前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国金融标准化技术委员会保险分技术委员会(SAC/TC180/SC1)提出并归口。
本文件起草单位:中国太平保险集团有限责任公司、中国人民保险集团股份有限公司、中国太平洋保险(集团)股份有限公司。
本文件主要起草人:孔祥林、胡冰、黄彪、胡罡、丁先明、廖俊平、王洋、李石利、张柏青、陈明坚、关胜、吴国安、刘强。
本文件为首次制定。
保险业信息系统灾难恢复管理规范
1、范围
本文件规定了信息系统灾难恢复的组织管理、灾难备份中心的规划建设和运营、灾难恢复的预案管理及演练等管理要求。
本文件适用于中国境内保险机构,保险行业信息共享平台运营机构、保险集团所属的其他金融企业亦可参照使用。
2、规范性引用文件
下列文件中的内容通过文中的规范性引用而成为本文件的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984 信息安全技术 信息安全风险评估规范
GB/T 20988 信息安全技术 信息系统灾难恢复规范
GB/T 36957 信息安全技术 灾难恢复服务要求
GB 50174数据中心设计规范
3、术语和定义
下列术语和定义适用本文件。
3.1 业务连续性管理business continuity management
业务连续性管理是指为保护组织的利益、声誉、品牌和价值创造活动,找出对组织有潜在影响的威胁,提供建设组织有效反应恢复能力的框架的整体管理过程。注:包括组织在面临灾难时对恢复或连续性的管理,以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程。[来源:GB/T20988—2007,3.4,有修改]
3.2 风险分析 risk analysis
风险分析是指确定影响信息系统正常运行的风险,评估对单位业务运营至关重要的功能,定义降低潜在危险控制手段的流程。注:风险分析经常会涉及到对特殊事件发生可能性的评估。[来源:JR/T0044—2008,3.6,有修改]
3.3 业务影响分析 business impact analysis
业务影响分析是指分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。[来源:GB/T20988—2007,3.5]
3.4 恢复时间目标 recovery time objective;RTO
恢复时间目标是指灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。[来源:GB/T20988—2007,3.18]
3.5 恢复点目标 recovery point objective;RPO
恢复点目标是指灾难发生后,系统和数据必须恢复到的时间点要求。[来源:GB/T20988—2007,3.19]
3.6 云计算 cloud computing
云计算是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并可按需自助获取和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。[来源:GB/T31168—2023,3.1]
3.7 灾难恢复 disaster recovery
灾难恢复是指为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。[来源:JR/T0044—2008,3.3]
3.8 灾难备份 backup for disaster recovery
灾难备份是指为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、业务和技术等相关人员进行备份的措施。[来源:JR/T0044—2008,3.12]
4、灾难恢复综述
4.1 灾难恢复目标
灾难恢复目标是保险机构通过有效的技术与管理手段,确保在灾难发生时迅速恢复信息系统运行,最大限度地降低损失和影响,保障数据的完整性和可用性,保障业务的连续性。
4.2 灾难恢复工作内容
保险机构应建立与灾难恢复目标相适应的信息系统灾难恢复体系,提高应对重要信息系统运营中断事件的处置能力,保障重要信息系统及业务持续稳定运行。灾难恢复工作包括规划、建设和运营等阶段,主要包括以下内容:
a)灾难恢复的组织机构的设立,包括组织机构的构成及职责分工;
b)灾难恢复的规划,包括风险分析、业务影响分析和灾难恢复策略等;
c)灾难备份中心的建设,包括灾难备份中心基础设施建设、灾难备份系统建设和灾难恢复预案体系建设等;
d)灾难备份中心的运营,包括灾难备份中心的运行维护与演练管理等;
e)组织开展信息系统的灾难恢复的评估及审计。
5、灾难恢复组织机构
5.1 组织机构设立
保险机构应结合具体情况设立灾难恢复组织机构,具体要求如下:
a)保险机构应建立由法定代表人或主要负责人领导的、各相关部门参与的灾难恢复组织机构;
b)保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和管理及决策工作;
c)保险机构应设立或依托现有部门设立灾难恢复工作办公室,作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务;
d)灾难恢复管理包括日常管理和应急管理,保险机构应建立相应的组织机构,宜根据信息系统及分支机构情况建立分级的灾难恢复组织机构;
e)灾难恢复的部分职能可由外包服务机构承担,外包服务机构应视外包职能的范围设立内部组织机构,履行相应的灾难恢复职能,并与保险机构的灾难恢复组织机构对接;同时保险机构应指定或设立相应组织,负责对外包服务机构进行管理并担负起相应的管理责任;
f)已建立业务连续性管理组织机构的保险机构,灾难恢复组织机构的功能可由相关的业务连续性组织机构承接。
5.2 组织机构构成
5.2.1 日常管理组织机构
5.2.1.1 灾难恢复责任人
保险机构法定代表人或主要负责人是灾难恢复管理工作的责任人,对信息系统灾难恢复工作承担最终责任,其主要职责具体如下:
a)审核和批准信息系统灾难恢复策略、政策和程序;
b)审批灾难恢复管理委员会的信息系统灾难恢复职责,定期听取灾难恢复管理委员会关于信息系统灾难恢复工作的报告,监督及评价其履职情况;
c)审批信息系统灾难恢复工作相关审计报告,审核并批准经费预算。
5.2.1.2 灾难恢复管理委员会
保险机构应设立灾难恢复管理委员会,委员会成员由高级管理层和相关部门负责人组成,统一负责灾难恢复的规划、实施、运营维护的管理和决策工作,其主要职责具体如下:
a)制定并定期审查以及监督执行灾难恢复策略、政策和程序;
b)参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性;
c)明确各部门灾难恢复职责和报告路线,监督灾难恢复策略的执行情况,督促各部门履行相关职责,确保灾难恢复体系正常运行;
d)确保配置足够的资源,保障灾难恢复的实施。
5.2.1.3 灾难恢复工作办公室
保险机构应设立或依托现有部门设立灾难恢复工作办公室,作为灾难恢复管理委员会的常设办公机构,具体负责组织协调灾难恢复事宜。灾难恢复工作办公室可由风险管理部门、其他综合管理部门或信息科技部门负责,其主要职责具体如下:
a)执行灾难恢复策略、政策和程序;
b)协助业务连续性管理主管部门(如已建立)或组织业务部门和信息科技部门开展风险分析和业务影响分析;
c)组织制定灾难恢复策略,提交灾难恢复管理委员会审批;
d)组织制定并审核灾难恢复预案,协调各部门制定并审核专项预案;
e)制定灾难恢复演练计划,并组织相关部门执行演练;
f)组织开展并审核灾难恢复工作的评估与改进;
g)组织开展灾难恢复文化建设及相关培训;
h)组织开展保险监管机构要求的灾难恢复管理报送工作;
i)职责范围内其他与灾难恢复相关的工作。
5.2.1.4 灾难恢复执行机构
灾难恢复执行机构包括业务部门、信息科技部门和保障部门等,在灾难恢复工作办公室统一组织协调下,负责具体执行灾难恢复工作,其主要职责具体分别如下:
a)业务部门主要职责包括:1)对本部门归口管理的业务进行风险分析和业务影响分析;2)在新业务上线前,负责针对新业务开展业务影响分析工作,对于重要业务应按照相关要求确定重要业务恢复目标;3)明确重要业务恢复策略,负责开发信息系统中断场景下的业务专项应急预案;4)配合制定灾难恢复演练方案,参与演练的实施与总结,对本部门归口管理的重要业务开展灾难恢复演练、评估与改进工作;5)部门内灾难恢复文化建设及相关培训;6)部门职责范围内其他与灾难恢复相关的工作。
b)信息科技部门主要职责包括:1)根据风险分析和业务影响分析结论,结合信息系统现状与规划,确定信息系统灾难恢复范围、恢复顺序与灾难恢复能力等级;2)开展信息系统资源风险评估,保障信息系统资源有效性和可用性;3)根据信息系统灾难恢复目标,制定灾难备份中心及灾难备份系统建设策略与方案,明确信息系统恢复策略;4)在灾难恢复预案的框架下,制定并完善信息系统专项应急预案和操作手册;5)进行灾难恢复资源建设、管理和维护;6)信息科技范畴内的灾难恢复演练、评估与改进工作,并在日常工作和演练中关注与业务部门、保障部门应急预案的有效衔接;7)部门内灾难恢复文化建设及相关培训;8)部门职责范围内其他与灾难恢复相关的工作。
c)保障部门主要职责包括:负责灾难恢复工作的相关保障工作,为灾难恢复日常管理和应急管理提供人力、物力和财力等资源保障、安全保障、媒体公关和法律诉讼等工作。注:灾难恢复保障部门包括行政、人力资源、公共关系、财务、法律合规、后勤和安保等部门。
5.2.2 应急管理组织机构
5.2.2.1 应急决策层
应急决策层由灾难恢复管理委员会相关成员组成,负责重大业务运营中断事件应急预案的启动、应急处置过程中重大事项的决策、批准向上一级机构与保险监管机构的报告和对外通报等。
5.2.2.2 应急指挥层
应急指挥层由保险机构灾难恢复工作办公室负责人、业务部门、信息科技部门和保障部门负责人组成,其主要职责具体如下:
a)指挥和组织协调信息系统中断事件的应急处置工作,督导应急处置措施的具体实施;
b)信息系统中断事件处置过程中向应急决策层报告处置进展情况,处置结束后向灾难恢复管理委员会报送总结报告;
c)其他信息系统中断事件处置过程中需领导和指挥的事项。
5.2.2.3 应急执行层
应急执行层由业务部门、信息科技部门和保障部门工作人员组成,各部门的主要职责具体如下:
a)业务部门主要职责包括:1)按照业务专项应急预案,开展信息系统中断事件的业务应急处置工作,降低系统中断对业务运营的负面影响;2)组织一线业务人员做好客户安抚和解释工作,防范和消除客户负面情绪和过激行为;3)向应急指挥层报告业务应急处置进展情况和事态发展情况;4)与应急执行层相关部门同步应急处置情况。
b)信息科技部门主要职责包括:1)开展信息系统中断事件的问题排查、抢修和调整等具体处置工作;2)执行信息系统灾难恢复预案,保障灾难备份系统能够顺利接管生产和重续运行;3)向应急指挥层报告信息系统应急处置进展情况、事件发展情况以及恢复成效评估和总结;4)收集分析突发事件处置过程中的数据信息和日志;5)生产中心的恢复、重建和回退;6)损害评估、抢修拯救和敏感数据保护;7)与应急执行层相关部门同步应急处置情况。
c)保障部门主要职责包括:1)提供突发事件处置过程中所需人力、物力和财力等资源保障;2)及时、准确向保险监管机构、股东、客户、媒体和社会公众等报告或披露事件信息;3)配合业务部门对受影响客户进行解释和安抚工作;4)做好秩序维护、安全保障、法律咨询和支援等工作;5)与应急执行层相关部门同步应急处置情况。
6、灾难恢复规划
6.1 风险分析
6.1.1 分析目标
风险分析是灾难恢复建设的基础工作,也是保险机构全面风险管理的有机组成部分。保险机构应明确支持重要业务开展的关键信息系统资源,识别其可能面临的风险场景,并对风险发生的可能性、造成的损失和可采取的防范措施进行分析,为灾难恢复体系规划和策略制定与实施提供科学依据。
6.1.2 分析范围
风险分析范围为重要信息系统运行所依赖的关键资源,包括数据中心基础设施、网络及通讯线路、硬件、软件、数据、文档、人员、办公场地、办公设备以及外部服务商等资源。
6.1.3 分析方法
风险分析工作应按照GB/T 20984确定的基本概念、要素关系、分析原理、实施流程和评估方法开展。保险机构在采用云计算和区块链等新兴技术时,应着重评估新技术服务和服务提供商的风险管控能力。根据新技术的特点和保险机构自身采购需求,识别导致保险机构业务运营中断或服务能力下降的风险场景(如云资源竞争、数据副本不可用等)并进行风险分析,制定相应的防控措施。
6.1.4 分析报告
风险分析工作应以书面报告形式体现,报告应包括的内容具体如下:
a)分析关键资源所面临的各类威胁以及资源自身的脆弱性,确定资源面临的风险;
b)根据风险类型制定降低、缓释和转移等应对策略;
c)依据防范或控制风险的可行性和残余风险的可接受程度,确定风险防范和控制措施。
6.1.5 持续改进
保险机构应根据信息系统的灾难恢复工作情况,确定风险分析频度,至少每三年进行一次全面风险分析。当关键资源发生重大变化,或发生重大灾难事件后,保险机构应立即启动风险分析工作。
6.2 业务影响分析
6.2.1 分析目标
通过深入理解组织业务环境,评估业务运营中断对保险机构造成的影响,保险机构应明确业务重要等级和灾难恢复需求,评估信息系统恢复优先等级和灾难恢复指标,为灾难恢复策略制定和灾难备份中心建设提供依据。
6.2.2 分析范围
保险机构应将所有需要信息系统支持的业务活动纳入业务影响分析范围,业务活动包括但不限于承保、理赔、投资和财务管理等。
6.2.3 分析方法
6.2.3.1 业务基本情况调研
收集、分析信息系统支持的业务活动,具体要求如下:
a)业务活动开展情况、职能部门和正常处理流程等相关信息;
b)业务活动的政策法规要求;
c)业务服务渠道、客户类型和业务上下游外部机构等;
d)业务活动所需数据及其分布和存放情况;
e)业务运营时段、特点、时效性要求、业务量及峰值时间等;
f)业务活动之间的关联关系等。
6.2.3.2 评估业务中断影响
针对业务基本情况,评估信息系统中断对业务造成的影响,分析信息系统业务数据丢失对业务运营造成的影响,评估业务活动对数据丢失的容忍程度。评估方法可根据实际情况,采用定性或定量的分析方法。影响类型包括财务损失和非财务损失,具体要求如下:
a)财务损失包括业务中断对保险机构造成的直接财务损失和间接财务损失;
b)非财务损失包括业务中断对保险机构造成的客户投诉、声誉影响、合同违约、投资者投资影响、监管处罚和行业影响等。
6.2.4 分析报告
业务影响分析工作应以书面报告形式体现,报告应包括的内容具体如下:
a)业务的重要性等级及关联关系;
b)业务的灾难恢复要求;
c)业务活动所依赖的信息系统范围及关联关系;
d)信息系统恢复优先级和灾难恢复指标,根据业务中断影响评估,结合信息系统架构特点,确定信息系统恢复优先等级和恢复指标(RTO、RPO);
e)根据业务中断影响评估,确定重要业务活动所需要的最小资源,资源包括数据中心基础设施、网络及通讯线路、硬件、软件、数据、文档、人员、办公场地、办公设备和外部服务商等。
6.2.5 持续改进
保险机构应明确业务影响分析周期要求,至少每三年开展一次全面的业务影响分析。当开发新业务产品、业务活动或信息系统发生重大变化时,应同步开展业务影响分析工作。
6.3 灾难恢复策略
6.3.1 灾难恢复分类分级
6.3.1.1 信息系统分类
保险机构应根据风险分析和业务影响分析的结论,将直接或间接支持关键业务功能的信息系统分成三种类别,具体如下:
a)第一类:信息系统短时间中断会造成重大社会影响;或影响保险机构关键业务功能,并造成重大经济损失;
b)第二类:信息系统短时间中断会造成较大社会影响;或影响保险机构部分关键业务功能,并造成较大经济损失;
c)第三类:信息系统间接支持关键业务功能;或保险机构对系统中断具有一定容忍度的系统。
6.3.1.2 恢复能力分级
保险机构应按照GB/T20988确定的灾难恢复能力等级和资源要求进行灾难备份系统建设,最低应达到的灾难恢复能力等级要求具体如下:
a)第一类:应达到灾难恢复等级第4级(含)以上;
b)第二类:应达到灾难恢复等级第3级(含)以上;
c)第三类:应达到灾难恢复等级第2级(含)以上。
6.3.2 制定灾难恢复策略
6.3.2.1 灾难备份中心技术策略
根据灾难备份系统最低等级要求,结合目前已有灾难备份技术,参考表1制定灾难备份中心的可用技术策略,具体如下:
表1 灾难备份中心可用技术策略
|
重要等级分类 |
RTO |
RPO |
GB/T20988对应等级 |
技术策略 |
|
第一类 |
≤36小时 |
≤8小时 |
4级 |
主备技术、双活技术 |
|
第二类 |
≤72小时 |
≤24小时 |
3级 |
|
|
第三类 |
≤7天 |
≤36小时 |
2级 |
临时建立,本地或异地备份 |
采用主备技术和双活技术时,应满足的基本要求具体见表2。
表2 主备技术和双活技术基本要求
|
技术架构 |
主备技术基本要求 |
双活技术基本要求 |
|
网络层 |
主备数据中心均具有对外服务的业务线路和数据复制线路。 |
两中心均具有对外通讯链路,且来自不同运营商,均承载业务流量,且互为备份。 支持单系统切换的网络架构设计(如大二层、DNS动态解析、健康路由注入) |
|
数据复制要求 |
具有足够带宽的数据复制链路。 生产数据全部由主数据中心同步或异步复制到备数据中心。 |
具有足够带宽的数据复制链路。 两中心的生产数据实时相互复制,或业务数据同时写入两中心。 |
|
数据存储层 |
主数据中心的数据存储对业务提供服务,备数据中心的数据存储为数据复制状态,不对业务提供服务,切换后角色互换。 |
其中一个数据中心的数据存储对业务提供服务,或两个数据中心的存储都提供生产数据存储服务,且互为备份。 |
|
数据库服务层 |
主数据中心的数据库对业务提供服务,备数据中心的数据库处于关闭状态或打开状态但不对业务提供服务,切换后角色互换。 |
其中一个数据中心的数据库对业务提供服务,或两个数据中心的数据库都提供生产数据库服务,且互为备份。 |
|
应用服务层 |
主数据中心的应用服务对外提供服务,备数据中心的应用服务不对外提供服务,切换后角色互换。 |
两个数据中心的应用服务分别对不同的业务提供生产应用服务,且互为备份,或两个数据中心的应用服务同时对一个业务提供生产应用服务。 |
6.3.2.2灾难备份中心资源获取方式
保险机构应综合考虑投资成本、运营成本、专业化服务水平、资源利用率、人力资源和建设周期等因素,对信息系统恢复资源的获取方式进行综合评价,选择性价比最优的资源获取方案。采用非自建模式的灾难恢复建设,资源服务商应满足保险机构灾难恢复的要求,并明确权责,签订相关的合同或协议。
常见的灾难备份中心资源获取方式具体详见表3。
表3 灾难备份中心资源获取方式表
|
要素 |
自建 |
共建 |
资源租赁 |
外包服务 |
紧急供货协议 |
|
备用数据处理系统 |
√ |
√ |
√ |
√ |
√ |
|
数据备份系统 |
√ |
√ |
√ |
√ |
√ |
|
备用网络系统 |
√ |
√ |
√ |
√ |
√ |
|
备用基础设施 |
√ |
√ |
√ |
√ |
√ |
|
专业技术支持能力 |
√ |
√ |
— |
√ |
— |
|
运行维护管理能力 |
√ |
√ |
— |
√ |
— |
|
灾难恢复预案 |
√ |
√ |
√ |
√ |
— |
6.3.2.3 外包服务管理策略
保险机构应制定灾难恢复外包服务商管理策略,包括服务商选择策略、服务商沟通、考核和淘汰机制等,应对服务商执行尽职调查和风险分析,并定期检查和监督服务商的业务连续性管理能力。
灾难恢复外包服务商至少应符合的要求具体如下:
a)在中华人民共和国境内注册的法人机构;
b)具备三年以上灾难恢复外包服务经验,服务的灾难恢复外包客户不少于三家;
c)具备完整的服务质量保证体系和信息安全管理体系,通过相关权威认证;
d)基础设施应达到本文件的要求,灾难恢复能力等级应在四级以上;
e)保险监管机构规定的其他要求。
在与灾难恢复外包服务商签订合同时,应明确的内容具体如下:
a)服务水平协议:服务商应承诺重要服务人员现场支持时间、突发事件的应急响应时间和到场支持时间;
b)建立业务连续性预案:服务商应具备完善的灾难恢复应急预案,并经过演练验证,以保障保险机构业务与系统的持续运行。
7、灾难备份中心建设
7.1 灾难备份中心布局
7.1.1 布局原则
灾难备份中心应设置在中华人民共和国境内,保险机构应根据风险分析结果、生产中心现状、资源获取情况和投入成本等,综合确定灾难备份中心布局。
7.1.2 布局类型
保险机构根据布局原则可采用同城和(或)异地的方式建设灾难备份中心。灾难备份中心可采用的模式具体如下:
a)主备模式:同一个业务运行在主数据中心,备份数据中心只做备份;
b)互备模式:不同业务运行在不同的数据中心,不同数据中心之间业务相互备份;
c)双活模式:同一个业务运行在不同的数据中心,一个数据中心出现问题,另外一个数据中心可继续对外提供服务。
7.1.3 选址策略
灾难备份中心选址宜满足以下要求:
a)灾难备份中心与生产中心保持合理距离,以避免遭受同类风险。同城灾难备份中心与生产中心距离为数十公里左右,异地灾难备份中心与生产中心距离为数百公里以上;
b)灾难备份中心宜选择地质稳定的结构区域,宜避开地质沉降区域,不宜选择山区区域;宜选择市政基础设施良好区域,如电力供应充沛、交通状况良好和通讯设施完善区域,不宜选择在商业区域或老居民区;宜选择消防规划考虑周全的区域,远离危险源。
7.2 灾难备份中心基础设施建设
7.2.1 基础设施分类
7.2.1.1 工作设施
灾难备份中心的工作设施主要如下:
a)信息系统的工作设施,主要用于放置信息系统设备及相关配套设备,包括计算机机房、监控中心、操作中心、通讯网络机房、介质存放设施和设备测试维修区域等;
b)保障系统的工作设施,主要用来保障灾难备份中心7×24小时运行,包括供配电设施、空调暖通设施、新风设施、给排水设施、消防设施、监控设施和货运设施等。
7.2.1.2 辅助设施
灾难备份中心的辅助设施主要如下:
a)日常运行的辅助设施,主要包括灾难备份中心办公室、会议室、仓库、休息室、访问活动区域、停车场和货物装卸区等;
b)灾难恢复的辅助设施,主要包括灾难恢复指挥中心、灾难恢复座席区、通讯设备、打印机、传真机和白板等。
7.2.1.3 生活设施
灾难备份中心或其周边宜具备为日常保障人员和灾难恢复人员配备的生活必需设施,包括住宿和餐饮等生活设施。
7.2.2 基础设施建设要求
灾难备份中心基础设施建设,可参照GB50174要求执行。根据信息系统和数据分布特点,选择或建设专业的灾难备份中心。灾难备份中心的基础设施应符合的要求具体如下:
a)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;
b)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据和人员等资源可及时到达;
c)灾难备份中心应确保资源充足、可用,规模较大的保险机构的同城或异地灾难备份中心应当具备完全接管并可长期运行主要业务的能力;
d)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;
e)灾难备份中心应具有两种或两种以上的电力供应或接入方式,如仅有一种电力供应或接入方式,应配备能够维持灾难备份中心持续稳定运行的供电设备;
f)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务;
g)灾难备份中心机房应具备门禁系统、监视系统和报警系统。
7.3 灾难备份系统建设
7.3.1 建设原则
灾难备份系统应根据灾难恢复策略进行建设,还应考虑对生产系统的影响及成本因素影响等,建设的原则具体如下:
a)成本风险平衡:灾难备份系统架构设计宜充分考虑成本风险平衡原则,可根据不同业务的差异化需求,进行分级规划和分步建设;
b)自动化:灾难备份系统架构设计宜考虑后期运维管理和灾难恢复的便利性,降低日常操作和技术切换的复杂度,选择自动化程度高、宜于操作和监控的技术路线和产品。
7.3.2 建设内容
灾难备份系统应按照灾难恢复策略进行技术架构设计与建设,明确灾难备份系统实施组织架构、实施计划和实施流程,包括备用数据处理系统、数据备份系统和备用网络系统等,具体要求如下:
a)备用数据处理系统:包括服务器及外围设备、存储网络及存储、操作系统、数据库、中间件平台和应用程序等,实施工作应考虑计算架构与资源分配方案、存储架构及数据容量规划方案、应用部署方案和切换与回切方案等;
b)数据备份系统:包括远程数据复制系统、本地数据集中备份系统等,实施工作应考虑远程数据复制技术选型及架构设计、数据复制策略与切换方案、数据复制链路需求、数据本地备份策略与恢复方案、集中备份系统架构和磁带保管方案等;
c)备用网络系统:包括灾难备份中心局域网和灾难备份中心与生产中心、分支机构、外联机构的广域网,实施工作应考虑局域网架构设计、广域网架构设计、网络安全方案、IP地址与路由规划和网络切换方案等。
7.3.3 建设要求
保险机构新建信息系统时,应同步规划和实施灾难备份系统建设。灾难备份系统建设应符合的要求具体如下:
a)在满足建设要求的前提下,灾难备份系统应采用具有自主知识产权、适配保险业信息技术创新应用环境的软硬件产品,且避免与特定软硬件产品的依赖关系;
b)保险机构应根据灾难恢复策略,结合生产中心信息系统现状和特点选择适用的技术路线,制定灾难备份系统技术方案,根据方案建立数据备份系统、备用数据处理系统和备用网络系统等,并建立技术支持体系。技术方案中所涉及的系统应获得同生产系统相当的安全保护;
c)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量和网络带宽能否满足业务运作要求,灾难备份系统应满足GB/T 36957中确定的备用处理系统的资源配置要求;
d)应加强重要数据的备份和传输安全管理,保证数据的完整性和一致性,重要数据应异地备份,防范区域性灾难风险;
e)灾难备份系统架构设计应充分考虑对生产系统的影响,尽可能降低灾难备份系统在建设、运维过程中对生产系统的不良影响,防范生产系统对外服务中断风险,灾难备份系统架构设计应考虑扩展性;
f)在灾难备份系统建设过程中,应开展完整的功能测试和性能测试,明确灾难备份系统可以防范的风险场景,在功能测试和性能测试过程中验证数据备份系统、处理系统、存储系统和网络系统的切换和回切能力,确保灾难备份系统有效满足灾难恢复要求。
8、灾难备份中心运行与维护管理
8.1 基本要求
8.1.1 相关性
灾难备份中心运维管理体系应与生产中心运维管理体系相关联,在人员岗位构成、日常管理流程和应急恢复期间管理流程的衔接等方面应与生产中心相关联。
8.1.2 流程化与制度化
应按照灾难备份中心运维管理要求,建立完善的、可行的运维管理流程和制度,以规范运维人员的工作行为,提高运维管理的质量、效率和水平。
8.1.3 可用性与有效性
灾难备份中心运维管理应通过全面测试和定期验证的机制,确保资源的可用性和有效性。
8.1.4 高效自动化
对于应急过程中的故障定位、事件预警以及切换流程和切换操作宜采用自动化、智能化工具实现,减少操作失误,实现操作过程的可跟踪、可追溯,减少灾难恢复过程的整体时间。
8.1.5 安全性
灾难备份中心应具备安全管理能力,防止出现信息安全事件。
8.2 运维组织和职能
8.2.1 运维组织
根据不同规模及资源获取方式,灾难备份中心的组织宜分为三种模式,具体如下:
a)灾难备份中心与生产中心分别由两个团队负责运维,采用统一领导、协同配合的方式进行组织和管理;
b)灾难备份中心的组织从属于生产中心,并接受生产中心的管理;
c)灾难备份中心与生产中心共享运行维护管理团队,运维团队为灾难备份中心设置特定的岗位和角色,日常的运行维护以远程监控和第三方团队代为现场操作为主。
8.2.2 职能和职责
a)灾难备份中心日常运维管理包括以下职能:
1)灾难备份中心基础设施运维;
2)灾难备份系统的监控及日常操作;
3)灾难备份系统的专业技术支持;
4)灾难备份系统与生产系统的基线检查;
5)灾难备份系统及数据有效性验证;
6)灾难恢复预案的维护和管理;
7)灾难恢复测试及演练;
8)协助灾难备份系统实施。
b)应急及灾难恢复支持包括以下职能:
1)接受处理突发事件及其预警信息;
2)接受灾难恢复应急处置的各项指挥;
3)安排和获取灾难恢复所需的资源;
4)跟踪恢复处置态势,组织恢复团队的处置工作;
5)为管理层决策提供信息;
6)灾难恢复的技术操作;
7)接替运行期间的灾难备份系统的维护;
8)协助安排接替运行期间业务部门和其他机构现场工作场所;
9)负责灾难备份系统的切换和回退后的环境清理和复原。
8.3 运行与管理要求
8.3.1 运维管理
灾难备份系统运维管理的要求具体如下:
a)应建立有效的灾难备份中心信息系统运行监控手段,及时发现灾难备份系统运行的故障;
b)应建立有效的事件跟踪机制、问题排查机制、变更管理和安全管理等日常管理机制,对灾难备份中心的运营进行规范化管理;
c)应建立灾难备份系统的定期审核与验证机制,确保灾难备份系统能够在灾难发生时接替生产系统运行。
8.3.2 基准核对管理
灾难备份系统基准核对管理的要求具体如下:
a)应根据灾难备份系统的范围和特点,建立灾难备份系统的基准,并形成相应的基准文档;
b)基准文档应包含灾难备份信息系统资源的配置信息,包括主机、存储、网络和安全等硬件设备及操作系统、数据库、中间件和应用系统等软件的配置信息;
c)在灾难备份系统投入运营后,应根据变更情况,及时修改和更新基准文档;
d)应定期对生产中心和灾难备份中心的基准进行统计核对工作,发现差异及时处理。
8.3.3 灾难恢复演练
灾难恢复演练应组织针对灾难备份中心的应急演练,验证灾难备份中心基础设施、灾难备份系统和灾难恢复预案的正确性和有效性,提升灾难备份中心的恢复能力和管理水平。在演练实施后,应及时组织相关人员进行总结,对预案进行必要的更新。
8.3.4 应急及灾难切换
应急及灾难切换应包含的内容具体如下:
a)应建立灾难预警和预告机制,明确责任,加强与公共专业服务机构的沟通与联系,如气象、地震、消防、防疫、公安和供电等,做到灾难早发现、早报告,提前进行灾难预防和切换准备;
b)在灾难切换过程期间,灾难备份中心应在场地环境、设备操作等方面提供支持,配合将生产系统从生产中心切换到灾难备份中心,切换过程主要工作包括网络切换、存储切换、主机切换、数据校验、系统校验、数据追补和业务验证等;
c)在接替生产运营服务期间,灾难备份中心应加强技术支持与设施保障,以接替生产中心的日常工作。
8.3.5 灾难恢复培训
保险机构应定期组织灾难恢复培训,培训要求具体如下:
a)应为灾难恢复工作相关的员工提供灾难恢复的专业培训,培训形式可根据机构的自身条件选择内部培训或聘请外部机构培训;
b)培训内容包括灾难恢复基础知识、灾难恢复技术和灾难恢复预案等;
c)应按照灾难恢复运维管理要求为关键岗位和关键角色提供特殊的岗位培训;
d)应对每次培训的结果进行记录和评估。
9、灾难恢复预案管理及演练
9.1灾难恢复预案管理
9.1.1制定要求
灾难恢复预案是为确保在发生运营中断事件时关键业务能够从生产中心切换到灾难备份中心重续运行,而事先制定的一系列工作流程、措施、程序或操作手册的总称。灾难恢复预案应满足的制定要求具体如下:
a)灾难恢复预案内容应具体明确,应有明确的目标、范围和场景,应有详细的职责分工、流程步骤、资源使用方式、通讯与沟通方式等;
b)灾难恢复预案应结合实际灾难恢复技术环境,应具有可操作性,能够验证其有效性,灾难恢复预案在生效前应经过测试或演练,以证明其正确有效;
c)灾难恢复预案内容简洁明了,应满足指导恢复的要求,宜避免冗余,具有可读性;灾难恢复预案从文档划分到内容编写,应考虑日后维护的便易性,减少日常维护的复杂度。
9.1.2 灾难恢复预案体系和内容
9.1.2.1 灾难恢复预案体系
灾难恢复预案体系应包括灾难恢复总体预案、信息系统专项或场景恢复预案以及系统切换操作手册等,具体如下:
a)灾难恢复总体预案:是应对突发事件的总体方案,明确各层级预案的定位、关系、衔接,体现处置各类突发事件的总体组织架构,相关各方的职责与权限,对处置事件的预警、报告、分析、决策、处置和恢复等全过程的机制和流程;
b)信息系统专项或场景恢复预案:是针对特定突发事件场景或单个信息系统突发事件的应急预案,定义单个系统的切换流程、切换步骤、操作人员和资源信息等,同时还包括特定情况发生时各团队之间进行协调的指令;
c)系统切换操作手册:是由一系列简单明确的指令脚本构成,支撑灾难备份系统专项恢复预案的每一项切换步骤。
9.1.2.2 灾难恢复预案内容
灾难恢复预案宜包括的内容具体如下:
a)灾难恢复的目标和范围;
b)灾难场景定义和启动条件;
c)组织架构与职责分工;
d)灾难恢复决策及授权,包括灾难恢复条件、处置策略和原则以及强制决策点等;
e)灾难恢复工作规程,包括灾难恢复响应、分析和评估灾难、启动应急指挥中心和人员召集、灾难预警、灾难宣告和启动灾难切换流程等;
f)灾难恢复管理工作中使用的各项文档,包括相关操作手册列表、灾难备份资源列表和紧急联络清单等。
9.1.3 灾难恢复预案维护要求
9.1.3.1 保存与分发
灾难恢复预案应安排专人负责日常维护管理,具体要求如下:
a)经过审核和批准的灾难恢复预案,应设定专人负责保存与分发;
b)预案可以多种形式的介质拷贝保存在不同的安全地点,并确保在生产中心、灾难备份中心或者其他安全地点存放灾难恢复预案,确保灾难事件发生后能够快速获取;
c)在每次更新修订后所有拷贝统一更新,并保留一套,以备查阅,原分发的旧版本应予销毁;
d)灾难恢复预案应根据预案内容的保密性需求,设定相应的查看、修改权限,防止出现信息安全事件。
9.1.3.2 维护管理
为保证灾难恢复预案的有效性,应建立周期性维护管理流程,具体要求如下:
a)建立灾难恢复预案的定期演练、评审和修订制度;
b)灾难恢复预案涉及的内容发生重大变更后,应立即更新灾难恢复预案;演练后应根据演练评估结论,立即更新灾难恢复预案;
c)每年应至少组织一次灾难恢复预案的审查和批准工作。
9.2 灾难恢复预案演练
9.2.1 演练的目标及形式
9.2.1.1 演练目标
演练是为了验证和完善灾难备份系统和灾难恢复预案的有效性,提高灾难恢复团队应急处置能力和实际切换能力。
9.2.1.2 演练形式
可采取事前通告的计划性演练或非事前通告的非计划性演练,可根据演练内容的复杂程度、演练目的以及实际情况,选择桌面演练、模拟演练或实战演练等形式,具体如下:
a)桌面演练:组织相关人员,以会议形式模拟各种突发事件场景,参与人员集中讨论应急响应和恢复流程中的管理与指挥协调,而不进行实际操作,以验证灾难恢复预案的可操作性与合理性;
b)模拟演练:模拟突发事件场景,利用灾难备份系统、备用场地和备用设施等恢复资源,按照应急响应及恢复预案,模拟进行系统切换和恢复操作,模拟演练应不影响生产系统对外的正常服务,可在非营业时间进行;
c)实战演练:模拟突发事件场景,利用灾难备份系统、备用场地和备用设施等恢复资源,按照应急响应及恢复预案,实际完成系统切换,并恢复业务运营,实战演练应达到灾难备份系统真实接管业务的目标,验证信息系统灾难恢复预案和灾难备份系统的有效性与完整性。
9.2.2 演练计划
演练计划制定的要求具体如下:
a)应每年定期组织各相关部门制定演练计划,计划内容应包括演练范围、时间、方式和演练目的等,并根据确定的演练计划开展应急演练;
b)应定期开展真实灾备切换演练,灾难备份中心演练要模拟真实的故障场景,重点涵盖核心网络故障、重要信息系统、重要数据库、基础平台和基础软硬件状态未知异常等全局性高风险场景,提高灾备切换演练的实战性和有效性;
c)演练计划及后续演练方案应经灾难恢复工作办公室或灾难恢复管理委员会同意后执行。
9.2.3 演练过程管理
9.2.3.1 演练方案
演练方案应包括但不限于的事项具体如下:
a)演练组织:明确参与演练的所有人员(包括保险机构的分支机构和关键的IT服务提供商)及其职责,演练参与人员应包括演练领导小组、演练指挥小组、演练执行小组和演练保障小组等,还可包括演练观摩和评估等其他人员;
b)演练场景设计:设计演练场景、确定演练方式和明确演练范围,演练场景应参考应急预案的场景进行设计;
c)演练评估方法:通过观察、体验和记录演练活动,比较演练实际效果与目标之间的差异,总结演练效果和不足;
d)演练实施方案:应包含演练实施的时间、地点、实施流程和详细的实施步骤;
e)演练风险分析:应对演练实施过程中的潜在风险及可能导致的结果进行识别和分析,并针对性地制定应对和处置风险的措施;
f)演练准备:演练实施所需要的技术、后勤保障、经费保障、基础设施(如演练场地、演练工具)和安全保障等。
9.2.3.2 演练培训
针对计划性演练,在演练开始前应组织演练动员和培训,确保所有演练参与人员掌握演练规则、演练情景和各自在演练中的任务,具体要求如下:
a)培训发起方:为演练牵头部门,负责根据演练方案制定演练培训与动员计划,明确培训开展的时间、地点、培训内容和培训对象;
b)培训对象:演练参与人员;
c)培训内容:培训发起方根据演练方案制定培训内容,可包括演练的目标、演练场景、演练实施方案、演练参与人员的角色和职责、应急技能及个人安全保护说明、演练操作流程、脚本和话术等。
9.2.3.3 演练实施
演练的组织实施应包括的内容具体如下:
a)演练指挥人员负责演练实施全过程的指挥控制,按照演练方案要求,演练指挥人员指挥各参演人员,完成各项演练活动;
b)演练执行人员应根据控制消息和指令,按照演练方案规定的程序开展应急演练,完成各项演练活动;
c)演练实施过程中,安排专门人员,采用文字、照片或音像等手段记录演练过程,记录内容主要包括演练实际开始与结束时间、演练过程实施情况等内容;
d)演练完毕由演练指挥人员宣布演练结束,演练实施过程中如出现突发事件,经演练指挥人员决定,可提前终止演练。
9.2.4 演练的总结及报告
演练应进行现场评估和事后总结,主要内容具体如下:
a)现场评估:在演练的一个或所有阶段结束后,由演练评估人员在演练现场有针对性地进行评估,内容主要包括本阶段的演练目标、参演队伍及人员的表现以及演练中暴露的问题等;
b)事后总结:在演练结束后,由演练组织者根据演练记录、演练评估、应急预案及演练方案等材料,对演练进行全面总结,形成演练总结报告并经演练组织部门和参与部门审核确认。演练总结报告的内容包括演练目的、时间和地点、参演单位和人员、演练方案概要、发现的问题与原因以及改进建议等,对过程中暴露的问题应进行原因分析,确定解决方案并进行相应的整改;
c)演练结束后应将演练计划、演练方案、演练过程记录文件和演练总结报告等资料归档保存,同时应根据演练评估结论对灾难恢复预案进行维护和更新。
10、审计报告
10.1 审计要求
保险机构应根据信息系统的灾难恢复工作情况,确定审计的内容及频率,保险机构应每三年至少进行一次全面审计。
10.2 审计内容和报告
审计工作至少包含灾难恢复管理组织及职责、风险分析、业务影响分析、灾难恢复策略、灾难恢复项目的建立和管理、应急管理和操作、灾难恢复预案、演练和维护、培训和认知、公共关系和危机通讯等。
保险机构应严格控制审计过程中涉密资料的保管和发放,审计过程所涉及的资料调阅应有交接手续,并及时对审计报告进行存档。
参考文献
[1]GB/T 30146—2023 安全与韧性业务连续性管理体系要求
[2]GB/T 30285—2013 信息安全技术灾难恢复中心建设与运维管理规范
[3]GB/T 31167—2023 信息安全技术云计算服务安全指南
[4]GB/T 31168—2023 信息安全技术云计算服务安全能力要求
[5]《保险业信息系统灾难恢复管理指引》(保监发〔2008〕20号).2008-3-21
[6]《国家金融监督管理总局办公厅关于加强银行保险机构重要信息系统安全运行管理的通知》(金办发〔2024〕11号).2024-1-29