ja片特刺激高潮视频_97热精品免费视频_曰本人牲交免费视频_av中文字幕不卡无码

你好,歡迎訪問新世紀檢驗認證官網(wǎng)!因為專業(yè),所以信賴!
English 400-016-9000
 位置:首頁 / 政策法規(guī)

保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引

發(fā)布時間:2019-12-25|
第一章 總則

   第一條 為規(guī)范并指導(dǎo)我國保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)工作,提高防范災(zāi)難風(fēng)險的能力,保障持續(xù)運營,保護客戶和股東的合法權(quán)益,根據(jù)《中華人民共和國保險法》、國家信息安全法律法規(guī)及有關(guān)規(guī)定,制定本指引。

  第二條 保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)工作應(yīng)堅持“統(tǒng)籌規(guī)劃、資源共享、平戰(zhàn)結(jié)合、等級災(zāi)備”的原則,平衡成本與風(fēng)險,確保工作的有效性。

  第三條 本指引所稱保險機構(gòu)是指,經(jīng)中國保險監(jiān)督管理委員會(以下簡稱“中國保監(jiān)會”)批準(zhǔn)設(shè)立,并依法登記注冊的保險公司、保險資產(chǎn)管理公司、外國保險公司分公司及港、澳、臺地區(qū)保險公司在大陸地區(qū)的分公司。

  第四條 本指引所稱災(zāi)難恢復(fù)為信息系統(tǒng)災(zāi)難恢復(fù)。災(zāi)難恢復(fù)工作是指,為保障信息系統(tǒng)持續(xù)運營,防范災(zāi)難風(fēng)險并減輕災(zāi)難造成的損失和不良影響而開展的一系列工作,包括:組織機構(gòu)設(shè)立和職責(zé)、災(zāi)難恢復(fù)需求分析、災(zāi)難恢復(fù)策略制定、災(zāi)難備份系統(tǒng)實施、災(zāi)難備份中心的建設(shè)與運行維護、災(zāi)難恢復(fù)預(yù)案管理、應(yīng)急響應(yīng)和恢復(fù)。

  本指引所稱區(qū)域性災(zāi)難是指,造成所在地區(qū)或有緊密聯(lián)系的鄰近地區(qū)的交通、電訊、電力及其它關(guān)鍵基礎(chǔ)設(shè)施受到嚴重破壞,關(guān)鍵信息網(wǎng)絡(luò)設(shè)備毀損、重大故障或大規(guī)模人口疏散的事件,將會導(dǎo)致信息系統(tǒng)無法正常運行。例如:地震、大型公共衛(wèi)生事件、恐怖襲擊、區(qū)域性通信網(wǎng)故障、區(qū)域性電網(wǎng)故障、機房內(nèi)關(guān)鍵設(shè)備毀損等。

  本指引所稱同城災(zāi)備是指,生產(chǎn)中心與災(zāi)難備份中心處于同一地理區(qū)域,面臨同一區(qū)域性災(zāi)難風(fēng)險,能夠抵御小范圍區(qū)域內(nèi)的災(zāi)難,例如小面積停電、火災(zāi)、設(shè)備故障等,距離通常在數(shù)十公里左右。

  本指引所稱異地災(zāi)備是指,生產(chǎn)中心與災(zāi)難備份中心處于不同地理區(qū)域,一般不會同時面臨同一區(qū)域性災(zāi)難風(fēng)險,能夠抵御較大范圍區(qū)域內(nèi)的災(zāi)難,例如大面積停電、地震、戰(zhàn)爭等,距離通常在數(shù)百公里以上。

  本指引所稱自建是指,自行出資建設(shè)和擁有災(zāi)難備份中心,為自身提供災(zāi)難恢復(fù)服務(wù)。

  本指引所稱共建是指,多個機構(gòu)共同出資建設(shè)和擁有災(zāi)難備份中心,為參與單位提供災(zāi)難恢復(fù)服務(wù)。

  本指引所稱外包是指,選擇外部資源來承擔(dān)或協(xié)助完成信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、實施、運營維護,以及應(yīng)急響應(yīng)和恢復(fù)工作。

  第五條 中國保監(jiān)會負責(zé)對保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)工作實施監(jiān)督和管理。

  第六條 《信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T 20988-2007)中的條款通過本指引的引用而成為本指引的條款。

第二章 總體工作要求

   第七條 保險機構(gòu)應(yīng)統(tǒng)籌規(guī)劃信息系統(tǒng)災(zāi)難恢復(fù)工作,自本指引生效起五年內(nèi)至少達到本指引規(guī)定的最低災(zāi)難恢復(fù)能力等級要求。

  保險機構(gòu)新建信息系統(tǒng)時,應(yīng)同步規(guī)劃和實施災(zāi)難備份系統(tǒng)建設(shè)。本指引生效后新成立的保險機構(gòu)應(yīng)在成立五年內(nèi)達到本指引規(guī)定的最低災(zāi)難恢復(fù)能力等級要求。

  第八條 保險機構(gòu)應(yīng)持續(xù)開展災(zāi)難恢復(fù)工作,以保障災(zāi)難恢復(fù)策略、災(zāi)難備份系統(tǒng)和災(zāi)難恢復(fù)預(yù)案的適用性。

  災(zāi)難恢復(fù)的需求應(yīng)定期進行再分析。災(zāi)難恢復(fù)需求再分析周期最長為三年。當(dāng)信息系統(tǒng)及相關(guān)業(yè)務(wù)流程發(fā)生重大變更時,應(yīng)立即啟動災(zāi)難恢復(fù)需求的再分析,并根據(jù)最新的災(zāi)難恢復(fù)需求分析重審和修訂災(zāi)難恢復(fù)策略。

  保險機構(gòu)應(yīng)根據(jù)災(zāi)難恢復(fù)策略定期復(fù)審和調(diào)整災(zāi)難恢復(fù)技術(shù)方案、災(zāi)難恢復(fù)預(yù)案,并定期開展災(zāi)難恢復(fù)預(yù)案培訓(xùn)和演練工作。

  第九條 保險機構(gòu)應(yīng)加強與其業(yè)務(wù)密切相關(guān)的機構(gòu)間的協(xié)調(diào),共同評估面臨的風(fēng)險,協(xié)同制定災(zāi)難恢復(fù)策略,提高整體風(fēng)險防范和災(zāi)難恢復(fù)能力。

  第三章 組織機構(gòu)   

  第十條 保險機構(gòu)法定代表人或主要負責(zé)人是災(zāi)難恢復(fù)工作的責(zé)任人。

  保險機構(gòu)董事會或最高決策層應(yīng)參與制定和審核災(zāi)難恢復(fù)策略,保證災(zāi)難恢復(fù)策略與經(jīng)營目標(biāo)的一致性。

  第十一條 災(zāi)難恢復(fù)的組織機構(gòu)由保險機構(gòu)的管理、業(yè)務(wù)、技術(shù)、財務(wù)和行政后勤等相關(guān)人員組成。

  保險機構(gòu)應(yīng)設(shè)立災(zāi)難恢復(fù)管理委員會,統(tǒng)一負責(zé)災(zāi)難恢復(fù)的規(guī)劃、實施、運營維護、應(yīng)急響應(yīng)和恢復(fù)的管理和決策工作。

  保險機構(gòu)應(yīng)設(shè)立或依托現(xiàn)有部門設(shè)立災(zāi)難恢復(fù)工作辦公室作為災(zāi)難恢復(fù)管理委員會的常設(shè)辦公機構(gòu),負責(zé)處理災(zāi)難恢復(fù)工作的具體事務(wù)。

  第十二條 保險機構(gòu)災(zāi)難恢復(fù)組織機構(gòu)在災(zāi)難恢復(fù)規(guī)劃、實施和運營維護階段的主要職責(zé):

  (一)災(zāi)難恢復(fù)需求分析和策略制訂;

  (二)資源準(zhǔn)備和經(jīng)費審批;

  (三)災(zāi)難備份中心的選擇和建設(shè);

  (四)災(zāi)難備份中心的日常運行和維護;

 ?。ㄎ澹?zāi)難恢復(fù)預(yù)案的制訂、維護和演練;

 ?。┤藛T的教育和培訓(xùn);

  (七)監(jiān)督檢查和審計。

  保險機構(gòu)災(zāi)難恢復(fù)組織機構(gòu)在應(yīng)急響應(yīng)和恢復(fù)階段的主要職責(zé):

 ?。ㄒ唬?yīng)急響應(yīng)和預(yù)警報告;

 ?。ǘ┦录▓蠛蜏贤?;

  (三)損害評估、搶修拯救和敏感數(shù)據(jù)保護;

 ?。ㄋ模?zāi)難恢復(fù)工作的重大決策;

  (五)生產(chǎn)中心的恢復(fù)、重建和回退;

 ?。I(yè)務(wù)恢復(fù)和客戶服務(wù);

 ?。ㄆ撸┵Y源保障和供應(yīng);

  (八)媒體公關(guān)和信息通報;

  (九)恢復(fù)成效評估和總結(jié)。

  第十三條 從事災(zāi)難恢復(fù)的專業(yè)工作人員應(yīng)符合以下要求:

  (一)具備良好的職業(yè)道德和風(fēng)險意識,掌握履行災(zāi)難恢復(fù)相關(guān)崗位職責(zé)所需的專業(yè)知識和技能;

 ?。ǘ┪唇?jīng)崗前培訓(xùn)或培訓(xùn)不合格者不得上崗;經(jīng)考核不適宜的工作人員,應(yīng)及時進行調(diào)整。

第四章 需求分析和策略制定

   第十四條 災(zāi)難恢復(fù)需求分析包括風(fēng)險分析和業(yè)務(wù)影響分析。保險機構(gòu)的風(fēng)險分析和業(yè)務(wù)影響分析應(yīng)符合以下要求:

 ?。ㄒ唬?yīng)全面分析、識別可能影響信息系統(tǒng)正常運行的災(zāi)難風(fēng)險以及來自內(nèi)部和外部的威脅。根據(jù)風(fēng)險發(fā)生的概率和可能造成的損失,評估風(fēng)險可接受的程度,針對不可接受的風(fēng)險,制定相應(yīng)的風(fēng)險防范措施;

  (二)應(yīng)根據(jù)信息系統(tǒng)支持的業(yè)務(wù)區(qū)域范圍,分析信息系統(tǒng)面臨的災(zāi)難風(fēng)險。應(yīng)充分考慮殘余風(fēng)險導(dǎo)致的災(zāi)難事件發(fā)生在最不利的時間和地點,以及影響范圍的廣泛性;

 ?。ㄈ?yīng)根據(jù)業(yè)務(wù)經(jīng)營范圍確定關(guān)鍵業(yè)務(wù)功能。關(guān)鍵業(yè)務(wù)功能包括但不限于承保、理賠、投資和財務(wù)管理等。采用定量和/或定性的方法分析關(guān)鍵業(yè)務(wù)功能的經(jīng)濟和非經(jīng)濟損失。

  第十五條 保險機構(gòu)應(yīng)根據(jù)風(fēng)險分析和業(yè)務(wù)影響分析的結(jié)果,確定信息系統(tǒng)的災(zāi)難恢復(fù)目標(biāo),包括:

 ?。ㄒ唬┬畔⑾到y(tǒng)的災(zāi)難恢復(fù)范圍;

 ?。ǘ┬畔⑾到y(tǒng)的災(zāi)難恢復(fù)順序;

 ?。ㄈ┬畔⑾到y(tǒng)的災(zāi)難恢復(fù)能力等級。

  第十六條 保險機構(gòu)應(yīng)加強重要數(shù)據(jù)的備份和傳輸安全管理,保證數(shù)據(jù)的完整性。重要數(shù)據(jù)應(yīng)異地備份,防范區(qū)域性災(zāi)難風(fēng)險。重要數(shù)據(jù)包括但不限于:客戶數(shù)據(jù)、承保數(shù)據(jù)、賠付數(shù)據(jù)、資金運用數(shù)據(jù)、財務(wù)數(shù)據(jù)及相關(guān)日志等。

  第十七條 保險機構(gòu)應(yīng)根據(jù)風(fēng)險分析和業(yè)務(wù)影響分析的結(jié)論,將直接或間接支持關(guān)鍵業(yè)務(wù)功能的信息系統(tǒng)分成三種類別:

  第一類:信息系統(tǒng)短時間中斷會造成重大社會影響;或影響保險機構(gòu)關(guān)鍵業(yè)務(wù)功能,并造成重大經(jīng)濟損失。

  第二類:信息系統(tǒng)短時間中斷會造成較大社會影響;或影響保險機構(gòu)部分關(guān)鍵業(yè)務(wù)功能,并造成較大經(jīng)濟損失。

  第三類:信息系統(tǒng)間接支持關(guān)鍵業(yè)務(wù)功能;或保險機構(gòu)對系統(tǒng)中斷具有一定容忍度的系統(tǒng)。

  第十八條 信息系統(tǒng)的最低災(zāi)難恢復(fù)能力等級要求:

 ?。ㄒ唬┑谝活?/p>

  1、第4級電子傳輸及完整設(shè)備支持

  2、RTO<=36小時,RPO<=8小時

 ?。ǘ┑诙?/p>

  1、第3級電子傳輸和部分設(shè)備支持

  2、RTO<=72小時,RPO<=24小時

  (三)第三類

  1、第2級備用場地支持

  2、RTO<=7天,RPO<=36小時

  第十九條 保險機構(gòu)應(yīng)制定統(tǒng)一的災(zāi)難恢復(fù)策略。災(zāi)難恢復(fù)策略包括災(zāi)難恢復(fù)建設(shè)計劃、災(zāi)難恢復(fù)資源要素的具體要求和災(zāi)難恢復(fù)建設(shè)模式。

  保險機構(gòu)應(yīng)根據(jù)各信息系統(tǒng)的災(zāi)難恢復(fù)目標(biāo),確定災(zāi)難恢復(fù)所需的七個方面的資源要素:

 ?。ㄒ唬?shù)據(jù)備份系統(tǒng);

 ?。ǘ﹤溆脭?shù)據(jù)處理系統(tǒng);

 ?。ㄈ﹤溆镁W(wǎng)絡(luò)系統(tǒng);

 ?。ㄋ模﹤溆没A(chǔ)設(shè)施;

 ?。ㄎ澹I(yè)技術(shù)支持能力;

 ?。┻\行維護管理能力;

  (七)災(zāi)難恢復(fù)預(yù)案。

  第二十條 保險機構(gòu)應(yīng)編寫風(fēng)險分析報告、業(yè)務(wù)影響分析報告、災(zāi)難恢復(fù)策略報告。災(zāi)難恢復(fù)策略經(jīng)決策層審查和批準(zhǔn)后,按本指引要求備案?! ?nbsp;

  第五章 災(zāi)難備份中心的建設(shè)與運行維護   

  第二十一條 保險機構(gòu)的災(zāi)難備份中心應(yīng)設(shè)置在中華人民共和國境內(nèi)(不包括港、澳、臺地區(qū))。

  保險機構(gòu)應(yīng)根據(jù)風(fēng)險分析的結(jié)果,確定同城和/或異地災(zāi)備建設(shè)方案。災(zāi)難備份中心應(yīng)具備接替運行后持續(xù)運作至生產(chǎn)中心正常運轉(zhuǎn)的能力。

  第二十二條 災(zāi)難備份中心的基礎(chǔ)設(shè)施應(yīng)符合以下要求:

  (一)根據(jù)信息系統(tǒng)和數(shù)據(jù)分布特點,選擇或建設(shè)專業(yè)的災(zāi)難備份中心;

 ?。ǘ?zāi)難備份中心與生產(chǎn)中心之間距離合理,應(yīng)避免災(zāi)難備份中心與生產(chǎn)中心同時遭受一定的同類風(fēng)險;

 ?。ㄈ?zāi)難備份中心應(yīng)便于災(zāi)難恢復(fù)工作的開展,考慮災(zāi)難恢復(fù)所需的數(shù)據(jù)、人員等資源可及時到達;

 ?。ㄋ模?zāi)難備份中心應(yīng)具有業(yè)務(wù)恢復(fù)座席等災(zāi)難恢復(fù)工作所需的輔助設(shè)施,災(zāi)難備份中心或其周邊應(yīng)具備所需生活設(shè)施;

  (五)災(zāi)難備份中心機房環(huán)境至少應(yīng)達到《GB/T 9361-88計算站場地安全要求》B類機房標(biāo)準(zhǔn),并通過當(dāng)?shù)叵啦块T驗收;

  (六)災(zāi)難備份中心應(yīng)具有兩種或兩種以上的電力供應(yīng)或接入方式,只有一種電力供應(yīng)或接入方式的必須配備能夠維持災(zāi)難備份中心持續(xù)穩(wěn)定運行的供電設(shè)備;

 ?。ㄆ撸?zāi)難備份中心與生產(chǎn)中心應(yīng)保持兩種以上的網(wǎng)絡(luò)通訊接入線路服務(wù)。

 ?。ò耍?zāi)難備份中心機房應(yīng)具備門禁系統(tǒng)、監(jiān)視系統(tǒng)和報警系統(tǒng)。

  第二十三條 災(zāi)難備份系統(tǒng)的建設(shè)應(yīng)符合以下要求:

 ?。ㄒ唬└鶕?jù)災(zāi)難恢復(fù)策略制定災(zāi)難備份系統(tǒng)技術(shù)方案,建立數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡(luò)系統(tǒng)等。技術(shù)方案中所涉及的系統(tǒng)應(yīng)獲得同信息系統(tǒng)相當(dāng)?shù)陌踩Wo,具有可擴展性;

  (二)應(yīng)確保技術(shù)方案滿足災(zāi)難恢復(fù)策略的要求,組織開展災(zāi)難恢復(fù)技術(shù)方案和業(yè)務(wù)功能恢復(fù)的測試,并記錄和保存測試結(jié)果,以保證災(zāi)難恢復(fù)時最終用戶能正常使用災(zāi)難備份系統(tǒng);

  (三)應(yīng)充分考慮到災(zāi)難備份中心接替生產(chǎn)中心運行后,災(zāi)難備份系統(tǒng)的處理能力、存儲容量、網(wǎng)絡(luò)帶寬能否滿足業(yè)務(wù)運作要求;

 ?。ㄋ模?yīng)根據(jù)災(zāi)難恢復(fù)策略的要求,建立災(zāi)難備份系統(tǒng)的技術(shù)支持體系。

  第二十四條 災(zāi)難備份中心的運行維護應(yīng)符合以下要求:

 ?。ㄒ唬┙⑼晟频臑?zāi)難備份中心運行維護管理制度和流程,包括:災(zāi)難備份的流程和管理制度,災(zāi)難備份中心機房的管理制度,硬件系統(tǒng)、系統(tǒng)軟件和應(yīng)用軟件的運行管理制度,災(zāi)難備份中心信息安全管理制度,災(zāi)難備份系統(tǒng)的變更管理流程,災(zāi)難恢復(fù)預(yù)案以及相關(guān)技術(shù)手冊的保管、分發(fā)、更新和備案制度等;

 ?。ǘ?zāi)難備份中心專業(yè)運行維護隊伍包括基礎(chǔ)設(shè)施和災(zāi)難備份系統(tǒng)運行維護和技術(shù)支持人員,保障設(shè)備和系統(tǒng)正常穩(wěn)定運行;

 ?。ㄈ┒ㄆ跈z測維護災(zāi)難恢復(fù)設(shè)施,保持備份數(shù)據(jù)的一致性、可用性和完整性,保障數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡(luò)系統(tǒng)在災(zāi)難恢復(fù)和運行階段的正常運作,保障能提供切換和運行時的技術(shù)支持;

 ?。ㄋ模┲С株P(guān)鍵業(yè)務(wù)功能恢復(fù)的災(zāi)難備份中心應(yīng)實行7×24小時監(jiān)控。記錄災(zāi)難備份系統(tǒng)運行過程中輸出的相應(yīng)記錄表單與統(tǒng)計信息;記錄機房環(huán)境、系統(tǒng)運行和網(wǎng)絡(luò)狀態(tài)等監(jiān)控信息。

第六章 資源和專業(yè)服務(wù)的獲取和保障   

  第二十五條 災(zāi)難恢復(fù)建設(shè)可以采用自建、共建和外包等模式,并按有關(guān)要求向中國保監(jiān)會備案。

  第二十六條 保險機構(gòu)在進行災(zāi)難恢復(fù)外包時,應(yīng)根據(jù)災(zāi)難恢復(fù)策略確定外包服務(wù)范圍,認真分析和評估外包存在的風(fēng)險,制定相關(guān)的風(fēng)險管控措施。應(yīng)與外包服務(wù)商簽署服務(wù)水平協(xié)議,并定期驗證災(zāi)難恢復(fù)服務(wù)商的服務(wù)水平和能力,加強外包系統(tǒng)的安全和保密管理。中國保監(jiān)會采納國家認可的有關(guān)測評機構(gòu)對災(zāi)難恢復(fù)服務(wù)商的評估結(jié)果。涉密信息系統(tǒng)的災(zāi)難恢復(fù)工作應(yīng)符合國家有關(guān)保密規(guī)定。

  災(zāi)難恢復(fù)外包服務(wù)商應(yīng)至少符合以下要求,國家另有規(guī)定的應(yīng)從其規(guī)定:

 ?。ㄒ唬┰谥腥A人民共和國境內(nèi)注冊的法人機構(gòu);

 ?。ǘ┚邆淙暌陨蠟?zāi)難恢復(fù)外包服務(wù)經(jīng)驗,服務(wù)的災(zāi)難恢復(fù)外包客戶不少于三家;

  (三)具備完整的服務(wù)質(zhì)量保證體系和信息安全管理體系,通過相關(guān)權(quán)威認證;

  (四)基礎(chǔ)設(shè)施應(yīng)達到本指引的要求,災(zāi)難恢復(fù)能力等級應(yīng)在四級以上;

 ?。ㄎ澹┲袊1O(jiān)會規(guī)定的其他要求。

  第二十七條 采用共建模式的災(zāi)難恢復(fù)建設(shè)應(yīng)至少滿足各參與單位的最低災(zāi)難恢復(fù)能力等級要求,并明確權(quán)責(zé),簽訂相關(guān)的合同或協(xié)議。

第七章 災(zāi)難恢復(fù)預(yù)案的管理   

  第二十八條 保險機構(gòu)應(yīng)制訂災(zāi)難恢復(fù)預(yù)案,預(yù)案應(yīng)包含:災(zāi)難恢復(fù)組織機構(gòu)各工作崗位的職責(zé)、災(zāi)難恢復(fù)的整個過程以及災(zāi)難恢復(fù)所需的資料和配套資源等。預(yù)案的結(jié)構(gòu)、內(nèi)容和步驟清晰明確,適合在緊急情況下使用。

  保險機構(gòu)應(yīng)加強災(zāi)難恢復(fù)預(yù)案與其它應(yīng)急預(yù)案體系的有機結(jié)合。

  第二十九條 保險機構(gòu)所制定的災(zāi)難恢復(fù)預(yù)案,應(yīng)按照由模擬到實際、從易到難、從局部到整體的原則進行測試和演練,及時總結(jié)評估,完善災(zāi)難恢復(fù)預(yù)案,通過演練使得相關(guān)人員熟練災(zāi)難恢復(fù)操作及流程。

  災(zāi)難恢復(fù)預(yù)案的演練包括但不限于桌面演練、模擬演練、實戰(zhàn)演練、部分演練和全面演練。保險機構(gòu)應(yīng)定期組織開展災(zāi)難恢復(fù)預(yù)案的演練工作。災(zāi)難恢復(fù)預(yù)案每年至少演練一次,演練類型可以是模擬演練、實戰(zhàn)演練、部分演練和全面演練。

  演練工作文檔應(yīng)包含演練計劃、現(xiàn)場記錄和結(jié)論評估,演練工作文檔應(yīng)存檔保管。

  第三十條 保險機構(gòu)應(yīng)安排專人負責(zé)災(zāi)難恢復(fù)預(yù)案的日常維護管理,預(yù)案可以以多種形式的介質(zhì)拷貝保存在不同的安全地點,并確保在生產(chǎn)中心以外的安全地點存放災(zāi)難恢復(fù)預(yù)案。災(zāi)難恢復(fù)預(yù)案的調(diào)用需進行嚴格授權(quán)。

  災(zāi)難恢復(fù)預(yù)案涉及的內(nèi)容發(fā)生重大變更后,應(yīng)立即更新災(zāi)難恢復(fù)預(yù)案;演練后應(yīng)根據(jù)演練評估結(jié)論,立即更新災(zāi)難恢復(fù)預(yù)案;每年應(yīng)至少組織一次災(zāi)難恢復(fù)預(yù)案的審查和批準(zhǔn)工作。

  第三十一條 災(zāi)難恢復(fù)預(yù)案的教育和培訓(xùn)應(yīng)貫穿災(zāi)難恢復(fù)規(guī)劃和實施的全過程。保險機構(gòu)應(yīng)定期組織預(yù)案培訓(xùn),并保存培訓(xùn)文檔?! ?nbsp;

第八章 應(yīng)急響應(yīng)和災(zāi)難恢復(fù)   

  第三十二條 保險機構(gòu)針對信息系統(tǒng)的風(fēng)險應(yīng)建立科學(xué)的預(yù)警機制,在信息系統(tǒng)發(fā)生緊急事件后,應(yīng)建立應(yīng)急指揮中心,統(tǒng)一領(lǐng)導(dǎo)、協(xié)調(diào)和指揮所有應(yīng)急響應(yīng)工作,加強信息溝通和跨部門協(xié)調(diào),提高機構(gòu)整體的應(yīng)急響應(yīng)和應(yīng)急處置能力;組織災(zāi)難恢復(fù)專業(yè)人員盡快對事件進行響應(yīng)和評估;采取相應(yīng)的風(fēng)險處置和彌補工作,降低可能造成的損失,防范事態(tài)惡化;根據(jù)對緊急事件的處置和評估結(jié)果,決策是否對災(zāi)難備份中心發(fā)出災(zāi)難預(yù)警或災(zāi)難宣告。

  保險機構(gòu)應(yīng)加強媒體公關(guān)和客戶服務(wù)工作,避免造成惡劣的社會影響。發(fā)生重大災(zāi)難事件,應(yīng)根據(jù)有關(guān)要求,及時向中國保監(jiān)會報告。

  第三十三條 災(zāi)難恢復(fù)工作人員應(yīng)根據(jù)災(zāi)難恢復(fù)預(yù)案執(zhí)行相關(guān)的指揮和操作工作,并及時跟蹤事態(tài)變化和恢復(fù)進程,加強溝通,加強恢復(fù)工作的統(tǒng)一指揮和管理。

  保險機構(gòu)應(yīng)保證并合理配置恢復(fù)所需的各項資源,確保災(zāi)難恢復(fù)工作的順利實施。

  第三十四條 保險機構(gòu)應(yīng)明確信息系統(tǒng)的重建方案,在進行信息系統(tǒng)重建前應(yīng)評估災(zāi)難造成的損失。根據(jù)損失評估情況,結(jié)合災(zāi)難備份系統(tǒng)運行可接受的最長時間,確定修復(fù)或者重新建設(shè)方案,執(zhí)行信息系統(tǒng)的重新建設(shè)和功能恢復(fù)。

  信息系統(tǒng)的回退是指將災(zāi)難備份系統(tǒng)的功能轉(zhuǎn)移到新建或恢復(fù)的信息系統(tǒng),各項業(yè)務(wù)恢復(fù)到正常運行狀態(tài)的過程。加強信息數(shù)據(jù)安全處理,防止重要信息的泄漏,將災(zāi)難備份系統(tǒng)恢復(fù)為備用狀態(tài)。

  第三十五條 災(zāi)難恢復(fù)之后,應(yīng)及時組織相關(guān)人員進行總結(jié),修訂災(zāi)難恢復(fù)策略和災(zāi)難恢復(fù)預(yù)案。

第九章 審計和備案   

  第三十六條 災(zāi)難恢復(fù)工作的審計分為內(nèi)部審計和外部審計。內(nèi)部審計由保險機構(gòu)內(nèi)部人員組織實施。外部審計由具有國家相應(yīng)監(jiān)管部門認定資質(zhì)的中介機構(gòu)組織實施。

  中國保監(jiān)會可依據(jù)法律法規(guī),委托并授權(quán)具有資質(zhì)的中介機構(gòu)對保險機構(gòu)進行外部審計。中介機構(gòu)根據(jù)保監(jiān)會或其派出機構(gòu)委托或授權(quán)對保險機構(gòu)進行審計時,應(yīng)出示委托授權(quán)書,并依照委托授權(quán)書上規(guī)定的委托和授權(quán)范圍進行審計。中介機構(gòu)根據(jù)授權(quán)出具的審計報告經(jīng)中國保監(jiān)會審閱確定后具備法律效力,被審計保險機構(gòu)應(yīng)對該審計報告在規(guī)定時間內(nèi)提出整改意見,并按審計報告中提出的建議進行及時整改。

  審計報告應(yīng)作為風(fēng)險管控措施的成果進行存檔,審計過程所涉及的資料調(diào)閱應(yīng)有交接手續(xù),嚴格控制審計過程中的涉密資料的保管和發(fā)放,中介機構(gòu)應(yīng)保守被審計保險機構(gòu)的商業(yè)秘密和風(fēng)險信息。

  第三十七條 審計工作主要包括以下內(nèi)容:

  (一)災(zāi)難恢復(fù)項目的建立和管理;

  (二)風(fēng)險評估和管控;

  (三)組織協(xié)作和授權(quán)機制;

  (四)業(yè)務(wù)影響分析;

 ?。ㄎ澹?zāi)難恢復(fù)策略;

 ?。?yīng)急管理和操作;

 ?。ㄆ撸?zāi)難恢復(fù)預(yù)案;

 ?。ò耍┡嘤?xùn)和認知;

  (九)演練和維護;

  (十)公共關(guān)系和危機通訊。

  第三十八條 保險機構(gòu)應(yīng)根據(jù)信息系統(tǒng)的災(zāi)難恢復(fù)工作情況,確定審計頻率,每三年至少進行一次審計。

  第三十九條 保險機構(gòu)災(zāi)難恢復(fù)工作報告和審計報告應(yīng)在中國保監(jiān)會進行備案。災(zāi)難恢復(fù)工作報告?zhèn)浒腹ぷ髟诿磕甑牡谝患径冗M行,審計報告?zhèn)浒腹ぷ髟趯徲嫿Y(jié)束后的三個月內(nèi)進行。災(zāi)難恢復(fù)工作報告主要內(nèi)容包括:

 ?。ㄒ唬┒唐诤椭虚L期災(zāi)難恢復(fù)規(guī)劃和策略;

  (二)上年度災(zāi)難恢復(fù)工作以及重大變更情況。

  第四十條 中國保監(jiān)會根據(jù)工作需要,可對保險機構(gòu)的信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃、建設(shè)、運營等進行不定期抽查、現(xiàn)場檢查?! ?nbsp;

第十章 附則

  第四十一條 本指引由中國保監(jiān)會負責(zé)解釋、修訂。

  第四十二條 本指引自頒布之日起施行。

新世紀檢驗認證有限責(zé)任公司
電話:400-016-9000
郵箱:post@bcc.com.cn

聯(lián)系地址:北京市東城區(qū)廣渠門內(nèi)大街45號D座5層

聯(lián)系我們

想咨詢更多認證服務(wù),請您填寫下面表格,我們將在工作時間內(nèi)回電!
填寫并發(fā)送此表單即表示您已閱讀我們的免責(zé)聲明,Cookie政策和隱私聲明。