保险机构董事会或最高决策层应参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
第十一条 灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。
保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。
保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务。
第十二条 保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责:
(一)灾难恢复需求分析和策略制订;
(二)资源准备和经费审批;
(三)灾难备份中心的选择和建设;
(四)灾难备份中心的日常运行和维护;
(五)灾难恢复预案的制订、维护和演练;
(六)人员的教育和培训;
(七)监督检查和审计。
保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责:
(一)应急响应和预警报告;
(二)事件通报和沟通;
(三)损害评估、抢修拯救和敏感数据保护;
(四)灾难恢复工作的重大决策;
(五)生产中心的恢复、重建和回退;
(六)业务恢复和客户服务;
(七)资源保障和供应;
(八)媒体公关和信息通报;
(九)恢复成效评估和总结。
第十三条 从事灾难恢复的专业工作人员应符合以下要求:
(一)具备良好的职业道德和风险意识,掌握履行灾难恢复相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第四章 需求分析和策略制定
第十四条 灾难恢复需求分析包括风险分析和业务影响分析。保险机构的风险分析和业务影响分析应符合以下要求:
(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。根据风险发生的概率和可能造成的损失,评估风险可接受的程度,针对不可接受的风险,制定相应的风险防范措施;
