銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范

JRICSA11備案號:中華人民共和國金融行業(yè)標準JR/T0044—2008銀行業(yè)信息系統(tǒng)災害恢復管理規(guī)范Managementspecificationofinformationsystemdisasterrecoveryforbanks2008-02-04宣告2008-02-04推行中國人民銀行宣告1JR/T0044—2008目次序言.........................................................................III引言..........................................................................IV1范圍(12規(guī)范性引用文件(13術語和定義(14銀行業(yè)信息系統(tǒng)災害恢復綜述(34.1災害恢復工作內容(34.2災害恢復的周期性工作(34.3機構間合作(45組織機構建立和職責(45.1組織機構建立(45.2組織機構的組成和職責(46災害恢復需求分析(56.1風險分析(56.2業(yè)務影響分析(66.3確定災害恢復需求(67災害恢復策略制定(77.1成本風險分析和策略確實定(77.2災害恢復能力等級(77.3災害備份中心的布局(87.4資源、服務的獲取和保障(88災害備份中心的建設(98.1基礎設備建設(98.2災害備份系統(tǒng)建設(98.3項目監(jiān)理(99災害備份中心的運行保護管理(99.1管理制度建設(99.2運行保護工作內容(109.3運行保護的資源保障(1010災害恢復方案的擬訂、操練與管理(1010.1災害恢復方案的擬訂(1010.2災害恢復方案的操練(1110.3災害恢復方案的管理(1211應急響應和災害恢復(1211.1應急響應(1211.2災害恢復(1211.3重建與回退(1312監(jiān)察管理(1312.1審計(13IJR/T0044—200812.2備案(13附錄A(資料性附錄應急響應和災害恢復工作要點(15附錄B(資料性附錄RTO/RPO與災害恢復能力等級的關系(17IIJR/T0044—2008序言本標準是對銀行業(yè)信息系統(tǒng)災害恢復管理要求的描繪。本標準由中國人民銀行提出,由全國金融標準化技術委員會歸口管理。本標準由中國人民銀行贊同。本標準負責起草單位:中國人民銀行。本標準參加起草單位:萬國數(shù)據(jù)服務(深圳有限企業(yè)。本標準主要起草人:文四立、李曉楓、楊竑、郭全明、曹旭輝、李健、袁慧萍、汪琪、于健、何政、劉東紅、高勇、陳天晴、康潭云、王錚、張艷、竺毅強、周恒、王雄、劉鵬鵬。III序言為規(guī)范和指引銀行業(yè)信息系統(tǒng)災害恢復工作,有效防備銀行業(yè)信息系統(tǒng)風險,保護銀行業(yè)客戶的合法權益,特制定本規(guī)范。IV銀行業(yè)信息系統(tǒng)災害恢復管理規(guī)范范圍本規(guī)范規(guī)定了銀行業(yè)信息系統(tǒng)災害恢復應依照的管理要求。本規(guī)范合用于中國人民銀行,以及在中華人民共和國境內建立的銀行業(yè)金融機構(包括外資銀行,以下簡稱“單位”。規(guī)范性引用文件以下文件中的條款經過本規(guī)范的引用而成為本規(guī)范的條款。凡是注日期的引用文件,其隨后所有的改正單(不包括勘誤的內容或校正版均不合用于本規(guī)范。凡是不注日期的引用文件,其最新版本合用于本規(guī)范。GB/T20988-2007信息安全技術信息系統(tǒng)災害恢復規(guī)范術語和定義3.1信息系統(tǒng)informationsystem由計算機系統(tǒng)、網(wǎng)絡系統(tǒng)軟硬件及其有關的設備、設備和應用軟件等組成的,依照必然的應用目標和規(guī)則對信息進行采集、加工、儲藏、傳輸和檢索等辦理的人機系統(tǒng)。3.2災害disaster由于人為或自然的原因,造成信息系統(tǒng)嚴重故障、癱瘓或其數(shù)據(jù)嚴重受損,使信息系統(tǒng)支持的業(yè)務功能停留或服務水平達到不能接受的程度,并連續(xù)特準時間的突發(fā)性事件。3.3災害恢復disasterrecoveryDR為了將信息系統(tǒng)從災害造成的不能運行狀態(tài)或不能接受狀態(tài)恢復到可正常運行狀態(tài),并將其支持的業(yè)務功能從災害造成的不正常狀態(tài)恢復到可接受狀態(tài)而設計的活動和流程。3.4災害恢復規(guī)劃disasterrecoveryplanningDRP為了閃避災害帶來的損失和保證信息系統(tǒng)所支持的要點業(yè)務功能在災害發(fā)生后能實時恢復和連續(xù)運作所做的預先計劃和安排。3.5地區(qū)性災害regionaldisaster造成所在地區(qū)或有親密聯(lián)系的周邊地區(qū)的通訊、電力、交通及其他要點基礎設施碰到嚴重損壞,或大規(guī)模人口分別的事件,致使無法保持信息系統(tǒng)正常運行。比方:地震、大型公共衛(wèi)惹禍件、懼怕侵襲、地區(qū)性通訊網(wǎng)故障、地區(qū)性電網(wǎng)故障等。3.6風險分析riskanalysisRA1確定影響信息系統(tǒng)正常運行的風險,評估對單位業(yè)務營運至關重要的功能,定義降低潛藏危險控制手段的流程。風險分析經常會波及到對特別事件發(fā)生可能性的評估。3.7業(yè)務影響分析businessimpactanalysisBIA分析業(yè)務功能及其有關信息系統(tǒng)資源,評估特定災害對各樣業(yè)務功能的影響。3.8要點業(yè)務功能criticalbusinessfunctions若是中止一準時間,將顯然影響單位運作的服務或職能。3.9生產系統(tǒng)productionsystem正常情況下支持單位生產運行的信息系統(tǒng)。包括主數(shù)據(jù)、主數(shù)據(jù)辦理系統(tǒng)和主網(wǎng)絡。3.10生產中心productioncenter生產系統(tǒng)所在的數(shù)據(jù)中心。3.11災害備份中心backupcenterfordisasterrecovery災害發(fā)生后,接替生產中心進行數(shù)據(jù)辦理和支持要點業(yè)務功能運作的場所,包括備用數(shù)據(jù)中心、備用工作環(huán)境、備用生活設備等。形成災害恢復能力還需裝備有關業(yè)務、技術等人員,并建立相應的運作系統(tǒng)。3.12災害備份backupfordisasterrecovery為了災害恢復而對數(shù)據(jù)、數(shù)據(jù)辦理系統(tǒng)、網(wǎng)絡系統(tǒng)、基礎設備、業(yè)務和技術等有關人員進行備份的舉措。3.13災害備份系統(tǒng)backupsystemfordisasterrecovery用于災害恢復目的,由數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)辦理系統(tǒng)和備用網(wǎng)絡系統(tǒng)等組成的信息系統(tǒng)。3.14災害恢復方案disasterrecoveryplan定義信息系統(tǒng)災害恢復所需組織、流程、資源等起初制定的行動方案(以下簡稱“方案”。用于指導有關人員在預定的災害恢復目標內恢復信息系統(tǒng)支持的要點業(yè)務功能。3.15同城備份regionalbackup生產中心與災害備份中心處于同一地理地區(qū),面對同一地區(qū)性災害風險,一般距離在數(shù)十公里之內,可實現(xiàn)同步數(shù)據(jù)復制。3.16異地備份non-regionalbackup生產中心與災害備份中心處于不相同地理地區(qū),一般不會同時面對同一地區(qū)性災難風險,一般距離在數(shù)百公里以上。3.17恢復時間目標recoverytimeobjectiveRTO災害發(fā)生后,信息系統(tǒng)從停留到必定恢復的時間要求。3.182恢復點目標recoverypointobjectiveRPO災害發(fā)生后,數(shù)據(jù)必定恢復到的時間點要求。3.19災害恢復外包outsourcingfordiasaterrecovery選擇外面資源供給災害恢復服務,比方:擔當或輔助制定信息系統(tǒng)災害恢復規(guī)劃,供給或輔助建設災害備份設備,負責運行保護災害備份中心,供給或輔助應急響應技術支持工作等。3.20操練exercise為提高災害恢復能力,鑒于災害恢復方案進行的演習,形式包括桌面操練、模擬操練、實戰(zhàn)操練。3.21應急響應emergencyresponse為應付突發(fā)事件、最大化減少突發(fā)事件對業(yè)務運作的影響而采用的緊迫行動。3.22重建restoration在災害對單位原生產中心造成損害后,為了使業(yè)務恢復到正常運行狀態(tài)而修復原生產中心或在其他地址從頭建筑生產中心的過程。3.23回退return生產中心重建達成并達到各項規(guī)范所要求的營運條件后,單位的信息系統(tǒng)由災難備份中心遷移到已修復的或新建的生產中心并恢復運行的過程。3.24逼迫決議點mandatorydecisionpoint為了實現(xiàn)災害恢復時間目標,在災害事件發(fā)生后必定決定可否啟動災害恢復方案的時間點。銀行業(yè)信息系統(tǒng)災害恢復綜述4.1災害恢復工作內容災害恢復工作主要包括以下內容:——組織機構建立和職責;——災害恢復需求分析;——災害恢復策略制定;——災害備份系統(tǒng)推行;——災害備份中心運行保護;——災害恢復方案擬訂、操練和管理;——應急響應和災害恢復。4.2災害恢復的周期性工作4.2.1需求分析災害恢復的需求分析主要包括風險分析和業(yè)務影響分析。災害恢復的需求應如期進行再分析,再分析周期最長為三年。當生產中心環(huán)境、生產系統(tǒng)或業(yè)務流程發(fā)生重要改正時,單位應立刻啟動災害恢復需求再分析工作。4.2.2策略制定單位應兼?zhèn)湟?guī)劃信息系統(tǒng)災害恢復工作,制定一致的災害恢復策略。三年及以上的災害恢復策略規(guī)劃應知足本規(guī)范7.2.2描繪的最低災害恢復能力等級要求。三年以下的臨時性災害恢復策略可降低一個災害恢復能力等級,或部分系統(tǒng)降低一個災害恢復能力等級。3單位應如期依照最新的災害恢復需求分析重審和校正災害恢復策略。4.2.3技術方案管理單位應如期依照最新的災害恢復策略復審和調整災害恢復技術方案。4.2.4方案管理單位應如期依照最新的災害恢復策略復審和校正災害恢復方案。每年應最少組織一次災害恢復方案的審查和贊同工作。4.3機構間合作單位應加強與其業(yè)務親密有關的機構間的協(xié)調聯(lián)系,互相合作、分享經驗,共同評估面對的風險,共同制定災害恢復策略,提高銀行業(yè)整體風險防備和災害恢復能力。組織機構建立和職責5.1組織機構建立單位應聯(lián)合詳盡情況建立災害恢復組織機構,明確工作職責。單位的災害恢復組織機構應在災害恢復方案中正確說明。災害恢復組織機構應包括災害恢復規(guī)劃建設、運行保護、應急響應和災害恢復等各階段工作所需的人員,有關人員可為專職,也可為兼職。要點崗位的人員應有備份。可依照信息系統(tǒng)和分支機構情況建立不相同級其他災害恢復組織機構,如建立總行和分支機構的多級災害恢復組織機構。5.2組織機構的組成和職責災害恢復組織機構應分為決議層、管理層和執(zhí)行層。a決議層主要由單位高層管理者組成,決議信息系統(tǒng)災害恢復的重要事宜,主要職責以下:——確定災害恢復戰(zhàn)略;——審查贊同災害恢復策略;——審查贊同災害恢復經費估計;——審查贊同災害備份設備建設;——審查贊同災害恢復方案;——贊同啟動災害恢復方案;——決議應急響應與恢復重要事宜;——審查贊同對外情況通知和信息宣告;——贊同生產中心的重建與回退。b管理層主要由單位的業(yè)務、技術、后勤等有關部門負責人組成,在決議層領導下展動工作,負責管理和協(xié)調信息系統(tǒng)災害恢復工作,主要職責以下:——組織制定災害恢復策略;——編制災害恢復經費估計;——組織災害備份中心建設;——管理災害備份中心;——組織制定災害恢復方案;——組織推行災害恢復方案的操練;——協(xié)調內外面災害恢復資源;——指揮和協(xié)調應急響應與恢復工作;——指揮和協(xié)調生產中心的重建與回退工作;——負責內部信息通知和交流;——組織和管理媒體公關工作;——監(jiān)察、檢查和總結災害恢復工作。4執(zhí)行層主要由單位的業(yè)務、技術、后勤等有關部門工作人員和外面機構人員組成,在管理層的領導下,負責災害恢復的詳盡推行工作,主要職責以下:——提出災害恢復需求和策略建議;——推行災害備份中心建設;——運行保護災害備份中心;——供給災害恢復的專業(yè)技術支持;——開發(fā)、測試、培訓、操練和保護災害恢復方案;——推行應急響應和恢復工作;——推行生產中心的重建和回退工作;——負責災害恢復過程的記錄、報告和通訊聯(lián)系;——擔當災害搶修、挽救和損害評估;——負責資源保障和供給;——負責災害發(fā)生后的外面協(xié)作;——分析和總結災害恢復工作。災害恢復需求分析6.1風險分析6.1.1確定風險分析目標單位應依照長久可連續(xù)發(fā)展和信息化建設的戰(zhàn)略目標,明確風險分析目標,全面鑒識信息系統(tǒng)災害風險威脅和纖弱性。6.1.2確定風險分析范圍單位應依照信息系統(tǒng)的范圍和特點,全面鑒識和分析影響信息系統(tǒng)正常運行的災害風陡峭素。單位應依照信息系統(tǒng)支持業(yè)務的地區(qū)范圍,分析信息系統(tǒng)面對的地區(qū)性災害風險。單位應依照業(yè)務經營領域,分析信息系統(tǒng)中止造成的金融領域關系性風險。金融領域關系性風險指由于部分金融機構不能夠執(zhí)行職責,致使其他機構無法張開特定業(yè)務,造成連鎖反響,進而影響金融系統(tǒng)牢固的風險。6.1.3風險分析方法財產鑒識財產是擁有價值的信息或資源,是單位風險分析所要保護的對象,它以無形、有形的形式存在,主要包括:基礎設備、硬件、軟件、數(shù)據(jù)、文檔、服務和名譽等。單位應付財產進行分類以區(qū)分財產的不相同重要程度并確定重要財產的范圍,應付財產進行表記以區(qū)分財產對業(yè)務正常運作的不相同影響程度,據(jù)此確定財產的等級。威脅鑒識威脅指對信息財產組成潛藏損壞的可能性要素。災害風險的威脅有多種分類方法,主要包括:——自然或人為;——沒心或存心;——內部、外面或內外勾通;——在控制能力之內或高出控制能力之外;——可先期預警或不能先期預警。纖弱性鑒識纖弱性是可能被威脅利用的信息財產的弊端。纖弱性鑒識是風險分析中的一個主要環(huán)節(jié)。纖弱性鑒識能夠從環(huán)境、業(yè)務、網(wǎng)絡、系統(tǒng)、應用等層次進行鑒識。纖弱性識其他依照能夠是國際或國家的安全標準,也能夠是行業(yè)規(guī)范、應用流程的安全要求。對應用在不相同環(huán)境中的相同弊端,其纖弱性嚴重程度是不相同的。信息系統(tǒng)所采用的協(xié)議、應用流程的齊全與否、與其他網(wǎng)絡的互聯(lián)等也應試慮在內。纖弱性鑒識時的數(shù)據(jù)應來自于信息系統(tǒng)的所有者、使用者,以及有關業(yè)務領域和軟硬件方面的專業(yè)人員等。纖弱性鑒識所采用的方法主要有:問卷檢查、工具檢測、人工核查、文檔查閱和浸透性測試等。纖弱性鑒識主要從技術和管理兩個方面進行,技術纖弱性波及物理層、網(wǎng)絡層、系統(tǒng)層、應用層等各個層面的安全問題。管理纖弱性可分為技術管理纖弱性和組織管理纖弱性兩方面,前者與詳盡技術活動有關,后者與管理環(huán)境有關。風險計算風險計算是采用適合的方法與工具確定威脅利用纖弱性致使信息系統(tǒng)災害發(fā)生的可能性,主要包括以下內容:1、依照威脅出現(xiàn)的頻次及纖弱性情況,計算威脅利用纖弱性致使災害發(fā)生的可能性;2、依照財產重要程度及纖弱性嚴重程度,計算災害發(fā)生后的損失;3、依照計算出的災害發(fā)生的可能性以及災害的損失,計算風險值,并進行風險等級區(qū)分。6.1.4風險控制評估現(xiàn)有安全策略和舉措的有效性,確定信息系統(tǒng)仍舊可能存在的風險,即節(jié)余風險。單位應依照財產等級及節(jié)余風險發(fā)生的概率、可能造成的損失細風險防備成本,評估風險可接受的程度,確定可接受的風險。針對不能接受的風險,依照災害恢復資源的成本與風險可能造成損失之間獲取平衡的原則(以下簡稱“成本風險平衡原則”,確定風險防備舉措,并如期評估節(jié)余風險。6.2業(yè)務影響分析6.2.1業(yè)務功能分析經過業(yè)務功能分析,確定業(yè)務功能的要點程度,分析的內容主要包括:——政策性:業(yè)務功能的政策要求;——業(yè)務性質:核心業(yè)務或非核心業(yè)務;——業(yè)務服務范圍:波及到的內外面機構、用戶等范圍;——數(shù)據(jù)集中程度:業(yè)務數(shù)據(jù)的集中與辦理的集中、地區(qū)散布;——業(yè)務時間敏感性:實時與非實時業(yè)務、業(yè)務運行時段和用戶使用頻度;——業(yè)務功能的關系性:與本單位其他業(yè)務功能及其他機構業(yè)務功能之間的關系程度。6.2.2評估業(yè)務中止影響a以量化的方法,評估業(yè)務功能中止可能造成的直接經濟損失和間接經濟損失,主要包括:——直接經濟損失:●財產損失;●收入損失;●額外花銷增加;●財務處分?！g接經濟損失:●預期利潤損失;●商業(yè)機會損失;●市場份額影響。b以非量化的方法,評估業(yè)務功能中止可能造成的影響,主要包括:——社會影響;——法律影響;——信用影響;——品牌影響。6.3確定災害恢復需求6.3.1確定需求等級單位應依照風險分析、業(yè)務功能分析和業(yè)務中止影響分析的結論,將信息系統(tǒng)準時間敏感性分紅三類需求等級:第一類——短時間中止將對國家、外面機構和社會產生重要影響的系統(tǒng);——短時間中止將嚴重影響單位要點業(yè)務功能并造成重要經濟損失的系統(tǒng);——單位和用戶對系統(tǒng)短時間中止不能夠容忍的系統(tǒng)。第二類——短時間中止將影響單位部分要點業(yè)務功能并造成較大經濟損失的系統(tǒng);——單位和用戶對系統(tǒng)短時間中止擁有必然容忍度的系統(tǒng)。第三類——短時間中止將影響單位非要點業(yè)務功能并造成必然經濟損失的系統(tǒng);——業(yè)務功能贊同一段時間中止的系統(tǒng)。6.3.2確定最低恢復要求依照信息系統(tǒng)的時間敏感性,確定信息系統(tǒng)災害恢復目標的最低要求:a第一類:RTO<6小時,RPO<15分鐘;第二類:RTO<24小時,RPO<120分鐘;第三類:RTO<7天。6.3.3確定恢復優(yōu)先級依照業(yè)務功能分析、業(yè)務中止影響分析并綜合考慮系統(tǒng)間的依靠性,確定信息系統(tǒng)的恢復優(yōu)先級。6.3.4確定有關資源單位應確定災害恢復所需的七個方面資源要素:——數(shù)據(jù)備份系統(tǒng);——備用數(shù)據(jù)辦理系統(tǒng);——備用網(wǎng)絡系統(tǒng);——備用基礎設備;——技術支持能力;——運行保護管理能力;——災害恢復方案。災害恢復策略制定7.1成本風險分析和策略確實定依照成本風險平衡原則,確定每項要點業(yè)務功能的災害恢復策略,不相同的業(yè)務功能可采用不相同的災害恢復策略。災害恢復策略是單位為了達到災害恢復目標而制定的規(guī)劃、方法和舉措。災害恢復策略主要包括:——災害恢復建設計劃;——災害恢復能力等級;——災害恢復建設模式;——災害備份中心布局。7.2災害恢復能力等級7.2.1災害恢復能力等級確實定單位應依照信息系統(tǒng)的RTO和RPO要求,確定信息系統(tǒng)的災害恢復能力等級,拜會附錄B。7.2.2最低的災害恢復能力等級要求信息系統(tǒng)依照災害恢復需求等級,最低應達到以下災害恢復能力等級:a第一類:5級;第二類:3級;第三類:2級。7.3災害備份中心的布局7.3.1布局原則a災害備份中心應設置在中華人民共和國境內;b災害備份中心與生產中心之間距離合理,應防備災害備份中心與生產中心同時碰到同類風險;c災害備份中心的選址應遵照國家戰(zhàn)略安全要求,并綜合考慮生產中心與災害備份中心交通和電訊的便利性與多樣性,以及災害備份中心當?shù)氐臉I(yè)務與技術支持能力、電訊資源、地理地質環(huán)境、公共資源與服務配套能力等外面支持條件。7.3.2布局模式單位應依照成本風險平衡原則以及運行管理要求,可采用以下多種布局模式:——一主一備:一個生產中心,一個備份中心;——一主多備:一個生產中心,多個備份中心;——互為備份:兩個生產中心互相備份;——多主一備:多個生產中心共享一個備份中心;——混淆方式:以上方式的混淆。7.4資源、服務的獲取和保障7.4.1資源的獲取基礎設備災害恢復的基礎設備包括機房和其他輔助設備,其獲取方式包括:——自建方式:單位可自行建設災害恢復基礎設備,基礎設備的功能和規(guī)格應符合相應的災害恢復能力等級要求。在選擇自建方式時應綜合考慮投資效益、營運管理成本、運營管理隊伍的牢固性和應急能力等要素?！蚕矸绞?單位可采用多方共建或外包方式獲取災害恢復基礎設備,基礎設備的功能和規(guī)格應符合相應的災害恢復能力等級要求。在選擇共享方式時應綜合考慮責任界定、信息的安全保密和服務水平要求等要素。數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)辦理系統(tǒng)用于災害恢復的數(shù)據(jù)備份系統(tǒng)和備用數(shù)據(jù)辦理系統(tǒng)設備,其獲取方式包括:——自行采買;——與供給商簽署緊迫供貨協(xié)議;——租借;——外包。通訊網(wǎng)絡用于災害恢復的通訊網(wǎng)絡包括生產中心和災害備份中心間的備份網(wǎng)絡和最后用戶接見災害備份中心的網(wǎng)絡,通訊線路應最罕有兩種以上不相同的物理線路,其獲取方式包括:——自行建設;——租用營運商線路。7.4.2專業(yè)服務的獲取在包括自建在內的各樣災害備份中心建設模式下,災害備份中心的平時運行維護、應急響應和災害恢復均可引入專業(yè)外包服務系統(tǒng)。災害恢復咨詢服務咨詢服務包括風險分析、業(yè)務影響分析、災害恢復策略制定、災害備份中心規(guī)劃與建設、災害恢復方案擬訂、測試、培訓和操練等。咨詢服務的獲取方式包括:——委托外面咨詢機構;——聯(lián)合外面咨詢機構。災害恢復技術支持服務技術支持服務對象包括數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)辦理系統(tǒng)和通訊網(wǎng)絡等,其獲取方式包括:——自有技術支持隊伍;——專業(yè)服務供給商;——設備供給商。災害恢復營運管理服務營運管理服務包括災害備份中心的平時運行保護和災害恢復方案的保護等,其獲取方式包括:——自主運行保護;——外包。7.4.3外包的管理單位應加強災害恢復服務外擔保理,與服務外包供給商簽署安全保密、服務水相同協(xié)議,明確服務外包供給商的職責和應擔當?shù)姆韶熑?并如期考證服務外包供給商的服務水平和能力,經過采用各樣管控舉措,保障服務外包的安全可控和服務質量。關于波及國家神秘信息的系統(tǒng),單位應依照國家有關政策、法例,從保障國家書息安全角度慎重選擇服務外包供給商。災害恢復服務外包供給商應符合國家和行業(yè)的有關服務資質要求,并最少知足以下要求:a應熟悉銀行業(yè)信息系統(tǒng)架構和業(yè)務流程,擁有災害恢復外包服務的成功案例和實踐經驗;b應擁有齊全的信息安全管理系統(tǒng)和服務質量保證系統(tǒng),并經過ISO27001、ISO9001等認證;c應獨立營運管理災害備份中心,且機房的可用性應最少達到99.9%,其所能提供的災害恢復能力等級應達到5級以上(含5級。災害備份中心的建設8.1基礎設備建設災害備份中心基礎設備建設包括機房和輔助設備建設等。災害備份中心的選址、規(guī)劃、設計、建設和查收,應符合國家和金融行業(yè)有關標準和規(guī)范要求。機房可用性應最少達到99.9%。8.2災害備份系統(tǒng)建設8.2.1技術方案設計依照災害恢復策略制定災害備份系統(tǒng)技術方案,包括數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)辦理系統(tǒng)和備用網(wǎng)絡系統(tǒng)。技術方案中所波及的系統(tǒng)應:——獲取同生產系統(tǒng)相當?shù)陌踩纻渌?——擁有可擴展性。8.2.2技術方案考證測試為知足災害恢復策略的要求,應付技術方案中要點技術應用的可行性進行考證測試,并記錄和保存考證測試的結果。8.2.3系統(tǒng)集成和測試應制定災害備份系統(tǒng)集成與測試計劃并組織推行。經過技術和業(yè)務測試,確認災害備份系統(tǒng)的功能與性能達到設計指標要求。8.3項目監(jiān)理單位可按需委托專業(yè)的第三方監(jiān)理機構,對災害備份中心工程推前進行有效的監(jiān)察管理,保證工程進度、質量和資本管理目標的達成。災害備份中心的運行保護管理9.1管理制度建設為了保證災害備份中心的有效性,應建立完滿的運行保護管理制度和操作規(guī)程,明確崗位職責。主要內容包括:——災害備份系統(tǒng)運維管理:問題管理、事件管理、改正管理、配置管理、安全管理、服務水平管理、介質與文檔管理等規(guī)程;——災害備份中心保障管理:機房管理、環(huán)境設備管理、后勤保障管理等制度;——災害備份中心可用性管理:人員管理制度、災害備份系統(tǒng)基準保護管理制度(如期對災害備份系統(tǒng)面向生產系統(tǒng)的符合性檢查保護制度、功能性子系統(tǒng)考證和操練規(guī)程(針對災害備份系統(tǒng)中的部分子系統(tǒng)進行測試考證及操練制度、災害恢復方案以及相關操作手冊的管理制度、應急辦理工作規(guī)程等。9.2運行保護工作內容9.2.1基礎設備應如期保護基礎設備,保證災害備份中心工作設備(電力、通訊、機房環(huán)境、安防監(jiān)控設備等、輔助設備和生活設備等的可用性。9.2.2數(shù)據(jù)備份系統(tǒng)應如期檢測保護數(shù)據(jù)備份系統(tǒng),保證數(shù)據(jù)備份系統(tǒng)軟硬件可用性,并保證數(shù)據(jù)備份系統(tǒng)的備份數(shù)據(jù)與生產系統(tǒng)相一致。生產系統(tǒng)的各樣補丁、更新以及變化應實時更新到數(shù)據(jù)備份系統(tǒng)中。9.2.3備用數(shù)據(jù)辦理系統(tǒng)應如期檢測保護備用數(shù)據(jù)辦理系統(tǒng),包括硬件系統(tǒng)、系統(tǒng)軟件和應用軟件檢測。生產系統(tǒng)的各樣補丁、更新以及變化應實時更新到備用數(shù)據(jù)辦理系統(tǒng)中。9.2.4備用網(wǎng)絡系統(tǒng)應如期檢測保護備用網(wǎng)絡系統(tǒng),包括數(shù)據(jù)網(wǎng)絡、儲藏網(wǎng)絡和語音通訊系統(tǒng)等。生產系統(tǒng)的各樣補丁、更新以及變化應實時更新到備用網(wǎng)絡系統(tǒng)中。9.3運行保護的資源保障災害備份中心應裝備必然數(shù)量擁有災害恢復專業(yè)素質的人員,必要的工作與生活等設備,保障足夠的運維資本投入,保證災害備份中心的正常運作。災害恢復方案的擬訂、操練與管理10.1災害恢復方案的擬訂10.1.1擬訂內容單位應聯(lián)合自己實質開發(fā)災害恢復方案(以下簡稱方案。災害恢復方案包括應急方案和信息系統(tǒng)災害恢復方案。應急方案最少應包括以下內容:a災害場景定義、目標和范圍;b應急管理組織機構;c應急恢復決議及授權,包括應急恢復條件、權限、辦理策略以及逼迫決議點等;d應急響應工作規(guī)程,包括緊迫事件初始響應、損害評估、指揮中心建立和人員召集、災害預警、災害宣告、啟動災害切換流程等;e應急管理工作中使用的各項文檔,包括通訊錄、工作文檔、應急工具等。信息系統(tǒng)災害恢復方案最少應包括以下內容:a災害恢復范圍和目標;b災害切換規(guī)程;c災后重續(xù)運行操作指引;各系統(tǒng)災害切換操作手冊。10.1.2擬訂原則a完滿性:方案應涵蓋災害恢復工作的各個環(huán)節(jié),以及災害恢復所需的盡可能全面的數(shù)據(jù)和資料;b易用性:方案應采用易于理解的語言和圖表,適合在緊迫情況下使用;c明確性:方案應采用清楚的構造,對資源及工作內容和步驟進行明確的描繪,每項工作應有明確的責任人;d有效性:方案應盡可能知足災害發(fā)生時進行恢復的實質需要,并保持與實質系統(tǒng)和人員組織的同步更新;e兼容性:方案應與其他應急方案系統(tǒng)有機聯(lián)合。10.1.3擬訂過程a稿本的擬訂:依照風險分析和業(yè)務影響分析所確定的災害恢復內容,依照災害恢復能力等級的要求,聯(lián)合單位其他有關的應急方案,撰寫災害恢復方案的稿本;b稿本的評審:應付災害恢復方案稿本的完滿性、易用性、明確性、有效性和兼容性進行評審;c稿本的校正:依照評審結果,對方案進行校正,糾正在稿本評審過程中發(fā)現(xiàn)的問題和弊端,形成方案的校正稿;d方案的測試和考證:制定測試用例,進行基本單元測試、關系測試和整體測試,考證方案的合理性和有效性。測試的整個過程應有詳盡的記錄,并形成測試報告;e方案的審查和贊同:依照測試的記錄和報告,對方案的校正稿進一步完滿,形成方案的報批稿,并由單位決議層對經過測試和考證的災害恢復方案進行審查和贊同,確定為方案的執(zhí)行稿。10.2災害恢復方案的操練10.2.1操練的目的操練是為了考證災害恢復方案的完滿性、易用性、明確性、有效性和兼容性,提高單位的方案執(zhí)行能力。10.2.2操練的形式操練包括預先通知有關參加操練人員和非預先通知兩種方式。操練的主要形式包括:a桌面操練:組織有關的災害恢復組織機構人員,以會議形式模擬各樣災害場景,集中討論應急響應和恢復流程中的管理與指揮協(xié)調,考證災害恢復方案的決講和指揮能力;b模擬操練:模擬災害場景,利用災害備份系統(tǒng)和災害恢復方案模擬系統(tǒng)切換和業(yè)務恢復,平時不波及真切的業(yè)務操作;c實戰(zhàn)操練:模擬災害場景,利用災害備份系統(tǒng)和災害恢復方案達成系統(tǒng)切換和業(yè)務恢復,波及真切的業(yè)務操作,在操練達成后需進行數(shù)據(jù)和環(huán)境的回導。10.2.3操練的層次單位依照操練工作波及的范圍,張開多層次的操練工作,主要包括:a以指揮協(xié)調為主的指揮操練;b以技術操作為主的技術操練;以業(yè)務恢復為主的業(yè)務操練。10.2.4操練的組織推行單位每年應最少組織一次實戰(zhàn)操練,可依照單位實質情況不如期地組織各樣形式、層次與范圍的操練,逐年提高操練的難度和復雜性。在操練前,應擬訂操練方案,明確操練目標、波及的形式、層次和范圍,設定災害情況、操練流程、操作內容、業(yè)務考證測試、應急資源、操練的風險及其應付舉措。操練應盡量減少對正常業(yè)務和生產的影響。10.2.5操練的評估操練達成后,應付操練的組織、過程、收效進行評估,主要包括以下內容:a災害恢復方案的有效性和可用性;b操練結果與操練目標的差距;c操練過程中發(fā)現(xiàn)的生產系統(tǒng)和災害備份系統(tǒng)存在的問題;d操練工作的組織;e參演人員的應急能力;應急資源的協(xié)調、保障能力。10.2.6操練后方案的校正應依照操練評估結論對災害恢復方案進行保護和更新。在下次操練中應加強對更新部分的操練,考證更新部分的有效性。10.3災害恢復方案的管理10.3.1保存、更新和發(fā)散單位應安排專人負責災害恢復方案的平時保護管理,主要包括以下工作內容:——災害恢復方案應作為單位保密文件保存;——災害恢復組織機構的所有工作人員應保存最新版本的災害恢復方案;——方案以多種形式的介質拷貝保存在不相同的安全地址,應保證在生產中心之外的安全地址寄存有災害恢復方案,并保障方案的可獲取性;——應加強災害恢復方案版本管理、發(fā)散和回收。在每次校正后所有拷貝一致更新,并保存一套以備查閱,原發(fā)散的舊版本應予銷毀。10.3.2更新保護災害恢復方案的更新保護,主要包括以下工作要求:——災害恢復方案波及的內容發(fā)生改正后應立刻更新災害恢復方案;——災害恢復方案波及的機構、人員有義務向方案管理人員供給改正信息;——操練后應依照操練評估結論立刻更新災害恢復方案;——災害恢復方案若發(fā)生重要改正,應由管理層進行必要的審查。10.3.3教育和培訓應如期組織災害恢復方案的教育和培訓,保證有關人員熟知方案。培訓后保存培訓的記錄。應急響應和災害恢復11.1應急響應信息系統(tǒng)發(fā)生緊迫事件后,單位應依照應急方案,注意以下緊迫舉措:a啟動應急系統(tǒng),響應緊迫事件;b接收和報告緊迫事件信息,調換應急資源;c評估分析緊迫事件影響范圍、程度,初步診療緊迫事件原因,判斷恢復業(yè)務功能所需時間;d采用必要的控制舉措,最大限度保護運行數(shù)據(jù)安全、控制形勢惡化、降低損失;e依照有關制度規(guī)定,通知有關主管部門,并做好社會通知和客戶服務工作;應急響應的詳盡工作要點可拜會附錄A.1。單位依照對緊迫事件的辦理和評估結果,判斷緊迫事件可否為災害事件,決議后,分別進入應急辦理流程和災害恢復流程。11.2災害恢復信息系統(tǒng)發(fā)生災害事件后,單位應依照災害恢復方案有序推行應付,注意以下環(huán)節(jié)的工作:a采用最快、最有效的聯(lián)系方式,通知和召集災害恢復方案中各組織機構人員,進入操作流程;b依照一人指揮原則,遵照決議層或其授權的一致指揮,業(yè)務、技術、后勤等部門有關人員親密協(xié)作,加強交流;c迅速調換和有效配置災害恢復資源;d依照有關制度規(guī)定,通知有關主管部門,并做好社會通知和客戶服務工作;e合理辦理災害事件,親密追蹤形勢變化和恢復進度;f本著最小影響、最小損失的原則,合理時間內決議切換至災害備份中心接替運行。災害恢復的詳盡工作要點可參照附錄A.2。11.3重建與回退11.3.1生產系統(tǒng)的重建災害發(fā)生后,單位應評估災害造成的損失,評估內容主要包括:a災害損壞情況;b業(yè)務影響程度;c原址重建的可能性或新址選擇;挽救的設備清單和測試情況。單位應依照損失評估情況,聯(lián)合災害備份系統(tǒng)可連續(xù)運行的最長時間,確定生產系統(tǒng)的修復或許從頭建設方案,推行生產系統(tǒng)的從頭建設和功能恢復。11.3.2生產系統(tǒng)的回退生產系統(tǒng)的回退主要內容包括:——重建系統(tǒng)的測試;——網(wǎng)絡的回退切換;——系統(tǒng)的回退切換;——數(shù)據(jù)的回退切換,檢查系統(tǒng)中的備份數(shù)據(jù);——業(yè)務功能的切換;——有關數(shù)據(jù)安全辦理,防備重要信息的泄露;——災害備份系統(tǒng)恢復為備用狀態(tài);——人員和重要設備撤退。監(jiān)察管理12.1審計災害恢復工作的審計分為內部審計和外面審計。內部審計由單位內部人員組織推行。外面審計由擁有國家相應看守部門認定資質的中介機構組織推行。審計工作主要包括以下內容:——風險評估和管控;——組織協(xié)作和授權系統(tǒng);——災害恢復策略;——災害恢復工作的制度建設——災害恢復方案的管理和保護;——操練組織和操練評估;——災害備份中心的可用性和有效性。單位應依照信息系統(tǒng)的災害恢復工作情況,確定審計頻次。單位應每年最少組織一次內部災害恢復工作審計。災害恢復審計工作結論應形成審計報告,審計報告應作為風險內控舉措的成就進行存檔,可歸入IT系統(tǒng)年度審計。審計過程所波及的資料調閱應有交接手續(xù),嚴格控制審計過程中涉密資料的保存和發(fā)放,中介機構應保守被審計企業(yè)的商業(yè)神秘細風險信息。12.2備案單位災害恢復工作情況應在每年年關前向中國人民銀行報備,主要內容包括:——單位的災害備份中心建設及重要改正情況;——單位的年度災害恢復重大操練情況。JR/T0044—2008附錄A（資料性附錄）應急響應和災害恢復工作要點A.1應急響應工作要點A.1.1事件報告與檢測a緊迫事件報告，依照單位的緊迫事件報告流程立刻報告。b應急響應人員應記錄事件信息，并張開以下主要工作：——判斷事件的種類：比方：網(wǎng)絡系統(tǒng)故障、基礎設備故障、服務器硬件故障、應用軟件故障、人為損壞、自然災害等；——分析事件影響地區(qū)和業(yè)務的范圍、程度等，確定事件的嚴重程度；——初步診療事件發(fā)生的原因；——評估事件的影響和損失；——分析業(yè)務功能的預計恢復時間。c組織現(xiàn)場檢查和評估，形成緊迫事件報告，上報