JR
中华人民共和国金融行业标准
保险业信息系统灾难恢复管理规范
Management specification ofinformation system disaster recovery forinsurance
国家金融监督管理总局 发布
目次
1范围.. 前言2规范性引用文件3术语和定义.4灾难恢复综述,4.1灾难恢复目标,4.2灾难恢复工作内容,5灾难恢复组织机构,5.1组织机构设立5.2组织机构构成6灾难恢复规划.6.1风险分析.6.2业务影响分析 6.3灾难恢复策略,7灾难备份中心建设,7.1灾难备份中心布局.7.2灾难备份中心基础设施建设.7.3灾难备份系统建设, 018灾难备份中心运行与维护管理 II8.1基本要求.. II8.2运维组织和职能 8.3运行与管理要求 12 129灾难恢复预案管理及演练9.1灾难恢复预案管理 13 139.2灾难恢复预案演练, 1510审计报告.... 1610.1审计要求, 1610.2审计内容和报告 17参考文献 18
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.
本文件由全国金融标准化技术委员会保险分技术委员会(SAC/TC180/SC1)提出并归口.
本文件起草单位:中国太平保险集团有限责任公司、中国人民保险集团股份有限公司、中国太平洋保险(集团)股份有限公司.
本文件主要起草人:孔祥林、胡冰、黄彪、胡罡、丁先明、廖俊平、王洋、李石利、张柏青、陈明坚、关胜、吴国安、刘强.
本文件为首次制定.
保险业信息系统灾难恢复管理规范
1范围
本文件规定了信息系统灾难恢复的组织管理、灾难备份中心的规划建设和运营、灾难恢复的预案管理及演练等管理要求.
本文件适用于中国境内保险机构,保险行业信息共享平台运营机构、保险集团所属的其他金融企业亦可参照使用.
2规范性引用文件
期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本文件. 下列文件中的内容通过文中的规范性引用而成为本文件的条款.其中,注日期的引用文件,仅该日
GB/T20984信息安全技术信息安全风险评估规范GB/T20988信息安全技术信息系统灾难恢复规范GB50174数据中心设计规范 GB/T36957信息安全技术灾难恢复服务要求
3术语和定义
下列术语和定义适用本文件.
3. 1
业务连续性管理businesscontinuitymanagement
为保护组织的利益、声誉、品牌和价值创造活动,找出对组织有潜在影响的威胁,提供建设组织有效反应恢复能力的框架的整体管理过程.
注:包括组织在面临灾难时对恢复或连续性的管理,以及为保证业务连续计划或灾难恢复预案的有效性的培训、演
练和检查的全部过程.
[来源:GB/T20988-2007,3.4,有修改]
3. 2
风险分析riskanalysis
确定影响信息系统正常运行的风险,评估对单位业务运营至关重要的功能,定义降低潜在危险控制手段的流程.
注:风险分析经常会涉及到对特殊事件发生可能性的评估.
[来源:JR/T0044-2008,3.6,有修改]
3. 3
业务影响分析businessimpactanalysis
分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程.
[来源:GB/T 20988-2007 3.5]
3. 4
恢复时间目标recovery time objective;RTO
