内控治理-2.4.3证券期货经营机构信息系统备份能力标准(2011年4月14日施行)
发布时间:2019-12-09(2011年4月14日 证监会公告【2011】10号)
1、范围
本标准明确了证券期货经营机构信息系统备份能力的含义,定义了备份能力的等级。
本标准是证券期货经营机构信息系统备份能力建设的设计标准,用于指导信息系统备份能力建设工作。
本标准所称证券期货经营机构(以下简称经营机构)是指经中国证券监督管理委员会批准设立,并依法登记注册的证券公司、基金管理公司和期货公司等机构。
2、规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术 词汇 第8部分:安全
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
3、语和定义
GB/T 5271.8、GB/T 20988-2007、GB/T 20984-2007确立的术语和定义,以及下列术语和定义适用于本标准。
3.1实时信息系统 real-time information system
对业务连续运行要求很高的信息系统。这类系统短暂停顿或性能指标严重下降,将对证券期货市场造成较大的影响或者损害到投资者及市场其他参与方的合法权益,如交易类、行情类和通信类信息系统。
3.2非实时信息系统 non-real-time information system
对业务连续运行要求不高的信息系统。这类系统短暂停顿或性能指标严重下降,不会对证券期货市场造成较大的影响或者损害到投资者及市场其他参与方的合法权益,如结算类、业务类、风控类、网站类信息系统。
3.3恢复时间目标 recovery time objective RTO
从故障系统切换到备份系统所需的时间。
3.4恢复点目标 recovery point objective RPO
信息系统和数据必须恢复到的时间点要求。
4、备份能力
4.1 备份能力的含义
经营机构信息系统备份能力包括数据备份能力、故障应对能力、灾难应对能力和重大灾难应对能力。
数据备份能力是指在发生人为破坏、软硬件故障、灾难灾害或突发公共安全事件等极端情况下,确保数据完整、可用的能力。
故障应对能力是指在发生软硬件故障等情况下,导致信息系统所支持的业务功能停顿或者性能指标严重下降时,确保信息系统及时恢复和继续运作的能力。
灾难应对能力是指在发生火灾等情况下,导致信息系统所在的数据中心不可用时,确保信息系统及时恢复和继续运作的能力,此类情况下,通常需要切换到灾难备份中心运行。
重大灾难应对能力是指在发生地震等情况下,导致信息系统所在城市或者地区电力、通信、交通严重瘫痪或人员伤亡时,确保信息系统及时恢复和继续运作的能力,此类情况下,通常需要切换到异地灾难备份中心运行。
对数据备份能力,从备份频率、保存方式和恢复验证等三个方面进行要求。对故障应对能力、灾难应对能力和重大灾难应对能力,分别从恢复时间目标(RTO)、恢复点目标(RPO)和性能容量等三个方面进行要求。
4.2 备份能力等级的定义
根据经营机构不同的业务类型、信息系统的特点,定义了六个等级的备份能力(见附录A),从低到高依次是:第一级、第二级、第三级、第四级、第五级、第六级。
第一级为数据备份级,包括对数据备份的要求;第二、三、四级为故障应对级,包括对数据备份的要求和对故障应对的要求,从行业实际出发,一般地,实时信息系统对应于第二、三、四级,非实时信息系统对应于第二级;第五级为灾难应对级,包括对数据备份的要求,对故障应对和灾难应对的要求;第六级为重大灾难应对级,包括对数据备份的要求,对故障应对、灾难应对和重大灾难应对的要求。
4.3 备份能力的需求确立
经营机构在进行信息系统设计和建设时,应确定信息系统在备份能力上的需求。信息系统备份能力的确定过程主要有以下三个步骤:
1.通过业务影响分析,明确信息系统的重要性。
2.通过风险评估,识别信息系统所面临的风险。
3.在业务影响分析和风险评估的基础上,确定信息系统的备份能力等级需求。
4.4 备份能力的建设与管理
经营机构信息系统备份策略的制定和实现,备份设施的规划、建设与管理,可参照《信息系统灾难恢复规范》(GB/T 20988-2007)实施。
附录A
(资料性附录)
证券期货经营机构信息系统备份能力表
等级 |
数据备份能力 |
故障应对能力 |
灾难应对能力 |
重大灾难应对能力 |
第一级 |
1.至少每天备份数据一次; 2.备份介质应当在本地机房、同城及异地安全可靠存放; 3.每季度至少对数据备份进行一次有效性验证。 |
— |
— |
— |
第二级 |
1.至少每天备份数据一次; 2.备份介质应当在本地机房、同城及异地安全可靠存放; 3.每季度至少对数据备份进行一次有效性验证。 |
1.信息系统恢复时间目标RTO小于1小时; 2.信息系统恢复点目标RPO小于5分钟; 3.备份系统具有满足业务需求的处理能力。 |
— |
— |
第三级 |
1.至少每天备份数据一次; 2.备份介质应当在本地机房、同城及异地安全可靠存放; 3.每季度至少对数据备份进行一次有效性验证。 |
1.信息系统恢复时间目标RTO小于30分钟; 2.信息系统恢复点目标RPO小于1分钟; 3.备份系统具有满足业务需求的处理能力。 |
— |
— |
第四级 |
1.至少每天备份数据一次; 2.备份介质应当在本地机房、同城及异地安全可靠存放; 3.每季度至少对数据备份进行一次有效性验证。 |
1.信息系统恢复时间目标RTO小于5分钟; 2.信息系统恢复点目标RPO小于30秒; 3.备份系统具有满足业务需求的处理能力。 |
— |
— |
第五级 |
1.至少每天备份数据一次; 2.备份介质应当在本地机房、同城及异地安全可靠存放; 3.每季度至少对数据备份进行一次有效性验证。 |
1.实时信息系统恢复时间目标RTO小于5分钟;非实时信息系统恢复时间目标RTO小于1小时; 2.信息系统恢复点目标RPO小于30秒; 3.备份系统具有满足业务需求的处理能力。 |
1.信息系统恢复时间目标RTO小于12小时; 2.信息系统恢复点目标RPO小于5分钟; 3.备份系统具有满足业务需求的处理能力。 |
— |
第六级 |
1.至少每天备份数据一次; 2.备份介质应当在本地机房、同城及异地安全可靠存放; 3.每季度至少对数据备份进行一次有效性验证。 |
1.实时信息系统恢复时间目标RTO小于5分钟;非实时信息系统恢复时间目标RTO小于1小时; 2.信息系统恢复点目标RPO小于30秒; 3.备份系统具有满足业务需求的处理能力。 |
1.信息系统恢复时间目标RTO小于12小时; 2.信息系统恢复点目标RPO小于5分钟; 3.备份系统具有满足业务需求的处理能力。 |
1.信息系统恢复时间目标RTO小于7天; 2.信息系统恢复点目标RPO小于12小时; 3.备份系统具有满足业务需求的处理能力。 |