《保险业信息系统灾难恢复管理指引》

合集下载

灾难恢复体系建设

企业规避风险、健康发展的要求企业进行全球化战略发展和布局、成为世界级企业的要求行业监管政策的要求
《信息系统灾难恢复规范》--GB/T 20988-2007 《银行业信息系统灾难恢复管理规范》-- JR/T 0044—2008)
保险业信息系统灾难恢复管理指引》-- 保监发〔2008〕20号
业务持续性与灾难恢复的关系
灾难恢复建设选型——技术选型
灾难恢复建设选型——建设模式
灾难恢复关键资源灾难备份中心场地资源灾难恢复系统（含数据备份系统、备用数据处理系统和备用通信网络系统）灾难恢复系统的运行维护支持可选择的获取方式
三种选择方式：自行投资建设灾难备份中心；使用外包的灾难备份中心场地资源；企业之间联合共建，共同投资与使用。三种选择方式：自行投资建设灾难恢复系统；事先与厂商签订紧急供货协议；由专业服务商提供，采用租赁模式使用。它机构进行运行和维护。三种选择方式：由企业独立完成；聘请外部专家指导完成；委托专业服务商完成。三种选择方式：专职技术支持人员；第三方提供技术支持；由主中心技术支持人员兼任。
灾后回退处理流程计划内备份系统切换处理流程人员联系清单等相关信息资料
灾备中心运维——服务体系
灾备中心运维——演练
1.
2.
3.
4.
桌面演练
对预案中的关键内容，包括工作流程、组织架构、操作内容等进行基础性验证。
模拟演练
对灾备系统的关键灾难恢复能力进行真实性、有效性验证，包括系统的RTO、RPO 等参数。
灾难恢复整体规划——灾备中心布局规划
灾备中心布局
生产中心和灾备中心应对灾难
可选的数据复制技术数据丢失量灾难恢复和演练的协调

XX财产保险股份有限公司信息系统灾难恢复预案DOC

XX 财产保险股份有限公司信息系统灾难恢复预案
2014-11
容灾恢复预案
目录
1 目标与范围 ................................................................................................................. 2 1.1 灾难的定义 ........................................................................错. 误！未定义书签。 1.2 容灾目标 ............................................................................................................... 3 1.3 容灾范围 ............................................................................................................... 4 1.4 灾难恢复演习执行周期 ....................................................................................... 5 1.5 灾难恢复计划启动决策流程 ............................................................................... 5 1.6 灾难声明的内容 ................................................................................................... 5 1.7 灾难恢复指挥中心和异地灾备中心 ................................................................... 5

保险公司信息系统安全管理指引

关于印发《保险公司信息系统安全管理指引（试行）》的通知保监发〔2011〕68号各保险公司、保险资产管理公司：为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，中国保险监督管理委员会制定了《保险公司信息系统安全管理指引（试行）》。

现印发给你们，请遵照执行。

中国保险监督管理委员会二〇一一年十一月十六日保险公司信息系统安全管理指引（试行）一、总则第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。

第四条信息系统安全是公司持续稳定发展的重要基础。

各公司应通过管理机制和技术手段，加强信息安全保障工作，保障业务活动的连续性。

实现信息化工作集中管理的保险集团（控股）公司，可以集团（控股）公司为单位对信息系统安全工作统筹规划执行。

第五条中国保监会依法对保险公司信息系统安全工作实施监督管理。

二、安全管理总体要求第六条信息系统安全工作应按照“积极防御、综合防范”的原则，与自身业务及信息系统同步规划、同步建设、同步运行，构建完备的信息系统安全保障体系。

第七条各公司是信息系统安全的责任主体。

公司法定代表人或主要负责人为信息系统安全的第一责任人。

第八条信息化工作委员会之下应设立信息安全专业工作机构，全面统筹协调公司信息系统安全相关事项的研判决策，并应指定公司级高级管理人员负责信息安全专业工作机构，作为信息系统安全的直接责任人。

第九条各公司应履行以下信息系统安全管理职责：（一）贯彻落实国家和监管部门有关信息系统安全管理的法律法规、技术标准和相关要求。

信息系统灾难恢复方案

信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户的合法权益，根据国家信息安全法律法规及有关规定，制定本预案。

第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

第三条本指引所称灾难恢复为生产系统灾难恢复。

灾难恢复工作是指，为保障生产系统持续运营，防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作，包括：组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

第二章总体工作要求当生产系统及相关业务流程发生重大变更时，应立即启动灾难恢复需求的再分析，并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作。

加强与业务密切相关的机构间的协调，共同评估面临的风险，协同制定灾难恢复策略，提高整体风险防范和灾难恢复能力。

第三章灾难恢复项目小组的制定和职能1.管理组：小组人员：职责：统筹规划，指挥各小组按照既定计划进行执行。

2.部门恢复组小组成员：职责：负责制定各部门情况制定应急备案，确定各部门数据和财产的保护方式并执行保护，确定各部门数据的恢复方式并执行恢复。

3.计算机恢复组：小组成员：职责：负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。

4.损坏评估组：小组成员：职责：负责对公司损失的重要数据、财务进行总体评估。

并针对相应损失的财产进行汇总并结合拥有的保险进行申报。

5.安全组：小组成员职责：负责灾难发生后的人员、数据、财务的安全进行保护。

并制定相应的安全策略。

6.设备支持组：小组成员：职责：负责对公司服务器、网络设备、交换机的故障进行排除，制定相应解决重建方案。

7、数据恢复组：小组成员：职责：负责对公司各平台数据进行恢复，并制定相应数据恢复方案。

信息系统灾难恢复方案

信息系统灾难恢复方案(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除信息系统灾难恢复方案第一章总则第一条为规范并指导我公司生产系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户的合法权益，根据国家信息安全法律法规及有关规定，制定本预案。

第二条生产系统灾难恢复工作应坚持“统筹规划、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

第三条本指引所称灾难恢复为生产系统灾难恢复。

根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作。

加强与业务密切相关的机构间的协调，共同评估面临的风险，协同制定灾难恢复策略，提高整体风险防范和灾难恢复能力。

第三章灾难恢复项目小组的制定和职能1.管理组：小组人员：职责：统筹规划，指挥各小组按照既定计划进行执行。

3.计算机恢复组：小组成员：职责：负责对全公司范围内的计算机故障进行排除、恢复范围包括系统、必备办公软件。

4.损坏评估组：小组成员：职责：负责对公司损失的重要数据、财务进行总体评估。

并针对相应损失的财产进行汇总并结合拥有的保险进行申报。

5.安全组：小组成员职责：负责灾难发生后的人员、数据、财务的安全进行保护。

保险业信息系统灾难恢复管理指引

保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户和股东的合法权益，根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定，制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

第三条本指引所称保险机构是指，经中国保险监督管理委员会（以下简称“中国保监会”）批准设立，并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。

灾难恢复工作是指，为保障信息系统持续运营，防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作，包括：组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

本指引所称区域性灾难是指，造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏，关键信息网络设备毁损、重大故障或大规模人口疏散的事件，将会导致信息系统无法正常运行。

例如：地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

本指引所称同城灾备是指，生产中心与灾难备份中心处于同一地理区域，面临同一区域性灾难风险，能够抵御小范围区域内的灾难，例如小面积停电、火灾、设备故障等，距离通常在数十公里左右。

本指引所称异地灾备是指，生产中心与灾难备份中心处于不同地理区域，一般不会同时面临同一区域性灾难风险，能够抵御较大范围区域内的灾难，例如大面积停电、地震、战争等，距离通常在数百公里以上。

本指引所称自建是指，自行出资建设和拥有灾难备份中心，为自身提供灾难恢复服务。

本指引所称共建是指，多个机构共同出资建设和拥有灾难备份中心，为参与单位提供灾难恢复服务。

保险公司备份与恢复管理制度

****保险有限公司备份与恢复管理制度信息技术中心第一章总则第一条为了加强**人寿保险有限公司（以下简称公司）信息系统的安全稳定运行，加强系统和数据的备份恢复管理，结合公司的应用系统环境，特制定本制度。

第二条本办法适用于公司所管理的所有生产系统和数据库。

第二章职责定义第三条岗位说明(一)备份管理员:负责管理和修订数据备份与恢复管理办法，负责管理和制定备份恢复策略，执行数据备份和恢复测试。

(二)数据库管理员：负责对数据库系统进行数据备份与恢复测试。

(三)主机管理员：负责在生产服务器上实施系统日志以及中间件日志策略以及日志备份策略。

(四)应用系统管理员：负责定义应用系统日志备份和归档策略。

(五)安全合规员：定期对数据恢复测试工作进行审计。

第三章备份管理第四条主机备份（一）主机备份是指使用系统对主机进行备份，备份内容包括操作系统、系统配置、系统日志以及主机上所有的应用系统。

（二）系统对公司生产系统的操作系统和应用进行备份，备份频率不低于每天1次，备份保存期限不低于5天。

第五条应用系统备份（一）应用系统下线时，系统应打包封存至备份存储中，备份的内容必须包含应用文件、应用日志。

（二）应用系统负责人应在系统下线时明确备份保存期限，原则上不低于5年。

第六条数据库备份（一）数据库备份是指将数据库日志文件和数据文件备份至另外的数据库系统中。

（二）生产数据库必须提供至少1个实时备份的数据库，实时备份的间隔不超过1分钟。

（三）生产数据库的数据文件原则上永久保存，数据库日志文件保存期限不低于6个月。

第七条日志备份（一）操作系统日志是指操作系统记录的系统变更、用户登录、命令执行等系统日志。

操作系统日志备份期限不低于6个月。

（二）应用系统日志是指应用系统中产生的用户访问、登录、操作、交易等行为的日志。

应用系统管理员应定义应用系统日志保存期限，原则上不低于6个月。

（三）应用日志中包含用户从互联网发起的访问记录或用户访问互联网的记录，日志保存期限不低于6个月。

中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(

中国保险监督管理委员会关于印发《保险公司信息化工作管理指引(【发布单位】中国保险监督管理委员【发布文号】保监发〔2009〕133号【发布日期】2009-12-29【生效日期】2010-01-01【失效日期】【所属类别】政策参考【文件来源】中国保险监督管理委员中国保险监督管理委员会关于印发《保险公司信息化工作管理指引（试行）》的通知(保监发〔2009〕133号)各保监局，各保险公司、保险资产管理公司：为加强保险公司信息化工作管理，提高保险业信息化工作水平，中国保险监督管理委员会制定了《保险公司信息化工作管理指引（试行）》。

现印发给你们，请遵照执行。

中国保险监督管理委员会二○○九年十二月二十九日保险公司信息化工作管理指引（试行）一、总则第一条第一条为加强保险公司信息化工作管理，促进信息化工作规范化与标准化建设，提高保险业信息化工作水平，根据《中华人民共和国保险法》及国家有关法律法规，制定本指引。

第二条第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。

第十二条第十二条各公司应制定明确的信息化工作制度、标准和操作流程，定期或根据需要及时进行更新、发布。

第十三条第十三条各公司应根据公司业务发展战略，制订明确的信息化工作规划。

规划应具有开放性和前瞻性，符合公司经营管理的需要，并确保信息化建设的稳定性和延续性。

规划应经过信息化工作委员会的审批，并提交公司最高决策层批准实施。

第十四条第十四条各公司应建立信息化规划定期审查、评估和修订机制，规划的审查、评估工作至少每年一次，修订后的规划应经信息化工作委员会审批，并提交公司最高决策层批准实施。

三、基础环境与信息系统建设第十五条第十五条各公司信息化建设、管理及信息化工作中涉及的数据信息,应符合国家及行业的有关规范、标准和监管部门要求。

第十六条第十六条各公司应实现数据信息集中管控，建立健全数据管理的有效机制，提高数据资产价值的利用能力和水平。

第十七条第十七条各保险集团（控股）公司可根据业务管理、风险管控等需要，对下属各子公司信息化建设统筹协调管理，提高信息资源的利用率。

保险公司信息系统安全管理指引(试行)

总则

总则
第一条为防范化解保险公司信息系统安全风险，完善信息系统安全保障体系，确保信息系统安全、稳定运行，根据《中华人民共和国保险法》、国家信息安全相关法律法规和有关要求，制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的保险公司和保险资产管理公司。
第三条本指引所称信息系统安全，是指利用信息安全技术及管理手段，保护信息在采集、传输、交换、处理和存储等过程中的可用性、保密性、完整性和不可抵赖性，保障信息系统的安全、稳定运行。
采购服务
采购服务
第五十一条实施信息化工作外包的公司，应制定完备的外包服务管理制度，将外包纳入全面风险管理体系，合理审慎实施外包。
不得将信息系统安全管理责任外包。对涉及国家及本公司商业秘密和客户隐私等敏感信息系统内容进行外包时，应遵守国家和监管部门有关法律法规与要求，并经过公司决策机构批准。
第五十二条根据国家与监管部门有关外包与采购规定，结合风险控制和实际需要，建立有效的外包和采购内部评估审核流程与监督管理机制。
基础设施
基础设施
第二十三条根据信息化发展需要，建设相应的中心机房和灾备机房（以下统称“机房”）。机房应设置在中华人民共和国境内（不包括港、澳、台地区），机房建设须符合国家有关标准规范和监管部门要求。将机房外包托管的公司，应保证受托方机房符合上述标准，主机托管应具有独立的操作空间和严格的安全措施。
第二十八条建立较为完备的网络体系，具有合理的网络结构，重要网络设备和通信线路应具有冗余备份，确保业务系统安全稳定运行。
应用系统
应用系统
第三十六条建立完善的信息系统开发运行维护管理组织体系，制订完备管理制度与操作规范，确保信息系统开发与运行维护过程独立、人员分离。

保险业信息系统灾难恢复管理指引

保监发〔2008〕20号各保险公司、保险资产管理公司：为加强保险信息安全基础设施建设，推进信息系统灾难恢复工作，根据《中华人民共和国保险法》和国家有关信息安全法律法规，我会制订了《保险业信息系统灾难恢复管理指引》，现印发给你们，请遵照执行。

二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户和股东的合法权益，根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定，制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

第四条本指引所称灾难恢复为信息系统灾难恢复。

例如：地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

《保险业信息系统灾难恢复管理指引》各保险公司、保险资产管理公司：为加强保险信息安全基础设施建设，推进信息系统灾难恢复工作，根据《中华人民共和国保险法》和国家有关信息安全法律法规，我会制订了《保险业信息系统灾难恢复管理指引》，现印发给你们，请遵照执行。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

第三条本指引所称保险机构是指，经中国保险监督管理委员会(以下简称“中国保监会”)批准设立，并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。

例如：地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

本指引所称自建是指，自行出资建设和拥有灾难备份中心，为自身提供灾难恢复服务。

本指引所称共建是指，多个机构共同出资建设和拥有灾难备份中心，为参与单位提供灾难恢复服务。

本指引所称外包是指，选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护，以及应急响应和恢复工作。

第五条中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。

第六条《信息安全技术信息系统灾难恢复规范》(GB/T 20988-2007)中的条款通过本指引的引用而成为本指引的条款。

第二章总体工作要求第七条保险机构应统筹规划信息系统灾难恢复工作，自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。

保险机构新建信息系统时，应同步规划和实施灾难备份系统建设。

本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。

第八条保险机构应持续开展灾难恢复工作，以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。

灾难恢复的需求应定期进行再分析。

灾难恢复需求再分析周期最长为三年。

当信息系统及相关业务流程发生重大变更时，应立即启动灾难恢复需求的再分析，并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作。

第九条保险机构应加强与其业务密切相关的机构间的协调，共同评估面临的风险，协同制定灾难恢复策略，提高整体风险防范和灾难恢复能力。

第三章组织机构第十条保险机构法定代表人或主要负责人是灾难恢复工作的责任人。

保险机构董事会或最高决策层应参与制定和审核灾难恢复策略，保证灾难恢复策略与经营目标的一致性。

第十一条灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。

保险机构应设立灾难恢复管理委员会，统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。

保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构，负责处理灾难恢复工作的具体事务。

第十二条保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责：(一)灾难恢复需求分析和策略制订；(二)资源准备和经费审批；(三)灾难备份中心的选择和建设；(四)灾难备份中心的日常运行和维护；(五)灾难恢复预案的制订、维护和演练；(六)人员的教育和培训；(七)监督检查和审计。

保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责：(一)应急响应和预警报告；(二)事件通报和沟通；(三)损害评估、抢修拯救和敏感数据保护；(四)灾难恢复工作的重大决策；(五)生产中心的恢复、重建和回退；(六)业务恢复和客户服务；(七)资源保障和供应；(八)媒体公关和信息通报；(九)恢复成效评估和总结。

第十三条从事灾难恢复的专业工作人员应符合以下要求：(一)具备良好的职业道德和风险意识，掌握履行灾难恢复相关岗位职责所需的专业知识和技能；(二)未经岗前培训或培训不合格者不得上岗；经考核不适宜的工作人员，应及时进行调整。

第四章需求分析和策略制定第十四条灾难恢复需求分析包括风险分析和业务影响分析。

保险机构的风险分析和业务影响分析应符合以下要求：(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。

根据风险发生的概率和可能造成的损失，评估风险可接受的程度，针对不可接受的风险，制定相应的风险防范措施；(二)应根据信息系统支持的业务区域范围，分析信息系统面临的灾难风险。

应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点，以及影响范围的广泛性；(三)应根据业务经营范围确定关键业务功能。

关键业务功能包括但不限于承保、理赔、投资和财务管理等。

采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。

第十五条保险机构应根据风险分析和业务影响分析的结果，确定信息系统的灾难恢复目标，包括：(一)信息系统的灾难恢复范围；(二)信息系统的灾难恢复顺序；(三)信息系统的灾难恢复能力等级。

第十六条保险机构应加强重要数据的备份和传输安全管理，保证数据的完整性。

重要数据应异地备份，防范区域性灾难风险。

重要数据包括但不限于：客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。

第十七条保险机构应根据风险分析和业务影响分析的结论，将直接或间接支持关键业务功能的信息系统分成三种类别：第一类：信息系统短时间中断会造成重大社会影响；或影响保险机构关键业务功能，并造成重大经济损失。

第二类：信息系统短时间中断会造成较大社会影响；或影响保险机构部分关键业务功能，并造成较大经济损失。

第三类：信息系统间接支持关键业务功能；或保险机构对系统中断具有一定容忍度的系统。

第十八条信息系统的最低灾难恢复能力等级要求：(一)第一类1、第4级电子传输及完整设备支持2、RTO<=36小时，RPO<=8小时(二)第二类1、第3级电子传输和部分设备支持2、RTO<=72小时，RPO<=24小时(三)第三类1、第2级备用场地支持2、RTO<=7天，RPO<=36小时第十九条保险机构应制定统一的灾难恢复策略。

灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。

保险机构应根据各信息系统的灾难恢复目标，确定灾难恢复所需的七个方面的资源要素：(一)数据备份系统；(二)备用数据处理系统；(三)备用网络系统；(四)备用基础设施；(五)专业技术支持能力；(六)运行维护管理能力；(七)灾难恢复预案。

第二十条保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。

灾难恢复策略经决策层审查和批准后，按本指引要求备案。

第五章灾难备份中心的建设与运行维护第二十一条保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。

保险机构应根据风险分析的结果，确定同城和/或异地灾备建设方案。

灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。

第二十二条灾难备份中心的基础设施应符合以下要求：(一)根据信息系统和数据分布特点，选择或建设专业的灾难备份中心；(二)灾难备份中心与生产中心之间距离合理，应避免灾难备份中心与生产中心同时遭受一定的同类风险；(三)灾难备份中心应便于灾难恢复工作的开展，考虑灾难恢复所需的数据、人员等资源可及时到达；(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施，灾难备份中心或其周边应具备所需生活设施；(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准，并通过当地消防部门验收；(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式，只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备；(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。

(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。

第二十三条灾难备份系统的建设应符合以下要求：(一)根据灾难恢复策略制定灾难备份系统技术方案，建立数据备份系统、备用数据处理系统和备用网络系统等。

技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性；(二)应确保技术方案满足灾难恢复策略的要求，组织开展灾难恢复技术方案和业务功能恢复的测试，并记录和保存测试结果，以保证灾难恢复时最终用户能正常使用灾难备份系统；(三)应充分考虑到灾难备份中心接替生产中心运行后，灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求；(四)应根据灾难恢复策略的要求，建立灾难备份系统的技术支持体系。

第二十四条灾难备份中心的运行维护应符合以下要求：(一)建立完善的灾难备份中心运行维护管理制度和流程，包括：灾难备份的流程和管理制度，灾难备份中心机房的管理制度，硬件系统、系统软件和应用软件的运行管理制度，灾难备份中心信息安全管理制度，灾难备份系统的变更管理流程，灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等；(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员，保障设备和系统正常稳定运行；(三)定期检测维护灾难恢复设施，保持备份数据的一致性、可用性和完整性，保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作，保障能提供切换和运行时的技术支持；(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。

记录灾难备份系统运行过程中输出的相应记录表单与统计信息；记录机房环境、系统运行和网络状态等监控信息。