银行业金融机构应急管理相关的两份指引.doc

I XX XXX XX JR 中华人民共和国金融行业标准 JR XXXX XXXX 银行业信息系统灾难恢复管理规范 Management specification for bank s information system disaster recovery 2006 发布 2006 实施 中国人民银行 发 布 JR TXXX1JR TXXX1 XXXXXXXX I 目 次 前 言 III 引 言 IV 1范围 1 2规范性引用文件 1 3术语和定义 1 4银行业信息系统灾难恢复综述 3 4 1灾难恢复工作内容 3 4 2灾难恢复的周期性工作 3 5组织机构和职责设立 4 5 1组织机构设立 4 5 2规划建设和维护阶段的职责 5 5 3应急响应和灾难恢复阶段的职责 5 5 4机构间合作 6 6风险分析 6 6 1确定风险评估目标 6 6 2确定风险分析范围 6 6 3风险评估方法 6 6 4风险控制 7 7业务影响分析 7 7 1确定关键业务功能 7 7 2评估业务中断影响 7 7 3确定恢复需求 8 8灾难恢复策略制订 9 8 1成本风险分析和策略的确定 9 8 2灾难恢复等级 9 8 3灾难恢复场所的布局 9 8 4资源和服务的获取方式 10 9灾难恢复工程实施 11 9 1基础设施建设流程 11 9 2灾难备份系统建设流程 12 JR TXXX1JR TXXX1 XXXXXXXX II 9 3灾难恢复预案开发 12 9 4技术支持能力实现 13 9 5运行维护管理能力实现 13 9 6项目监理 13 10灾难备份系统运行维护 13 10 1运行维护的目的 13 10 2灾难备份系统运行维护 13 10 3灾难恢复预案管理 14 10 4灾难恢复预案演练 14 11应急响应和灾难恢复 16 11 1应急响应 16 11 2灾难恢复 16 12生产系统重建与回退 16 12 1生产系统的重建 16 12 2生产系统的回退 16 13监督管理 17 13 1审计 17 13 2备案 17 附录 A 资料性附录 应急响应和灾难恢复工作要点 18 A 1 应急响应工作要点 18 A 2 灾难恢复工作要点 19 附录 B 资料性附录 RTO RPO 与灾难恢复等级的关系 21 B 1 RTO RPO 与灾难恢复等级的关系 21 附录 C 资料性附录 银行业信息系统灾难恢复服务企业 22 C 1 第 1 类灾难恢复服务企业 22 C 2 第 2 类灾难恢复服务企业 22 C 3 第 3 类灾难恢复服务企业 22 JR TXXX1JR TXXX1 XXXXXXXX III 前 言 本规范是对银行业信息系统灾难恢复的管理要求的描述 本规范由中国人民银行提出 本规范由中华人民共和国金融标准工作委员会批准 本规范由中国人民银行科技司归口 本规范起草单位 本规范主要起草人 JR TXXX1JR TXXX1 XXXXXXXX IV 引 言 为规范和引导银行业信息系统灾难恢复工作 有效防范银行业信息系统风险 保护银行业客户的 合法权益 特制定本规范 JR TXXX1JR TXXX1 XXXXXXXX 1 银行业信息系统灾难恢复管理规范 1范围范围 本规范规定了银行业信息系统灾难恢复应遵循的管理要求 本规范适用于在中华人民共和国境内设立的商业银行 城市信用合作社 农村信用合作社以及政 策性银行等金融单位 以下简称 单位 2规范性引用规范性引用文件文件 下列文件中的条款通过本规范的引用而成为本规范的条款 凡是注日期的引用文件 其随后所有 的修改单 不包含勘误的内容 或修订版均不适用于本规范 然而 鼓励根据本规范达成协议的各方 研究是否可使用这些文件的最新版本 凡是不注日期的引用文件 其最新版本适用于本规范 国信办 2005 8 号 重要信息系统灾难恢复指南 3术语和定义术语和定义 3 1 灾难 disaster 由于人为或自然的原因 造成信息系统运行严重故障或瘫痪 使信息系统支持的业务功能停顿或 服务水平不可接受 达到特定的时间的突发性事件 通常导致信息系统需要切换到备用场地运行 3 2 灾难恢复 disaster recovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态 并将其支持的业务功能从 灾难造成的不正常状态恢复到可接受状态 而设计的活动和流程 3 3 灾难恢复规划 disaster recovery planning 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续 运作所做的事前计划和安排 3 4 业务影响分析 business impact analysis 分析业务功能及其相关信息系统资源 评估特定灾难对各种业务功能的影响的过程 3 5 关键业务功能 critical business functions 如果中断一定时间 将显著影响单位运作的服务或职能 3 6 生产系统 production system 正常情况下支持单位日常业务运作的信息系统 包括生产数据 生产数据处理系统和生产网络 3 7 灾难备份中心 备用场所 alternate site 用于灾难发生时接替生产系统运行进行数据处理和支持关键业务功能运作的场所 包括备用数据 JR TXXX1JR TXXX1 XXXXXXXX 2 处理中心 备用的工作环境 备用生活设施和技术支持及运行管理人员 3 8 灾难备份 backup for disaster recovery 为了灾难恢复而对数据 数据处理系统 网络系统 基础设施 技术支持能力和运行管理能力进 行备份的过程 3 9 灾难备份系统 backup system for disaster recovery 用于灾难恢复目的 由数据备份系统 备用数据处理系统和备用的网络系统组成的信息系统 3 10 灾难恢复预案 disaster recovery plan 定义信息系统灾难恢复过程中所需的任务 行动 数据和资源的文件 用于指导相关人员在预定 的灾难恢复目标内恢复信息系统支持的关键业务功能 3 11 同城 near site 与生产中心处于同一区域性风险威胁 但又有一定距离的地点 一般指在 100 公里以内 可实现 数据同步复制的区域 3 12 异地 remote site 不会同时遭受与生产中心同一区域性风险威胁的地点 一般距离生产中心在 100 公里以上 3 13 恢复时间目标 recovery time objective RTO 灾难发生后 信息系统或业务功能从停顿到必须恢复的时间要求 国信办 2005 8 号 3 5 本规范恢复时间目标特指信息系统从停顿到必须恢复的时间要求 3 14 恢复时间点目标 recovery point objective RPO 灾难发生后 系统和数据必须恢复到的时间点要求 3 15 外包 outsourcing 本规范特指单位选择外部专业技术与服务资源 以替代内部资源来承担灾难恢复系统的规划 建 设 运营 管理和维护 3 16 演练 exercise 用于训练人员和提高灾难恢复能力的活动 包括桌面演练 模拟演练 操作演练和演习等 3 17 应急响应 emergency response 本规范特指单位为了应对紧急事件 最大化减少紧急事件对单位业务带来的影响而采取的措施 3 18 灾难恢复指挥中心 disaster recovery command center 本规范特指为了在灾难宣告后 灾难恢复机构用于协调和指挥所有灾难恢复工作 进行资源调度 的物理场所 JR TXXX1JR TXXX1 XXXXXXXX 3 3 19 重建 restoration 本规范特指在灾难对银行原生产中心造成损害后 为了使业务恢复正常运行状态而必须修复原生 产中心或在其他地址重新建造生产中心的过程 3 20 重建计划 restoration plan 为了重建生产中心而做的计划 该计划明确重建过程的可研报告 技术方案 时间安排 人员组 织 资金计划等事项 3 21 回退 return 回退是指生产中心重建完成并达到各项规范所要求的运营条件后 银行的各应用系统搬迁回新的 生产中心的过程 3 22 强制决策点 mandatory decision point 强制决策点是指为了实现灾难恢复时间指标在事件发生后一段时间内必须启动灾难恢复预案 以 下简称 预案 的时间点 3 23 回退计划 return plan 为了顺利地将生产系统功能从备份状态切换回正常运行状态 同时减少切换对银行业务正常运作 的影响所作的事前安排 4银行业信息系统灾难恢复综述银行业信息系统灾难恢复综述 4 1灾难恢复工作内容灾难恢复工作内容 按照灾难恢复的过程 灾难恢复工作包括以下内容 a 组织机构设立和职责 b 风险分析 c 业务影响分析 d 灾难恢复策略的制订 e 灾难恢复工程实施 f 灾难备份系统运行维护 g 应急响应和灾难恢复 h 生产系统重建与回退 4 2灾难恢复的周期性工作灾难恢复的周期性工作 4 2 1需求分析需求分析 灾难恢复的需求分析主要包含风险分析和业务影响分析 单位的各种业务在不断发展 对信息资产依赖性逐步加强 信息系统面临的威胁和信息系统的脆 弱性在不断变化 这些风险因素会直接影响到灾难恢复策略 灾难备份系统和灾难恢复预案的适用性 因此 灾难恢复的需求应定期进行再分析 银行业的灾难恢复需求再分析周期最长为 3 年 在生产系统发生重大变更时应启动再分析工作 JR TXXX1JR TXXX1 XXXXXXXX 4 4 2 2策略制订策略制订 单位应统一规划信息系统灾难恢复工作 根据生产系统现状和本规范的要求制定灾难恢复策略 三年及以上的规划应按照本规范要求进行灾难恢复策略的制订 三年以下的临时性灾难恢复策略可降 低一个灾难恢复级别 或某些系统降低一个灾难恢复级别 单位决策层和管理层应参与灾难恢复策略的制订 灾难恢复策略经决策层审查和批准后 按 13 2 章节内容 要求在人民银行备案 4 2 3技术方案技术方案 单位应定期根据最新的灾难恢复策略复审灾难恢复技术方案 4 2 4灾难恢复预案灾难恢复预案 单位应定期进行复审和修订灾难恢复预案 5组织机构和职责组织机构和职责设立设立 5 1组织机构设组织机构设立立 单位应根据组织机构的情况 设立灾难恢复规划和建设 日常运营维护以及事件发生后的灾难恢 复组织机构 明确工作职责 组织机构的具体内容应在灾难恢复预案中准确说明 灾难恢复组织机构应包含灾难恢复日常运行维护 应急响应 灾难恢复等各阶段工作所需的人员 灾难恢复组织机构的工作岗位人员可为专职岗位 也可为兼职岗位 各阶段工作的关键岗位的工作人 员应有备份 应急响应和灾难恢复阶段的工作组织应预先设立 明确岗位人员组成 机构可为常设 也可根据 灾难恢复工作要求临时召集 单位可根据信息系统的分布情况和分支机构情况设立不同级别的应急响应机构 建议设立总行级 和分支行的多级应急响应机构 灾难恢复组织机构包含决策层 管理层和执行层的人员 由管理 业务 技术和行政后勤等人员 组成 单位可聘请和委托外部机构人员部分或全部承担管理层 执行层的工作职责 a 决策层应包含单位最高层行政领导 负责灾难恢复工作的重大决策 并对银行灾难恢复工作 的成效负有最终责任 b 管理层在决策层领导指挥下 负责灾难恢复工作的管理和协调工作 管理层应包含涉及灾难 恢复工作的主要负责人 包括 业务和管理 信息技术 行政后勤 公关和媒体 审计监督 c 执行层在决策层和管理层的指挥领导下 负责灾难恢复的具体实施工作 执行层应包括 单位涉及灾难恢复工作的业务 技术和行政后勤等部门工作人员 为灾难恢复提供产品技术 服务 管理和决策支持的外部机构人员 包括专业咨询公司 专家 产品和服务厂商 系统集成商 电信服务供应商等团队的成员 单位可聘请外部 机构协助灾难恢复规划和实施工作 也可将灾难恢复工作外包 单位内部和外部协作机构的生产系统的操作人员 操作人员应具有风险防范意识 掌握 灾难恢复工作中的应急响应和灾难恢复流程所需的知识与技能 JR TXXX1JR TXXX1 XXXXXXXX 5 5 2规划建设和维护阶段的职责规划建设和维护阶段的职责 a 决策层的职责主要包括 制定灾难恢复的战略目标 确保灾难恢复工作与单位的整体经营目标 风险管理战略和 资源条件保持一致 b 管理层的职责主要包括 审核批准经费预算 审核批准灾难恢复策略 组织灾难恢复工程实施 管理日常运行维护 审核批准灾难恢复预案 组织和检查测试和演练 组织灾难恢复监督检查和审计 c 执行层的职责主要包括 需求分析和策略制订 灾难恢复工程的实施 灾难备份 灾难备份系统日常运行维护和技术支持 灾难恢复预案制订 维护和测试 实施灾难恢复预案演练 5 3应急响应和灾难恢复阶段的职责应急响应和灾难恢复阶段的职责 a 决策层的职责主要包括 紧急事件发生后 负责应急响应和灾难恢复工作的重大决策的制订 灾难发生后 根据相关规定要求 负责向国务院 银监会 人民银行等银行业监管机构 的重大事件信息通报工作 b 管理层的职责主要包括 指挥和协调应急响应工作 指挥和协调灾难恢复工作 指挥和协调业务恢复工作 指挥和协调重建和回退工作 内部信息通报和沟通 外部机构协调和沟通 组织后勤保障和外部资源 组织和管理媒体公关工作 监督和检查灾难恢复工作 c 执行层的职责主要包括 应急响应的预警和报告 灾难抢修和拯救 损害评估 灾难恢复操作 应用和业务恢复 JR TXXX1JR TXXX1 XXXXXXXX 6 资源保障和供应 业务操作和客户服务 生产系统恢复与重建 5 4机构间合作机构间合作 灾难恢复组织机构应加强与其业务密切相关的机构的协调联系 相互合作 分享经验 共同评估 面临的风险 协同制订灾难恢复策略 提高银行业整体风险防范和灾难恢复能力 6风险分析风险分析 6 1确定风险评估目标确定风险评估目标 随着银行业的信息化程度不断提高 业务对信息资产的依赖日益增加 银行业信息系统可能出现 更多的信息系统脆弱性 面临各种灾难事件的威胁 单位应明确风险评估的目标 根据单位的长期可持续发展和信息化建设的战略目标 全面识别信 息系统面临的灾难威胁 全面识别信息系统的面临的灾难风险脆弱性 分析灾难事件发生造成的损失 影响 6 2确定风险分析范围确定风险分析范围 单位应根据机构现状和业务特点 全面识别和分析影响信息系统正常运行的灾难风险要素 当单 位信息系统支持和依赖的各项业务和管理的因素发生重大变化时 应及时对风险进行再分析 以确保 识别和控制新产生的风险要素 单位应根据信息系统支持的业务领域的经营领域 分析信息系统面临的区域性风险威胁的可能性 和影响程度 区域性风险威胁指可能造成所在地区范围或有紧密联系的邻近地区的交通 电讯 能源 及其它关键基础设施受到严重破坏 或造成此地区的大规模人口疏散或无法联系 例如自然灾害 恐 怖事件 小规模战争攻击 还有区域性通信网故障 电网故障等风险 单位应根据机构经营领域 分析信息系统中断影响业务开展造成的金融领域系统性风险 金融领 域系统性风险指金融市场或支付系统内其他金融机构不能履行其应尽义务而导致其他机构无法开展经 营业务 造成整个金融市场连锁反应 进而影响整个金融体系稳定的风险事件 6 3风险风险评估方法评估方法 单位在开展风险分析的过程中 应识别信息系统的威胁 脆弱和损失 建立全面和准确的风险分 析方法和工具 利用定性和定量的分析方法 分析风险要素 a 单位应全面分析信息系统的威胁 威胁主要包括 自然的 人为的威胁 无意的 故意的威胁 内部的 外部的 内外勾结的威胁 在控制能力之内的 超出控制能力之外的威胁 有先期预警的 没有先期预警的威胁 b 单位应全面分析信息系统的脆弱 脆弱主要包括 基础设施不完备 技术复杂性 管理复杂性 JR TXXX1JR TXXX1 XXXXXXXX 7 数据和系统的集中程度 业务需求的不完善 安全管理不完备 操作规程不严密 c 单位应全面分析业务中断可能造成的损失 损失主要包括 直接经济损失 间接经济损失 负面影响损失 6 4风险控制风险控制 单位应根据风险可能造成的损失 评估风险可接受的程度 针对不可接受的风险评估采取安全措 施的可行性和效率 结合成本效益原则 确定风险防范的安全措施 单位应在开展安全措施的基础上 确定信息系统的残余风险 它将作为灾难恢复规划的场景 应 充分考虑灾难场景发生在最不利的时间和地点 影响范围非常广泛 7业务影响分析业务影响分析 7 1确定关键业务功能确定关键业务功能 单位确定支持业务开展的信息系统关键业务功能 分析的因素包括 但不限于 a 业务系统的运行要求 业务功能的政策性要求 业务系统的时间敏感性要求 与其他金融机构业务功能之间依赖程度 b 信息系统服务提供程度 分析的因素包括 但不限于 功能可替代方法和效率 数据集中程度 管理的帐户数量 涉及的用户范围 业务总量 7 2评估业务中断影响评估业务中断影响 单位应采用定性和定量的方法评估支持关键业务功能的信息系统中断造成的经济因素和非经济因 素损失 定量分析中断影响经济因素包括直接经济损失和间接经济损失 a 直接经济损失包括 但不限于 资产的损失 收入的减少 增加额外业务费用 财务处罚 b 间接经济损失包括 但不限于 丧失的预期收益 丧失的商业机会 JR TXXX1JR TXXX1 XXXXXXXX 8 影响的市场份额 定性分析中断影响因素包括 但不限于 社会形象和品牌影响 法律影响 信用影响 7 3确定恢复需求确定恢复需求 7 3 1确定确定需求等级需求等级 单位应根据风险分析和业务影响分析的结论确定信息系统恢复需求 根据信息系统支持的业务功 能按时间敏感性程度分成三类 a 第一类 业务的中断将对国家政治 经济活动产生重大影响的系统 业务的中断将造成金融领域系统性风险的系统 业务的中断对单位自身可能造成重大经济损失的系统 业务的中断将对社会生活直接造成大范围严重影响的系统 b 第二类 业务功能在短时间内具有一定可替代方式的系统 用户对系统短时间中断具有一定容忍度的系统 c 第三类 业务功能容许一段时间的中断的系统 业务功能在一段时间内具有一定可替代方式的系统 7 3 2最低恢复要求最低恢复要求 根据信息系统的时间敏感性分类 信息系统的灾难恢复最低恢复要求为 a 第一类恢复最低要求 灾难恢复 RTO 6 小时 RPO 15 分钟 b 第二类恢复最低要求 灾难恢复 RTO 24 小时 RPO 120 分钟 c 第三类恢复最低要求 灾难恢复 RTO 7 天 7 3 3确定恢复顺序确定恢复顺序 a 灾难场景下的业务恢复的方法和流程可与正常情况有一定差异 分析差异产生的成本效益 工作效率和业务风险等因素 确定业务恢复的方法 b 根据业务恢复的方法 结合信息系统恢复需求等级和最低恢复要求 分析业务功能间的相 互依赖关系 确定信息系统的恢复顺序 7 3 4确定相关资源确定相关资源 单位应根据恢复要求 确定支持各种信息系统恢复所需的各项资源 按照 国信办 2005 8 号 重 要信息系统灾难恢复指南 6 1 1 章节 要素分析 灾难恢复等级划分标准 支持灾难恢复各个等级所 需的资源分为 7 个要素 a 数据备份系统 b 备用数据处理系统 c 备用网络系统 d 备用基础设施 e 技术支持能力 JR TXXX1JR TXXX1 XXXXXXXX 9 f 运行维护管理能力 g 灾难恢复预案 8灾难恢复策略灾难恢复策略制订制订 8 1成本风险分析和策略的确定成本风险分析和策略的确定 按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则确定每项关键业务功能的灾 难恢复策略 不同的业务功能可采用不同的灾难恢复策略 灾难恢复策略包括 a 灾难恢复资源的获取方式 b 灾难恢复等级各要素的具体要求 8 2灾难恢复等级灾难恢复等级 8 2 1灾难恢复等级的确定灾难恢复等级的确定 单位应根据第 7 章得出的 RTO RPO 确定各业务系统的灾难恢复等级 国信办 2005 8 号 重要 信息系统灾难恢复指南 附录 A 可参考附录 B 的对照表 8 2 2最低等级要求最低等级要求 单位的信息系统按照时间敏感性的类别最低应达到以下灾难恢复等级 国信办 2005 8 号 重要 信息系统灾难恢复指南 附录 A a 时间敏感性第一类 5 级 b 时间敏感性第二类 3 级 c 时间敏感性第三类 2 级 8 3灾难恢复场所的布局灾难恢复场所的布局 8 3 1布局的原则布局的原则 a 规避残余风险 备份中心与生产中心之间的距离 应根据风险控制之后的残余风险来确定同城或异地的方案 异地备用场所与生产中心不能处于同一风险发生的地域 如 同一地震带 同一供电网 同 一交通系统 同一通讯网络等 b 便于灾难恢复 备用场所应考虑灾难恢复所需的数据 人员可及时顺利到达 c 考虑成本风险平衡 8 3 2布局的模式布局的模式 a 拓扑结构 单位根据信息系统和数据分布的特点 可采用以下拓扑结构规划数据备份网络和灾难备 份中心节点位置 一主一备 一个生产中心 一个备份中心 一主多备 一个生产中心 多个备份中心 互为备份 二个生产中心互相备份 一对多 一个备份中心备份多个生产中心 混合方式 以上方式的混合 b 距离的选择 在确定数据备份和灾难恢复场所与生产中心的距离时 应按以下两类风险来评估 JR TXXX1JR TXXX1 XXXXXXXX 10 数据中心风险威胁 高度重视因人为错误 技术故障等局限于数据中心内部的风险造成信息系统中断服 务 大多数单位业务系统都应有防范局限于数据中心内部风险的备份措施 区域性风险威胁 区域性风险威胁一旦发生 区域的系统都会受到影响 但是 这类风险发生的可能 性比较小 时间敏感性强 中断影响大的业务系统需要有针对区域性风险威胁的备份措 施 8 4资源和服务的获取方式资源和服务的获取方式 8 4 1资源的获取方式资源的获取方式 a 基础设施 灾难恢复的基础设施包括计算机机房和其它辅助设施 其获取的方式包括 自行建设 单位可自行建设灾难恢复基础设施 其基础设施的功能和规格应符合相应的灾难恢 复等级要求 应考虑投资效益 运营管理成本和运营管理队伍的稳定性等方面因素 共享方式 单位可采用多方共建 外包或通过互惠协议 利用其它机构的灾难恢复基础设施 但同时应考虑信息的安全保密 灾难恢复范围和责任的界定 同时发生灾难的可能性和 对方能提供的服务水平 选择灾难恢复服务企业考虑的因素可参考附录 C 采用共享方式的灾难备份环境 各机构间应采取必要的安全隔离措施 b 数据备份系统 备用数据处理系统 用于灾难恢复的信息系统设备包括数据备份系统 备用数据处理系统 其获取方式包括 自行采购 与供应商签订紧急供货协定 外包方式 c 通信网络 用于灾难恢复的通信网络包括数据备份线路和备用的用户网络 可采用以下方式获取 自行建设 租用运营商线路 8 4 2专业服务的获取方式专业服务的获取方式 a 灾难恢复咨询服务 咨询服务包括风险分析 业务影响分析 灾难恢复策略的制定 灾难恢复技术方案设计 和实施 灾难恢复预案的制订 测试和演练等 咨询服务的获取方式包括 自己组织实施 委托外部咨询服务 共同开发 b 技术支持服务 灾难恢复的技术支持服务包括数据备份系统 主机系统 数据库 应用软件和通信网络 等 其获取方式包括 自建技术支持队伍 JR TXXX1JR TXXX1 XXXXXXXX 11 与服务商签订服务级别协议 外包 c 运营管理服务 灾难恢复的运营管理服务包含日常维护管理 安全管理和灾难恢复预案维护管理 其获 取方式包括 自建运营队伍 外包 9灾难恢复工程实施灾难恢复工程实施 9 1基础设施建设流程基础设施建设流程 9 1 1规划与设计规划与设计 备用场所计算机机房和辅助设施的选址 规划和设计 应符合国家和金融行业有关标准和规范 9 1 2基础设施建设基础设施建设 备用场地基础设施建设包括土建工程 装修工程 强弱电等工程 应遵照国家和金融行业的相关规 范实施 9 1 3工程验收工程验收 单位应根据国家和行业的有关标准和规范进行备用场所工程验收 包括 a GB 50174 93 电子计算机机房设计规范 b GB T 2887 2000 电子计算机场地通用规范 c SJ T 30003 93 电子计算机机房施工及验收规范 d GB T 9361 88 计算机站场地安全要求 e GB 6650 86 计算机机房用活动地板技术条件 f SJ T 10796 2001 静电活动地板通用规范 g GB 50116 1998 火灾自动报警系统设计规范 h GBJ 16 87 2001 年版 建筑设计防火规范 i GB 50045 95 2005 年版 高层民用建筑设计防火规范 j GB 50222 95 建筑内部装修设计防火规范 k GB 50265 97 气体灭火系统施工及验收规范 l GB 50166 1992 火灾自动报警系统施工及验收规范 m GB 50052 1995 供配电系统设计规范 n GB 50057 1994 2000 版 建筑物防雷设计规范 o GB 4943 2001 信息技术设备的安全 p GB 8702 1988 电磁辐射防护规定 q GB 9175 1988 环境电磁卫生标准 r GA 267 2000 计算机信息系统雷电电磁波脉冲安全防护规范 s GB T 18233 2000 信息技术 用户建筑群的通用布缆 9 2灾难备份系统建设流程灾难备份系统建设流程 9 2 1技术方案的设计技术方案的设计 根据灾难恢复策略制订相应的灾难备份系统技术方案 包含数据备份系统 备用数据处理系统和 JR TXXX1JR TXXX1 XXXXXXXX 12 备用的网络系统 技术方案中所设计的系统 应 a 获得同生产系统相当的安全保护 b 具有可扩展性 9 2 2技术方案验证 确认和系统开发技术方案验证 确认和系统开发 为确保技术方案满足灾难恢复策略的要求 应组织对技术方案进行确认和验证 并记录和保存验 证及确认的结果 按照确认的灾难备份系统技术方案进行开发 实现所要求的数据备份系统 备用数据处理系统和 备用网络系统 9 2 3系统安装和测试系统安装和测试 按照经过确认的技术方案 应制定各阶段的系统安装及测试计划 以及支持不同关键业务功能的 系统安装和测试计划 并组织共同进行测试 确认以下各项功能可正确实现 a 灾难备份及恢复功能 b 在限定的时间内 利用备份数据正确恢复系统 应用软件及各类数据 正确恢复各项关键业 务功能 c 客户端可与备用数据处理系统通信正常 9 3灾难恢复预案开发灾难恢复预案开发 9 3 1制订原则制订原则 a 完整性 预案应包含灾难恢复的整个过程 以及灾难恢复所需的尽可能全面的数据和资料 b 易用性 预案应运用易于理解的语言和图表 适合在紧急情况下使用 c 明确性 预案应采用清晰的结构 对资源进行清楚的描述 工作内容和步骤应具体 每项工 作应有明确的责任人 d 有效性 预案应尽可能满足灾难发生时进行恢复的实际需要 并保持与实际系统和人员组织 的同步更新 e 兼容性 预案应与其它应急预案体系有机结合 9 3 2预案的制订 验证和批准预案的制订 验证和批准 a 初稿的制订 按照风险分析和业务影响分析所确定的灾难恢复内容 根据灾难恢复等级的要 求 结合单位其它相关的应急预案 撰写出灾难恢复预案的初稿 b 初稿的评审 单位应对灾难恢复预案初稿的全面性 易用性 明确性 有效性和兼容性进行 严格的评审 评审应有相应的流程保证 c 初稿的修订 根据评审结果 对预案进行修订 纠正在初稿评审过程中发现的问题和缺陷 形成预案的修订稿 d 预案的测试 单位应预先制订测试计划 在计划中说明测试的案例 测试应包含基本单元测 试 关联测试和整体测试 测试的整个过程应有详细的记录 并形成测试报告 e 预案的验证 单位应制定灾难恢复预案的各种演练方法和计划 制定灾难恢复预案的验证方 法和验证流程 并由专责的人员对灾难恢复预案进行测试 并对灾难恢复预案进行相应的演 练 f 审查和批准 根据测试的记录和报告 对预案的修订稿进一步完善 形成预案的报批稿 并 由单位决策层对经过测试和验证的灾难恢复预案进行审查和批准 确定为预案的执行稿 JR TXXX1JR TXXX1 XXXXXXXX 13 9 4技术支持能力实现技术支持能力实现 单位应根据灾难恢复策略的要求 获取对灾难备份系统的技术支持能力 灾难备份中心应建立相应的技术支持组织 定期对技术支持人员进行技能的教育和培训 9 5运行维护管理能力实现运行维护管理能力实现 为了达到灾难恢复目标 灾难备份中心应建立各种操作和管理制度 用以保证 a 数据备份的及时性和有效性 b 备用数据处理系统和备用网络系统处于正常状态 并与生产系统的参数保持一致 c 有效的应急响应 处理能力 灾难备份中心应建立各种操作和管理制度 包括 但不限于 a 灾难备份的流程和管理制度 b 灾难备份中心机房的管理制度 c 按介质特性对备份数据进行定期存取 验证和转储管理制度 d 实时数据备份系统运行管理制度 e 硬件系统 系统软件和应用软件的运行管理制度 f 灾难备份系统的变更管理流程 g 灾难恢复预案以及相关技术手册的保管 分发 更新和备案制度 h 非灾难恢复用的信息系统运行管理制度 例如 提高灾难备份系统使用率而运行的测试系统 报表和数据分析系统 临时系统等 9 6项目监理项目监理 单位可委托专业的第三方监理机构 建立灾难恢复工程的监理方案 对工程过程进行有效的 监督管理 降低工程建设风险 控制建设经费 保证工程进度 质量和资金管理目标的完成 10 灾难备份系统运行维护灾难备份系统运行维护 10 1运行维护的目的运行维护的目的 为保证已经建成的灾难备份系统的完整性和有效性 单位应加强对灾难备份工作的日常管理和维 护 应定期开展灾难恢复预案的演练 提高应急响应和灾难恢复能力 应加强灾难备份系统的信息安 全管理 当发生紧急情况后 灾难备份中心应配合应急响应的工作要求 进入预警状态 宣告灾难后应及 时启动灾难恢复 10 2灾难备份系统运行维护灾难备份系统运行维护 10 2 1基础设施基础设施 单位应保证灾难恢复基础设施完好并达到灾难恢复所需要的等级要求 以保证在灾难发生后提供 有效安全的恢复场地 这些基础设施包括 a 机房空间 b 机房恒温恒湿空调系统 c 保安监控系统 d 电力系统 e 消防系统等 JR TXXX1JR TXXX1 XXXXXXXX 14 所有系统的指标应符合国家机房相关标准的规定 这些标准包括 a GB 2887 计算机场地技术条件 b GB 50174 计算机场地设计规范 c GB 9361 计算机场地安全要求 10 2 2备用数据处理系统备用数据处理系统 单位应对备用数据处理系统进行定期检测维护 包括硬件系统 系统软件和应用软件检测 生产 系统的各种补丁更新以及变化应及时更新到灾难备份系统中 保障数据处理系统在灾难恢复和运行阶段的正常运作 保障能提供切换和运行时的技术支持 10 2 3数据备份系统数据备份系统 应对数据备份系统进行定期检测维护 包括备份中心和生产中心的硬件系统 软件系统的可用性 和完整性 备份数据的一致性 可用性和完整性 保障数据备份系统在灾难恢复和运行阶段的正常运作 保障能提供切换和运行时的技术支持 10 2 4备用网络系统备用网络系统 单位应对备用网络系统进行定期检测维护 包括数据网络 存储网络和语音通信系统等 保障网络和应急通信系统在灾难恢复和运行阶段的正常运作 保障提供切换和运行时的技术支持 10 3灾难恢复预案管理灾难恢复预案管理 单位应安排专人负责灾难恢复预案的日常维护管理 包括以下工作内容 a 灾难恢复预案的保管 更新和分发 灾难恢复机构的所有工作人员应保留最新版本的灾难恢复预案 灾难恢复预案应作为保密文件保管 灾难恢复预案应存放在生产中心以外的安全地点 可以以多种形式介质拷贝方式 在不 同的地点保存 灾难恢复预案应加强版本管理 分发和回收 在每次修订后所有拷贝统一更新 并保留 一套以备查阅 原分发的旧版本应销毁 b 灾难恢复预案的更新维护 包括以下工作内容 灾难恢复预案涉及的内容发生重大变更后应立即更新灾难恢复预案 演练后根据演练评估结论应立即更新灾难恢复预案 应以月度为单位对灾难恢复预案进行检查 发现问题应立即更新 每年应至少组织一次灾难恢复预案的审查和批准工作 c 灾难恢复预案的教育 培训 包括以下工作内容 在灾难恢复规划的初期就应开始灾难恢复观念的宣传教育工作 定期组织预案培训 开发和落实相应的培训 教育课程 保证课程内容与预案的要求相一 致 事先确定培训的频次和范围 培训后保留培训的记录 10 4灾难恢复预案演练灾难恢复预案演练 10 4 1演练的目的演练的目的 演练的目的是为了验证灾难恢复预案的完整性 易用性 明确性 有效性和兼容性 提高单位的 预案执行能力 演练包括事前预先通告相关参加演练人员和非事前通告两种方式 JR TXXX1JR TXXX1 XXXXXXXX 15 10 4 2演练的种类演练的种类 a 完全演练 由灾难恢复机构的决策层或管理层组织全体灾难恢复机构人员共同参与 全面演 练灾难恢复预案的技术和应用的恢复能力 b 部分演练包括 但不限于 技术系统演练 由灾难恢复机构管理层的技术部门组织相关人员 业务 后勤等 参与 模拟各种灾难场景 演练灾难恢复预案的技术系统恢复能力 应用恢复演练 由灾难恢复机构管理层的业务部门组织相关人员 技术 后勤等 参与 模拟各种灾难场景 演练灾难恢复预案的应用和业务恢复能力 演练业务恢复的特殊流 程操作 技术系统测试 由灾难恢复机构的技术部门对灾难备份系统的各种技术系统进行测试 可利用灾难备份系统技术设备 采取计划性或非计划性中断方式测试技术系统恢复能力 桌面演练 组织相关的灾难恢复组织人员 模拟各种灾难场景 集中讨论和验证灾难恢 复预案的恢复能力 模拟场景演练 组织相关的灾难恢复组织机构人员 模拟特定的灾难场景 例如火灾 电力中断 台风等 演练灾难恢复预案的恢复能力 灾难备份中心演练 组织相关的灾难恢复组织机构人员 测试和演练灾难备份中心 备 用场所基础设施 灾难备份系统的运行维护管理和技术支持能力 服务和产品供应商演练 组织相关的产品和服务供应商 根据相关产品和服务协议和合 同 测试和演练服务和产品供应商的灾难恢复服务水平 10 4 3演练的层次演练的层次 单位根据演练工作涉及的范围 开展多层次的演练工作 包括 但不限于 a 以管理和指挥协调为主的指挥演练 b 以技术操作恢复为主的技术演练 c 以应用和业务恢复为主的业务演练 d 以技术和资源服务支持 后勤保障为主的服务支持演练 10 4 4演练演练的组织的组织 单位每年应至少组织一次完全演练 可根据单位实际情况不定期地组织各种类的演练 在组织演练时 应考虑演练期间发生突发事件的可能性 并准备相应的应急措施 演练应尽量减少对正常业务和生产的影响 演练时间可选择在非办公时间或业务不繁忙的时段进 行 10 4 5演练的评估演练的评估 为了保证演练的有效性 应在每次演练后组织评估 在演练开始前应制定和演练审核评估方案 对演练场景和目标达成一致 确定演练评估标准 在演练开始后全程跟踪 按照评估标准对演练活动 进行观察和记录 在演练结束后对演练进行分析和总结 分析和总结包括以下内容 a 灾难恢复预案的完整性 易用性 明确性 有效性和兼容性 b 演练结果与演练目标的差距 c 执行灾难恢复预案的风险程度 d 灾难恢复预案的优化方案 e 灾难恢复机构人员的知识水平和执行能力 JR TXXX1JR TXXX1 XXXXXXXX 16 10 4 6预案的修订预案的修订 单位应根据演练评估结论对灾难恢复预案进行维护和更新 在下次演练计划中应加强对更新部分 演练 验证更新部分的有效性 11 应急响应和灾难恢复应急响应和灾难恢复 11 1应急响应应急响应 为了尽可能在紧急事件发生时快速反应 降低可能造成的损失 单位应开发应急响应计划 内容 包括 建立灾难恢复指挥中心 接收和报告紧急事件信息 对紧急事件的原因进行检查和损失评估 采取相应的风险处置和弥补工作 降低损失 防范事态恶化 单位的应急响应机构根据应急响应计划 实施应急响应中的各项工作 应急响应的具体工作要点 可参考附录 A 1 单位应准备紧急联络方式防止紧急事件可能造成的通信中断 11 2灾难恢复灾难恢复 灾难恢复工作从灾难宣告开始 灾难恢复由单位的灾难恢复机构的工作人员根据事前准备的灾难 恢复预案执行相关的指挥和操作工作 灾难恢复机构的工作人员应及时跟踪事态变化和恢复进程 加强沟通 加强恢复工作的统一指挥 和管理 灾难恢复的具体工作要点可参考附录 A 2 灾难备份中心和系统应满足切换运行后持续运行 30 天的能力 单位启用灾难备份系统对关键业务系统进行恢复 应报告中国人民银行 12 生产系统重建与回退生产系统重建与回退 12 1生产系统的重建生产系统的重建 生产系统的重建是指在灾难发生后 开发重建计划 执行生产系统的重新建设和功能恢复 a 原生产系统的可用性评估 在进行生产系统重建前应对灾难造成的损失进行评估 评估内容 包括 灾难破坏情况 业务影响程度 原址重建的可能性或新址选择 挽救的设备清点和测试情况 b 开展生产中心重建需求评估 评估内容包括 建筑结构和基础设施 系统和相关设备 技术人员和技术支持力量 重要文档和介质 备用系统运行情况的可接受的最长时间 c 确定修复或者重新建设方案 开展重建工作实施 12 2生产系统的回退生产系统的回退 生产系统回退是指将灾难备份系统的功能转移到新建或恢复的生产系统 各项业务恢复到正常运 行状态的过程 内容包括硬件系统的恢复 数据的回退 网络的恢复以及业务系统服务功能的回退等 JR TXXX1JR TXXX1 XXXXXXXX 17 单位应制定详细的回退计划 内容包括 a 重建系统的测试 b 检查系统中的备份数据 防止重要信息的泄漏 c 系统切换计划 d 安全处理相关数据 将灾难备份系统恢复为备用状态 e 人员和重要设备撤离安排 13 监督管理监督管理 13 1审计审计 灾难恢复工作的审计工作分为内部审计和外部审计 内部审计由单位内部人员组织实施 外部 审计由独立的第三方具有外部审计专业能力的服务机构和专家组织实施 单位应每年至少组织一次内部审计工作 审计工作包括以下内容 灾难恢复预案的完整性 易用性 明确性 有效性 兼容性 灾难恢复预案的管理和更新 灾难恢复组织机构人员的有效性和技能准备情况 灾难备份系统的完整性和可用性 灾难备份中心维护管理和技术支持能力 灾难恢复工作的制度建设 演练组织和演练评估 对发生的险情 损失和问题情况的记录与改进跟踪 审计工作结论应形成审计报告 审计报告将作为风险内控措施的成果进行存档 并按 13 2 章 节内容 要求进行备案 控制审计过程中的涉密资料的保管和发放 审计报告应进行授权管理 13 2备案备案 单位的灾难恢复工作的相关文件应在中国人民银行进行备案 备案工作每年进行一次 内容包 括 a 单位短期和中长期灾难恢复策略 b 单位年度的灾难恢复工作现状以及重大变更情况 c 单位的年度灾难恢复工作审计报告 JR TXXX1JR TXXX1 XXXXXXXX 18 附录附录 A 资料性附录资料性附录 应急响应和灾难恢复应急响应和灾难恢复工作要点工作要点 A 1 应急应急响应响应工作要点工作要点 A 1 1 事件报告与检测事件报告与检测 a 单位应公布应急响应机构人员的联系方案 紧急事件报告可能由以下人员发起 设施维护人员 终端操作人员 信息系统运行维护人员 其他可能侦测到信息系统紧急事件的人员 b 应急响应成员接到紧急事件的报警后应记录事件信息 内容包括 事件的类型 例如 网络系统故障 基础设施故障 如空调 电力系统中断服务 服务 器硬件故障 应用软件故障 人为破坏 自然灾害等 可能影响到的区域和业务 事件发生的时间 地点 事件可能的发生原因 事态是否可控制 人员伤亡情况 可能需要的恢复时间和难度 c 通知应急响应机构其他人员 d 若需要 应急响应机构人员联系社会救援力量进行抢救 e 组织现场的检查和评估 对现场情况的判断 形成问题的综合简报 A 1 2 预警与抢救预警与抢救 a 单位进行预警发布 向决策层或管理层报告 说明自己的下一步工作建议 向各部门的管理层通报灾难信息以及可能会受到影响的业务范围 通知应急响应的相关成员到指定地点集合 并开始抢救工作 通知灾难备份中心进入预警状态 如果紧急事件涉及外部服务供应商 根据服务供应商的服务协议进行联系 要求参与前 期的损失评估和抢救等工作 b 挽救和减少损失 在保证安全的前提下 积极调动力量 参与人员 资产设备 数据等资源的抢救工作 单位有责任配合社会救援机构对事件发生地的人员 设备进行抢救 减少损失 安排抢救物资 运输到事先准备的场地 对于在抢救工作中表现突出的人员事后给予表彰和奖励 A 1 3 分析评估分析评估 a 对事件的原因进行判断 对事态发展进行判断 b 对损失进行核对 评估和记录 c 分析和决策应急处置策略 d 应在接到报告后和强制决策点之前 评估是否启动灾难备份中心和灾难恢复预案 决策层应 JR TXXX1JR TXXX1 XXXXXXXX 19 向人民银行和有关监管机构报告有关情况 e 灾难宣告的强制决策点有多种确定方式 常用方法是 若紧急事件评估为灾难 从事件发生 起计算 信息系统恢复要求 RTO 减去预计恢复操作时间这个时刻为灾难宣告的强制决策点 A 1 4 应急处置应急处置 a 应急处置工作应在强制决策点之前完成 如果紧急事件在规定的时间内解决 通知人员取消 预警 同时 记录事件的具体信息 形成书面材料 以便后期备查 b 若需要 安排人员安全疏散 安排人员救助 c 若需要 立刻通知厂商维护人员按照合同约定的时间到现场进行本地抢修 d 将目前抢救进程情况根据事件的紧急程度通知决策层领导 e 根据决策意见或强行启动灾难恢复预案的条件 启动灾难恢复预案 进入灾难恢复流程 f 所有事件相关的处理过程应严格记录 以备事后检查 A 2 灾难恢复灾难恢复工作要点工作要点 A 2 1 灾难宣告灾难宣告 a 灾难宣告授权 灾难宣告由单位的授权人员进行 灾难宣告的决策通常由单位的决策层人员担任 应事 先安排备份授权人员 授权人员名单和联系方式应在灾难恢复预案中记录 授权名单应保存在每个灾难备份中 心 b 灾难宣告方式 灾难宣告可采用多种方式 包括电话通知 传真和其它事先准备的紧急通信方式等 公关和媒体关系部门负责对外通报相关信息 信息的内容和范围应符合相关规定 并经 决策层领导批准 启动灾难恢复中心恢复关键业务系统应报告人民银行 c 灾难宣告可包括以下主要内容 所发生灾难的类型 时间 地点 灾难影响范围 目前的恢复状态 灾难恢复预案的启动 灾难恢复目标和工作要求 A 2 2 启动灾难恢复预案启动灾难恢复预案 启动经过审批的指定版本的灾难恢复预案 A 2 3 人员联络和集合人员联络和集合 按照灾难恢复预案中人员通知方式 完成人员联络和集合 A 2 4 资源调度资源调度 统一调度和采购灾难恢复的各项资源 做好资源