《证券期货业信息系统备份工作指引》

1、I证券期货业信息系统备份工作指引Guidance for Backing up Securities & Futures Information Systems2005 - 发布 2006 - 实施中国证券监督管理委员会 发 布 I目 次前前 言言.IV引引 言言.V1范围范围.12规范性引用文件规范性引用文件.13术语和定义术语和定义.14证券期货业信息系统备份的工作内容证券期货业信息系统备份的工作内容.35组织机构和职责组织机构和职责.45.1组织机构设定.45.2人员的职责.45.2.1决策层.45.2.2管理层.55.2.3执行层.55.3外部协作.66备份的需求分析备份的需求

2、分析.66.1风险分析.66.1.1风险分析的准备.76.1.2资产识别.86.1.3威胁识别.86.1.4脆弱性识别.96.1.5已有安全措施确认.96.1.6风险分析.9业务影响分析.106.2.106.2.1证券期货行业关键业务.106.2.2分析业务功能和相关资源配置.116.2.3评估中断影响.116.3确定备份需求.126.3.1确定业务系统的备份恢复目标.126.3.2确定恢复顺序和流程需求.127备份的策略备份的策略.127.1概述.127.2资源和服务的获取方式.12 II7.2.1资源的获取方式.127.2.2专业服务的获取方式.137.3备份场所的布局.137.3.1布局

3、的原则.137.3.2布局的模式.148备份策略的实现备份策略的实现.148.1备份策略实现的内容和要求.148.2备份策略的实现过程.158.2.1备份方案设计.158.2.2备份技术方案.158.2.3备份应急预案制定.158.2.4备份管理制度制定.168.2.5方案的批准.178.2.6方案实施.178.2.7方案备案.179备份工作的日常管理备份工作的日常管理.179.1日常管理的主要内容.179.2运营维护人员的组成和工作职责.189.3运营维护的规范化管理.199.4备份应急预案的演练.199.4.1演练的目的.199.4.2演练的种类.199.4.3演练周期.199.4.4演练

4、的评估.209.5备份应急预案的管理.209.5.1预案管理的目的.209.5.2备份应急预案保管与分发.209.5.3审计.219.5.4备案.2110备份系统的启用备份系统的启用.2210.1启用关键要素.2210.2备份启动管理规范.2210.3备份系统启用后检查.2211生产系统的重建与回切生产系统的重建与回切.2211.1人员组织.2311.2原生产中心可用性评估流程.2311.3生产中心重建规划流程.23 III11.4生产中心回切的工作要点.2312备份工作的完善备份工作的完善.2412.1备份策略的完善.2412.2备份应急预案的完善.24附录附录 A 信息系统备份等级信息系统

5、备份等级.25等级一：等级一：无异地备份.25等级二：等级二：备份介质异地存放.26等级三：等级三：备份介质异地存放及备用场地.26等级四：等级四：备份介质异地存放及备份中心.27等级五：等级五：定时数据备份及备份中心.28等级六：等级六：实时数据备份及备份中心.29等级七：等级七：零数据丢失.30备份等级评定原则.31 IV前 言为提升中国证券期货行业信息系统应用水平，保障中国证券期货行业平稳安全运行，中国证券监督管理委员会制定本工作指引，要求各从业机构按照本工作指引贯彻执行。本工作指引由中国证券监督管理委员会提出；本工作指引由中国证券监督管理委员会信息中心归口；本工作指引中的监督管理部门指

6、中国证券监督管理委员会；本工作指引起草单位： 本工作指引主要起草人：引 言为规范和引导证券期货信息系统安全运行和备份、灾难恢复等工作，有效防范证券期货从业机构的信息系统风险，保护证券期货投资者的合法权益，特制定本工作指引。本工作指引所称信息系统备份指信息系统的运行安全保障、数据备份、灾难备份和恢复等工作。 1证券期货业信息系统备份工作指引1范围本工作指引规定了证券期货信息系统备份工作应遵循的基本管理要求。本工作指引适用对象：证券、期货交易所，登记结算公司，证券公司，期货经纪公司，证券、期货通信公司，基金公司及其他证券期货业机构（以下简称为“从业机构” ） 。2规范性引用文件下列文件中的条款通过

7、本工作指引的引用而成为本工作指引的条款。凡是注日期的引用文件，其随后所有的修改单（不包含勘误的内容）或修订版均不适用于本工作指引，然而，鼓励根据本工作指引达成协议的各方研究是否可适用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。国信办【2005】8 号重要信息系统灾难恢复指南 ，见附录。 证监会【2005】5 号证券期货业安全保障工作管理暂行办法 。3术语和定义重要信息系统灾难恢复指南所确立的术语和定义，以及下列术语和定义适用于本工作指引。安全事故 Security Incident从业机构信息系统发生故障，导致信息系统不能正常工作。安全事故宣告 Security Inc

8、ident Declaration从业机构发生安全事故后，宣告安全事故的发生。紧急事件 Emergency从业机构信息系统发生故障，导致从业机构业务受到影响而需要立即进行处理。威胁 Threat可能导致对系统或组织危害的安全事故潜在起因。脆弱性 Vulnerability可能被威胁所利用的资产或若干资产的弱点。完整性 Integrity保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。可用性 Availability数据或资源的特性，被授权实体按要求能访问和使用数据或资源。实时性 Realtime信息系统在需要时能及时提供服务的特性。 2备份 Backup从业机构信息

9、系统预期发生故障，为应对紧急事件、最大化减少紧急事件对从业机构业务带来的影响而采取的措施，比如数据备份、系统备份、线路备份、人员备份等，使得从业机构信息系统在发生故障时可以通过备份措施恢复运行。备份应急预案 Backup Plan从业机构预期信息系统发生故障，为了应对紧急事件、最大化减少紧急事件对从业机构业务带来的影响而制定的事前准备措施和流程的计划描述备份系统 Backup System从业机构信息系统发生安全故障或者预期发生故障时，接替生产系统运行，由数据备份系统、备用数据处理系统和备用的网络系统等组成的信息系统。备份系统包括了灾难备份系统。生产运行 Production Running从

10、业机构信息系统在通常生产环境下的运行。备份运行 Backup Running从业机构信息系统在备份环境下的运行。备份恢复 Backup Recovery从业机构为应对紧急事件启用数据备份等备份系统、最大化减少紧急事件对证券期货业务带来影响而采取的措施。重建 Rebuilding从业机构启用备份系统后，为了使业务恢复正常运行状态而对原生产系统的修复或者重建等过程。重建计划 Rebuilding Plan为了重建生产系统而做的计划。该计划应明确重建过程的可行性研究报告结果、技术方案、流程及时间安排、人员组织、资金计划等事项。系统回切 System Return从业机构启用备份系统后，当生产系统重建

11、完成并达到各项规范所要求的运营条件后，信息系统从备份系统迁回到新的生产系统的过程。回切计划 Return Plan为了顺利地将生产系统功能从备份状态切换回正常运行状态，同时减少切换对本单位业务正常运作的影响所做的工作安排。该计划应明确回切过程的技术方案、流程及时间安排、人员组织等事项。数据丢失 Data Loss从业机构信息系统发生故障时启用备份数据或者启用备份系统后的数据丢失。数据补充 Data Supplyment从业机构信息系统启用备份系统数据丢失后，对丢失的数据进行补充或者重新添加、更新、删除等，使得信息系统的安全和数据准确性得以恢复。 3预切换指令 Pre-switch Comman

12、d从业机构在预期信息系统即将发生故障而不能提供正常服务时预先向备份系统下达的切换指令，该指令并不要求备份系统进行实际接管，生产系统仍然担任运行任务。正式切换指令 Formal Switch Command从业机构正式启用备份系统而下达的切换指令，该指令将要求备份系统进行实际接管，担任运行任务。连续运行目标 Continuous Running Objective从业机构信息系统发生故障时启用备份系统而可以连续运行的时间指标。强制决策点 Mandatory Decision Point为了实现灾难恢复时间指标或者预算设定的目标，在安全事故宣告后一段时间内必须启动备份应急预案的时间点。4证券期货业

13、信息系统备份的工作内容结合行业具体特点和基本特征，证券期货业信息系统备份工作主要包括以下内容：组织机构的设立及其职责；从业机构开展备份工作，首先要设立相应的组织机构。确立决策、管理、支持相关人员。备份的需求分析从业机构开展备份工作，首先要根据自身的要求和特点，对备份工作进行相关的分析，包括对当前信息系统的分析，对当前有效资源的使用和分配的分析等等。备份策略的确定从业机构根据对本单位备份相关分析的结果，以及本单位的自身特点和要求，确定本单位的备份策略。备份策略的实现；根据本单位的确定的备份策略，从业机构对备份进行相关建设和实施工作，比如备份方案的确定和建设，制定备份应急预案，备份设备的采购、备用

14、线路的申请、备份系统的建设和实施等待。备份的日常管理和应急演练从业机构完成备份的规划和建设实施后，进入备份的运行维护阶段。从业机构应该组织有效的相关资源，制定完善的制度，保障备份的正常有效运行。从业机构应该定期和不定期的进行备份的应急演习，以检验备份工作的有效性，同时通过备份的应急演习，锻炼相关人员，积累宝贵经验，以完善从业机构的备份工作。 4应急预案的启动；从业机构发生安全事故，根据备份应急预案，启动备份系统应该遵循备份的管理规范，保障从业机构的信息系统按照预先设定的目标继续有效运作。生产系统的重建与回切；从业机构生产系统发生重要安全事故，导致生产系统不能正常工作，启用备份系统运行后，应进行

15、生产系统的重建工作。生产系统重新完成或者恢复有效状态后，重新接替备份系统进行运行工作。备份工作的完善从业机构备份工作是一个周而复始、持续改进的过程，应根据实际情况和需要定期对本机构备份工作进行总结并进行相关调整。备份调整包括备份策略的调整，备份应急预案的调整等等。5组织机构和职责5.1组织机构设定从业机构应结合其日常组织机构的具体情况建立备份组织机构，并明确其职责。在备份规划中应明确相关人员，或者说明由相关组织机构的某级别人员担任。但是若一个岗位出现多人，则应明确替代的先后顺序。备份工作的组织机构由管理、业务、技术和行政后勤等人员组成，分为包含决策层、管理层、执行层三个层面的工作人员。备份的组

16、织机构必须是常设机构。备份的组织机构的工作岗位可以是专职岗位，也可以是兼职岗位。5.2人员的职责5.2.1决策层决策层应包含从业机构总经理、副总经理一级领导，应明确责任人。决策层主要职责是制定从业机构信息系统备份工作的战略目标，确保从业机构信息系统备份工作得到充足的资源支持。决策层负责信息系统重大安全事故比如灾难发生时的重大决策，对是否进行灾难备份切换进行决定。该权利可以由决策层有条件授予管理层相关人员履行，具体情况应该在备份应急预案中有准确说明。决策层应对信息系统的备份工作的成效负有最终责任。决策层的主要工作职责包括：审核批准和经费预算； 5审核批准备份方案设计；审核批准备份应急预案；批准和

17、授权管理层关于备份应急预案的执行；批准生产系统的重建计划；批准和授权生产系统回切的执行。5.2.2管理层管理层应包含从业机构涉及备份工作的管理、业务、技术和行政后勤等部门的主要负责人。管理层的部分或者全部工作可以聘请外部机构协助参与和履行职责。在备份工作中应明确以下岗位负责人（可以多个岗位一人兼任）：a)备份工作管理负责人；b)安全事故影响评估负责人；c)安全事故恢复技术负责人；d)客户服务管理负责人；e)备份审计负责人；f)监督检查负责人等；g)其他负责人管理层的主要工作职责包括：负责从业机构备份工作的日常管理协调工作；指挥和协调备份恢复应急响应和备份恢复工作；在有效授权条件下，批准备份应急

18、预案的执行；在有效授权条件下，批准生产系统回切的执行；负责上级单位和外部机构的信息通报和沟通；检查备份应急预案的测试和演练；监督和检查备份恢复工作。5.2.3执行层执行层应包含涉及备份工作的业务、技术和行政后勤等主要部门的工作人员。执行层主要职责是负责备份的具体实施工作。执行层的部分或者全部工作可以聘请外部机构协助参与和履行职责。执行层应由以下人员组成：硬件、网络通讯工程师；系统软件工程师； 6应用软件工程师；系统测试人员；后勤服务人员；客户服务人员；法律事务人员；监督、检查和审计人员；其他人员5.3外部协作从业机构之间的备份组织应加强协调联系，相互合作，分享经验。从业机构应与相关管理部门、新

19、闻媒体、设备及服务提供商、电信和电力部门等保持联络和协作，以确保在安全事故发生时能及时通报准确情况和获得适当支持。从业机构应积极参加各种安全知识培训讲座，可以从提供备份服务的专业机构寻求技术和管理等方面的服务。从业机构可聘请外部机构协助参与备份规划实施工作，也可委托外部机构承担备份工作：a)备份知识和工作培训；b)备份建设规划阶段的分析和规划；c)备份策略咨询服务；d)备份应急预案的制定服务；e)备份的监督、检查和审计服务；f)备份系统的建设支持；g)备份系统运营维护服务支持，比如安全事故恢复预案、灾难恢复预案演练、灾难恢复预案审计等；h)灾难应急响应和备份恢复工作支持；i)生产系统重建和回切

20、工作支持等。鼓励从业机构间本着经济、有效、安全的原则积极建设或者参加共享式备份中心。6备份的需求分析从业机构应该根据本行业的业务特征进行备份工作，就必须要进行本单位的备份的需求分析。由于各单位有自己的实际情况，从业机构应首先进行信息系统的风险分析，然后进行相关业务影响分析，最后根据分析的结果确认备份的恢复目标，并作出对应的备份规划。 76.1风险分析风险分析包括标识信息系统的资产价值；识别信息系统面临的自然的和人为的威胁，分析各种威胁发生的可能性；识别信息系统的脆弱性，分析脆弱性的严重程度。风险分析的的基本原理如下：威胁出现的频率脆弱性的严重程度资产价值安全事件的可能性安全事件的损失风险值威胁

21、识别脆弱性识别资产识别从业机构进行风险分析过程，主要包括了：a)对资产进行识别，并对资产的价值进行赋值；b)对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；c)对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；d)根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；e)根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；f)根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。本工作指引建议各从业机构以下面的实施流程来指导本机构的风险分析工作。6.1.1风险分析的准备从业机构在进行风险分析之前，应进行以下的一些基础要素的检

22、查，并在准备充分后，继续开展以后的工作：a） 确定风险评估的目标,确定风险评估的范围；确定评估依据和方法；b） 组建适当的评估管理与实施团队。参与风险分析人员，不仅仅包括本单位相关技术人员，还包括相应的业务人员以及相关的高层领导；风险分析应该获得最高管理者的支持；c） 参与人员积极支持进行风险分析，并充分了解本行业的业务特点以及信息技术的特点，比如：(1) 证券期货业务是要求连续服务，不可中断的行业。部分关键业务的短暂停顿会对社会、经济和政治生活产生重大影响。(2) 证券期货业是数据安全性要求极高的行业。部分关键数据的泄密或者篡改会对社会、经济和政治生活产生重要影响。(3) 证券期货业是实时性

23、要求极强的行业。部分关键业务的长时间暂停会对投资者产生重要 8影响。(4) 证券期货业务是国家经济和金融体系的核心环节之一，部分关键业务的长期中断会对国家整体的经济生活产生影响。(5) 证券期货技术管理要求高。证券期货的业务和信息技术迅速发展和变化，对技术管理提出较高要求。技术管理的缺失，容易带来管理风险。d） 对参与风险分析人员进行必要的培训，使得参与人员充分了解操作的流程，以便有效进行风险分析工作；e） 开放式交流的氛围，参与人员应具有团队精神，并以从业机构的角度思考问题。对一名具有人员或者一个业务单元而言是最好的并非是对整个单位而言是最佳的分析。6.1.2资产识别从业机构首先应该对本机构

24、信息系统的进行合理划分，形成待分析的资产信息，其次应该进行相关资产的价值评估。资产是具有价值的信息或资源，它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。证券期货行业资产的识别可以通过各业务系统的划分来识别，典型的业务系统包括（不同机构有不同的取舍）：a） 实时交易系统b） 注册登记系统c） 结算系统d） 风险监控系统e） 交割系统f） 通讯业务系统g） 等等。对资产价值的评估，不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于整个从业机构的重要性，甚至到整个行业，整个国家的经济生活的影响程度。进行资产价值的评估可以从多个因素进行考虑，比如：a）

25、 完整性因素b） 可用性因素c） 实时性因素d） 经济性因素e） 社会影响性因素f） 等等 96.1.3威胁识别从业机构首先应该识别本机构信息系统面临的多种威胁，其次应该进行相关威胁的发生可能性进行评估。威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。从业机构可以通过划分威胁的来源，或者通过划分威胁的表现形式来识别本机构信息系统面临的威胁。描述威胁时可以通过威胁主体、资源、动机、途径等多种属性来描述。判断威胁出现的频率即发生的可能性，是威胁识别的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频

26、率：a） 以往安全事件报告中出现过的威胁及其频率的统计；b） 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；c） 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。6.1.4脆弱性识别脆弱性识别是从业机构进行风险分析的重要一环，首先应该识别本机构信息系统的脆弱性，其次应该对相关脆弱性进行严重程度方面的评估。脆弱性识别可以以资产为核心，针对每一项需要保护的资产,识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、

27、应用流程的安全要求。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。对脆弱性的严重程度评估可以等级化处理来进行，不同的等级分别代表资产脆弱性严重程度的高低。可以参考以下几点因素：a） 对资产的损害程度b） 技术实现的难易程度c） 弱点的流行程度6.1.5已有安全措施确认在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施

28、替代。 106.1.6风险分析在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，应采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响。从业机构可以根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理，每个等级代表了相应风险的严重程度。即可以将风险划分为一定的级别，如划分为五级或三级，等级越高，风险越高。从业机构进行风险分析，在此过程中应该产生包括但不限于以下文档：a） 资产识别清单；b） 威胁列表；c）

29、脆弱性列表； d） 已有安全措施确认表;e） 风险列表。6.2业务影响分析从业机构在风险分析时，进行了相关资产的识别，威胁识别，脆弱性识别以及已有安全措施的识别，并在最后得出风险列表。从业机构应该根据自身的状况，对关键业务资产以及级别较高的风险对应的资产，进行进一步的业务影响分析。6.2.1证券期货行业关键业务就证券期货行业的特点而言，实时性要求和完整性要求是典型的关键业务要求。针对证券期货行业实时性要求，信息系统可以划分为：a) 实时性要求高。这些信息系统的短时间的故障或者中断就会对组织造成严重的损失，比如证券期货公司的实时交易业务服务，通讯公司的通讯业务。b) 实时性要求中。这些信息系统的

30、短时间的故障或者中断不会给组织造成严重的损失，但是超过一定时间仍然不能恢复，将会给组织造成严重的损失，比如结算业务服务。c) 实时性要求低。这些信息系统的故障或者中断在给组织造成严重损失之间，可以容忍更长的时间，比如外部网站服务。针对证券期货行业完整性要求，信息系统可以划分为：a) 完整性要求高。这些信息系统出现故障后导致数据丢失或者系统丧失完整性会对组织造成严重的损失，比如证券期货公司的实时交易业务服务，结算系统等。b) 完整性要求中。这些信息系统出现故障后导致数据丢失或者系统丧失完整性会对组织造成重要的损失，但是可以通过一定技术手段或者人工手段能在一定时间内补充完整，比如会员服 11务系统

31、等。c) 完整性要求低。这些信息系统出现故障后导致数据丢失或者系统丧失完整性会对组织造成的影响不大，比如行情发布系统，内部辅助管理系统等。6.2.2分析业务功能和相关资源配置分析各项业务功能及各项业务之间的相关性，确定支持各种业务功能的相应信息系统资源及其它资源，明确相关信息的完整性和实时性要求，为确定备份需求，选择备份技术方案做准备。对于关键业务系统以及风险分析级别较高的信息系统，应该分析系统所对应资源配置状况。一个建议的资源划分可以根据网络、硬件、系统软件、应用软件等多个层次来进行。6.2.3评估中断影响从业机构应采用定量和/或定性的方法，对各种业务功能的中断造成的影响进行评估。评估目标可

32、以为关键业务系统，也可以为对应的资源进行。评估业务系统中断影响可以从经济因素和非经济因素方面进行：直接经济因素可以包括：(1)资产因素；(2)收入因素；(3)机会因素(4)额外业务费用因素；(5)财务处罚因素；(6)其他因素等。间接经济因素可以包括：(1)预期收益因素；(2)市场份额影响；(3)企业形象、品牌影响因素；(4)其他因素等。非经济因素可以包括：(1)对证券、期货市场的影响(2)对投资者影响(3)对社会、国家影响(4)对社会公关及社会形象影响(5)对其他机构的影响 12(6)法律影响(7)其他评估资源中断的影响，可以通过评估资源所服务的业务系统来进行。6.3确定备份需求根据风险分析和

33、业务影响分析的结果，确定备份工作的目标，包括：a)业务系统的备份目标；b)确定关键业务系统恢复顺序和流程需求。6.3.1确定业务系统的备份恢复目标根据本行业的特征，从业机构针对本单位的具体业务系统，根据实时性要求和风险分析结果，对照附录信息系统备份等级确定恢复目标。6.3.2确定恢复顺序和流程需求从业机构应根据业务恢复需求以及业务功能的相互依赖关系和程度，确定业务系统恢复顺序。确定从业机构信息系统恢复流程，应急恢复工作中的流程可以与正常情况下的流程有一定差异，分析这些差异可能带来的风险和工作效率。7备份的策略7.1概述根据风险分析和业务影响分析的结论、企业自身的状况以及业务系统的特点，按照成本

34、风险平衡的原则制订的备份恢复的策略，主要包括：a) 备份资源的获取方式；b) 备份场所的布局。7.2资源和服务的获取方式7.2.1资源的获取方式从业机构应根据本单位的实际情况以及业务系统本身的要求，对照附录确定的从业机构备份等级要素要求，确定各种资源的获取方式。从业机构的资源包括各种基础设施、网络设备、通讯线路、业务系统、备份系统等等。资源的获取方式可以有多种：自行采购和建设从业机构可自行建设备份基础设施，其基础设施的功能和规格应符合相应的备份等级要求， 13还应考虑投资效益、运营管理成本和运营管理队伍的稳定性等方面因素。租用系统从业机构可自行通过租用的方式来进行备份工作。租用包括通讯线路的租

35、用、计算机设备网络设备等硬件设备的租用，也包括租用专业灾备中心提供的系统、服务等。租用硬件设备可以与供应商签订紧急供货协定。合作建设从业机构可两个或者几个共同投资建设备份恢复基础设施，但应考虑从业机构信息的安全保密、合作单位的信誉、初始投资和运营维护费的分摊等。7.2.2专业服务的获取方式备份恢复咨询服务咨询服务包括风险分析和业务影响分析、备份恢复策略的制定、备份恢复技术方案设计和备份应急预案的制订，咨询服务的获取方式包括：自己组织实施；委托外部咨询服务；共同开发。技术支持服务备份恢复的技术支持服务包括数据备份系统、主机系统、数据库、应用软件和通信网络等，其获取方式主要有：自建支持队伍；与服务

36、商签订服务协议运营管理服务备份恢复的运营管理服务包含日常维护管理、安全管理和备份应急预案维护管理，其获取方式主要有：自建运营队伍；委托第三方服务。7.3备份场所的布局从业机构应该需求分析结果和自身状况，确定是否进行安全备用场所的建设。备用场所可采用以下三种方式获取：a)由单位所有或运行；b)多方共建或通过互惠协议获取；c)租用商业化备份中心的基础设施。 147.3.1布局的原则a) 规避风险种类针对本行业特点而言，布局的选择应该重点考察需要规避风险的种类。比如自然灾害（地震等） 、供电网、通讯线路、大楼灾难、机房灾难等等。规避不同种类的风险，对布局的选择需要不同的考虑。b) 便于备份恢复备份恢

37、复所需的数据、人员可以及时顺利到达灾备中心。c) 考虑成本风险平衡7.3.2布局的模式a) 拓扑结构从业机构根据本单位信息系统和数据分布的特点，可采用以下拓扑结构规划布局位置：一主一备：一个生产中心，一个备份中心互为备份：二个生产中心互相备份一对多：一个备份中心备份多个生产中心混合方式：以上方式的混合b) 距离的选择在确定数据备份和备份场所与生产中心的距离时，应按以下两类风险来评估：数据中心风险人为错误、技术故障等局限于数据中心内部的风险是造成信息系统中断服务的主要因素。区域性风险自然灾害、恐怖事件、小规模战争攻击，还有区域性通信网故障、电网故障、大楼安全事故、机房事故等风险，具有明显的区域性

38、特点。一旦发生，局部区域的所有系统都会受到影响。时间敏感性强、中断影响大的业务系统需要有针对此类风险的备份措施。8备份策略的实现8.1备份策略实现的内容和要求根据既定的备份需求分析和备份策略，对备份系统进行建设实施工作。 15备份策略的实现主要完成备份方案的设计和实施，包括了制定备份应急预案、备份工作管理制度等。若存在备份系统的基础设施的建设，还应该包括基础设施的规划设计、基础建设和工程验收。基础设施的规划设计包括：计算机机房和辅助设施的选址、规划和设计。规划设计应符合有关国家规范。基础建设包括土建工程、装修工程、弱电工程等，从业机构应遵照国家相关规定进行基础设施建设。基础建设由实施单位委托专

39、业的第三方监理机构，建立信息系统工程监理制度，对工程的全过程进行监督管理，保证工程进度、质量和资金管理目标的完成。要成功建设从业机构的备份系统，要组建一个高效、有活力的项目组织，来进行备份系统的实施。项目组成人员可以来自于企业的备份组织机构人员，同时应最大限度地发挥各职能部门的人力资源优势。项目实施小组至少设立项目经理一名，并配备其他相关人员若干名。系统实施人员完成实施任务后，可以担任从业机构备份组织机构的相关岗位工作。8.2备份策略的实现过程8.2.1备份方案设计根据既定的备份策略，从业机构应进行备份方案的设计。具体完成以下工作流程：备份技术方案；备份应急预案制定；备份管理制度制定；确定测评

40、方法；测试设计；演练设计；批准、实施和备案。8.2.2备份技术方案备份技术方案内容应包括：a) 数据备份系统设计b) 备用基础设施设计c) 备用信息系统设备设计d) 备用数据处理系统设计e) 备份通信网络设计 168.2.3备份应急预案制定根据既定的备份策略和备份技术方案，从业机构应进行备份应急预案的制定。备份应急预案制定原则包括：a) 完整性：备份应急预案应包含备份恢复的整个过程，以及备份恢复所需的尽可能全面的数据和资料；b) 易用性：备份应急预案应运用易于理解语言和图表，并适合在紧急情况下使用；c) 明确性：备份应急预案应采用清晰的结构，对资源进行清楚的描述，工作内容和步骤应具体，每项工作

41、应有明确的责任人；d) 有效性：备份应急预案应尽可能满足灾难发生时进行恢复的实际需要，并保持与实际系统和人员组织的同步更新；e) 兼容性：备份应急预案应与其它应急预案体系有机结合。备份预案制订过程如下：a) 初稿的制订：参照附录备份应急预案框架，按照风险分析和业务影响分析所确定的备份内容，根据备份等级的要求，结合单位其它相关的应急预案，撰写出备份应急预案的初稿。b) 初稿的评审：单位应对备份应急预案初稿的全面性、易用性、明确性、有效性和兼容性进行严格的评审。评审应有相应的流程保证。c) 初稿的修订：根据评审结果，对预案进行修订，纠正在初稿评审过程中发现的问题和缺陷，形成预案的修订稿。d) 预案

42、的测试：应预先制订测试计划，在计划中说明测试的案例。测试应包含基本单元测试、关联测试和整体测试。测试的整个过程应有详细的记录，并形成测试报告。e) 预案的审核和批准：根据测试的记录和报告，对预案的修订稿进一步完善，形成预案的报批稿，并由备份决策层审核和批准，确定为预案的执行稿。8.2.4备份管理制度制定根据既定的备份策略和备份技术方案，从业机构应进行备份管理制度的制定。制度包括：a) 设备日常巡检管理规范；b) 网络设备检查管理规范；c) 应用软件系统备份管理规范；d) 各类备份应急预案的保管分发更新备案管理规范；e) 运维人员值班管理办法； 17f) 故障检测与紧急事件报告制度；g) 安全故

43、障紧急处理及备份系统启用管理规范；h) 临时信息系统运行管理；i) 数据备份管理制度等等8.2.5方案的批准从业机构应对相关方案设计等内容进行自我审查，审查通过的方案应得到决策层的批准。8.2.6方案实施根据既定的备份策略，从业机构进行备份系统的实施工作。主要包括：a) 获取所需要的网络通讯；b) 获取所需要的硬件设备；c) 获取所需要的软件；d) 获得各方的技术以及其他支持；e) 安装设备及系统；f) 测试硬件和软件；g) 系统上线；h) 备份系统运行；i) 交易演练和备份验证；j) 系统运行总结。从业机构获取所需要的资源，可以根据自身特点和特殊需要，采取自建、自购，或者租用，或者外包等方式

44、进行。主要包括如下几个原则：既定策略原则：根据既定的备份策略，选择不同的实施方案；安全原则：数据的安全得到有效保障；选择的外包供应商应该拥有对应的资质；成本效益原则：本着低成本、高效益原则。8.2.7方案备案从业机构应将备份系统的建设内容、方案设计、批准情况等各项资料在主管部门进行备案。9备份工作的日常管理9.1日常管理的主要内容为保证已经建成的备份系统的完整和有效，从业机构应对系统内各个关键要素进行定期和不定期 18的维护。备份日常管理主要包括：a)运营维护人员的组成；b)运营维护规范化管理；c)备份恢复的演练；d)备份应急预案的调整和维护。9.2运营维护人员的组成和工作职责备份日常管理队伍

45、是从业机构常设机构，由从业机构备份组织机构中相关人员组成，至少设立总负责人一名，并配备其他相关人员若干名。总负责人应该来自于备份组织机构的决策层或者管理层，其他相关人员来自于管理层或者执行层。运营维护人员可以和生产系统维护人员进行复用和岗位轮换，也可以由第三方人员担任。维护队伍中应包含以下专业人员：a)备份运营维护总负责人：负责管理整个备份工作维护团队以及备份服务外包服务商团队，负责在整个演练和灾难恢复过程中，配合系统发生时的紧急响应工作。b)应用系统维护人员：负责各备份工作中应用系统的维护，保证各软件系统的备份恢复和重续运行阶段的正常运作，以及各系统切换时的技术支持。c)操作系统维护人员：负

46、责各备份工作中操作系统的维护，保证操作系统在备份恢复和重续运行阶段的正常运作，以及系统切换时的技术支持。d)数据库及基础软件平台维护人员：负责各备份工作中数据库系统和基础软件平台（如中间件）的维护，保证数据库系统和基础软件平台在备份恢复和重续运行阶段的正常运作，以及系统切换时的技术支持。e)服务器/存储系统维护人员：负责各服务器/存储系统系统的硬件平台完好有效，保证服务器/存储系统硬件平台在备份恢复和重续运行阶段的正常运作，以及系统切换时的技术支持。f)网络通讯维护人员：负责整个网络和通讯系统（含存储区域网络设备）的硬件平台完好有效，保证网络通讯系统硬件平台在备份恢复和重续运行阶段的正常运作，

47、以及系统切换时的技术支持。g)基础设施维护人员，包括对空调系统、土建系统、电力系统、消防系统、保安监控系统的维护。从业机构的备份恢复系统的维护人员对以下工作负责：a)备份工作的日常运营和维护； 19b)备份工作的演练；c)备份应急预案的维护和更新；d)备份应急预案所涉及的各个物理系统的维护和更新等。9.3运营维护的规范化管理从业机构备份的日常管理应该根据制定的备份管理制度进行。从业机构备份日常管理人员应该记录相关维护记录，包括设备巡检记录、网络运行记录、应用软件维护记录、应急预案的保管分发记录、故障记录和报告记录、数据备份记录、备份系统运行状况记录等等。对备份应急预案的演练应该进行完备记录，为

48、应急预案的更新和完善提供支持。9.4备份应急预案的演练9.4.1演练的目的从业机构应在规定的时间内进行备份应急预案的演练工作，演练的目的是为了熟悉备份应急预案的流程与环节，检测预案的有效性。9.4.2演练的种类从业机构备份应急预案的演练应结合本行业的特点进行，主要可以包括以下种类：a) 完全演练完全演练需采用事前通告的方式进行。b) 部分演练分为：技术测试：对备份恢复系统各个部分进行恢复测试，保证信息系统在灾难后可有效恢复；桌面测试：针对可能发生的灾难集中讨论备份恢复安排的流程；职能模拟测试：指定特定场景，让参与备份运营维护的人员熟悉发生灾难后自己的角色；备份中心测试：测试备份中心恢复的能力；

49、服务商测试：用于保证第三方服务商和产品供应商的响应速度和服务水平能否达到合同的要求；部分演练可采用事前通告也可采用非事前通告的方式。9.4.3演练周期完全演练：每年组织至少一次。 20部分演练：根据变化情况不定期的进行部分演练。每年每项测试至少一次。演练应尽量选择在从业机构非办公时间进行。除了每年一次的完全演练，其他演练方式尽量减少对生产系统的影响。9.4.4演练的评估为了保证演练的有效性，从业机构在每次演练中和演练后应组织评估。评估活动由从业机构的备份恢复管理部门组织，参与评估的人员应包括从业机构分管备份恢复工作的领导和审计人员。在演练开始前，评估小组应审核演练计划，对演练场景和所要达到的目

50、的达成一致，对相关的评估标准进行确认，评估标准应该根据灾难恢复预案的目标进行量化。在演练开始后，应该按照评估标准对演练活动进行观察和记录，并在演练结束后对演练的过程和结果进行分析和总结，最后完成演练报告。演练报告应包括以下内容：a)预案是否有效b)备份恢复小组人员是否明确了解自己的角色和所承担的任务；c)根据演练中的情况确认是否有变化产生，是否需要更新备份应急预案；d)如需要更新预案，指定专人对备份应急预案进行更新并记录更新日期；e)确认更新已经完成；f)在下次演练计划中应包括对预案更新部分的演练以证明其有效性。9.5备份应急预案的管理9.5.1预案管理的目的为了保证备份应急预案在灾难发生时和

51、发生后能够有效地发挥作用，在日常维护时应对预案进行有效的管理，具体的预案的维护管理工作包括以下几个方面：备份应急预案的保管和分发；审批生效流程；同业间交流与合作；内部审计；备案与披露。9.5.2备份应急预案保管与分发备份应急预案中所规定的运营维护成员每人手中应该保留一份最新的有效预案。 21预案作为保密文件保管。预案应存放在工作单位以外的安全地点。预案分发、更新和回收由从业机构的备份运营维护指定专人负责。备份运营维护人员在收到更新的预案的同时应交还老版本的预案。老版本预案统一由从业机构的备份管理部门销毁。9.5.3审计从业机构灾难恢复预案应该进行内部审计，有条件的单位可以进行外部审计。a)内部

52、审计由从业机构的备份恢复机构牵头组织，包括从业机构的内部审计人员和各部门的备份工作的接口人员组成。内部审计工作每年进行一次。b)外部审计由从业机构备份管理部门负责牵头组织，通过聘请具有专业能力外部审计服务机构和专家进行。从业机构监管机构应定期组织专家对从业机构的备份应急预案进行抽查。c)审计内容预案的更新时间和更新记录；预案的结构是否完整，行动计划是否具有可操作性；所有联系人员是否在岗位并且可以联系到；对预案中某些职能人员进行面试和访谈，以检查与其岗位相关的灾难恢复专业水平；检查备份应急预案的保管分发是否安全有效；对预案所涉及的某些基础设施进行现场巡视，以检测这些设施的有效性。设施中应重点检查

53、电力、空调和消防的设施，以及各种疏散通道的畅通。对于备份数据介质的存放应作为现场巡视的重点；对被审计单位的损失、险情和不良记录改进情况进行跟踪；各种审计的最终结果形成审计报告交监管部门审核，并作为该行经营业绩和内控措施实行的考核结果之一存档。d) 审计权限在审计过程中，严格控制审计安全。从业机构应根据实际情况严格控制对第三方审计人员的资料开放权限，控制审计过程中涉密资料的保管发放。审计报告要设定分发权限的控制，授权范围在管理层以上人员。9.5.4备案从业机构的备份应急预案应在本行业监管机构备案，备案工作原则上每年进行一次。从业机构在预案更新后 10 天内将更新的预案重新备案至本行业监管机构的备

54、份恢复监管部门。 2210备份系统的启用10.1 启用关键要素备份系统启用工作从安全事故宣告开始。备份系统的启动应该遵循安全故障紧急处理及备份系统启用管理规范。备份系统的启用应该根据既定的备份应急预案进行。若预见没有固定的内容，备份恢复总负责人应该根据其他规定作出临时决定。备份恢复的系统优先级按照既定所描述的优先级顺序进行，以在规定的 RTO 和 RPO 内进行业务功能和数据恢复为主要目标。10.2 备份启动管理规范从业机构应建立符合本行业的组织架构的备份恢复流程规范，并以书面文件的形式加以确定。从业机构安全事故宣告后，为达到预先设置的目标和恢复目标，应该在强制决策点之前进行备份应急预案的启动

55、。根据备份应急预案，需要启动备份系统时，可以分为预切换和正式切换两个阶段。通过阶段划分可以使得备份系统更加有效，快速的启用并顺利接替生产系统运行。在预切换阶段，备份系统应进入备用状态但并不实际接管生产系统：相关人员进入角色，资源得到有效分配，沟通联络工作有序展开等待；在正式切换阶段，备份系统开始正式接管系统，并代替生产系统担任系统运行任务。在正式切换指令下达前，若生产系统恢复正常，可以取消预切换从而终止启用备份系统。预切换指令的下达可以由信息系统的运营维护人员下达，正式切换指令的下达应该由备份负责人或者其书面委托授权人下达。10.3 备份系统启用后检查根据备份应急预案，启动备份系统后，应该进行

56、相关检查，包括：a)系统工作状态检查。备份系统启用后，应检查系统工作状态，是否提供正常的服务。b)系统性能检查。备份系统启用后，应检查系统是否达到预期的性能指标等。c)数据丢失情况检查。备份系统启用后，应该根据应急预案的目标，检查数据丢失情况，若对于出现的数据丢失，应进行必要的数据补充工作，以达到预先设定的目标。11生产系统的重建与回切生产中心重建是指在安全事故发生后，生产中心内各系统的重建和功能恢复。回切是指生产中心 23功能恢复后，临时信息系统的功能转移到新建或恢复的生产中心系统，各项业务恢复到正常运行状态的过程，包括硬件系统的恢复、数据的回切、网络的恢复以及业务系统服务功能的回切等。11

57、.1 人员组织重建和回切工作在备份运营维护小组的统一协调下进行。决策层领导进行重大问题决策，执行层人员组成的专业团队进行现场管理和服务供应商管理。11.2 原生产中心可用性评估流程在生产中心点重建前由备份运营维护小组成员对安全事故造成的损失结果进行评估，主要评估原生产中心的可用性，包括以下几个方面：a)基础设施；b)网络设施；c)通信设施；d)设备可用状态；e)遗留风险；f)资金时间计划。11.3 生产中心重建规划流程根据评估结果和从业机构决策层的批复启动生产中心重建规划流程，该流程可根据内部管理流程制定，须明确以下要点：a)备用系统运行情况和目前业务影响程度；b)备份系统运行状态可接受的最长

58、时间；c)挽救设备清点和测试情况；d)明确重建需求：包括网络、硬件、软件、存储等相关设备、机房的重新修整或者重新建设的规模、功能实现、技术选型、服务商选择和资金预算。e)原址重建的可能性评估或新址选择；f)系统重建的时间计划安排；g)重建项目管理人员安排。从业机构管理层可根据情况进行预算特批，内部采购相关部门可根据情况的紧急程度安排采购以保证生产中心重建工作的按时完成。11.4 生产中心回切的工作要点当原站点进行抢修或新站点恢复到可以支持从业机构信息系统及其正常处理的水平时，系统就可以转回原站点或新站点。 24回切时应制定详细的回切计划，回切计划应包括：a)新建系统的测试情况；b)备份临时系统

59、数据的备份准备；c)系统切换的详细计划：包括回切优先级和具体时间、实施人员准备、切换保证措施、备用方案考虑、影响范围评估、客户告知和通知安排等内容；d)备份中心数据的检查与保密：如果在备份中心使用的是外包服务商提供的共享设备，需考虑业务数据安全保密措施，防止重要信息的泄漏；e)关闭临时灾备系统，灾难备份系统恢复为备用状态； f)重要设备和人员撤离安排。12备份工作的完善12.1 备份策略的完善从业机构应定期进行备份的需求分析，并进行策略制定和调整工作。信息系统面临的风险在不断的变化，从业机构的各种业务的发展也不平衡，还有生产系统的重大改进、组织的变革，都会直接影响到策略、方案、预案的适用性。因

60、此，备份恢复的需求也需要定期进行再分析。12.2 备份应急预案的完善从业机构应该定期对备份应急预案进行调整和完善。从业机构组织机构变化、业务发展等变化后，应该进行备份应急预案的调整。从业机构备份策略的调整后，应该进行备份应急预案的调整。从业机构进行备份应急预案演练后，对演练进行总结后，应该对应急备份应急预案进行必要的完善。从业机构预案更新的频度可考虑以下几个要素：a)从业机构内的各种组织机构变化、业务种类变化、信息系统变化、工作流程变化、外包服务商情况变化等。预案所涉及的各个业务模块、组织机构职能、人员、信息系统发生变化后需要立即更新；b)从业机构备份恢复管理部门应以月度为单位，对预案进行内部检查，发