保險業信息系統災難恢復管理指引
關於印發《保險業信息系統災難恢復管理指引》的通知
保監發〔2008〕20號
各保險公司、保險資產管理公司:
為加強保險信息安全基礎設施建設,推進信息系統災難恢復工作,根據《中華人民共和國保險法》和國家有關信息安全法律法規,我會制訂了《保險業信息系統災難恢復管理指引》,現印發給你們,請遵照執行。
二○○八年三月二十一日
保險業信息系統災難恢復管理指引
第一章 總則
第一條 為規範並指導我國保險業信息系統災難恢復工作,提高防範災難風險的能力,保障持續運營,保護客戶和股東的合法權益,根據《中華人民共和國保險法》、國家信息安全法律法規及有關規定,制定本指引。
第二條 保險業信息系統災難恢復工作應堅持“統籌規劃、資源共享、平戰結合、等級災備”的原則,平衡成本與風險,確保工作的有效性。
第三條 本指引所稱保險機構是指,經中國保險監督管理委員會(以下簡稱“中國保監會”)批准設立,並依法登記註冊的保險公司、保險資產管理公司、外國保險公司分公司及港、澳、台地區保險公司在大陸地區的分公司。
第四條 本指引所稱災難恢復為信息系統災難恢復。災難恢復工作是指,為保障信息系統持續運營,防範災難風險並減輕災難造成的損失和不良影響而開展的一系列工作,包括:組織機構設立和職責、災難恢復需求分析、災難恢復策略制定、災難備份系統實施、災難備份中心的建設與運行維護、災難恢復預案管理、應急回響和恢復。
本指引所稱區域性災難是指,造成所在地區或有緊密聯繫的鄰近地區的交通、電訊、電力及其它關鍵基礎設施受到嚴重破壞,關鍵信息網路設備毀損、重大故障或大規模人口疏散的事件,將會導致信息系統無法正常運行。例如:地震、大型公共衛生事件、恐怖攻擊、區域性通信網故障、區域性電網故障、機房內關鍵設備毀損等。
本指引所稱同城災備是指,生產中心與災難備份中心處於同一地理區域,面臨同一區域性災難風險,能夠抵禦小範圍區域內的災難,例如小面積停電、火災、設備故障等,距離通常在數十公里左右。
本指引所稱異地災備是指,生產中心與災難備份中心處於不同地理區域,一般不會同時面臨同一區域性災難風險,能夠抵禦較大範圍區域內的災難,例如大面積停電、地震、戰爭等,距離通常在數百公里以上。
本指引所稱自建是指,自行出資建設和擁有災難備份中心,為自身提供災難恢復服務。
本指引所稱共建是指,多個機構共同出資建設和擁有災難備份中心,為參與單位提供災難恢復服務。
本指引所稱外包是指,選擇外部資源來承擔或協助完成信息系統災難恢復的規劃、實施、運營維護,以及應急回響和恢復工作。
第五條 中國保監會負責對保險業信息系統災難恢復工作實施監督和管理。
第六條 《信息安全技術信息系統災難恢復規範》(GB/T20988-2007)中的條款通過本指引的引用而成為本指引的條款。
第二章 總體工作要求
第七條 保險機構應統籌規劃信息系統災難恢復工作,自本指引生效起五年內至少達到本指引規定的最低災難恢復能力等級要求。
保險機構新建信息系統時,應同步規劃和實施災難備份系統建設。本指引生效後新成立的保險機構應在成立五年內達到本指引規定的最低災難恢復能力等級要求。
第八條 保險機構應持續開展災難恢復工作,以保障災難恢復策略、災難備份系統和災難恢復預案的適用性。
災難恢復的需求應定期進行再分析。災難恢復需求再分析周期最長為三年。當信息系統及相關業務流程發生重大變更時,應立即啟動災難恢復需求的再分析,並根據最新的災難恢復需求分析重審和修訂災難恢復策略。
保險機構應根據災難恢復策略定期複審和調整災難恢復技術方案、災難恢復預案,並定期開展災難恢復預案培訓和演練工作。
第九條 保險機構應加強與其業務密切相關的機構間的協調,共同評估面臨的風險,協同制定災難恢復策略,提高整體風險防範和災難恢復能力。
第三章 組織機構
第十條 保險機構法定代表人或主要負責人是災難恢復工作的責任人。
保險機構董事會或最高決策層應參與制定和審核災難恢復策略,保證災難恢復策略與經營目標的一致性。
第十一條 災難恢復的組織機構由保險機構的管理、業務、技術、財務和行政後勤等相關人員組成。
保險機構應設立災難恢復管理委員會,統一負責災難恢復的規劃、實施、運營維護、應急回響和恢復的管理和決策工作。
保險機構應設立或依託現有部門設立災難恢復工作辦公室作為災難恢復管理委員會的常設辦公機構,負責處理災難恢復工作的具體事務。
第十二條 保險機構災難恢復組織機構在災難恢復規劃、實施和運營維護階段的主要職責:
(一)災難恢復需求分析和策略制訂;
(二)資源準備和經費審批;
(三)災難備份中心的選擇和建設;
(四)災難備份中心的日常運行和維護;
(五)災難恢復預案的制訂、維護和演練;
(六)人員的教育和培訓;
(七)監督檢查和審計。
保險機構災難恢復組織機構在應急回響和恢復階段的主要職責:
(一)應急回響和預警報告;
(二)事件通報和溝通;
(三)損害評估、搶修拯救和敏感數據保護;
(四)災難恢復工作的重大決策;
(五)生產中心的恢復、重建和回退;
(六)業務恢復和客戶服務;
(七)資源保障和供應;
(八)媒體公關和信息通報;
(九)恢復成效評估和總結。
第十三條 從事災難恢復的專業工作人員應符合以下要求:
(一)具備良好的職業道德和風險意識,掌握履行災難恢復相關崗位職責所需的專業知識和技能;
(二)未經崗前培訓或培訓不合格者不得上崗;經考核不適宜的工作人員,應及時進行調整。
第四章 需求分析和策略制定
第十四條 災難恢復需求分析包括風險分析和業務影響分析。保險機構的風險分析和業務影響分析應符合以下要求:
(一)應全面分析、識別可能影響信息系統正常運行的災難風險以及來自內部和外部的威脅。根據風險發生的機率和可能造成的損失,評估風險可接受的程度,針對不可接受的風險,制定相應的風險防範措施;
(二)應根據信息系統支持的業務區域範圍,分析信息系統面臨的災難風險。應充分考慮殘餘風險導致的災難事件發生在最不利的時間和地點,以及影響範圍的廣泛性;
(三)應根據業務經營範圍確定關鍵業務功能。關鍵業務功能包括但不限於承保、理賠、投資和財務管理等。採用定量和/或定性的方法分析關鍵業務功能的經濟和非經濟損失。
第十五條 保險機構應根據風險分析和業務影響分析的結果,確定信息系統的災難恢複目標,包括:
(一)信息系統的災難恢復範圍;
(二)信息系統的災難恢復順序;
(三)信息系統的災難恢復能力等級。
第十六條 保險機構應加強重要數據的備份和傳輸安全管理,保證數據的完整性。重要數據應異地備份,防範區域性災難風險。重要數據包括但不限於:客戶數據、承保數據、賠付數據、資金運用數據、財務數據及相關日誌等。
第十七條 保險機構應根據風險分析和業務影響分析的結論,將直接或間接支持關鍵業務功能的信息系統分成三種類別:
第一類:信息系統短時間中斷會造成重大社會影響;或影響保險機構關鍵業務功能,並造成重大經濟損失。
第二類:信息系統短時間中斷會造成較大社會影響;或影響保險機構部分關鍵業務功能,並造成較大經濟損失。
第三類:信息系統間接支持關鍵業務功能;或保險機構對系統中斷具有一定容忍度的系統。
第十八條 信息系統的最低災難恢復能力等級要求:
(一)第一類
1、第4級電子傳輸及完整設備支持
2、rto<=36小時,RPO<=8小時
(二)第二類
1、第3級電子傳輸和部分設備支持
2、RTO<=72小時,RPO<=24小時
(三)第三類
1、第2級備用場地支持
2、RTO<=7天,RPO<=36小時
第十九條 保險機構應制定統一的災難恢復策略。災難恢復策略包括災難恢復建設計畫、災難恢復資源要素的具體要求和災難恢復建設模式。
保險機構應根據各信息系統的災難恢複目標,確定災難恢復所需的七個方面的資源要素:
(一)數據備份系統;
(二)備用數據處理系統;
(三)備用網路系統;
(四)備用基礎設施;
(五)專業技術支持能力;
(六)運行維護管理能力;
(七)災難恢復預案。
第二十條 保險機構應編寫風險分析報告、業務影響分析報告、災難恢復策略報告。災難恢復策略經決策層審查和批准後,按本指引要求備案。
第五章 災難備份中心的建設與運行維護
第二十一條 保險機構的災難備份中心應設定在中華人民共和國境內(不包括港、澳、台地區)。
保險機構應根據風險分析的結果,確定同城和/或異地災備建設方案。災難備份中心應具備接替運行後持續運作至生產中心正常運轉的能力。
第二十二條 災難備份中心的基礎設施應符合以下要求:
(一)根據信息系統和數據分布特點,選擇或建設專業的災難備份中心;
(二)災難備份中心與生產中心之間距離合理,應避免災難備份中心與生產中心同時遭受一定的同類風險;
(三)災難備份中心應便於災難恢復工作的開展,考慮災難恢復所需的數據、人員等資源可及時到達;
(四)災難備份中心應具有業務恢復座席等災難恢復工作所需的輔助設施,災難備份中心或其周邊應具備所需生活設施;
(五)災難備份中心機房環境至少應達到《GB/T9361-88計算站場地安全要求》B類機房標準,並通過當地消防部門驗收;
(六)災難備份中心應具有兩種或兩種以上的電力供應或接入方式,只有一種電力供應或接入方式的必須配備能夠維持災難備份中心持續穩定運行的供電設備;
(七)災難備份中心與生產中心應保持兩種以上的網路通訊接入線路服務。
(八)災難備份中心機房應具備門禁系統、監視系統和報警系統。
第二十三條 災難備份系統的建設應符合以下要求:
(一)根據災難恢復策略制定災難備份系統技術方案,建立數據備份系統、備用數據處理系統和備用網路系統等。技術方案中所涉及的系統應獲得同信息系統相當的安全保護,具有可擴展性;
(二)應確保技術方案滿足災難恢復策略的要求,組織開展災難恢復技術方案和業務功能恢復的測試,並記錄和保存測試結果,以保證災難恢復時最終用戶能正常使用災難備份系統;
(三)應充分考慮到災難備份中心接替生產中心運行後,災難備份系統的處理能力、存儲容量、網路頻寬能否滿足業務運作要求;
(四)應根據災難恢復策略的要求,建立災難備份系統的技術支持體系。
第二十四條 災難備份中心的運行維護應符合以下要求:
(一)建立完善的災難備份中心運行維護管理制度和流程,包括:災難備份的流程和管理制度,災難備份中心機房的管理制度,硬體系統、系統軟體和套用軟體的運行管理制度,災難備份中心信息安全管理制度,災難備份系統的變更管理流程,災難恢復預案以及相關技術手冊的保管、分發、更新和備案制度等;
(二)災難備份中心專業運行維護隊伍包括基礎設施和災難備份系統運行維護和技術支持人員,保障設備和系統正常穩定運行;
(三)定期檢測維護災難恢復設施,保持備份數據的一致性、可用性和完整性,保障數據備份系統、備用數據處理系統、備用網路系統在災難恢復和運行階段的正常運作,保障能提供切換和運行時的技術支持;
(四)支持關鍵業務功能恢復的災難備份中心應實行7×24小時監控。記錄災難備份系統運行過程中輸出的相應記錄表單與統計信息;記錄機房環境、系統運行和網路狀態等監控信息。
第六章 資源和專業服務的獲取和保障
第二十五條 災難恢復建設可以採用自建、共建和外包等模式,並按有關要求向中國保監會備案。
第二十六條 保險機構在進行災難恢復外包時,應根據災難恢復策略確定外包服務範圍,認真分析和評估外包存在的風險,制定相關的風險管控措施。應與外包服務商簽署服務水平協定,並定期驗證災難恢復服務商的服務水平和能力,加強外包系統的安全和保密管理。中國保監會採納國家認可的有關測評機構對災難恢復服務商的評估結果。涉密信息系統的災難恢復工作應符合國家有關保密規定。
災難恢復外包服務商應至少符合以下要求,國家另有規定的應從其規定:
(一)在中華人民共和國境內註冊的法人機構;
(二)具備三年以上災難恢復外包服務經驗,服務的災難恢復外包客戶不少於三家;
(三)具備完整的服務質量保證體系和信息安全管理體系,通過相關權威認證;
(四)基礎設施應達到本指引的要求,災難恢復能力等級應在四級以上;
(五)中國保監會規定的其他要求。
第二十七條 採用共建模式的災難恢復建設應至少滿足各參與單位的最低災難恢復能力等級要求,並明確權責,簽訂相關的契約或協定。
第七章 災難恢復預案的管理
第二十八條 保險機構應制訂災難恢復預案,預案應包含:災難恢復組織機構各工作崗位的職責、災難恢復的整個過程以及災難恢復所需的資料和配套資源等。預案的結構、內容和步驟清晰明確,適合在緊急情況下使用。
保險機構應加強災難恢復預案與其它應急預案體系的有機結合。
第二十九條 保險機構所制定的災難恢復預案,應按照由模擬到實際、從易到難、從局部到整體的原則進行測試和演練,及時總結評估,完善災難恢復預案,通過演練使得相關人員熟練災難恢復操作及流程。
災難恢復預案的演練包括但不限於桌面演練、模擬演練、實戰演練、部分演練和全面演練。保險機構應定期組織開展災難恢復預案的演練工作。災難恢復預案每年至少演練一次,演練類型可以是模擬演練、實戰演練、部分演練和全面演練。
演練工作文檔應包含演練計畫、現場記錄和結論評估,演練工作文檔應存檔保管。
第三十條 保險機構應安排專人負責災難恢復預案的日常維護管理,預案可以以多種形式的介質拷貝保存在不同的安全地點,並確保在生產中心以外的安全地點存放災難恢復預案。災難恢復預案的調用需進行嚴格授權。
災難恢復預案涉及的內容發生重大變更後,應立即更新災難恢復預案;演練後應根據演練評估結論,立即更新災難恢復預案;每年應至少組織一次災難恢復預案的審查和批准工作。
第三十一條 災難恢復預案的教育和培訓應貫穿災難恢復規劃和實施的全過程。保險機構應定期組織預案培訓,並保存培訓文檔。
第八章 應急回響和災難恢復
第三十二條 保險機構針對信息系統的風險應建立科學的預警機制,在信息系統發生緊急事件後,應建立應急指揮中心,統一領導、協調和指揮所有應急回響工作,加強信息溝通和跨部門協調,提高機構整體的應急回響和應急處置能力;組織災難恢復專業人員儘快對事件進行回響和評估;採取相應的風險處置和彌補工作,降低可能造成的損失,防範事態惡化;根據對緊急事件的處置和評估結果,決策是否對災難備份中心發出災難預警或災難宣告。
保險機構應加強媒體公關和客戶服務工作,避免造成惡劣的社會影響。發生重大災難事件,應根據有關要求,及時向中國保監會報告。
第三十三條 災難恢復工作人員應根據災難恢復預案執行相關的指揮和操作工作,並及時跟蹤事態變化和恢復進程,加強溝通,加強恢復工作的統一指揮和管理。
保險機構應保證併合理配置恢復所需的各項資源,確保災難恢復工作的順利實施。
第三十四條 保險機構應明確信息系統的重建方案,在進行信息系統重建前應評估災難造成的損失。根據損失評估情況,結合災難備份系統運行可接受的最長時間,確定修復或者重新建設方案,執行信息系統的重新建設和功能恢復。
信息系統的回退是指將災難備份系統的功能轉移到新建或恢復的信息系統,各項業務恢復到正常運行狀態的過程。加強信息數據安全處理,防止重要信息的泄漏,將災難備份系統恢復為備用狀態。
第三十五條 災難恢復之後,應及時組織相關人員進行總結,修訂災難恢復策略和災難恢復預案。
第九章 審計和備案
第三十六條 災難恢復工作的審計分為內部審計和外部審計。內部審計由保險機構內部人員組織實施。外部審計由具有國家相應監管部門認定資質的中介機構組織實施。
中國保監會可依據法律法規,委託並授權具有資質的中介機構對保險機構進行外部審計。中介機構根據保監會或其派出機構委託或授權對保險機構進行審計時,應出示委託授權書,並依照委託授權書上規定的委託和授權範圍進行審計。中介機構根據授權出具的審計報告經中國保監會審閱確定後具備法律效力,被審計保險機構應對該審計報告在規定時間內提出整改意見,並按審計報告中提出的建議進行及時整改。
審計報告應作為風險管控措施的成果進行存檔,審計過程所涉及的資料調閱應有交接手續,嚴格控制審計過程中的涉密資料的保管和發放,中介機構應保守被審計保險機構的商業秘密和風險信息。
第三十七條 審計工作主要包括以下內容:
(一)災難恢復項目的建立和管理;
(二)風險評估和管控;
(三)組織協作和授權機制;
(四)業務影響分析;
(五)災難恢復策略;
(六)應急管理和操作;
(七)災難恢復預案;
(八)培訓和認知;
(九)演練和維護;
(十)公共關係和危機通訊。
第三十八條 保險機構應根據信息系統的災難恢復工作情況,確定審計頻率,每三年至少進行一次審計。
第三十九條 保險機構災難恢復工作報告和審計報告應在中國保監會進行備案。災難恢復工作報告備案工作在每年的第一季度進行,審計報告備案工作在審計結束後的三個月內進行。災難恢復工作報告主要內容包括:
(一)短期和中長期災難恢復規劃和策略;
(二)上年度災難恢復工作以及重大變更情況。
第四十條 中國保監會根據工作需要,可對保險機構的信息系統災難恢復規劃、建設、運營等進行不定期抽查、現場檢查。
第十章 附則
第四十一條 本指引由中國保監會負責解釋、修訂。
第四十二條 本指引自頒布之日起施行。