、系统故障和人为操作不当都有可能造成关键数据的丢失,继而造成企业业务的停滞和不可估量的经济损失。
如何应对数据大集中所带来的风险已成为人们关注的重点。
为了应对各种自然灾难(火灾、水灾、地震等)和人为灾难(误操作、病毒等)对企业数据中心的安全和正常运行带来的冲击,近年来,信息系统灾难恢复(通常也称为“灾备”)建设日益受到社会的关注和重视。
信息系统灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。
为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程称为灾难备份。
正常情况下,对生产系统运行进行数据处理和支持关键业务功能运作的场所被称为生产中心。
在灾难发生时接替生产系统运行进行数据处理和支持关键业务功能运作的场所被称为灾难备份中心(简称“灾备中心”),它包括备用的数据处理中心、备用的工作环境、备用的生活设施和技术支持及运行管理人员。
生产中心是信息系统灾难恢复的对象,而灾备中心是信息系统灾难恢复的基础,生产中心和灾备中心是数据中心的不同形态,而数据中心则是信息系统灾难恢复的载体。
对于那些高度依赖其信息系统运作的行业和企业而言,为保障信息系统安全稳定运行,人们采用了从技术、管理直至备份等诸方面的措施。
其中数据中心基础设施是保障信息系统安全运行最重要的基础。
从国际行业经验来看,大部分引发信息系统灾难的事件完全可以通过加强数据中心基础设施建设及运维管理来消除、或者减轻其不良影响。
因此,对于业务连续性要求较高的行业和企业来说,选择高可用性数据中心作为生产中心和灾备中心是抵御灾难风险,保障业务持续运行的前提和根本。
9.2?数据中心的灾难恢复策略信息系统灾难恢复起源于20世纪70年代,目前在政府、金融、电信、交通、能源、公共服务业以及大型制造、零售业等对信息化依存程度高的行业应用极其广泛。
保险信息安全风险评估指标体系规范
竭诚为您提供优质文档/双击可除保险信息安全风险评估指标体系规范篇一:保险信息安全风险评估指标体系规范各保监局,保监会机关各部门,国有保险公司监事会,中国保险行业协会,中国保险学会,各保险公司、保险资产管理公司,全国金融标准化技术委员会保险分技术委员会:全国金融标准化技术委员会保险分技术委员会(以下简称保标委)制定了《保险信息安全风险评估指标体系规范》(标准编号为jR/t0058-20xx),并通过了审查,按照《全国金融标准化技术委员会保险分技术委员会章程》,现予以发布,请遵照执行。
中国保险监督管理委员会二○一○年七月十三日------------------------------------------------------保险信息系统安全问题关系保险业发展全局,也关系到社会经济的稳定。
目前,在对保险机构的开业审核与常规检查中,由于保险业没有完善的信息安全标准制度体系,仅在《保险公司分支机构开业统计与信息化建设验收指引》中有部分说明。
在监管过程中,针对特定信息安全工作发布了如《保险业信息系统灾难恢复管理指引》等规范指引,但尚未形成体系化的要求。
因此,保险行业亟需一套科学、合理的信息安全保障能力指标体系,辅助监管部门进行有效监管,引导保险机构合理建设,促进保险行业长期健康地发展。
一、指标体系与保险安全监管保险监管机关充分认识到保险业信息安全监管的重要性,在对保险公司进行充分调研的基础上,提出以下新思路:●通过充分调研及科学的指标选取方法选择信息安全能力指标体系的安全要素、指标,使其客观、合理;●通过科学规范的指引对信息安全能力进行分级、分类,引导保险机构进行合理建设、适度保障;●通过设定行业关键能力指标,突出信息安全保障能力的重点;●通过使用信息安全能力指标的组合,即监管基线,突出监管重点、降低在信息安全检查监管工作中的难度。
二、指标体系模型框架设计根据上述思路,保险监管机关站在全行业信息安全的战略高度,制订信息安全保障能力指标体系(简称指标体系)。
金融行业灾备资料
行业 主要标准和政策 标准描述
银行业灾备标准
2008年2月 中国人民银行 正式发布和实施《银行业信 息系统灾难恢复管理规范》 (JR/T0044-2008) 2009年6月 银监会发布了 新的《商业银行信息科技风 险管理指引》
•短时间中断对国家、外部机构和社会产生重大影响或影响单位关键业 务功能并造成重大经济损失的系统:RTO(恢复时间目标)<6小时, RPO(恢复点目标)<15分钟; •短时间中断会影响单位部分关键业务功能并造成较大经济损失的系统: RTO<24小时,RPO<120分钟; •短时间中断会影响单位非关键业务功能并造成较大一定经济损失的系 统:RTO<7天。 •针对信息系统短时间中断会造成重大社会影响或影响保险机构关键业 务功能,并造成重大经济损失的信息系统,必须具备第4级电子传输及 完整设备支持,RTO <=36小时、RPO<=8小时; •针对信息系统短时间中断会造成较大社会影响或影响保险机构部分关 键业务功能,并造成较大经济损失的系统必须具备: •第3级电子传输和部分设备支持,RTO <=72小时,RPO<=24小时; •针对间接支持关键业务功能或对系统中断具有一定容忍度的系统,必 须具备第2级备用场地支持,RTO<=7天,RPO <=36小时。
保险业灾备标准
2008年3月 保监会下发了 《保险业信息系统灾难恢复 管理指引》
证券业灾备标准
2009年,中国证券业协会 先后发布了《证券公司网上 证券信息系统技术指引》、 《期货公司信息技术管理指 引》、《证券营业部信息技 术指引》
•强调了信息系统灾难恢复、应急预案以及进行应急演练的重要性。证 券营业部应每年至少进行两次应急演练,并留存演练记录。
XX财产保险股份有限公司信息系统灾难恢复预案
XX财产保险股份有限公司信息系统灾难恢复预案2014-11目录1目标与范围 (2)1.1灾难的定义............................................................................ 错误!未定义书签。
1.2容灾目标 (4)1.3容灾范围 (5)1.4灾难恢复演习执行周期 (5)1.5灾难恢复计划启动决策流程 (5)1.6灾难声明的内容 (5)1.7灾难恢复指挥中心和异地灾备中心 (5)2组织与职责 (6)2.1团队组织图 (6)2.2灾难恢复团队 (6)2.3全部成员通讯录 (17)3紧急响应流程 (17)3.1灾难预警 (17)3.2人员疏散 (17)3.3损害评估 (17)3.4研判和灾难宣告 (17)4恢复及重续运行流程 (18)4.1恢复 (18)4.2重续运行 (18)5灾后重建和回退 (19)5.1生产系统的重建工作流程 (19)5.2专业技术保障........................................................................ 错误!未定义书签。
5.3通信保障................................................................................ 错误!未定义书签。
1目标与范围1.1灾难恢复预案中的相关术语1)灾难备份中心backup center for disaster recovery用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所,可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力,此场所内或周边可提供备用的生活设施。
2)灾难备份系统backup system for disaster recovery用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。
保险业信息系统灾难恢复管理指引
各保险公司、保险资产管理公司:为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日保险业信息系统灾难恢复管理指引【42】第一章总则【6】第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
中国保险监督管理委员会关于做好灾后恢复重建工作中保险理赔服务工作的通知
中国保险监督管理委员会关于做好灾后恢复重建工作中保险理赔服务工作的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2008.02.20•【文号】保监发[2008]15号•【施行日期】2008.02.20•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险正文中国保险监督管理委员会关于做好灾后恢复重建工作中保险理赔服务工作的通知(保监发〔2008〕15号)各保险公司、再保险公司,各保监局:当前,全国抗击低温雨雪冰冻灾害工作取得重大的阶段性胜利。
保险业抗灾救灾工作现已从应急抢险抗灾转入全面恢复重建阶段,随着灾害全面恢复重建工作的推进,保险报案数量逐步增多,勘查定损工作日显繁重,理赔服务质量要求越来越高。
坚持灾后企业自救、政府支持的原则,国务院已将保险赔付作为灾害恢复重建的一个重要资金筹集渠道,并对保险业及时勘查定损、做好保险理赔提出了明确要求。
为更好地发挥保险业在灾后全面恢复重建工作中的作用,现将有关事项通知如下:一、要及时、快捷地做好保险理赔服务工作各保险公司要切实加强对保险理赔工作的组织领导,统筹协调公司资源,按照“主动、迅速、准确、合理”的要求,认真部署和督促落实理赔服务措施,真正做到组织到位、责任到人、措施有力。
在政策上,要针对本次灾情的特点和各受灾地区的受灾情况,简化理赔程序,切实提高理赔效率。
一要根据基层一线保险机构的理赔案件数量、结案进度状况,可采取理赔服务绿色通道、适当调整理赔权限、简化理赔手续等办法,加快结案进度。
二要做好理赔服务中的条款解释说明,避免因理解歧义而影响理赔工作。
三要想群众之所想,急灾区之所急,切实做到服务及时、到位,对受灾地区的保险赔案,只要与灾害有直接关系并在合理范围内,要及时赔付,并采取快捷方式直接将赔款送到客户手中。
在人力上,要向查勘定损、防灾防损业务一线倾斜,向受灾严重的地区和农业、交通、电力、通讯行业,以及受损严重的大企业配备懂技术、专业水平高的业务人员及早定损理赔。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《保险业信息系统灾难恢复管理指引》各保险公司、保险资产管理公司:为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条本指引所称灾难恢复为信息系统灾难恢复。
灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。
例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。
本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。
本指引所称外包是指,选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护,以及应急响应和恢复工作。
第五条中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。
第六条《信息安全技术信息系统灾难恢复规范》(GB/T 20988-2007)中的条款通过本指引的引用而成为本指引的条款。
第二章总体工作要求第七条保险机构应统筹规划信息系统灾难恢复工作,自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。
保险机构新建信息系统时,应同步规划和实施灾难备份系统建设。
本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。
第八条保险机构应持续开展灾难恢复工作,以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。
灾难恢复的需求应定期进行再分析。
灾难恢复需求再分析周期最长为三年。
当信息系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
第九条保险机构应加强与其业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章组织机构第十条保险机构法定代表人或主要负责人是灾难恢复工作的责任人。
保险机构董事会或最高决策层应参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
第十一条灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。
保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。
保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务。
第十二条保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责:(一)灾难恢复需求分析和策略制订;(二)资源准备和经费审批;(三)灾难备份中心的选择和建设;(四)灾难备份中心的日常运行和维护;(五)灾难恢复预案的制订、维护和演练;(六)人员的教育和培训;(七)监督检查和审计。
保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责:(一)应急响应和预警报告;(二)事件通报和沟通;(三)损害评估、抢修拯救和敏感数据保护;(四)灾难恢复工作的重大决策;(五)生产中心的恢复、重建和回退;(六)业务恢复和客户服务;(七)资源保障和供应;(八)媒体公关和信息通报;(九)恢复成效评估和总结。
第十三条从事灾难恢复的专业工作人员应符合以下要求:(一)具备良好的职业道德和风险意识,掌握履行灾难恢复相关岗位职责所需的专业知识和技能;(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第四章需求分析和策略制定第十四条灾难恢复需求分析包括风险分析和业务影响分析。
保险机构的风险分析和业务影响分析应符合以下要求:(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。
根据风险发生的概率和可能造成的损失,评估风险可接受的程度,针对不可接受的风险,制定相应的风险防范措施;(二)应根据信息系统支持的业务区域范围,分析信息系统面临的灾难风险。
应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点,以及影响范围的广泛性;(三)应根据业务经营范围确定关键业务功能。
关键业务功能包括但不限于承保、理赔、投资和财务管理等。
采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。
第十五条保险机构应根据风险分析和业务影响分析的结果,确定信息系统的灾难恢复目标,包括:(一)信息系统的灾难恢复范围;(二)信息系统的灾难恢复顺序;(三)信息系统的灾难恢复能力等级。
第十六条保险机构应加强重要数据的备份和传输安全管理,保证数据的完整性。
重要数据应异地备份,防范区域性灾难风险。
重要数据包括但不限于:客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。
第十七条保险机构应根据风险分析和业务影响分析的结论,将直接或间接支持关键业务功能的信息系统分成三种类别:第一类:信息系统短时间中断会造成重大社会影响;或影响保险机构关键业务功能,并造成重大经济损失。
第二类:信息系统短时间中断会造成较大社会影响;或影响保险机构部分关键业务功能,并造成较大经济损失。
第三类:信息系统间接支持关键业务功能;或保险机构对系统中断具有一定容忍度的系统。
第十八条信息系统的最低灾难恢复能力等级要求:(一)第一类1、第4级电子传输及完整设备支持2、RTO<=36小时,RPO<=8小时(二)第二类1、第3级电子传输和部分设备支持2、RTO<=72小时,RPO<=24小时(三)第三类1、第2级备用场地支持2、RTO<=7天,RPO<=36小时第十九条保险机构应制定统一的灾难恢复策略。
灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。
保险机构应根据各信息系统的灾难恢复目标,确定灾难恢复所需的七个方面的资源要素:(一)数据备份系统;(二)备用数据处理系统;(三)备用网络系统;(四)备用基础设施;(五)专业技术支持能力;(六)运行维护管理能力;(七)灾难恢复预案。
第二十条保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。
灾难恢复策略经决策层审查和批准后,按本指引要求备案。
第五章灾难备份中心的建设与运行维护第二十一条保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。
保险机构应根据风险分析的结果,确定同城和/或异地灾备建设方案。
灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。
第二十二条灾难备份中心的基础设施应符合以下要求:(一)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;(二)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受一定的同类风险;(三)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据、人员等资源可及时到达;(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准,并通过当地消防部门验收;(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式,只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备;(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。
(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。
第二十三条灾难备份系统的建设应符合以下要求:(一)根据灾难恢复策略制定灾难备份系统技术方案,建立数据备份系统、备用数据处理系统和备用网络系统等。
技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性;(二)应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统;(三)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求;(四)应根据灾难恢复策略的要求,建立灾难备份系统的技术支持体系。
第二十四条灾难备份中心的运行维护应符合以下要求:(一)建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等;(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员,保障设备和系统正常稳定运行;(三)定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能提供切换和运行时的技术支持;(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。
记录灾难备份系统运行过程中输出的相应记录表单与统计信息;记录机房环境、系统运行和网络状态等监控信息。