灾难标准之行业标准

2.行业标准

在国家积极制订灾难备份国家标准的同时，灾难备份相关重点行业（尤其是银行、电力、铁路、民航、证券、保险、海关、税务等八大行业）也纷纷加快了对信息系统灾难备份行业标准的制订。其中，银行业、保险业和证券业在灾备相关标准制订过程中进展较为迅速。

1)银行业相关法规条款

《商业银行操作风险管理指引》第十九条中规定“商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制，并应当定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务严重中断时这些方案和机制的正常执行。”此规定涉及了业务连续和灾难恢复相关的内容，明确了银行业应的制定适当的业务连续性规划。

《银行业金融机构信息系统风险管理指引》第二十九条中规定“银行业金融机构应制定信息系统应急预案，并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。”此规定明确了银行业金融机构的数据备份要求。

2)证券业相关法规条款

在《证券期货业信息系统安全等级保护基本要求》中对应用安全和数据安全方面对灾备提出了明确的要求。《证券公司集中交易安全管理技术指引》明确了灾难备份BCP（业务连续性计划）的三个具体指标，该指引提出“RPO（恢复点目标）、RTO（恢复时间目标）、 DOO（运行性能降低预期）是衡量灾难恢复性能好坏的关键指标，应分别达到：RPO<16分钟。RTO<l小时，DOO<50%。”《证券公司集中交易安全管理技术指引》第四十七条规定“应定期组织灾难备份应急预案和应急计划的演练，至少每年二次，并根据演练的结果和发现的问题进行总结，对系统和应急方案进行优化及完善。”明确了灾备预案演练周期。

3)保险业相关法规条款

保监会下发的《关于做好重要信息系统灾难备份工作的通知》，要求保险企业需要确定本单位的灾难恢复目标和建设模式，制订完善的灾难恢复计划。保监会发布了《保险业信息系统灾难恢复管理指引》，对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求， “保险机构应统筹规划信息系统灾难恢复工作，自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。