银行业信息系统灾难恢复管理规范.docx
- 文档编号:23247355
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:31
- 大小:30.91KB
银行业信息系统灾难恢复管理规范.docx
《银行业信息系统灾难恢复管理规范.docx》由会员分享,可在线阅读,更多相关《银行业信息系统灾难恢复管理规范.docx(31页珍藏版)》请在冰豆网上搜索。
银行业信息系统灾难恢复管理规范
JRICS
A11
备案号:
中华人民共和国金融行业标准
JR/T0044—2008
银行业信息系统灾难恢复管理规范Managementspecificationofinformationsystemdisasterrecoveryforbanks
2008-02-04发布2008-02-04实施
中国人民银行发布
1
JR/T0044—2008
目次
前言.........................................................................III引言..........................................................................IV
1范围(1
2规范性引用文件(1
3术语和定义(1
4银行业信息系统灾难恢复综述(3
4.1灾难恢复工作内容(3
4.2灾难恢复的周期性工作(3
4.3机构间合作(4
5组织机构设立和职责(4
5.1组织机构设立(4
5.2组织机构的组成和职责(4
6灾难恢复需求分析(5
6.1风险分析(5
6.2业务影响分析(6
6.3确定灾难恢复需求(6
7灾难恢复策略制定(7
7.1成本风险分析和策略的确定(7
7.2灾难恢复能力等级(7
7.3灾难备份中心的布局(8
7.4资源、服务的获取和保障(8
8灾难备份中心的建设(9
8.1基础设施建设(9
8.2灾难备份系统建设(9
8.3项目监理(9
9灾难备份中心的运行维护管理(9
9.1管理制度建设(9
9.2运行维护工作内容(10
9.3运行维护的资源保障(10
10灾难恢复预案的制订、演练与管理(10
10.1灾难恢复预案的制订(10
10.2灾难恢复预案的演练(11
10.3灾难恢复预案的管理(12
11应急响应和灾难恢复(12
11.1应急响应(12
11.2灾难恢复(12
11.3重建与回退(13
12监督管理(13
12.1审计(13
I
JR/T0044—2008
12.2备案(13
附录A(资料性附录应急响应和灾难恢复工作要点(15
附录B(资料性附录RTO/RPO与灾难恢复能力等级的关系(17
II
JR/T0044—2008
前言
本标准是对银行业信息系统灾难恢复管理要求的描述。
本标准由中国人民银行提出,由全国金融标准化技术委员会归口管理。
本标准由中国人民银行批准。
本标准负责起草单位:
中国人民银行。
本标准参加起草单位:
万国数据服务(深圳有限公司。
本标准主要起草人:
文四立、李晓枫、杨竑、郭全明、曹旭辉、李健、袁慧萍、汪琪、于健、何政、刘东红、高勇、陈天晴、康潭云、王铮、张艳、竺毅强、周恒、王雄、刘鹏鹏。
III
引言
为规范和引导银行业信息系统灾难恢复工作,有效防范银行业信息系统风险,保护银行业客户的合法权益,特制定本规范。
IV
银行业信息系统灾难恢复管理规范
1范围
本规范规定了银行业信息系统灾难恢复应遵循的管理要求。
本规范适用于中国人民银行,以及在中华人民共和国境内设立的银行业金融机构(包括外资银行,以下简称“单位”。
2规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容或修订版均不适用于本规范。
凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T20988-2007信息安全技术信息系统灾难恢复规范
3术语和定义
3.1
信息系统informationsystem
由计算机系统、网络系统软硬件及其相关的设备、设施和应用软件等构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。
3.2
灾难disaster
由于人为或自然的原因,造成信息系统严重故障、瘫痪或其数据严重受损,使信息系统支持的业务功能停顿或服务水平达到不可接受的程度,并持续特定时间的突发性事件。
3.3
灾难恢复disasterrecovery
DR
为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。
3.4
灾难恢复规划disasterrecoveryplanning
DRP
为了规避灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。
3.5
区域性灾难regionaldisaster
造成所在地区或有紧密联系的邻近地区的通信、电力、交通及其它关键基础设施受到严重破坏,或大规模人口疏散的事件,导致无法维持信息系统正常运行。
例如:
地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障等。
3.6
风险分析riskanalysis
RA
1
确定影响信息系统正常运行的风险,评估对单位业务运营至关重要的功能,定义降低潜在危险控制手段的流程。
风险分析经常会涉及到对特殊事件发生可能性的评估。
3.7
业务影响分析businessimpactanalysis
BIA
分析业务功能及其相关信息系统资源,评估特定灾难对各种业务功能的影响。
3.8
关键业务功能criticalbusinessfunctions
如果中断一定时间,将显著影响单位运作的服务或职能。
3.9
生产系统productionsystem
正常情况下支持单位生产运行的信息系统。
包括主数据、主数据处理系统和主网络。
3.10
生产中心productioncenter
生产系统所在的数据中心。
3.11
灾难备份中心backupcenterfordisasterrecovery
灾难发生后,接替生产中心进行数据处理和支持关键业务功能运作的场所,包括备用数据中心、备用工作环境、备用生活设施等。
形成灾难恢复能力还需配备相关业务、技术等人员,并建立相应的运作机制。
3.12
灾难备份backupfordisasterrecovery
为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、业务和技术等相关人员进行备份的措施。
3.13
灾难备份系统backupsystemfordisasterrecovery
用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用网络系统等组成的信息系统。
3.14
灾难恢复预案disasterrecoveryplan
定义信息系统灾难恢复所需组织、流程、资源等预先制定的行动方案(以下简称“预案”。
用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。
3.15
同城备份regionalbackup
生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,一般距离在数十公里以内,可实现同步数据复制。
3.16
异地备份non-regionalbackup
生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,一般距离在数百公里以上。
3.17
恢复时间目标recoverytimeobjective
RTO
灾难发生后,信息系统从停顿到必须恢复的时间要求。
3.18
2
恢复点目标recoverypointobjective
RPO
灾难发生后,数据必须恢复到的时间点要求。
3.19
灾难恢复外包outsourcingfordiasaterrecovery
选择外部资源提供灾难恢复服务,例如:
承担或协助制定信息系统灾难恢复规划,提供或协助建设灾难备份设施,负责运行维护灾难备份中心,提供或协助应急响应技术支持工作等。
3.20
演练exercise
为提高灾难恢复能力,基于灾难恢复预案进行的演习,形式包括桌面演练、模拟演练、实战演练。
3.21
应急响应emergencyresponse
为应对突发事件、最大化减少突发事件对业务运作的影响而采取的紧急行动。
3.22
重建restoration
在灾难对单位原生产中心造成损害后,为了使业务恢复到正常运行状态而修复原生产中心或在其他地址重新建造生产中心的过程。
3.23
回退return
生产中心重建完成并达到各项规范所要求的运营条件后,单位的信息系统由灾难备份中心迁移到已修复的或新建的生产中心并恢复运行的过程。
3.24
强制决策点mandatorydecisionpoint
为了实现灾难恢复时间目标,在灾难事件发生后必须决定是否启动灾难恢复预案的时间点。
4银行业信息系统灾难恢复综述
4.1灾难恢复工作内容
灾难恢复工作主要包括以下内容:
——组织机构设立和职责;
——灾难恢复需求分析;
——灾难恢复策略制定;
——灾难备份系统实施;
——灾难备份中心运行维护;
——灾难恢复预案制订、演练和管理;
——应急响应和灾难恢复。
4.2灾难恢复的周期性工作
4.2.1需求分析
灾难恢复的需求分析主要包含风险分析和业务影响分析。
灾难恢复的需求应定期进行再分析,再分析周期最长为三年。
当生产中心环境、生产系统或业务流程发生重大变更时,单位应立即启动灾难恢复需求再分析工作。
4.2.2策略制定
单位应统筹规划信息系统灾难恢复工作,制定统一的灾难恢复策略。
三年及以上的灾难恢复策略规划应满足本规范7.2.2描述的最低灾难恢复能力等级要求。
三年以下的临时性灾难恢复策略可降低一个灾难恢复能力等级,或部分系统降低一个灾难恢复能力等级。
3
单位应定期根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
4.2.3技术方案管理
单位应定期根据最新的灾难恢复策略复审和调整灾难恢复技术方案。
4.2.4预案管理
单位应定期根据最新的灾难恢复策略复审和修订灾难恢复预案。
每年应至少组织一次灾难恢复预案的审查和批准工作。
4.3机构间合作
单位应加强与其业务密切相关的机构间的协调联系,相互合作、分享经验,共同评估面临的风险,协同制定灾难恢复策略,提高银行业整体风险防范和灾难恢复能力。
5组织机构设立和职责
5.1组织机构设立
单位应结合具体情况设立灾难恢复组织机构,明确工作职责。
单位的灾难恢复组织机构应在灾难恢复预案中准确说明。
灾难恢复组织机构应包含灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职。
关键岗位的人员应有备份。
可根据信息系统和分支机构情况设立不同级别的灾难恢复组织机构,如设立总行和分支机构的多级灾难恢复组织机构。
5.2组织机构的组成和职责
灾难恢复组织机构应分为决策层、管理层和执行层。
a决策层主要由单位高层管理者组成,决策信息系统灾难恢复的重大事宜,主要职责如下:
——确定灾难恢复战略;
——审核批准灾难恢复策略;
——审核批准灾难恢复经费预算;
——审核批准灾难备份设施建设;
——审核批准灾难恢复预案;
——批准启动灾难恢复预案;
——决策应急响应与恢复重大事宜;
——审核批准对外情况通报和信息发布;
——批准生产中心的重建与回退。
b管理层主要由单位的业务、技术、后勤等相关部门负责人组成,在决策层领导下开展工作,负
责管理和协调信息系统灾难恢复工作,主要职责如下:
——组织制定灾难恢复策略;
——编制灾难恢复经费预算;
——组织灾难备份中心建设;
——管理灾难备份中心;
——组织制定灾难恢复预案;
——组织实施灾难恢复预案的演练;
——协调内外部灾难恢复资源;
——指挥和协调应急响应与恢复工作;
——指挥和协调生产中心的重建与回退工作;
——负责内部信息通报和沟通;
——组织和管理媒体公关工作;
——监督、检查和总结灾难恢复工作。
4
c执行层主要由单位的业务、技术、后勤等相关部门工作人员和外部机构人员组成,在管理层的
领导下,负责灾难恢复的具体实施工作,主要职责如下:
——提出灾难恢复需求和策略建议;
——实施灾难备份中心建设;
——运行维护灾难备份中心;
——提供灾难恢复的专业技术支持;
——开发、测试、培训、演练和维护灾难恢复预案;
——实施应急响应和恢复工作;
——实施生产中心的重建和回退工作;
——负责灾难恢复过程的记录、报告和通讯联络;
——承担灾难抢修、拯救和损害评估;
——负责资源保障和供应;
——负责灾难发生后的外部协作;
——分析和总结灾难恢复工作。
6灾难恢复需求分析
6.1风险分析
6.1.1确定风险分析目标
单位应根据长期可持续发展和信息化建设的战略目标,明确风险分析目标,全面识别信息系统灾难风险威胁和脆弱性。
6.1.2确定风险分析范围
单位应根据信息系统的范围和特点,全面识别和分析影响信息系统正常运行的灾难风险要素。
单位应根据信息系统支持业务的区域范围,分析信息系统面临的区域性灾难风险。
单位应根据业务经营领域,分析信息系统中断造成的金融领域关联性风险。
金融领域关联性风险指由于部分金融机构不能履行职责,导致其他机构无法开展特定业务,造成连锁反应,进而影响金融体系稳定的风险。
6.1.3风险分析方法
a资产识别
资产是具有价值的信息或资源,是单位风险分析所要保护的对象,它以无形、有形的形式存在,主要包括:
基础设施、硬件、软件、数据、文档、服务和声誉等。
单位应对资产进行分类以区分资产的不同重要程度并确定重要资产的范围,应对资产进行标识以区分资产对业务正常运作的不同影响程度,据此确定资产的等级。
b威胁识别
威胁指对信息资产构成潜在破坏的可能性因素。
灾难风险的威胁有多种分类方法,主要包括:
——自然或人为;
——无意或有意;
——内部、外部或内外勾结;
——在控制能力之内或超出控制能力之外;
——可先期预警或不可先期预警。
c脆弱性识别
脆弱性是可能被威胁利用的信息资产的弱点。
脆弱性识别是风险分析中的一个主要环节。
脆弱性识别可以从环境、业务、网络、系统、应用等层次进行识别。
脆弱性识别的依据可以是国际或国家的安全标准,也可以是行业规范、应用流程的安全要求。
对应用在不同环境中的相同弱点,其脆弱性严重程度是不同的。
信息系统所采用的协议、应用流程的完备与否、与其他网络的互联
等也应考虑在内。
脆弱性识别时的数据应来自于信息系统的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。
脆弱性识别所采用的方法主要有:
问卷调查、工具检测、人工核查、文档查阅和渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。
管理脆弱性可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
d风险计算
风险计算是采用适当的方法与工具确定威胁利用脆弱性导致信息系统灾难发生的可能性,主要包括以下内容:
1、根据威胁出现的频率及脆弱性状况,计算威胁利用脆弱性导致灾难发生的可能性;
2、根据资产重要程度及脆弱性严重程度,计算灾难发生后的损失;
3、根据计算出的灾难发生的可能性以及灾难的损失,计算风险值,并进行风险等级划分。
6.1.4风险控制
评估现有安全策略和措施的有效性,确定信息系统仍然可能存在的风险,即残余风险。
单位应根据资产等级及残余风险发生的概率、可能造成的损失和风险防范成本,评估风险可接受的程度,确定可接受的风险。
针对不可接受的风险,按照灾难恢复资源的成本与风险可能造成损失之间取得平衡的原则(以下简称“成本风险平衡原则”,确定风险防范措施,并定期评估残余风险。
6.2业务影响分析
6.2.1业务功能分析
通过业务功能分析,确定业务功能的关键程度,分析的内容主要包括:
——政策性:
业务功能的政策要求;
——业务性质:
核心业务或非核心业务;
——业务服务范围:
涉及到的内外部机构、用户等范围;
——数据集中程度:
业务数据的集中与处理的集中、地域分布;
——业务时间敏感性:
实时与非实时业务、业务运行时段和用户使用频度;
——业务功能的关联性:
与本单位其它业务功能及其他机构业务功能之间的关联程度。
6.2.2评估业务中断影响
a以量化的方法,评估业务功能中断可能造成的直接经济损失和间接经济损失,主要包括:
——直接经济损失:
●资产损失;
●收入损失;
●额外费用增加;
●财务处罚。
——间接经济损失:
●预期收益损失;
●商业机会损失;
●市场份额影响。
b以非量化的方法,评估业务功能中断可能造成的影响,主要包括:
——社会影响;
——法律影响;
——信用影响;
——品牌影响。
6.3确定灾难恢复需求
6.3.1确定需求等级
单位应根据风险分析、业务功能分析和业务中断影响分析的结论,将信息系统按时间敏感性分成三类需求等级:
a第一类
——短时间中断将对国家、外部机构和社会产生重大影响的系统;
——短时间中断将严重影响单位关键业务功能并造成重大经济损失的系统;
——单位和用户对系统短时间中断不能容忍的系统。
b第二类
——短时间中断将影响单位部分关键业务功能并造成较大经济损失的系统;
——单位和用户对系统短时间中断具有一定容忍度的系统。
c第三类
——短时间中断将影响单位非关键业务功能并造成一定经济损失的系统;
——业务功能容许一段时间中断的系统。
6.3.2确定最低恢复要求
根据信息系统的时间敏感性,确定信息系统灾难恢复目标的最低要求:
a第一类:
RTO<6小时,RPO<15分钟;
b第二类:
RTO<24小时,RPO<120分钟;
c第三类:
RTO<7天。
6.3.3确定恢复优先级
根据业务功能分析、业务中断影响分析并综合考虑系统间的依赖性,确定信息系统的恢复优先级。
6.3.4确定相关资源
单位应确定灾难恢复所需的七个方面资源要素:
——数据备份系统;
——备用数据处理系统;
——备用网络系统;
——备用基础设施;
——技术支持能力;
——运行维护管理能力;
——灾难恢复预案。
7灾难恢复策略制定
7.1成本风险分析和策略的确定
按照成本风险平衡原则,确定每项关键业务功能的灾难恢复策略,不同的业务功能可采用不同的灾难恢复策略。
灾难恢复策略是单位为了达到灾难恢复目标而制定的规划、方法和措施。
灾难恢复策略主要包括:
——灾难恢复建设计划;
——灾难恢复能力等级;
——灾难恢复建设模式;
——灾难备份中心布局。
7.2灾难恢复能力等级
7.2.1灾难恢复能力等级的确定
单位应根据信息系统的RTO和RPO要求,确定信息系统的灾难恢复能力等级,参见附录B。
7.2.2最低的灾难恢复能力等级要求
信息系统根据灾难恢复需求等级,最低应达到以下灾难恢复能力等级:
a第一类:
5级;
b第二类:
3级;
c第三类:
2级。
7.3灾难备份中心的布局
7.3.1布局原则
a灾难备份中心应设置在中华人民共和国境内;
b灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受同类风险;
c灾难备份中心的选址应服从国家战略安全要求,并综合考虑生产中心与灾难备份中心交通和电
讯的便利性与多样性,以及灾难备份中心当地的业务与技术支持能力、电讯资源、地理地质
环境、公共资源与服务配套能力等外部支持条件。
7.3.2布局模式
单位应根据成本风险平衡原则以及运行管理要求,可采用以下多种布局模式:
——一主一备:
一个生产中心,一个备份中心;
——一主多备:
一个生产中心,多个备份中心;
——互为备份:
两个生产中心互相备份;
——多主一备:
多个生产中心共享一个备份中心;
——混合方式:
以上方式的混合。
7.4资源、服务的获取和保障
7.4.1资源的获取
a基础设施
灾难恢复的基础设施包括机房和其他辅助设施,其获取方式包括:
——自建方式:
单位可自行建设灾难恢复基础设施,基础设施的功能和规格应符合相应的灾难恢复能力等级要求。
在选择自建方式时应综合考虑投资效益、运营管理成本、运
营管理队伍的稳定性和应急能力等因素。
——共享方式:
单位可采用多方共建或外包方式获取灾难恢复基础设施,基础设施的功能和规格应符合相应的灾难恢复能力等级要求。
在选择共享方式时应综合考虑责任界
定、信息的安全保密和服务水平要求等因素。
b数据备份系统、备用数据处理系统
用于灾难恢复的数据备份系统和备用数据处理系统设备,其获取方式包括:
——自行采购;
——与供应商签订紧急供货协议;
——租赁;
——外包。
c通信网络
用于灾难恢复的通信网络包括生产中心和灾难备份中心间的备份网络和最终用户访问灾难备份中心的网络,通信线路应至少有两种以上不同的物理线路,其获取方式包括:
——自行建设;
——租用运营商线路。
7.4.2专业服务的获取
在包括自建在内的各种灾难备份中心建设模式下,灾难备份中心的日常运行维护、应急响应和灾难恢复均可引入专业外包服务机制。
a灾难恢复咨询服务
咨询服务包括风险分析、业务影响分析、灾难恢复策略制定、灾难备份中心规划与建设、灾难恢复预案制订、测试、培训和演练等。
咨询服务的获取方式包括:
——委托外部咨询机构;
——联合外部咨询机构。
b灾难恢复技术支持服务
技术支持服务对象包括数据备份系统、备用数据处理系统和通信网络等,其获取方式包括:
——自有技术支持队伍;
——专业服务提供商;
——设备提供商。
c灾难恢复运营管理服务
运营管理服务包括灾难备份中心的日常运行维护和灾难恢复预案的维护等,其获取方式包括:
——自主运行维护;
——外包。
7.4.3外包的管理
单位应加强灾难恢复服务外包管理,与服务外包提供商签订安全保密、服务水平等协议,明确服务外包提供商的职责和应承担的法律责任,并定期验证服务外包提供商的服务水平和能力,通过采取各种管控措施,保障服务外包的安全可控和服务质量。
对于涉及国家秘密信息的系统,单位应遵从国家有关政策、法规,从保障国家信息安全角度慎重选择服务外包提供商。
灾难恢复服务外包提供商应符合国家和行业的相关服务资质要求,并至少满足以下要求:
a应熟悉银行业信息系统架构和业务流程,具有灾难恢复外包服务的成功案例和实践经验;
b应具有完备的信息安全管理体系和服务质量保证体系,并通过ISO27001、ISO9001等认证;
c应独立运营管理灾难备份中心,且机房的可用性应至少达到99.9%,其所能提供的灾难恢复能
力等级应达到5级以上(含5级。
8灾难备份中心的建设
8.1基础设施建设
灾难备份中心基础设施建设包括机房和辅助设施建设等。
灾难备份中心的选址、规划、设计、建设和验收,应符合国家和金融行业有关标准和规范要求。
机房可用性应至少达到99.9%。
8.2灾难备份系统建设
8.2.1技术方案设计
根据灾难恢复策略制定灾难备份系统技术方案,包含数据备份系统、备用数据处理系统和备用网络系统。
技术方案中所涉及的系统应:
——获得同生产系统相当的安全防护水平;
——具有可扩展性。
8.2.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行业 信息系统 灾难 恢复 管理 规范