《关于加强证券期货业信息系统备份能力建设的指导意见》证监会2010年
2010-11-10 13:03 来源:容灾技术网中国证监会各省、自治区、直辖市、计划单列市监管局,上海、深圳专员办,各证券、期货交易所,中国证券登记结算公司,中国证券投资者保护基金公司,中国期货保证金监控中心公司,中国证券业、期货业协会,会内各部门:
为了规范证券期货业信息系统备份工作,增强应对技术故障、灾难灾害的能力,确保重要数据安全和重要信息系统连续稳定运行,维护资本市场平稳运行,根据证券期货业信息化工作领导小组的部署,在全行业开展重要信息系统备份能力建设工作。现将有关事项通知如下:
一、工作目标
在2014年底前,各证券期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司、中国期货保证金监控中心公司、证券通信公司、证券公司、期货公司和基金管理公司(以下简称行业各机构)重要信息系统备份能力全部达到本通知规定的最低备份能力要求,实现重要数据全部具有本地、同城和异地备份的目标,实现重要信息系统在发生重大技术故障和灾难灾害时能够在要求时间内恢复正常运行的目标。
二、工作原则
行业各机构开展信息系统备份能力建设要坚持“统筹规划、技术先进、共享资源、稳妥推进、有效利用”的原则,确保工作的有效性。
1.统筹规划。信息系统备份能力建设需要的投资大,周期长,一旦决策失误,将造成巨大的浪费。因此,必须要从本机构发展战略出发统筹规划,正确选址备份中心,充分调研,合理布局,避免灾难备份中心与生产中心同时遭受影响,便于在发生灾难时及时投入人员和资源。
2.技术先进。建设备份系统不应当仅仅是对现有系统进行简单复制,而要利用这个机会引进先进技术,重点研发,科学设计主备系统的技术架构、备份机制和业务处理流程,实现技术升级、系统换代和流程再造。
3.共享资源。交易所等市场核心机构在建设灾备中心时应当同步建设供会员机构租用的灾备系统托管机房,更好地为市场提供技术服务。托管机房应当力争在2012年底前提供使用。各经营机构应当充分利用行业公共基础设施和社会化服务外包托管机构的数据中心资源,走专业化、集约化的建设道路。
4.稳妥推进。备份建设工作涉及行业各机构正在运行重要信息系统的升级改造,实施过程中必须要充分测试、周密部署,坚决防止在实施过程中发生重大技术事故。要突出重点,分步实施,确保备份等级高的系统能够优先建设,尽快发挥作用。
5.有效利用。备份系统如果仅仅是为小概率事件准备的话,资源的利用率就会很低,技术人员和业务人员配备可能会不足,在发生灾难时很可能用不起来。因此,提倡采用双中心互备模式(有两个生产中心,互为备份)和多主一备方式(有多个生产中心共享一个备份中心)。对于只能采取主备模式的信息系统,要“平战结合”,在确保备份功能的前提下,开展系统、软件测试等任务,力求实现资源的有效利用。
三、工作任务
(一)确定信息系统备份能力等级和要求
本通知所指重要信息系统是证券期货业信息系统安全等级保护工作中定为二级以上的信息系统。行业各机构重要信息系统备份能力等级要求见本通知附件《证券期货业重要信息系统备份能力最低要求表》(附件1)。各等级信息系统备份能力的具体要求见《证券期货业信息系统备份能力等级要求》附录A《证券期货业信息系统备份能力等级划分表》。
列入《证券期货业重要信息系统备份能力最低要求表》中的重要信息系统,建设标准应当符合或高于表中规定的等级和要求。未列入《证券期货业重要信息系统备份能力最低要求表》的其它信息系统,行业各机构可根据信息系统的重要性和业务连续性要求,参照《证券期货业信息系统备份能力等级要求》对信息系统备份能力进行定级,确定备份能力的具体要求。
(二)信息系统备份建设
1.建设依据。本通知要求和《证券期货业信息系统备份能力等级要求》。
2.建设步骤。一是提出备份建设需求,分析信息系统备份能力现状,对照相应等级备份能力要求查找差距,明确建设规划、备份策略和灾难恢复策略;二是制定备份建设整体方案,落实建设经费,落实责任人员,落实建设进度;三是开展建设工作,按照建设方案和进度要求,建立并完善备份设施、管理制度和灾难恢复预案;四是配备备份人员,为灾难备份中心合理配备管理、技术、业务和后勤人员,并进行岗位培训;五是测试验收,进行备份系统、备份网络能力指标测试、主备系统切换测试、备份数据恢复测试和业务功能测试,对备份人员进行考核,对备份基础保障设施进行验收,对备份管理制度和灾难恢复预案审核。
3.建设方式。灾备中心的建设可以采取自建或租用机房设施两种方式。采用自建方式,应当与通信、消防、电力、空调、软件、硬件等服务商、供应商签订应急保障协议,并定期审查协议的执行情况。采用租用方式,应当按照《证券期货业信息系统备份能力等级要求》附录C《服务外包商及其数据中心基本要求》选择服务外包商;应当评估外包方式的风险,制定相关的风险管控措施,履行管理责任,确保安全可控;应当与服务外包商签订服务级别协议、保密协议,明确服务外包商的职责和应承担的责任,并定期审查协议的执行情况。
(四)信息系统备份运行管理
1.管理制度和操作流程。应当针对信息系统备份制定专项管理制度和操作流程,至少包括备份设施运行维护管理制度、备份数据安全管理制度以及灾难备份中心的值班监控、巡检、人员管理和后勤安保制度;至少包括数据备份和恢复验证操作流程、系统测试验证流程和主备系统同步变更流程等。
2.日常运行管理。按照管理制度和操作流程的规定开展日常运行工作,维护生产中心和灾备中心的备份系统、备份网络、备份基础保障条件,保障各类设施正常运转,定期进行主备系统的切换测试;测试备份数据,保持备份数据的一致性、可用性和完整性。
3.应急预案和灾难恢复预案。要将生产中心和灾难中心的信息系统备份设施进行统一考虑,修订完善本机构《网络与信息安全事件应急预案》以应对重大技术故障的发生。要参照《证券期货业信息系统备份能力等级要求》附录D《灾难恢复预案框架》制定《灾难恢复预案》,作为本机构应急预案中的专项预案以应对灾难灾害的发生。要定期评估和验证应急预案和灾难恢复预案的有效性,并根据演练结果不断改进完善。主备系统发生变更后,要立即相应修改更新预案涉及的有关内容。
4.培训和演练。应急预案与灾难恢复预案涉及到的管理、技术、业务和后勤人员必须定期接受教育和培训,培训文档和记录应当保留备查。要通过定期组织开展应急预案与灾难恢复预案的演练,使相关人员熟练掌握应急处置和灾难恢复的操作流程。演练形式包括但不限于桌面演练、模拟演练、实战演练和全面演练。演练计划、现场记录和结论评估等工作文档应当保留备查。
四、进度安排
(一)交易所等单位的建设工作进度要求
各证券期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司、中国期货保证金监控中心公司和证券通信公司要在2010年底,实现重要数据全部具有本地、同城和异地备份的目标,实现重要信息系统具有本地热备、温备或冷备和同城备份的目标;要在2014年底前实现重要信息系统具有异地备份的目标。
(二)证券公司和基金管理公司建设工作进度要求
证券公司和基金管理公司要在2010年底,实现重要数据全部具有本地、同城和异地备份的目标,实现重要信息系统具有本地热备、温备或冷备,此外,具有同城备份或者异地备份的目标;要在2014年底前实现重要信息系统具有异地备份的目标。
(三)期货公司建设工作进度要求
所有期货公司要在2010年底,实现重要数据全部具有本地、同城和异地备份的目标。
三类期货公司要在2010年底前,实现重要信息系统具有本地热备、温备或冷备,此外,具有同城备份或者异地备份的目标;要在2014年底前实现重要信息系统具有异地备份的目标。
二类期货公司要在2011年底前,实现重要信息系统具有本地热备、温备或冷备,此外,具有同城备份或者异地备份的目标;要在2014年底前实现重要信息系统具有异地备份的目标。
一类期货公司要在2012年底前,实现重要信息系统具有本地热备、温备或冷备,此外,具有同城备份或者异地备份的目标;要在2014年底前实现重要信息系统具有异地备份的目标。
五、工作要求
(一)要高度重视。证券期货业信息系统安全稳定运行关系到国家金融安全、社会稳定和投资者权益保护,是国家明确要重点保障的重要信息系统,做好信息系统备份工作,是保障重要信息系统安全运行的关键环节,对于提高行业信息系统抵御重大技术故障风险、灾难灾害风险的能力具有重要意义。各单位、各部门要高度重视信息系统备份工作,按照“谁主管谁负责,谁运营谁负责”的原则,根据本单位、本行业、本地区的实际情况,大力推进信息系统备份能力建设的各项工作。
(二)加强组织领导。各单位、各部门要根据行业信息系统备份能力建设工作的总体部署和要求,加强组织领导,明确工作职责、内容和要求,完善工作机制;要精心组织、周密部署,落实责任、落实经费、落实进度。
各证监局要向辖区证券期货经营机构转发本通知的有关要求,并结合辖区实际情况,统一规划,制定周密的工作方案;统筹安排,部署辖区重要信息系统备份能力建设工作;加强交流,组织开展辖区各有关单位共享建设运营经验。
(三)加强督导。信息系统备份能力建设持续时间长、跨度大,必须要进行持续督导。市场部、机构部、基金部、期货一部、期货二部和证信办要加强对证监局和交易所等市场核心机构的指导和督促。各证监局要加强对辖区证券期货经营机构的指导和督促。工作中要及时掌握各有关单位信息系统备份能力建设工作的进展情况,对进度落后的单位要重点跟进、重点督导,确保按行业部署的工作进度推进各项工作;对于重要信息系统建设标准低于最低要求的单位要责令其改正。
(四)加强培训和交流。中国证券业、期货业协会要安排专题培训和交流,组织会员交流信息系统备份能力建设的经验,共同研究国内外先进备份技术的应用和推广。
六、其他事项
(一)对于开展信息系统备份能力建设工作中好的做法和经验以及意见和建议,各单位要及时通报证信办。
(二)各信息系统备份能力建设工作开展中遇到的新情况和不明确的事项,各单位应及时向证信办反映。