2004年9月,国家网络与信息安全协调小组发布了《关于做好重要信息系统灾难备份工作的通知》(信安通[2004]11号)。之后保监会在2004年10月,发布《关于做好保险信息系统灾难备份工作的通知》,如下:
关于做好保险信息系统灾难备份工作的通知
发布部门: 中国保险监督管理委员会
发布文号: 保监发(2004)127号
各保险集团公司、保险公司、保险资产管理公司:
为进一步加强保险业信息安全保障工作,根据国家网络与信息安全协调小组办公室《关于做好重要信息系统灾难备份工作的通知》精神,现将做好保险信息系统灾难备份工作的有关事项通知如下:
一、主要目标
灾难备份是指利用技术、管理手段以及相关资源,确保已有的关键数据和关键业务在灾难发生后,在确定的时间内可以恢复和继续运营的过程。灾难备份防范的灾难包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。
保险信息系统是国家确定的重要信息系统,按照国务院信息化工作办公室的要求,保险信息系统灾难备份工作的主要目标是:提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失,确保保险信息系统的数据安全和作业持续性,保证保险市场和社会经济的稳定。
二、基本原则
保险信息系统灾难备份建设工作要坚持“统筹规划、资源共享、平战结合”的原则,充分调动和发挥各方面的积极性,提高抵御灾难破坏能力和灾难恢复能力。
灾难备份建设要统筹规划、合理布局,突出重点,避免重复建设。要从实际需求出发,组织有关机构和专家针对信息系统的安全威胁、脆弱性、防护措施有效性等进行分析评估,根据信息系统的重要性、面临的风险大小、业务中断或数据丢失所带来的损失等因素,综合平衡安全成本和风险,确定灾难备份建设等级,选择合适的灾难备份方案,严防不顾实际需求,一哄而上。
灾难备份建设要充分利用现有资源,讲求实效,保证重点,提倡资源共享,互为备份。可以采用自建、联合共建和利用社会化服务等模式。鼓励社会力量参与灾难备份设施建设,提倡使用社会化灾难备份服务,走专业化服务道路。采用第三方服务时,务必做好相关“敏感数据”的保密工作。
由于灾难备份资源是为小概率事件准备的,平时处于闲置状态,因此要在确保灾难备份与恢复功能的前提下,按照“平战结合”的原则,充分利用灾难备份设施的各类资源,将日常运营与应急灾难备份需求结合起来统筹安排,发挥更大效益。
三、具体要求
(一)明确责任,各司其职
保险信息系统灾难备份建设的规划与管理按照“谁运营谁负责”的原则,由信息系统的运行管理机构负责。
各保险信息系统管理运行机构要明确灾难备份管理和执行部门,负责落实国家有关部门和中国保监会的灾难备份建设政策及相关要求,确定本单位的灾难备份建设目标和建设模式,制定完善的灾难恢复计划,确保在发生灾难和出现重大事故后能够快速恢复业务系统的运行。灾难恢复计划应包含以下内容:灾难恢复目标、灾难恢复流程、灾难恢复队伍及联络清单、灾难恢复所需各类文档和手册等。要对本系统的灾难备份系统和灾难恢复计划进行定期演练测试,确保灾难备份系统的及时和有效性。
(二)积极开展灾难备份知识的宣传教育和培训工作
保险系统各单位要加强对有关人员的信息系统灾难备份知识培训。要加强对该项工作的宣传,增强全体人员的灾难防范和应急意识。
保险信息系统灾难备份是一项关系信息安全的长期任务,是保险信息安全保障体系的重要组成部分,各单位务必高度重视,结合实际制定实施计划,落实有关工作经费,把这项工作做实、做好,确保保险信息系统的安全运行。