证券期货业信息系统备份能力标准送审稿

中国证券监督管理委员会 发布-xx-xx实行-xx-xx 发布证券期货业信息系统备份能力原则Securities and Futures Information System and Data Resilience Capability Standard（送审稿）JR/T XXXXJR中华人民共和国金融行业原则 目 次前 言II1范畴12规范性引用文献13术语和定义14备份资源六要素定义34.1备份数据 (D)34.2备份系统 (S)44.3备份网络(N)44.4备份人员(P)54.5备份基本保障条件 (F)54.6备份管理能力(M)75备份能力级别95.1级别拟定的要素95.2级别划分的流程与措施9附录A （资料性附录） 证券期货业信息系统备份能力级别划分表11附录B （资料性附录） 证券期货业重要信息系统备份能力最低规定16附录C （规范性附录） 服务外包提供商及其数据中心基本规定18附录D （资料性附录） 劫难恢复预案框架19前 言为规范和指引证券期货业信息系统备份工作，有效提高信息系统抵御风险的能力，制定本原则。本原则重要涉及如下内容：明确了与信息系统备份有关的术语和概念，提出了信息系统备份所需资源六要素及其五个级别的具体规定，制定了信息系统备份能力级别划分的流程与措施，并按照该措施，划分了证券期货业信息系统备份能力级别。本原则还涉及三个资料性附录和一种规范性附录。附录A为资料性附录，给出了证券期货业信息系统备份能力的级别划分表；附录B为资料性附录，是用于规定行业机构重要信息系统备份能力最低规定的表格模板；附录C为规范性附录，是行业机构选择服务外包提供商建设劫难备份中心时，应规定服务外包提供商及其数据中心达到的基本规定；附录D为资料性附录，提供了劫难恢复预案的框架，供行业机构制定劫难恢复预案参照。本原则将随着技术的不断进步和发展，适时修订。本原则由全国金融原则化技术委员会证券分技术委员会提出。本原则由全国金融原则化技术委员会归口管理。本原则起草单位：中国证券监督管理委员会信息中心、深圳证券交易所、中国证券登记结算有限责任公司、深圳证券通信有限公司、中国期货保证金监控中心公司。本原则重要起草人：张野、戴文华、罗凯、邹胜、谢文海、崔庆海、刘伟、俞志钢、张斗刚、智西凯。本原则为初次发布。证券期货业信息系统备份能力原则1 范畴本原则提供了证券期货机构信息系统备份能力级别定义的措施。本原则可用于指引证券期货机构信息系统备份工作。本原则所称证券期货机构（如下简称“行业机构”）是指经中国证券监督管理委员会批准设立，并依法登记注册的证券交易所、期货交易所、中国证券登记结算公司、中国证券投资者保护基金公司和中国期货保证金监控中心公司等市场核心机构及其下属机构，证券公司、期货公司和基金管理公司等经营机构。2 规范性引用文献下列文献中的条款通过本原则的引用而成为本原则的条款。但凡注日期的引用文献，其随后所有的修改单（不涉及勘误的内容）或修订版均不合用于本原则。但凡不注日期的引用文献，其最新版本合用于本原则。GB/T 5271.8 信息技术 词汇 第8部分：安全GB/T 20988信息安全技术 信息系统劫难恢复规范BS 25999.2- 业务持续性管理 第二部分：规范ISO/IEC 0.1- 信息技术 服务管理 第1部分：规范ISO/IEC 27001- 信息技术 安全技术 信息安全管理体系 规定3 术语和定义GB/T 5271.8、GB/T 20988确立的以及下列术语和定义合用于本原则。3.1重要信息系统 critical information system支持行业机构核心业务功能的信息系统。此类系统浮现异常将对证券期货市场和投资者导致较大的影响。3.2重要数据 critical data重要信息系统解决、存储的业务数据，波及开户、交易、行情、转账、登记、存管、结算、查询和有关业务办理的数据，行业机构内部经营管理数据（如财务数据），以及重要信息系统的代码、软件、技术参数等。此类数据损失将影响重要信息系统正常运营，将对证券期货市场和投资者导致较大的影响。3.3备份数据 data backup将主系统的数据复制并保存到安全地点。从备份方式分，涉及离线备份数据和联机备份数据。从备份地点分，涉及本地备份数据、同城备份数据和异地备份数据。3.4离线备份数据 offline data backup将数据复制并保存到移动硬盘、磁带或光盘等介质上的备份数据的方式。3.5联机备份数据 online data backup将数据复制并保存到主系统的备份系统中，并处在可用状态的备份数据的方式。3.6本地备份数据 local data backup将主系统的数据复制并保存到同一主中心的安全地点的备份数据的方式。3.7同城备份数据 regional data backup将主系统的数据复制并保存到同一都市，与主中心直线距离公里以上的安全地点的备份数据的方式。3.8异地备份数据 non-regional data backup将主系统的数据复制并保存到不同都市，与主中心直线距离600公里以上的安全地点的备份数据的方式。3.9备份系统 system backup主系统的备用系统。从备份方式分，涉及热备系统、温备系统、冷备系统。从备份地点分，涉及本地备份系统、同城备份系统和异地备份系统。3.10热备系统 hot standby system备份系统时刻处在运营状态，并与主系统保持同步。当主系统不可用时，备份系统可以立即自动接替主系统而不中断服务。3.11温备系统 warm standby system备份系统处在加电待用状态，并周期性同步复制或镜像主系统。当主系统不可用时，需要通过一定期间，才干切换到备份系统。3.12冷备系统 cold standby system备份系统处在不加电待用状态，但在需要时可以启用。当主系统不可用时，需要通过较长时间，完毕备份数据导入，才干切换到备份系统。3.13本地备份系统 local system backup备份系统与主系统处在同一主中心的备份方式。本地备份系统用于防备主系统的设备故障等技术故障。3.14同城备份系统 regional system backup备份系统与主系统处在同一都市的备份方式。运营同城备份系统的场合为同城灾备中心，同城灾备中心原则上与主中心直线距离在3公里以上，不共用同一建筑、水电、空调等基本设施，输入供电须来自不同的变电站，通信线路不在同一汇接局内。主中心发生设备故障、网络中断、电力故障、场地火灾等劫难事件，可切换到同城备份系统。3.15异地备份系统 non-regional system backup备份系统与主系统处在不同都市的备份方式。运营异地备份系统的场合为异地灾备中心，异地灾备中心原则上与主中心直线距离在600公里以上，并且不应建设在同一地震带区域、同一电网内、历史上曾发生台风、洪灾、冰灾等重大自然灾害的区域、周边有易燃易爆工厂的区域，以及具有其她不利因素影响而不适合于建立灾备中心的区域。主中心所在都市发生地震、洪水、台风、恐怖袭击，较大范畴的通信网、电网故障等重大劫难事件，可切换到异地备份系统。3.16两地三中心 three datacenter in two region具有一种主中心、一种同城备份中心和一种异地备份中心的建设模式。3.17双主中心 active-active primary center具有两个主中心处在两个不同都市且互为备份的建设模式。3.18多主中心 multi-active primary center具有多种主中心处在两个以上不同都市且互为备份的建设模式。3.19备份网络 network backup用于支持主系统和备份系统的通信线路和网络设备。3.20备份人员 personnel backup在主中心，可以履行替代主系统操作和管理职责的人员。在同城灾备中心或异地灾备中心，负责平常管理、运营维护、执行备份与恢复的业务和技术人员。3.21备份基本保障条件 facility backup用于支持主系统和备份系统的环境。涉及场地、供电、空调和布线等设施。3.22备份管理能力 backup management capability对备份数据、备份系统、备份网络、备份人员、备份基本保障条件的管理能力。3.23故障恢复时间目的 recovery time objective-1RTO1发生技术故障导致业务中断后，业务从停止到必须恢复正常的时间。3.24劫难恢复时间目的 recovery time objective-2RTO2发生劫难灾害导致业务中断后，业务从停止到必须恢复正常的时间。4 备份资源六要素定义信息系统备份所需资源涉及备份数据（Data）、备份系统（System）、备份网络（Network）、备份人员（Personnel）、备份基本保障条件（Facility）、备份管理能力（Management）六个要素，分别用其英文单词的首字母D,S,N,P,F,M表达，每个要素由低到高划分为1、2、3、4、5五个级别。结合行业机构信息系统特点及信息技术发展状况，对六要素各级别的定义具体描述如下。4.1 备份数据 (D)备份数据五个级别的具体定义见表1。表1 备份数据级别基本规定D1a) 重要信息系统本地离线备份数据至少每周一次b) 离线备份数据介质安全可靠寄存D2a) 重要信息系统本地离线备份数据至少每天一次b) 离线备份数据介质安全可靠寄存c) 每天运用通信网络或其他方式将离线备份数据定期批量传送至备用站点D3a) 重要信息系统本地离线备份数据至少每天一次b) 离线备份数据介质安全可靠寄存c) 通过通信网络将重要信息系统的数据实时异步传送到备用站点，形成联机备份数据D4a) 重要信息系统本地离线备份数据至少每天一次b) 离线备份数据介质安全可靠寄存c) 通过通信网络将重要信息系统的数据实时同步传送到备用站点，形成联机备份数据D5a) 重要信息系统本地离线备份数据至少每天一次b) 离线备份数据介质安全可靠寄存c) 通过通信网络将重要信息系统的数据实时同步传送到备用站点，形成联机备份数据d) 重要数据零丢失4.2 备份系统 (S)备份系统五个级别的具体定义见表2。表2 备份系统级别基本规定S1能在预定期间内调配所需的备用设备建立主系统的备用系统S2a) 有主系统的备用系统，并处在待用状态b) 备份系统和主系统可以人工切换S3a) 有主系统的备用系统，且具有主系统60%以上的业务解决能力b) 备份系统和主系统可以人工切换c) 具有集中的实时监控和主备切换管理能力S4a) 有主系统的备用系统，且具有主系统80%以上的业务解决能力b) 备份系统和主系统可以人工切换c) 具有集中的实时监控和主备切换管理能力S5a) 有主系统的备用系统，且具有与主系统一致的业务解决能力b) 备份系统和主系统可以人工或自动切换c) 具有集中的实时监控和主备切换管理能力4.3 备份网络(N)备份网络五个级别的具体定义见表3。表3 备份网络级别基本规定N1能在预定期间内调配所需的通信线路和网络设备建立备份网络N2a) 有支持备份系统的通信线路和网络设备，并处在待用状态b) 采用通信运营商地面线路与核心业务有关机构的主中心实现通信备份N3a) 配备有不低于主中心60%带宽和解决能力的通信线路和网络设备，并处在运营状态b) 采用一种通信运营商地面线路或者一种卫星电路与核心业务有关机构的主中心和灾备中心都实现通信备份c) 业务关联机构或最后顾客可通过网络接入主中心和灾备中心N4a) 配备有不低于主中心80%带宽和解决能力的通信线路和网络设备，并处在运营状态b) 采用两个通信运营商地面线路（或一种通信运营商地面线路和卫星电路）与核心业务有关机构的主中心实现通信连接；采用一种通信运营商地面线路或者一种卫星电路与核心业务有关机构的灾备中心实现通信连接c) 业务关联机构或最后顾客可通过网络接入主中心和灾备中心d) 通信网络可以及时切换N5a) 配备有与主中心相似带宽、解决能力的通信线路和网络设备，并处在运营状态b) 采用两个通信运营商地面线路（或一种通信运营商地面线路和卫星电路）与核心业务有关机构的主中心和灾备中心都实现通信备份c) 业务关联机构或最后顾客可通过网络接入主中心和灾备中心d) 通信网络可以自动切换e) 主中心和灾备中心通信网络均有集中监控能力4.4 备份人员(P)备份人员五个级别的具体定义见表4。表4备份人员级别基本规定P1a) 有介质管理人员和计算机机房管理人员b) 以上运营管理人员58小时值守P2a) 有介质管理人员和计算机机房管理人员b) 有兼职的硬件、网络技术支持人员c) 有兼职的备份与恢复管理人员d) 以上运营管理人员58小时值守P3a) 有介质管理人员和计算机机房管理人员b) 有兼职的硬件、网络技术支持人员c) 有兼职的备份与恢复管理人员d) 有兼职的操作系统、数据库系统技术支持人员e) 有兼职的应用系统操作人员f) 有兼职的业务人员g) 以上运营管理人员58小时值守P4a) 有介质管理人员和计算机机房管理人员b) 有兼职的硬件、网络技术支持人员c) 有兼职的备份与恢复管理人员d) 有兼职的操作系统、数据库系统技术支持人员e) 有专职的应用系统操作人员f) 有兼职的业务人员g) 以上运营管理人员58小时值守P5a) 有介质管理人员和计算机机房管理人员b) 有专职的硬件、网络技术支持人员c) 有专职的备份与恢复管理人员d) 有专职的操作系统、数据库系统技术支持人员e) 有专职的应用系统操作人员f) 有兼职的业务人员g) 以上运营管理人员58小时值守4.5 备份基本保障条件 (F)备份基本保障条件五个级别的具体定义见表5。表5 备份基本保障条件级别基本规定F1场地规定：a) 在中华人民共和国境内b) 远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场合 c) 配有724小时值守的保安d) 有符合消防安全规定的火警检测、报警、灭火和应急照明设施e) 承重应达到300公斤每平方米以上f) 有防水、防火、防雷接地、防静电、防盗、防鼠、防虫害等措施g) 有724小时视频录像，并保存近来3个月的录像h) 有门禁管理系统供电规定：a) 配备有备用UPS电源，b) 备用UPS电源持续供电时间超过1个小时空调规定：a) 对场地温湿度进行监控，并做好记录b) 配备有热容量足够的空调F2场地规定：a) 在中华人民共和国境内b) 远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场合c) 配有724小时值守的保安d) 有符合消防安全规定的火警检测、报警、灭火和应急照明设施e) 机房承重应达到300公斤每平方米以上f) 机房有防水、防火、防雷接地、防静电、防盗、防鼠、防虫害等措施g) 机房有724小时视频录像，并保存近来3个月的录像h) 机房有门禁管理系统i) 远离强震源、强磁场源和强噪声源，避免无线电电磁干扰j) 水、电、空调核心基本设施有实时监控报警系统供电规定：a) 机房UPS设备冗余b) 备用UPS电源持续供电时间超过2个小时空调规定：a) 对机房温湿度进行监控，并做好记录b) 配有与机房热容量匹配的空调c) 空调设备有备用供电布线规定：a) 强弱电布线应分开b) 弱电布线应有清晰的线标c) 强电电缆应有屏蔽或隔离措施F3场地规定：a) 在中华人民共和国境内b) 远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场合c) 配有724小时值守的保安d) 有符合消防安全规定的火警检测、报警、灭火和应急照明设施e) 机房承重应达到500公斤每平方米以上f) 机房有防水、防火、防雷接地、防静电、防盗、防鼠、防虫害等措施g) 机房有724小时视频录像，并保存近来3个月的录像h) 机房有独立门禁系统i) 远离强震源、强磁场源和强噪声源，避免无线电电磁干扰j) 水、电、空调核心基本设施有监控报警系统k) 水、电、空调基本设施维护人员58小时值守供电规定：a) 机房UPS设备冗余b) 应自备或租用发电机c) UPS电源实际持续供电时间不少于从电力故障到发电机启用时间的2倍d) 发电机持续供电时间应不不不小于4个小时空调规定：a) 对机房温湿度进行监控，并做好记录b) 配备恒温、恒湿空调设备c) 空调设备有备用供电布线规定：a) 强弱电布线应分开b) 弱电布线应有清晰的线标c) 强电电缆应有屏蔽或隔离措施d) 所有布线应置于管道或桥架中F4场地规定：a) 在中华人民共和国境内b) 远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场合c) 配有724小时值守的保安d) 有符合消防安全规定的火警检测、报警、灭火和应急照明设施e) 机房承重应达到500公斤每平方米以上f) 机房有防水、防火、防雷接地、防静电、防盗、防鼠、防虫害等措施g) 机房有724小时视频录像，保存近来3个月以上录像h) 机房有独立门禁系统i) 远离强震源、强磁场源和强噪声源，避免无线电电磁干扰j) 水、电、空调核心基本设施有实时监控报警系统k) 水、电、空调基本设施维护人员5 x 8小时值守l) 机房区域按功能需要安全隔离、其中UPS应在相对封闭区域m) 配备有机房环境监控系统，能监控供配电、温湿度、渗漏、烟雾等n) 场地保持724小时运作供电规定：a) 机房UPS设备冗余b) 应自备或租用发电机c) UPS电源实际持续供电时间不少于从电力故障到发电机启用时间的2倍d) 发电机持续供电时间应不不不小于8个小时e) 动力设备核心组件有冗余f) 一路专线一路市电或两路市电输入，并具有自动切换功能空调规定：a) 对机房温湿度进行监控，并做好记录b) 配备有恒温、恒湿空调设备，其容量充足、核心组件冗余c) 空调设备有备用供电布线规定：a) 强弱电布线应分开b) 弱电布线应有清晰的线标c) 强电电缆应有屏蔽或隔离措施d) 所有布线应置于管道或桥架中F5场地规定：a) 在中华人民共和国境内b) 远离产生粉尘、油烟、有害气体以及具有腐蚀性、易燃、易爆物品的工厂、仓库等场合c) 配有724小时值守的保安d) 有符合消防安全规定的火警检测、报警、灭火和应急照明设施e) 机房承重应达到500公斤每平方米以上f) 机房有防水、防火、防雷接地、防静电、防盗、防鼠、防虫害等措施g) 机房有724小时视频录像，并保存近来3个月以上录像h) 机房有至少两个出入口，有独立门禁系统i) 远离强震源、强磁场源和强噪声源，避免无线电电磁干扰j) 水、电、空调核心基本设施有实时监控报警系统k) 水、电、空调基本设施维护人员7x24小时值守l) 机房区域按功能需要安全隔离、其中UPS应在相对封闭区域m) 配备有机房环境监控系统，能监控供配电、温湿度、渗漏、烟雾等n) 机房具有8级抗震能力o) 有满足信息系统劫难恢复运作规定的办公场地、办公设施p) 场地保持724小时运作供电规定：a) 机房UPS设备冗余b) 自备或租用发电机c) UPS电源实际持续供电时间不少于从电力故障到发电机启用时间的2倍d) 发电机持续供电时间应不不不小于12个小时e) 动力设备核心组件具有容错能力f) 两路以上独立专线输入，具有自动切换功能空调规定：a) 对机房温湿度进行监控，并做好记录b) 配备有恒温、恒湿空调设备,其容量充足、核心组件冗余c) 空调设备有备用供电布线规定：a) 强弱电布线应分开b) 弱电布线应有清晰的线标c) 强电电缆应有屏蔽或隔离措施d) 所有布线应置于管道或桥架中4.6 备份管理能力(M)备份管理能力五个级别的具体定义见表6。表6 备份管理能力级别基本规定M1a) 有备份数据的安全管理制度b) 有介质标记、存取、验证和转储的管理制度c) 按介质特性对备份数据进行定期有效性验证d) 有相应的通过完整测试与演习、并验证有效的应急预案和劫难恢复预案e) 每年至少完毕一次完整演习f) 有以上运营的完整记录M2a) 有备份数据的安全管理制度b) 有介质标记、存取、验证和转储的管理制度c) 按介质特性对备份数据进行定期有效性验证d) 有相应的通过完整测试与演习、并验证有效的应急预案和劫难恢复预案e) 每年至少完毕一次完整演习f) 有专业、合格的人员对备份系统、备份网络、备份基本保障条件进行维护g) 有备份系统、备份网络、备份基本保障条件的巡检、维护管理制度h) 与有关厂商有符合故障恢复时间目的、劫难恢复时间目的规定的紧急供货合同i) 有以上运营的完整记录M3a) 有备份数据的安全管理制度b) 有介质标记、存取、验证和转储的管理制度c) 按介质特性对备份数据进行定期有效性验证d) 有相应的通过完整测试与演习、并验证有效的应急预案和劫难恢复预案e) 每年至少完毕一次完整演习，以及至少完毕一次主系统和备份系统的切换演习f) 有专业、合格的人员对备份系统、备份网络、备份基本保障条件进行维护g) 有备份系统、备份网络、备份基本保障条件的巡检、维护管理制度h) 与有关厂商有符合故障恢复时间目的、劫难恢复时间目的规定的紧急供货合同i) 每年要对备份与恢复工作进行至少一次评审j) 有以上运营的完整记录M4a) 有备份数据的安全管理制度b) 有介质标记、存取、验证和转储的管理制度c) 按介质特性对备份数据进行定期有效性验证d) 有相应的通过完整测试与演习、并验证有效的应急预案和劫难恢复预案e) 每年至少完毕一次有业务关联机构或最后顾客参与的完整演习，以及至少一次主系统和备份系统的切换演习f) 有专业、合格的人员对备份系统、备份网络、备份基本保障条件进行维护g) 有备份系统、备份网络、备份基本保障条件的巡检、维护管理制度h) 与有关厂商有符合故障恢复时间目的、劫难恢复时间目的规定的紧急供货合同i) 每年要对备份与恢复工作进行至少一次评审j) 使用监控系统对灾备中心的备份网络与备份系统进行实时监控k) 有全面的灾备中心管理制度l) 有以上运营的完整记录M5a) 有备份数据的安全管理制度b) 有介质标记、存取、验证和转储的管理制度c) 按介质特性对备份数据进行定期有效性验证d) 有相应的通过完整测试与演习、并验证有效的应急预案和劫难恢复预案e) 每年至少完毕两次有业务关联机构或最后顾客参与的完整演习，以及至少两次主系统和备份系统的切换演习f) 有专业、合格的人员对备份系统、备份网络、备份基本保障条件进行维护g) 有备份系统、备份网络、备份基本保障条件的维护管理制度h) 与有关厂商有符合故障恢复时间目的、劫难恢复时间目的规定的紧急供货合同i) 每年要对备份与恢复工作进行至少两次评审j) 使用监控系统对灾备中心的备份网络与备份系统进行实时监控k) 有全面的灾备中心管理制度l) 建立有业务持续性管理体系（见BS 25999.2-）m) 有以上运营的完整记录5 备份能力级别5.1 级别拟定的要素行业机构或监管部门可根据信息系统的重要性，拟定备份能力的级别，根据信息系统的特点，拟定备份能力的子级别，并从备份方式、恢复能力指标和备份所需资源（六要素组合）三个方面拟定具体的规定。其中，备份方式分为备份数据和备份系统。备份数据涉及本地备份数据、同城备份数据和异地备份数据等三种。备份系统涉及本地热备系统、本地温备或冷备系统、同城备份系统和异地备份系统等四种。恢复能力指标涉及故障恢复时间目的（RTO1）、劫难恢复时间目的（RTO2）和恢复点目的（RPO）。备份所需资源涉及备份数据、备份系统、备份网络、备份人员、备份基本保障条件、备份管理能力等六个要素。5.2 级别划分的流程与措施信息系统备份能力级别划分的一般流程和措施为：1. 通过业务影响分析（见GB/T 20988），辨认核心业务功能和重要信息系统。2. 拟定备份能力级别。辨认重要信息系统的重要性级别，划分重要信息系统的备份能力级别，重要性级别越高规定备份能力级别越高。3. 拟定备份能力子级别。对重要信息系统的特点进行分析，从重要信息系统与否为实时系统、与否存储重要业务数据两方面进行分析，分为如下4类系统：A实时性规定高且存储重要业务数据、B实时性规定高但不存储重要业务数据、C非实时系统但存储重要业务数据、D非实时系统且不存储重要业务数据。每个级别可细分为A、B、C、D四个子级别。由于每个子级别中重要信息系统应具有的备份方式、故障恢复时间目的（RTO1）、劫难恢复时间目的（RTO2）、恢复点目的RPO（见GB/T 20988）以及备份资源六要素的规定也许存在部分差别，因此，可把A、B、C、D四个子级别从低到高进一步细分出多种子级别，如从低到高划分为1级、2级、3级三个子级别，每个级别就可划提成12个子级别：A3、A2、A1、B3、B2、B1、C3、C2、C1、D3、D2、D1。4. 针对每一级别（含子级别），拟定重要信息系统的每一种备份方式对备份资源六要素和恢复能力指标（RTO1、RTO2、RPO）的具体规定：1）对本地备份数据，拟定备份资源六要素中备份数据（D）的级别规定。2）对同城备份数据，拟定备份资源六要素中备份数据（D）的级别规定。如果该级别中规定具有同城备份系统，备份人员（P）、备份基本保障条件（F）、备份管理能力（M）的级别规定与同城备份系统的规定相似；否则，还应拟定备份人员（P）、备份基本保障条件（F）、备份管理能力（M）的级别规定。3）对异地备份数据，拟定备份资源六要素中备份数据（D）的级别规定。如果该级别中规定具有异地备份系统，备份人员（P）、备份基本保障条件（F）、备份管理能力（M）的级别规定与异地备份系统的规定相似；否则，还应拟定备份人员（P）、备份基本保障条件（F）、备份管理能力（M）的级别规定。4）对本地热备、本地温备或冷备，拟定故障恢复时间目的RTO1和备份资源六要素中备份系统（S）的级别规定；5）对同城备份系统和异地备份系统，拟定备份资源六要素中备份系统（S）、备份网络（N）、备份人员（P）、备份基本保障条件（F）、备份管理能力（M）的级别规定，以及故障恢复时间目的RTO1、劫难恢复时间目的RTO2和恢复点目的RPO。证券期货业重要信息系统备份能力可采用六级框架进行定义，从高到低分为六个级别，依次是：第六级、第五级、第四级、第三级、第二级、第一级，并根据环节3提出的措施，将第六级细分为A、B、C三个子级别，将第五级细分为A2、A1、B2、B1、C2、C1六个子级别，将第四级和第三级分别细分为A5、A4、A3、A2、A1、B5、B4、B3、B2、B1、C5、C4、C3、C2、C1十五个子级别，将第二级细分为A、B、C、D四个子级别，从而拟定出证券期货行业重要信息系统备份能力级别划分表（见附录A），级别划分表白确了每一级别应达到的具体规定。行业监管部门可直接引用附录A的级别划分表，或参照上述流程与措施另行拟定重要信息系统的备份能力级别划分表，并结合附录B提出对行业机构重要信息系统备份能力的具体规定。行业机构也可参照上述流程，拟定本机构的备份能力级别划分表及重要信息系统应具有的备份能力级别。附录A （资料性附录）证券期货业信息系统备份能力级别划分表表A.1 证券期货业信息系统备份能力级别划分表（示例）等 级子级别备份数据备份系统本地同城异地本地热备系统本地温备或冷备系统同城备份系统异地备份系统第六级AD5D5D4 RTO1=1分钟S5RTO1=2分钟S5RTO1=5分钟RTO2=15分钟RPO=0S5N5P5F5M5RTO1=15分钟RTO2=4小时RPO=1分钟S5N5P5F5M5B-RTO1=1分钟S5RTO1=2分钟S5RTO1=5分钟RTO2=15分钟S5N5P5F5M5RTO1=15分钟RTO2=4小时S5N5P5F5M5CD4D4D4RTO1=5分钟S5RTO1=10分钟S5RTO1=15分钟RTO2=30分钟RPO=0S5N5P5F5M5RTO1=30分钟RTO2=4小时RPO=0S5N5P5F5M5第五级A2D5D5 D3 RTO1=3分钟S5RTO1=15分钟S5RTO1=15分钟RTO2=30分钟RPO=0S5N5P5F5M5RTO1=30分钟RTO2=8小时RPO=5分钟S5N5P4F4M4A1D4D4 D3 RTO1=1分钟S5RTO1=15分钟S5RTO1=20分钟RTO2=40分钟RPO=1分钟S5N5P5F5M5RTO1=30分钟RTO2=8小时RPO=5分钟S5N5P4F4M4B2-RTO1=3分钟S5RTO1=15分钟S5RTO1=15分钟RTO2=30分钟S5N5P4F5M5RTO1=30分钟RTO2=8小时S5N5P4F4M4B1-RTO1=3分钟S5RTO1=30分钟S5RTO1=30分钟RTO2=40分钟S5N5P4F4M4RTO1=40分钟RTO2=8小时S5N5P4F4M4C2D4D4 D3 RTO1=5分钟S5RTO1=30分钟 S5RTO1=30分钟RTO2=1小时RPO=0S5N5P5F5M5RTO1=1小时RTO2=8小时RPO=0S5N5P4F4M4C1D3D3 D3RTO1=5分钟S5RTO1=30分钟S5RTO1=40分钟RTO2=90分钟RPO=0S5N5P5F4M5RTO1=1小时RTO2=8小时RPO=0S5N5P4F4M4第四级A5D3D3D3 RTO1=5分钟S5RTO1=15分钟S4RTO1=15分钟RTO2=35分钟RPO=1分钟S4N4P4F4M4RTO1=30分钟RTO2=12小时RPO=5分钟S4N4P3F3M4A4D3D3 D3 RTO1=5分钟S5RTO1=15分钟S4RTO1=15分钟RTO2=35分钟RPO=2分钟S4N4P4F4M4RTO1=1小时RTO2=12小时RPO=10分钟S3N3P3F3M3A3D2D2P1F1M1 D3RTO1=5分钟S5RTO1=15分钟S4-RTO1=15分钟RTO2=35分钟RPO=1分钟S4N4P4F4M4A2D2D2 P1F1M1 D3 RTO1=5分钟S5RTO1=15分钟S4-RTO1=15分钟RTO2=35分钟RPO=2分钟S4N4P4F4M4A1D3D3 D2 P1F1M1 RTO1=5分钟S5RTO1=15分钟S4RTO1=15分钟RTO2=35分钟RPO=1分钟S4N4P4F4M4-B5-RTO1=5分钟S5RTO1=15分钟S4RTO1=15分钟RTO2=30分钟S4N4P4F4M4RTO1=30分钟RTO2=12小时S4N4P3F3M4B4-RTO1=5分钟S5RTO1=15分钟S4RTO1=15分钟RTO2=30分钟S4N4P4F4M4RTO1=30分钟RTO2=12小时S3N3P3F3M3B3-RTO1=5分钟S5RTO1=15分钟S4-RTO1=15分钟RTO2=30分钟S4N4P4F4M4B2-RTO1=5分钟S5RTO1=15分钟S4-RTO1=15分钟RTO2=30分钟S4N4P4F4M4B1-RTO1=5分钟S5RTO1=15分钟S4RTO1=15分钟RTO2=30分钟S4N4P4F4M4-C5D3D3 D3 -RTO1=30分钟S4RTO1=35分钟RTO2=1小时RPO=0S4N4P4F4M4RTO1=45分钟RTO2=12小时RPO=0S4N4P3F3M4C4D3D3D3 -RTO1=40分钟S4RTO1=45分钟RTO2=90分钟RPO=0S4N4P4F4M4RTO1=1小时RTO2=12小时RPO=15分钟S3N3P3F3M3C3D2D2 P1F1M1 D3 -RTO1=30分钟S4-RTO1=35分钟RTO2=1小时RPO=0S4N4P4F4M4C2D2D2 P1F1M1 D3 -RTO1=40分钟S4-RTO1=45分钟RTO2=90分钟RPO=0S4N4P4F4M4C1D3D3 D2 P1F1M1 -RTO1=30分钟S4RTO1=35分钟RTO2=1小时RPO=0S4N4P4F4M4-第三级A5D3D3 D3 RTO1=5分钟S5RTO1=20分钟S4RTO1=20分钟RTO2=40分钟RPO=3分钟S4N4P3F3M3RTO1=30分钟RTO2=12小时RPO=10分钟S3N3P2F3M2A4D3D3 D3 RTO1=5分钟S5RTO1=20分钟S4RTO1=25分钟RTO2=2小时RPO=5分钟S4N4P3F3M3RTO1=40分钟RTO2=12小时RPO=10分钟S3N3P2F2M2A3D2D2 P1F1M1 D3RTO1=5分钟S5RTO1=20分钟S4-RTO1=20分钟RTO2=40分钟RPO=3分钟S4N4P3F3M3A2D2D2 P1F1M1 D3 RTO1=5分钟S5RTO1=20分钟S4-RTO1=40分钟RTO2=2小时RPO=5分钟S4N4P3F3M3A1D3D3 D2 P1F1M1 RTO1=5分钟S5RTO1=20分钟S4RTO1=20分钟RTO2=40分钟RPO=3分钟S4N4P3F3M3-B5-RTO1=5分钟S5RTO1=20分钟S4RTO1=20分钟RTO2=40分钟S4N4P3F3M3RTO1=30分钟RTO2=12小时S3N3P2F2M2B4-RTO1=5分钟S5RTO1=20分钟S4RTO1=25分钟RTO2=2小时S4N4P3F3M3RTO1=30分钟RTO2=12小时S3N3P2F2M2B3-RTO1=5分钟S5RTO1=20分钟S4-RTO1=20分钟RTO2=40分钟S4N4P3F3M3B2-RTO1=5分钟S5RTO1=20分钟S4-RTO1=25分钟RTO2=2小时S4N4P3F3M3B1-RTO1=5分钟S5RTO1=20分钟S4RTO1=25分钟RTO2=2小时S4N4P3F3M3-C5D3D3D3 -RTO1=30分钟S4RTO1=30分钟RTO2=1小时RPO=0S4N4P3F3M3RTO1=1小时RTO2=12小时RPO=0S3N3P2F3M2第三级C4D3D3 D3 -RTO1=45分钟S4RTO1=50分钟RTO2=2小时RPO=0S4N4P3F3M3RTO1=1小时RTO2=12小时RPO=10分钟S3N3P2F2M2C3D3D3 D3-RTO1=50分钟S4RTO1=1小时RTO2=2小时RPO=30分钟S4N4P3F3M3RTO1=2小时RTO2=12小时RPO=1小时S3N3P2F2M2C2D2D2 P1F1M1 D3 -RTO1=1小时S4-RTO1=2小时RTO2=12小时RPO=15分钟S4N4P3F3M3C1D3D3 D2 P1F1M1 -RTO1=1小时S4RTO1=1小时RTO2=2小时RPO=30分钟S4N4P3F3M3-第二级AD2D2 D2 -RTO1=1小时S3RTO1=2小时RTO2=6小时S3N3P3F3M3RTO1=4小时RTO2=24小时S2N2P2F2M2B-RTO1=1小时S3-RTO1=4小时RTO2=24小时S2N2P2F2M2CD2 D2 P1F1M1 D2 -RTO1=2小时S3-RTO1=8小时RTO2=24小时S2N2P2F2M2D-RTO1=2小时S2RTO1=4小时RTO2=36小时,S2N2P1F1M1-第一级/D2D2 P1F1M1 D1 P1F1M1 -附录B （资料性附录）证券期货业重要信息系统备份能力最低规定表B.1 证券期货业重要信息系统备份能力最低规定（模板）机构类型重要信息系统名称等 级子级别备注证券交易所核心交易系统第五级A2合同交易平台第四级A5实时监察系统第三级A3业务管理系统第三级A3门户网站系统第三级C3期货交易所核心交易系统第五级A1结算交割系统第五级C1监察系统第三级A3互联网服务系统第四级C5门户网站系统第三级C3中国证券登记结算公司开放式基金登记结算系统第五级C2上海分公司的证券登记结算系统第五级C2深圳分公司的证券登记结算系统第五级C2上海分公司的数据通信系统第五级B1上海分公司的查询记录系统第三级C4深圳分公司的业务记录系统第三级C4数据仓库系统第三级C2门户网站系统第三级C3证券交易所通信公司证券交易通信系统第五级B2证券期货交易所下属信息公司信息披露网站系统第三级C3中国证券投资者保护基金公司投资者保护基金网站系统第三级C3中国期货保证金监控中心公司期货市场统一开户系统第四级A5期货保证金监控系统第三级C3期货投资者查询服务系统第三级C3证券公司集中交易系统第四级A5/A3融资融券系统第四级A5/A3网上交易系统第四级B5/B3电话委托系统第四级B4/B2手机交易系统第四级B4/B2法人清算系统第四级C5/C3门户网站系统第二级C基金管理公司开放式基金注册登记系统第三级C4投资管理系统第三级C4直销系统第三级A4/A2网上交易系统第三级B4/B2基金估值核算系统第三级C4门户网站系统第二级C期货公司核心交易系统第三级A5/A3网上交易系统第三级B5/B3门户网站系统第一级-注：1、为便于人们拟定附录A信息系统备份能力的级别划分与否合理，每一级别的具体规定与否恰当，表B.1提供了证券期货行业重要信息系统备份能力的初步定级意见。该表的内容在原则发布时并不发布，将来会作为规范性文献的附录。 2、表格中子级别涉及两个级别的，例如：A5/A3，前者合用于“两地三中心”的建设模式，后者合用于“双主中心”或“多主中心”互为备份的建设模式。附录C （规范性附录）服务外包提供商及其数据中心基本规定行业机构应与外包服务提供商签订服务水平合同、保密合同，明确服务外包提供商的职责和应承当的责任，并定期评审合同的合用性，定期验证服务外包提供商的服务水平和能力。服务外包提供商应符合国家和行业的有关服务资质规定，应至少符合如下规定，国家另有规定的应从其规定：（一）在中华人民共和国境内注册的法人机构。（二）并具有三年以上劫难备份外包服务经验，服务的劫难备份外包客户不少于三家。（三）具有完整的服务质量保证体系（见ISO/IEC 0.1-）和信息安全管理体系（见ISO/IEC 27001-），通过有关权威认证。（四）数据中心机房独立运营管理，且年度可用性（见GB/T 5271.8）至少达到99.99%。服务外包提供商的数据中心应满足规定：（一）在中华人民共和国境内。（二）具有相应的基本保障条件、通信线路和网络设备，并满足所托管重要信息系统备份能力级别的有关规定。（三）保证行业机构托管的信息解决设备与其她托管顾客设备的安全隔离。（四）具有保证数据中心的正常运营的人员：a）有724小时专职计算机机房管理人员；b）有724小时专职网络技术支持人员；c）有724小时专职水电空调维护工程师。附录D （资料性附录）劫难恢复预案框架D1 目的和范畴定义劫难恢复预案中的有关术语和措施论，并阐明劫难恢复的目的，如故障恢复时间目的（RTO1）、劫难恢复时间目的（RTO2）和恢复点目的（RPO）。阐明预案的作用范畴，解决哪些问题，不解决哪些问题。D2 组织和职责描述劫难恢复组织的构成、各个岗位的职责和人员名单。劫难恢复组织应涉及应急决策与响应组、劫难恢复组等。D3 联系与通讯列出劫难恢复有关人员和组织的联系表。涉及劫难恢复团队、运营商、厂商、主管部门、媒体、员工家属等。联系方式涉及固定电话、移动电话、对讲机、电子邮件和住址等。D4 应急响应流程 1）事件报告流程明确事件类型、级别、及相应报告途径，在发现紧急事件时，按预定流程与规定进行报告。人员疏散针对某些劫难，例如火灾、烟毁等，应建立人员疏散筹划；明确人员集合地点和替代的集合地点，告知人员撤离的措施，撤离的组织和环节，不肯撤离人员的处置等。2）预警流程建立与劫难备份中心的预警流程，在必要状况下告知劫难备份中心做好信息系统切换准备。如果紧急事件波及外部服务供应商，根据服务供应商的服务合同进行联系，规定其参与前期的损失评估、应急等方面工作。3）损害评估 在紧急事件发生后，应由应急响应组的损害评估人员，拟定事态的严重限度。由劫难恢复负责人召集相应的专业人员对紧急事件进行谨慎评估，确认紧急事件影响范畴、限度，初步诊断紧急事件因素，判断恢复业务功能所需时间，以及拟定下一步将要采用的行动。一旦系统的影响被拟定，将最新信息按照预定的告示流程告知给相应的团队。4）劫难宣布 预先明确劫难恢复预案启动的条件。当损害评估的成果达到一项或多项启动条件时，组织将正式发出劫难宣布，宣布启动劫难恢复预案，并根据宣布流程告知或上报各有关部门，涉及外部业务关联机构、监管部门，必要时通过媒体向社会公示，与此同步，注意做好客户解释与安抚工作。D5 恢复及重续运营流程 1）恢复按照业务影响分析中拟定的优先顺序，在劫难备份中心恢复支持核心业务功能的数据、数据解决系统和网络系统。描述时间、地点、人员、设备和每一步的具体操作环节，同步还涉及特定状况发生时各团队之间进行协调的指令。 2）重续运营劫难备份中心的系统替代主系统，支持核心业务功能。这一阶段涉及主系统运营管理所波及的重要工作，涉及重续运营的所有操作流程和规章制度。D6 灾后重建和回切最后阶段是主中心的重建工作，中断劫难备份系统的运营，回切到主系统。回切重要内容涉及：1)重建系统的测试及状