灾难恢复外包服务商应至少符合以下要求,国家另有规定的应从其规定:
(一)在中华人民共和国境内注册的法人机构;
(二)具备三年以上灾难恢复外包服务经验,服务的灾难恢复外包客户不少于三家;
(三)具备完整的服务质量保证体系和信息安全管理体系,通过相关权威认证;
(四)基础设施应达到本指引的要求,灾难恢复能力等级应在四级以上;
(五)中国保监会规定的其他要求。
第二十七条 采用共建模式的灾难恢复建设应至少满足各参与单位的最低灾难恢复能力等级要求,并明确权责,签订相关的合同或协议。
第七章 灾难恢复预案的管理
第二十八条 保险机构应制订灾难恢复预案,预案应包含:灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确,适合在紧急情况下使用。
保险机构应加强灾难恢复预案与其它应急预案体系的有机结合。
第二十九条 保险机构所制定的灾难恢复预案,应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练,及时总结评估,完善灾难恢复预案,通过演练使得相关人员熟练灾难恢复操作及流程。
灾难恢复预案的演练包括但不限于桌面演练、模拟演练、实战演练、部分演练和全面演练。保险机构应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次,演练类型可以是模拟演练、实战演练、部分演练和全面演练。
演练工作文档应包含演练计划、现场记录和结论评估,演练工作文档应存档保管。
第三十条 保险机构应安排专人负责灾难恢复预案的日常维护管理,预案可以以多种形式的介质拷贝保存在不同的安全地点,并确保在生产中心以外的安全地点存放灾难恢复预案。灾难恢复预案的调用需进行严格授权。
灾难恢复预案涉及的内容发生重大变更后,应立即更新灾难恢复预案;演练后应根据演练评估结论,立即更新灾难恢复预案;每年应至少组织一次灾难恢复预案的审查和批准工作。
第三十一条 灾难恢复预案的教育和培训应贯穿灾难恢复规划和实施的全过程。保险机构应定期组织预案培训,并保存培训文档。
