ICS 03.060 国家科技支撑计划资助 A11 项目编号:2009BAH47B00 JR 备案号 中华人民共和国金融行业标准 JR/T0059-2010 证券期货经营机构信息系统备份能力标准 Information System Resilience Capability Standard For Intermediary Institutions 2011-04-14发布 2011-04-14实施 中国证券监督管理委员会 发布
JR/T0059-2010 目次 1范围 2规范性引用文件 3术语和定义 4备份能力 4.1备份能力的含义 4.2备份能力等级的定义 4.3备份能力的需求确立 4.4备份能力的建设与管理 附录A证券期货经营机构信息系统备份能力表(资料性附录)
JR/T 0059-2010 前言 为规范证券期货经营机构信息系统备份工作,有效提高信息系统抵御风险的能力,制定本标准.
本标准主要包括证券期货经营机构信息系统备份有关的术语、定义以及备份能力的含义和等级.
本标准还包括一个资料性附录A.
附录A给出了证券期货经营机构信息系统备份能力表.
本标准将根据证券期货业信息技术发展情况,适时进行修订.
本标准由全国金融标准化技术委员会证券分技术委员会提出. 本标准由全国金融标准化技术委员会归口管理.
本标准起草单位:中国证券监督管理委员会信息中心、深圳证券交易所、中国证券登记结算有 限责任公司、深圳证券通信有限公司、中国期货保证金监控中心公司.
本标准主要起草人:张野、戴文华、罗凯、邹胜、谢文海、崔庆海、刘伟、俞志钢、张斗刚、 智西凯 本标准为首次发布.
本标准为国家科技支撑计划资助项目,项目编号:2009BAH47B00.
I
JR/T 0059-2010 证券期货经营机构信息系统备份能力标准 1范围 本标准明确了证券期货经营机构信息系统备份能力的含义,定义了备份能力的等级.
本标准是证券期货经营机构信息系统备份能力建设的设计标准,用于指导信息系统备份能力建设工 作.
本标准所称证券期货经营机构(以下简称经营机构)是指经中国证券监督管理委员会批准设立,并 依法登记注册的证券公司、基金管理公司和期货公司等机构.
2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款.
凡是注日期的引用文件,其随后的 修改单(不包括勘误的内容)或修订版均不适用于本标准,凡是不注日期的引用文件,其最新版本适用 于本标准.
GB/T5271.8信息技术词汇第8部分:安全 GB/T20988-2007信息安全技术信息系统灾难恢复规范 GB/T20984-2007信息安全技术信息安全风险评估规范 3术语和定义 GB/T5271.8、GB/T20988-2007、GB/T20984-2007确立的术语和定义,以及下列术语和定义适用 于本标准, 3. 1 实时信息系统real-timeinformationsyetem 造成较大的影响或者损害到投资者及市场其他参与方的合法权益,如交易类、行情类和通信类信息系统.
3.2 非实时信息系统non-roal-timeinformationsystem 对业务连续运行要求不高的信息系统.
这类系统短暂停顿或性能指标产重下降,不会对证券期货市 场造成较大的影响或者损害到投资者及市场其他参与方的合法权益,如结算类、业务类、风控类、网站 类信息系统.
3.3 恢复时间目标recoverytimeobjective RTO 从故障系统切换到备份系统所需的时间.
3. 4 恢复点目标recoverypointobjective RPO
JR/T 0059-2010 信息系统和数据必须恢复到的时间点要求.
4备份能力 4.1备份能力的含义 经营机构信息系统备份能力包括数据备份能力、故障应对能力、灾难应对能力和重大灾难应对能力.
数据备份能力是指在发生人为破坏、软硬件故障、灾难灾害或突发公共安全事件等极端情况下,确 保数据完整、可用的能力、 故障应对能力是指在发生软硬件故障等情况下,导致信息系统所支持的业务功能停顿或者性能指标 严重下降时,确保信息系统及时恢复和继续运作的能力.
灾难应对能力是指在发生火灾等情况下,导致信息系统所在的数据中心不可用时,确保信息系统及 时恢复和继续运作的能力,此类情况下,通常需要切换到灾难备份中心运行.
重大灾难应对能力是指在发生地震等情况下,导致信息系统所在城市或者地区电力、通信、交通严 重瘫疾或人员伤亡时,确保信息系统及时恢复和继续运作的能力,此类情况下,通常需要切换到异地灾 难备份中心运行.
对数据备份能力,从备份频率、保存方式和恢复验证等三个方面进行要求.
对故障应对能力、灾难 应对能力和重大灾难应对能力,分别从恢复时间目标(RTO)、恢复点目标(RPO)和性能容量等三个方 面进行要求, 4.2备份能力等级的定义 根据经营机构不同的业务类型、信息系统的特点,定义了六个等级的备份能力(见附录A),从低 到高依次是:第一级、第二级、第三级、第四级、第五级、第六级.
第一级为数据备份级,包括对数据备份的要求:第二、三、四级为故障应对级,包括对数据备份的 要求和对故障应对的要求,从行业实际出发,一般地,实时信息系统对应于第二、三、四级,非实时信 息系统对应于第二级:第五级为灾难应对级,包括对数据备份的要求,对故障应对和灾难应对的要求: 第六级为重大灾难应对级,包括对数据备份的要求,对故障应对、灾难应对和重大灾难应对的要求.
4.3备份能力的需求确立 经营机构在进行信息系统设计和建设时、应确定信息系统在备份能力上的需求.
信息系统各份能力 的确定过程主要有以下三个步骤: 1.通过业务影响分析,明确信息系统的重要性.
2.通过风险评估,识别信息系统所面临的风险.
3.在业务影响分析和风险评估的基础上,确定信息系统的各份能力等级需求.
4.4备份能力的建设与管理 经营机构信息系统备份策略的制定和实现,备份设施的规划、建设与管理,可参点《信息系统灾难 恢复规范)(GB/T20988-2007)实施.
