文档介绍：XX金融公司
异地灾备系统管理办法
第 1 版
()
第一章总则
第一条为进一步规范公司异地灾备系统管理,降低或消除因重要信息系统发生运营中断所造成的影响,银监会《非银行业金融机构业务连续性监管指引》等相关文件规定, 制定本办法。
第二条本办法所称异地灾备系统是指由软件、硬件、数据、岗位人员和服务的有机组合构成解决特定业务需求的计算机应用系统。
第三条本办法所称灾备是指由于信息技术故障、外部服务中断、人为破环、自然灾害等原因,造成信息系统严重故障或瘫痪,使重要信息系统支持的重要业务的功能停顿或服务水平不可接受、达到特定的时间的突发性事件。
XX公司依照相关监管制度,根据本公司实际情况,确定发生信息系统灾难的标准是发生突发信息安全事件的情况。
第四条本办法所称异地灾备系统是指用于灾难发生后接替主生产系统进行数据与系统处理,支持重要业务正常运行
的系统,可提供灾难备份系统、备用的基础设施、专业技术支持及运行维护管理能力。
第五条本办法所称灾难恢复预案是指包含信息系统灾难恢复对应的场景,恢复目标,恢复过程中的具体任务、执行流程和指令,恢复所需的基本资源,内外部联系方式等内容的文件。恢复预案用于指导相关人员在预定的灾难恢复目标内恢复信息系统,支持重要业务功能正常运行。灾难恢复预案可附具体操作手册。
灾难恢复预案细分为恢复预案和回退预案。恢复预案指从主生产系统切换到灾备系统的预案,回退预案指从灾备系统回退到主生产系统的预案。两个预案可撰写成两个独立文件;也可以合成一个文件,但结构上必须相对独立。
第六条本办法所称灾备演练是指为了确保信息系统发生灾难事件时能及时、快速、有效地完成恢复,对灾难恢复办法和灾难恢复预案预先实施的测试过程。
第七条本办法所称信息系统灾备恢复是指为了将重要信息系统从灾难造成的故障或擁痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的过程。
本办法所称信息系统灾备恢复特指从本地机房主生产系统切换到顺义机房灾备系统的过程,不包含本地机房主生产
系统通过HA切换等实施恢复的办法。
第八条本办法所称信息系统恢复目标包括信息系统恢复时间目标(RTO)信息系统恢复点目标RPO,指限于目前技术与投入,信息系统数据能够恢复到中断之前多长的时间点,反映的是技术角度看信息系统恢复所可能丢失的数据量。
第三章部门职责
第九条办公室作为突发事件的应急管理办公室,负责综合协调信息系统运营中断突发事件的应急管理工作,向政府或监管部门报告突发事件情况。
第十条 XX公司风控部作为生产连续性管理的主管部门,汇总、审定各业务主管部门拟定的重要业务、对应的信息系统、恢复策略和恢复目标,参与全面的灾难恢复演练和审阅灾难恢复演练报告,参与重大灾难发生时的恢复工作和接受灾难恢复报告。
第十一条信息技术部负责信息系统灾难恢复管理的总体协调,组织制订技术恢复策略和技术恢复目标,指导运维人员实施灾备系统的日常运行维护并组织灾难恢复演练,并实施灾难恢复工作,协调业务部门进行业务功能和数据的有效性验证,定期检查系统灾难备份工作。
第十二条信息技术部作为信息系统的运行维护部门,负责参与制订技术恢复策略和技术恢复目标,制订灾难备份方案,负责配备灾难备份资源,参与灾难备份中心的物理环境建设,委托顺义集团信息中心负责灾难备份中心的日常运行维护和管理,信息技术部制订灾难恢复预案,执行灾难恢复演练和发生灾难事件后信息系统的具体恢复工作。
第十三条公司风控和审计部负责信息系统灾难备份管理过程的审计监督。
第四章灾难备份中心及其日常运行维护
第十四条顺义集团数据中心负责灾备系统的环境维护,包括门禁,消防,除尘,环境温湿度,供电,硬件黄灯报警等情况监控处理,协同承担灾备系统环境维护任务。
第十五条现有数据备份模式采用存储级硬件备份,建立生产主系统到灾备系统的存储复制,保持数据的一致性和实时同步性,另外建立数据库自动备份并将备份上传灾备系统的对应目录,实现数据的三备份,确保数据安全。
第十六条核心业务系统灾难恢复能力应达到《信息系统应急管理办法》中定义的灾难恢复等级第II级(含)以上。
第十七条灾难备份中心必须配置必要的备份资源,包括:
(一)数据备份系统:一般由数据备份的硬件、软件和数据备份介质组成,如果是依靠电子传输的数据备份系统,还包括数据备份线路和相应的通信设备;
(二)备用网络系统:最终用户用来访问备用数据处理系统的网络,包含备用网络通信设备和备用数据通信线路;
(三)备用基础设施:灾难恢复所需的、支持灾难备份系统运行的建筑、设备和组织,包括介质的场外存放场所、备用的机房及灾难恢复工作辅助设施;
(四)专业技术支持能力:对灾难恢复系统的运转提供支撑和综合保障