1、 保险业内控实施助力保险业内控实施助力 -灾备服务与业务连续管理灾备服务与业务连续管理Thursday, April 21, 2022万国数据服务公司介绍万国数据服务公司介绍1业务连续管理与保险行业内控业务连续管理与保险行业内控12GDS灾备服务助力保险行业内控实施灾备服务助力保险行业内控实施指定灾难恢复工作的主要责任人指定灾难恢复工作的主要责任人设立灾难恢复管理委员会及其常设办公机构设立灾难恢复管理委员会及其常设办公机构设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责风险分析风险分析业务影响分析业务影响分析业务连续策略业务连续策略技术恢
2、复资源分析技术恢复资源分析业务恢复资源分析业务恢复资源分析信息系统灾难恢复预案信息系统灾难恢复预案业务灾难恢复预案业务灾难恢复预案明确各分支机构、各部门的分工及职责明确各分支机构、各部门的分工及职责内部信息管理:信息沟通机制内部信息管理:信息沟通机制外部信息沟通:危机管理外部信息沟通:危机管理预案计划的维护与加强预案计划的维护与加强预案计划的稽核审计预案计划的稽核审计持续性改进与维护持续性改进与维护指定灾难恢复工作的主要责任人指定灾难恢复工作的主要责任人设立灾难恢复管理委员会及其常设办公机构设立灾难恢复管理委员会及其常设办公机构设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责设定在灾难恢复
3、规划、实施、运营、应急及恢复阶段的职责风险分析风险分析业务影响分析业务影响分析业务连续策略业务连续策略技术恢复资源分析技术恢复资源分析业务恢复资源分析业务恢复资源分析应急制度体系应急制度体系应急预案应急预案信息系统灾难恢复预案信息系统灾难恢复预案业务灾难恢复预案业务灾难恢复预案明确各分支机构、各部门的分工及职责明确各分支机构、各部门的分工及职责内部信息管理:信息沟通机制内部信息管理:信息沟通机制外部信息沟通:危机管理外部信息沟通:危机管理预案计划的维护与加强预案计划的维护与加强预案计划的稽核审计预案计划的稽核审计持续性改进与维护持续性改进与维护指定灾难恢复工作的主要责任人指定灾难恢复工作的主要
4、责任人设立灾难恢复管理委员会及其常设办公机构设立灾难恢复管理委员会及其常设办公机构设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责风险分析风险分析业务影响分析业务影响分析业务连续策略业务连续策略技术恢复资源分析技术恢复资源分析业务恢复资源分析业务恢复资源分析应急制度体系应急制度体系应急预案应急预案信息系统灾难恢复预案信息系统灾难恢复预案业务灾难恢复预案业务灾难恢复预案明确各分支机构、各部门的分工及职责明确各分支机构、各部门的分工及职责内部信息管理:信息沟通机制内部信息管理:信息沟通机制外部信息沟通:危机管理外部信息沟通:危机管理预案计划的
5、维护与加强预案计划的维护与加强预案计划的稽核审计预案计划的稽核审计持续性改进与维护持续性改进与维护保险行业内控助力灾备服务与保险行业内控助力灾备服务与业务连续管理业务连续管理2HO2HO 信息系统灾难恢复需求信息系统灾难恢复需求 业务灾难恢复需业务灾难恢复需求求业务影响分析内容保险行业内控助力灾备服务与业务连续管理保险行业内控助力灾备服务与业务连续管理2HO信息系统灾难恢复需求信息系统灾难恢复需求IT profile业务层面灾难恢复需求业务层面灾难恢复需求业务和应用系统对应关系业务和应用系统对应关系信息系统恢复优先级顺序信息系统恢复优先级顺序信息系统恢复时间目标(信息系统恢复时间目标(RTOR
6、TO)信息系统最大数据丢失时间目标(信息系统最大数据丢失时间目标(RPORPO) 业务恢复优先级顺序业务恢复优先级顺序 业务恢复目标业务恢复目标RTORTO和和RPORPO 业务恢复所需信息系统资业务恢复所需信息系统资源源 应用系统整体架构应用系统整体架构 应用系统使用状况,包括:应用系统使用状况,包括:使用频率、范围、方式等使用频率、范围、方式等 应用系统数据性质应用系统数据性质 应用系统和业务功能的对应用系统和业务功能的对应关系应关系 应用系统之间的相互依赖应用系统之间的相互依赖关系关系灾难恢复策略灾难恢复策略 信息系统灾难备份技术方案信息系统灾难备份技术方案 灾难恢复组织机构建议灾难恢复
7、组织机构建议 业务恢复策略业务恢复策略 ITIT系统恢复策略系统恢复策略 灾备系统建设策略灾备系统建设策略 灾备中心运行维护策略灾备中心运行维护策略 数据备份系统数据备份系统 备用处理系统备用处理系统 备用网络系统备用网络系统指定灾难恢复工作的主要责任人指定灾难恢复工作的主要责任人设立灾难恢复管理委员会及其常设办公机构设立灾难恢复管理委员会及其常设办公机构设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责风险分析风险分析业务影响分析业务影响分析业务连续策略业务连续策略技术恢复资源分析技术恢复资源分析业务恢复资源分析业务恢复资源分析应急制度体
8、系应急制度体系应急预案应急预案信息系统灾难恢复预案信息系统灾难恢复预案业务灾难恢复预案业务灾难恢复预案明确各分支机构、各部门的分工及职责明确各分支机构、各部门的分工及职责内部信息管理:信息沟通机制内部信息管理:信息沟通机制外部信息沟通:危机管理外部信息沟通:危机管理预案计划的维护与加强预案计划的维护与加强预案计划的稽核审计预案计划的稽核审计持续性改进与维护持续性改进与维护制定灾难恢复预案制定灾难恢复预案综述综述应急管理组织架构应急管理组织架构应急恢复决策流程应急恢复决策流程应急响应流程应急响应流程 事件初始响应事件初始响应 通报升级流程通报升级流程 损害评估流程损害评估流程 灾难预警流程灾难预
9、警流程 灾难宣告流程灾难宣告流程 启动灾难切换启动灾难切换附件附件应急响应预案应急响应预案紧急事件紧急事件预案使用指引预案使用指引同城灾难切换规程同城灾难切换规程异地灾难切换规程异地灾难切换规程切换和演练操作手册切换和演练操作手册灾后重续运行操作指引灾后重续运行操作指引ITIT系统基准系统基准信息系统灾难恢复预案信息系统灾难恢复预案制定应急响应预案制定应急响应预案针对灾备系统架构制定恢复针对灾备系统架构制定恢复预案预案业务恢复指引业务恢复指引业务恢复预案业务恢复预案数据追补策略数据追补策略业务恢复预案业务恢复预案 变更管理变更管理 灾难备份系统基准文档维护流程灾难备份系统基准文档维护流程; ;
10、 信息系统的变更知会流程信息系统的变更知会流程; ; 信息系统变更评估确认及处理流程信息系统变更评估确认及处理流程; ; 业务连续性计划变更维护流程业务连续性计划变更维护流程问题管理问题管理 问题的受理和记录单问题的受理和记录单; ; 问题分类及通知流程问题分类及通知流程; ; 问题追踪及升级流程问题追踪及升级流程 处理结果反馈记录处理结果反馈记录; ; 问题库更新管理办法问题库更新管理办法应急响应应急响应/ /恢复管理恢复管理 紧急响应流程紧急响应流程; ; 灾难恢复灾难恢复ITIT及工作环境检查清单及工作环境检查清单 供应商通知流程供应商通知流程; ; 网络监控报告模板网络监控报告模板;
11、; 危机事态进展汇报模板危机事态进展汇报模板BCPBCP维护维护管理管理 IT IT基准维护管理流程基准维护管理流程; ; 子系统测试管理流程子系统测试管理流程 业务连续性计划的分发、保存及更新管理办法业务连续性计划的分发、保存及更新管理办法安全管理安全管理 安全管理架构安全管理架构; ; 备份中心物理安全管理制度备份中心物理安全管理制度; ; 安全保密制度安全保密制度 网络安全管理流程网络安全管理流程; ; 备份系统分级授权机制备份系统分级授权机制; ; 磁介质管理制度磁介质管理制度日常操作日常操作运行管理运行管理 日常监控操作流程日常监控操作流程; ; 日常操作手册日常操作手册; ; 故障
12、报告及处理流程故障报告及处理流程; ; 日常维护例行工作流程日常维护例行工作流程; ; 运行记录及工作报表运行记录及工作报表灾难备份中心运营管理咨询指定灾难恢复工作的主要责任人指定灾难恢复工作的主要责任人设立灾难恢复管理委员会及其常设办公机构设立灾难恢复管理委员会及其常设办公机构设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责风险分析风险分析业务影响分析业务影响分析业务连续策略业务连续策略技术恢复资源分析技术恢复资源分析业务恢复资源分析业务恢复资源分析信息系统灾难恢复预案信息系统灾难恢复预案业务灾难恢复预案业务灾难恢复预案明确各分支机构、
13、各部门的分工及职责明确各分支机构、各部门的分工及职责内部信息管理:信息沟通机制内部信息管理:信息沟通机制外部信息管理:危机管理外部信息管理:危机管理预案计划的维护与加强预案计划的维护与加强预案计划的稽核审计预案计划的稽核审计持续性改进与维护持续性改进与维护指定灾难恢复工作的主要责任人指定灾难恢复工作的主要责任人设立灾难恢复管理委员会及其常设办公机构设立灾难恢复管理委员会及其常设办公机构设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责设定在灾难恢复规划、实施、运营、应急及恢复阶段的职责风险分析风险分析业务影响分析业务影响分析业务连续策略业务连续策略技术恢复资源分析技术恢复资源分析业务恢复资源
14、分析业务恢复资源分析信息系统灾难恢复预案信息系统灾难恢复预案业务灾难恢复预案业务灾难恢复预案明确各分支机构、各部门的分工及职责明确各分支机构、各部门的分工及职责内部信息管理:信息沟通机制内部信息管理:信息沟通机制外部信息沟通:危机管理外部信息沟通:危机管理预案计划的维护与加强预案计划的维护与加强预案计划的稽核审计预案计划的稽核审计持续性改进与维护持续性改进与维护 5. 已已完成完成组织已完全能够证明相组织已完全能够证明相关的解决方案,提供相关的解决方案,提供相关交付物和所有行动和关交付物和所有行动和决策的跟踪记录。决策的跟踪记录。4. 最最后阶后阶段段组织正在完成的工作:组织正在完成的工作:已
15、经完成了大部分已经完成了大部分BCM的范围和交付物的要求的范围和交付物的要求3. 正正在进在进行行组织正在进行相应的工组织正在进行相应的工作:已达到部分作:已达到部分BCM的的范围和交付物的要求。范围和交付物的要求。2. 初初始化始化组织已经开始进行计划组织已经开始进行计划的实施:已经开始实施的实施:已经开始实施或完成少量或完成少量BCM的计划的计划和交付物。和交付物。1. 已已计划计划组织已经定义了路线图:组织已经定义了路线图:已经完成了已经完成了BCM实施的实施的计划,安排了开始日期计划,安排了开始日期和分配了相关资源。和分配了相关资源。0. 未未提出提出未进行任何未进行任何BCM的计划的
16、计划或实施或实施保险行业内控助力灾备服务与业务连续保险行业内控助力灾备服务与业务连续管理管理2HO保险行业内控助力灾备服务与业务连续管理2HO综合测试综合测试单元测试单元测试桌面演练桌面演练模拟切换演练模拟切换演练实际切换演练实际切换演练p测试独立的IT应用系统的恢复操作手册的正确性p测试整体IT应用系统的应急方案及各系统应急恢复操作手册的正确性p验证应急响应预案的关键步骤p验证应急组织架构及各部门职责分工的合理性和可操作性 p培训应急恢复组织成员p模拟真实环境,使应急恢复人员熟悉应急操作步骤p验证应急技术方案的完整性和有效性p降低或消除对生产系统的影响p检验应急恢复预案是否满足业务恢复需求p
17、检验应急恢复组织管理、协调和实施能力p需考虑生产停顿及回切风险预案发布预案/应急管理流程修订预案/应急管理流程修订ReliabilityReliability 可靠可靠AvailabilityAvailability 可用可用ScalabilityScalability 冗余冗余RecoverabilityRecoverability 可恢复可恢复PerformancePerformance 恢复水平恢复水平SecuritySecurity安全水平安全水平1 1目标及目标及需求分析需求分析6 6审查评审查评估及改进估及改进2 2组织机组织机构及管理构及管理流程流程3 3建设策建设策略及方案略及方案4 4方案实方案实施能力获施能力获取取5 5培训及培训及演练验证演练验证全行全行业务业务第三第三方支方支持持业务业务流程流程关键关键资源资源关键关键服务服务
