(三)第三类
1、第2级备用场地支持
2、RTO<=7天,RPO<=36小时
第十九条 保险机构应制定统一的灾难恢复策略。灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。
保险机构应根据各信息系统的灾难恢复目标,确定灾难恢复所需的七个方面的资源要素:
(一)数据备份系统;
(二)备用数据处理系统;
(三)备用网络系统;
(四)备用基础设施;
(五)专业技术支持能力;
(六)运行维护管理能力;
(七)灾难恢复预案。
第二十条 保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。灾难恢复策略经决策层审查和批准后,按本指引要求备案。
第五章 灾难备份中心的建设与运行维护
第二十一条 保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。
保险机构应根据风险分析的结果,确定同城和/或异地灾备建设方案。灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。
第二十二条 灾难备份中心的基础设施应符合以下要求:
(一)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;
(二)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受一定的同类风险;
(三)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据、人员等资源可及时到达;
(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;
(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准,并通过当地消防部门验收;
(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式,只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备;
(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。
(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。
第二十三条 灾难备份系统的建设应符合以下要求:
(一)根据灾难恢复策略制定灾难备份系统技术方案,建立数据备份系统、备用数据处理系统和备用网络系统等。技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性;
(二)应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统;
(三)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求;
(四)应根据灾难恢复策略的要求,建立灾难备份系统的技术支持体系。
第二十四条 灾难备份中心的运行维护应符合以下要求:
(一)建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等;
(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员,保障设备和系统正常稳定运行;
(三)定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能提供切换和运行时的技术支持;
(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息;记录机房环境、系统运行和网络状态等监控信息。
第六章 资源和专业服务的获取和保障
第二十五条 灾难恢复建设可以采用自建、共建和外包等模式,并按有关要求向中国保监会备案。
第二十六条 保险机构在进行灾难恢复外包时,应根据灾难恢复策略确定外包服务范围,认真分析和评估外包存在的风险,制定相关的风险管控措施。应与外包服务商签署服务水平协议,并定期验证灾难恢复服务商的服务水平和能力,加强外包系统的安全和保密管理。中国保监会采纳国家认可的有关测评机构对灾难恢复服务商的评估结果。涉密信息系统的灾难恢复工作应符合国家有关保密规定。
灾难恢复外包服务商应至少符合以下要求,国家另有规定的应从其规定:
(一)在中华人民共和国境内注册的法人机构;
(二)具备三年以上灾难恢复外包服务经验,服务的灾难恢复外包客户不少于三家;
(三)具备完整的服务质量保证体系和信息安全管理体系,通过相关权威认证;
(四)基础设施应达到本指引的要求,灾难恢复能力等级应在四级以上;
(五)中国保监会规定的其他要求。
