证券期货业信息系统备份能力标准

中华人民共和国金融行业标准JRJR/TXXXX—2010证券期货业信息系统备份能力标准SecuritiesandFuturesInformationSystemandDataResilienceCapabilityStandard（报批稿）2010-xx-xx发布2010-xx-xx实施中国证券监督管理委员会发布目次前言...................................................................................II1范围..................................................................................12规范性引用文件........................................................................13术语和定义............................................................................14备份资源六要素定义....................................................................34.1备份数据(D)........................................................................34.2备份系统(S)........................................................................44.3备份网络(N).........................................................................44.4备份人员(P).........................................................................54.5备份基础保障条件(F).................................................................54.6备份管理能力(M).....................................................................85备份能力等级..........................................................................95.1等级确定的要素......................................................................95.2等级划分的流程与方法................................................................9附录A（资料性附录）证券期货业信息系统备份能力等级划分表...............................11附录B（资料性附录）证券期货业重要信息系统备份能力最低要求.............................16附录C（规范性附录）服务外包提供商及其数据中心基本要求.................................17附录D（资料性附录）灾难恢复预案框架...................................................18JR/T00XX-2010II前言为规范和指导证券期货业信息系统备份工作，有效提高信息系统抵御风险的能力，制订本标准。本标准主要包括以下内容：明确了与信息系统备份有关的术语和概念，提出了信息系统备份所需资源六要素及其五个级别的具体要求，制定了信息系统备份能力等级划分的流程与方法，并按照该方法，划分了证券期货业信息系统备份能力等级。本标准还包括三个资料性附录和一个规范性附录。附录A为资料性附录，给出了证券期货业信息系统备份能力的等级划分表；附录B为资料性附录，是用于规定行业机构重要信息系统备份能力最低要求的表格模板；附录C为规范性附录，是行业机构选择服务外包提供商建设灾难备份中心时，应要求服务外包提供商及其数据中心达到的基本要求；附录D为资料性附录，提供了灾难恢复预案的框架，供行业机构制定灾难恢复预案参考。本标准将随着技术的不断进步和发展，适时修订。本标准由全国金融标准化技术委员会证券分技术委员会提出。本标准由全国金融标准化技术委员会归口管理。本标准起草单位：中国证券监督管理委员会信息中心、深圳证券交易所、中国证券登记结算有限责任公司、深圳证券通信有限公司、中国期货保证金监控中心公司。本标准主要起草人：张野、戴文华、罗凯、邹胜、谢文海、崔庆海、刘伟、俞志钢、张斗刚、智西凯。本标准为首次发布。证券期货业信息系统备份能力标准1范围本标准提供了证券期货机构信息系统备份能力等级定义的方法。本标准可用于指导证券期货机构信息系统备份工作。本标准所称证券期货机构（以下简称“行业机构”）是指经中国证券监督管理委员会批准设立，并依法登记注册的证券交易所、期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司和中国期货保证金监控中心公司等市场核心机构及其下属机构，证券公司、期货公司和基金管理公司等经营机构。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8信息技术词汇第8部分：安全GB/T20988信息安全技术信息系统灾难恢复规范BS25999-2:2007业务连续性管理第二部分：规范ISO/IEC20000-1:2005信息技术服务管理第1部分：规范ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求3术语和定义GB/T5271.8、GB/T20988确立的以及下列术语和定义适用于本标准。3.1重要信息系统criticalinformationsystem支持行业机构关键业务功能的信息系统。这类系统出现异常将对证券期货市场和投资者造成较大的影响。3.2重要数据criticaldata重要信息系统处理、存储的业务数据，涉及开户、交易、行情、转账、登记、存管、结算、查询和相关业务办理的数据，行业机构内部经营管理数据（如财务数据），以及重要信息系统的代码、软件、技术参数等。这类数据的保密性、完整性和可用性受到破坏，将影响重要信息系统正常运行，将对证券期货市场和投资者造成较大的影响。3.3备份数据backupdata将主系统的数据复制并保存到安全地点。从备份方式分，包括离线备份数据和联机备份数据。从备份地点分，包括本地备份数据、同城备份数据和异地备份数据。3.4离线备份数据offlinebackupdata将数据复制并保存到移动硬盘、磁带或光盘等介质上的备份数据方式。3.5联机备份数据onlinebackupdata将数据复制并保存到主系统的备用系统中，在需要启用备份系统时，可不经过数据恢复操作的备份数据方式。JR/T00XX-201023.6本地备份数据localbackupdata将主系统的数据复制并保存到同一主中心的安全地点的备份数据方式。3.7同城备份数据regionalbackupdata将主系统的数据复制并保存到同一城市，与主中心直线距离３公里以上的安全地点的备份数据方式。3.8异地备份数据non-regionalbackupdata将主系统的数据复制并保存到不同城市，与主中心直线距离600公里以上的安全地点的备份数据的方式。3.9备份系统backupsystem主系统的备用系统。从备份方式分，包括热备系统、温备系统、冷备系统。从备份地点分，包括本地备份系统、同城备份系统和异地备份系统。3.10热备系统hotstandbysystem备份系统时刻处于运行状态，并与主系统保持同步。当主系统不可用时，备份系统可以立即自动接替主系统而不中断服务。3.11温备系统warmstandbysystem备份系统处于加电待用状态，并周期性同步复制或镜像主系统。当主系统不可用时，需要经过一定时间，才能切换到备份系统。3.12冷备系统coldstandbysystem备份系统处于不加电待用状态，但在需要时能够启用。当主系统不可用时，需要经过较长时间，完成备份数据导入，才能切换到备份系统。3.13本地备份系统localbackupsystem备份系统与主系统处于同一主中心的备份方式。本地备份系统用于防范主系统的设备故障等技术故障。3.14同城备份系统regionalbackupsystem备份系统与主系统处于同一城市的备份方式。运行同城备份系统的场所为同城灾备中心，同城灾备中心原则上与主中心直线距离在3公里以上，不共用同一建筑、水电、空调等基础设施，输入供电须来自不同的变电站，通信线路不在同一汇接局内。主中心发生设备故障、网络中断、电力故障、场地火灾等事件，可切换到同城备份系统。3.15异地备份系统non-regionalbackupsystem备份系统与主系统处于不同城市的备份方式。运行异地备份系统的场所为异地灾备中心，异地灾备中心原则上与主中心直线距离在600公里以上，并且不应建设在同一地震带区域、同一电网内、历史上曾发生台风、洪灾、冰灾等重大自然灾害的区域、周围有易燃易爆工厂的区域，以及具有其他不利因素影响而不适合于建立灾备中心的区域。主中心所在城市发生地震、洪水、台风、恐怖袭击，较大范围的通信网、电网故障等重大灾难事件，可切换到异地备份系统。JR/T00XX-201033.16两地三中心threedatacenterintworegion具有一个主中心、一个同城备份中心和一个异地备份中心的建设模式。3.17双主中心active-activeprimarycenter具有两个主中心处于两个不同城市且互为备份的建设模式。3.18多主中心multi-activeprimarycenter具有多个主中心处于两个以上不同城市且互为备份的建设模式。3.19备份网络backupnetwork用于支持主系统和备份系统的通信线路和网络设备。3.20备份人员backuppersonnel在主中心，可以履行代替主系统操作和管理职责的人员。在同城灾备中心或异地灾备中心，负责日常管理、运行维护、执行备份与恢复的业务和技术人员。3.21备份基础保障条件backupfacility用于支持主系统和备份系统的环境。包括场地、供电、空调和布线等设施。3.22备份管理能力backupmanagementcapability对备份数据、备份系统、备份网络、备份人员、备份基础保障条件的管理能力。3.23故障恢复时间目标recoverytimeobjective-1RTO1发生技术故障导致业务中断后，业务从停顿到必须恢复的时间要求。3.24灾难恢复时间目标recoverytimeobjective-2RTO2发生灾难灾害导致业务中断后，业务从停顿到必须恢复的时间要求。4备份资源六要素定义信息系统备份所需资源包括备份数据（Data）、备份系统（System）、备份网络（Network）、备份人员（Personnel）、备份基础保障条件（Facility）、备份管理能力（Management）六个要素，分别用其英文单词的首字母D,S,N,P,F,M表示，每个要素由低到高划分为1、2、3、4、5五个级别。结合行业机构信息系统特点及信息技术发展状况，对六要素各级别的定义具体描述如下。4.1备份数据(D)备份数据五个级别的具体定义见表1。表1备份数据级别基本要求D1a)重要信息系统本地离线备份数据至少每周一次b)离线备份数据介