中华人民共和国金融行业标准银行业信息系统灾难恢复管理规范.docVIP

GB/TXXX1—XXXX XX3/a.XXX XX JR 中华人民共和国金融行业标准 JR XXXX — XXXX 银行业信息系统灾难恢复管理规范 Management specification for bank’s information system disaster recovery 2006 -××-×× 发布 2006 -××-×× 实施 中国人民银行 发 布 目 次 III前 言 IV引 言 11 范围 12 规范性引用文件 13 术语和定义 34 银行业信息系统灾难恢复综述 34.1 灾难恢复工作内容 34.2 灾难恢复的周期性工作 45 组织机构和职责设立 45.1 组织机构设立 55.2 规划建设和维护阶段的职责 55.3 应急响应和灾难恢复阶段的职责 65.4 机构间合作 66 风险分析 66.1 确定风险评估目标 66.2 确定风险分析范围 66.3 风险评估方法 76.4 风险控制 77 业务影响分析 77.1 确定关键业务功能 77.2 评估业务中断影响 87.3 确定恢复需求 98 灾难恢复策略制订 98.1 成本风险分析和策略的确定 98.2 灾难恢复等级 98.3 灾难恢复场所的布局 108.4 资源和服务的获取方式 119 灾难恢复工程实施 119.1 基础设施建设流程 129.2 灾难备份系统建设流程 129.3 灾难恢复预案开发 139.4 技术支持能力实现 139.5 运行维护管理能力实现 139.6 项目监理 1310 灾难备份系统运行维护 1310.1 运行维护的目的 1310.2 灾难备份系统运行维护 1410.3 灾难恢复预案管理 1410.4 灾难恢复预案演练 1611 应急响应和灾难恢复 1611.1 应急响应 1611.2 灾难恢复 1612 生产系统重建与回退 1612.1 生产系统的重建 1612.2 生产系统的回退 1713 监督管理 1713.1 审计 1713.2 备案 18附录A (资料性附录) 应急响应和灾难恢复工作要点 18A.1 应急响应工作要点 19A.2 灾难恢复工作要点 21附录B （资料性附录）RTO/RPO与灾难恢复等级的关系 21B.1 RTO/RPO与灾难恢复等级的关系 22附录C （资料性附录）银行业信息系统灾难恢复服务企业 22C.1 第1类灾难恢复服务企业 22C.2 第2类灾难恢复服务企业 22C.3 第3类灾难恢复服务企业 前 言 本规范是对银行业信息系统灾难恢复的管理要求的描述。 本规范由中国人民银行提出； 本规范由中华人民共和国金融标准工作委员会批准； 本规范由中国人民银行科技司归口； 本规范起草单位： 本规范主要起草人： 引 言 为规范和引导银行业信息系统灾难恢复工作，有效防范银行业信息系统风险，保护银行业客户的合法权益，特制定本规范。 银行业信息系统灾难恢复管理规范 范围 本规范规定了银行业信息系统灾难恢复应遵循的管理要求。 本规范适用于在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社以及政策性银行等金融单位（以下简称“单位”）。 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包含勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 国信办[2005]8号 《重要信息系统灾难恢复指南》 术语和定义 3.1 灾难 disaster 由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件，通常导致信息系统需要切换到备用场地运行。 3.2 灾难恢复 disaster recovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程。 3.3 灾难恢复规划 disaster recovery planning 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。 3.4 业务影响分析 b