JR/T 0044-2008
基本信息
标准号: JR/T 0044-2008
中文名称:银行业信息系统灾难恢复管理规范
标准类别:金融行业标准(JR)
标准状态:现行
出版语种:简体中文
下载格式:.rar.pdf
下载大小:6431269
标准分类号
关联标准
出版信息
标准价格:0.0 元
相关单位信息
标准简介
JR/T 0044-2008 银行业信息系统灾难恢复管理规范 JR/T0044-2008 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
备案号:
中华人民共和国金融行业标准
JR/T00442008
银行业信息系统灾难恢复管理规范Management specification of information system disaster recovery for banks2008-02-04发布
中国人民银行发布
2008-02-04实施
2规范性引用文件
3术语和定义.
4银行业信息系统灾难恢复综述
4.1灾难恢复工作内容.
4.2灾难恢复的周期性工作
4.3机构间合作..
5组织机构设立和职责,
5.1组织机构设立
5.2组织机构的组成和职责
6灾难恢复需求分析.
6.1风险分析.
6.2业务影响分析.
6.3确定灾难恢复需求,
7灾难恢复策略制定.
7.1成本风险分析和策略的确定
7.2灾难恢复能力等级,
7.3灾难备份中心的布局
7.4资源、服务的获取和保障
8灾难备份中心的建设
8.1基础设施建设.
8.2灾难备份系统建设.
8.3项目监理.
9灾难备份中心的运行维护管理
9.1管理制度建设.
9.2运行维护工作内容
9.3运行维护的资源保障
10灾难恢复预案的制订、演练与管理10.1灾难恢复预案的制订,
10.2灾难恢复预案的演练.
10.3灾难恢复预案的管理.
11应急响应和灾难恢复
11.1应急响应
11.2灾难恢复
11.3重建与回退
12监督管理
12.1审计
JR/T0044—2008
JR/T00442008
12.2备案..
(资料性附录)
附录A
附录B
(资料性附录)
应急响应和灾难恢复工作要点
RTO/RPO与灾难恢复能力等级的关系13
本标准是对银行业信息系统灾难恢复管理要求的描述。本标准由中国人民银行提出,由全国金融标准化技术委员会归口管理。本标准由中国人民银行批准。
本标准负责起草单位:中国人民银行。本标准参加起草单位:万国数据服务(深圳)有限公司。JR/T0044—2008
本标准主要起草人:文四立、李晓枫、杨、郭全明、曹旭辉、李健、袁慧萍、汪琪、于健、何政、刘东红、高勇、陈天晴、康潭云、王铮、张艳、竺毅强、周恒、王雄、刘鹏鹏。JR/T00442008
为规范和引导银行业信息系统灾难恢复工作,有效防范银行业信息系统风险,保护银行业客户的合法权益,特制定本规范。
1范围
银行业信息系统灾难恢复管理规范本规范规定了银行业信息系统灾难恢复应遵循的管理要求。JR/T0044—2008
本规范适用于中国人民银行,以及在中华人民共和国境内设立的银行业金融机构(包括外资银行,以下简称“单位”)。
规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容)或修订版均不适用于本规范。凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T20988-2007信息安全技术信息系统灾难恢复规范3术语和定义
信息系统informationsystem
由计算机系统、网络系统软硬件及其相关的设备、设施和应用软件等构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。3.2
灾难disaster
由于人为或自然的原因,造成信息系统严重故障、瘫痪或其数据严重受损,使信息系统支持的业务功能停顿或服务水平达到不可接受的程度,并持续特定时间的突发性事件。3.3wwW.bzxz.Net
灾难恢复
disasterrecovery
为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。3.4
disasterrecoveryplanning
灾难恢复规划
为了规避灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。
区域性灾难regionaldisaster
造成所在地区或有紧密联系的邻近地区的通信、电力、交通及其它关键基础设施受到严重破坏,或大规模人口疏散的事件,导致无法维持信息系统正常运行。例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障等。3.6
风险分析risk analysis
JR/T00442008
确定影响信息系统正常运行的风险,评估对单位业务运营至关重要的功能,定义降低潜在危险控制手段的流程。风险分析经常会涉及到对特殊事件发生可能性的评估。3.7
业务影响分析businessimpactanalysisBIA
分析业务功能及其相关信息系统资源,评估特定灾难对各种业务功能的影响。3.8
关键业务功能criticalbusinessfunctions如果中断一定时间,将显著影响单位运作的服务或职能。3.9
生产系统productionsystem
正常情况下支持单位生产运行的信息系统。包括主数据、主数据处理系统和主网络。3.10
生产中心productioncenter
生产系统所在的数据中心。
灾难备份中心backupcenterfordisasterrecovery灾难发生后,接替生产中心进行数据处理和支持关键业务功能运作的场所,包括备用数据中心、备用工作环境、备用生活设施等。形成灾难恢复能力还需配备相关业务、技术等人员,并建立相应的运作机制。
灾难备份backupfordisasterrecovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、业务和技术等相关人员进行备份的措施。
灾难备份系统backupsystemfordisasterrecovery用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用网络系统等组成的信息系统。3.14
灾难恢复预案disasterrecoveryplan定义信息系统灾难恢复所需组织、流程、资源等预先制定的行动方案(以下简称“预案”)。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。3.15
同城备份regionalbackup
生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,一般距离在数十公里以内,可实现同步数据复制。
异地备份non-regionalbackup
生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,一般距离在数百公里以上。
恢复时间目标recoverytimeobjectiveRTO
灾难发生后,信息系统从停顿到必须恢复的时间要求。3.18
恢复点目标recoverypointobjectiveRPO
灾难发生后,数据必须恢复到的时间点要求。3.19
灾难恢复外包outsourcingfordiasaterrecoveryJR/T00442008
选择外部资源提供灾难恢复服务,例如:承担或协助制定信息系统灾难恢复规划,提供或协助建设灾难备份设施,负责运行维护灾难备份中心,提供或协助应急响应技术支持工作等。3.20
演练exercise
为提高灾难恢复能力,基于灾难恢复预案进行的演习,形式包括桌面演练、模拟演练、实战演练3.21
应急响应emergencyresponse
为应对突发事件、最大化减少突发事件对业务运作的影响而采取的紧急行动。3.22
重建restoration
在灾难对单位原生产中心造成损害后,为了使业务恢复到正常运行状态而修复原生产中心或在其他地址重新建造生产中心的过程。3.23
回退return
生产中心重建完成并达到各项规范所要求的运营条件后,单位的信息系统由灾难备份中心迁移到已修复的或新建的生产中心并恢复运行的过程。3.24
强制决策点mandatorydecisionpoint为了实现灾难恢复时间目标,在灾难事件发生后必须决定是否启动灾难恢复预案的时间点。4银行业信息系统灾难恢复综述
4.1灾难恢复工作内容
灾难恢复工作主要包括以下内容:组织机构设立和职责;
灾难恢复需求分析;
灾难恢复策略制定;
灾难备份系统实施;
灾难备份中心运行维护;
灾难恢复预案制订、演练和管理;应急响应和灾难恢复。
4.2灾难恢复的周期性工作
4.2.1需求分析
灾难恢复的需求分析主要包含风险分析和业务影响分析。灾难恢复的需求应定期进行再分析,再分析周期最长为三年。当生产中心环境、生产系统或业务流程发生重大变更时,单位应立即启动灾难恢复需求再分析工作。4.2.2策略制定
单位应统筹规划信息系统灾难恢复工作,制定统一的灾难恢复策略。三年及以上的灾难恢复策略规划应满足本规范7.2.2描述的最低灾难恢复能力等级要求。三年以下的临时性灾难恢复策略可降低一个灾难恢复能力等级,或部分系统降低一个灾难恢复能力等级。3
JR/T00442008
单位应定期根据最新的灾难恢复需求分析重审和修订灾难恢复策略。4.2.3技术方案管理
单位应定期根据最新的灾难恢复策略复审和调整灾难恢复技术方案。4.2.4预案管理
单位应定期根据最新的灾难恢复策略复审和修订灾难恢复预案。每年应至少组织一次灾难恢复预案的审查和批准工作。
4.3机构间合作
单位应加强与其业务密切相关的机构间的协调联系,相互合作、分享经验,共同评估面临的风险,协同制定灾难恢复策略,提高银行业整体风险防范和灾难恢复能力。5
组织机构设立和职责
5.1组织机构设立
单位应结合具体情况设立灾难恢复组织机构,明确工作职责。单位的灾难恢复组织机构应在灾难恢复预案中准确说明。
灾难恢复组织机构应包含灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职。关键岗位的人员应有备份。可根据信息系统和分支机构情况设立不同级别的灾难恢复组织机构,如设立总行和分支机构的多级灾难恢复组织机构。
5.2组织机构的组成和职责
灾难恢复组织机构应分为决策层、管理层和执行层。a)
决策层主要由单位高层管理者组成,决策信息系统灾难恢复的重大事宜,主要职责如下:确定灾难恢复战略:
审核批准灾难恢复策略;
审核批准灾难恢复经费预算;
审核批准灾难备份设施建设;
审核批准灾难恢复预案;
批准启动灾难恢复预案:
决策应急响应与恢复重大事宜;审核批准对外情况通报和信息发布;批准生产中心的重建与回退。
管理层主要由单位的业务、技术、后勤等相关部门负责人组成,在决策层领导下开展工作,负b)
责管理和协调信息系统灾难恢复工作,主要职责如下:组织制定灾难恢复策略;
编制灾难恢复经费预算;
组织灾难备份中心建设;
管理灾难备份中心;
组织制定灾难恢复预案;
组织实施灾难恢复预案的演练;协调内外部灾难恢复资源;
指挥和协调应急响应与恢复工作;指挥和协调生产中心的重建与回退工作;负责内部信息通报和沟通;
组织和管理媒体公关工作;
监督、检查和总结灾难恢复工作。4
JR/T0044—2008
执行层主要由单位的业务、技术、后勤等相关部门工作人员和外部机构人员组成,在管理层的c)
领导下,负责灾难恢复的具体实施工作,主要职责如下:提出灾难恢复需求和策略建议;实施灾难备份中心建设;
运行维护灾难备份中心;
提供灾难恢复的专业技术支持;开发、测试、培训、演练和维护灾难恢复预案;实施应急响应和恢复工作;
实施生产中心的重建和回退工作;负责灾难恢复过程的记录、报告和通讯联络;承担灾难抢修、拯救和损害评估;负责资源保障和供应;
负责灾难发生后的外部协作;
分析和总结灾难恢复工作。
6灾难恢复需求分析
6.1风险分析
6.1.1确定风险分析目标
单位应根据长期可持续发展和信息化建设的战略目标,明确风险分析目标,全面识别信息系统灾难风险威胁和脆弱性。
6.1.2确定风险分析范围
单位应根据信息系统的范围和特点,全面识别和分析影响信息系统正常运行的灾难风险要素。单位应根据信息系统支持业务的区域范围,分析信息系统面临的区域性灾难风险。单位应根据业务经营领域,分析信息系统中断造成的金融领域关联性风险。金融领域关联性风险指由于部分金融机构不能履行职责,导致其他机构无法开展特定业务,造成连锁反应,进而影响金融体系稳定的风险。
6.1.3风险分析方法
a)资产识别
资产是具有价值的信息或资源,是单位风险分析所要保护的对象,它以无形、有形的形式存在,主要包括:基础设施、硬件、软件、数据、文档、服务和声誉等。单位应对资产进行分类以区分资产的不同重要程度并确定重要资产的范围,应对资产进行标识以区分资产对业务正常运作的不同影响程度,据此确定资产的等级b)
威胁识别
威胁指对信息资产构成潜在破坏的可能性因素。灾难风险的威胁有多种分类方法,主要包括:自然或人为;
无意或有意;
内部、外部或内外勾结:
在控制能力之内或超出控制能力之外;可先期预警或不可先期预警。
脆弱性识别
脆弱性是可能被威胁利用的信息资产的弱点。脆弱性识别是风险分析中的一个主要环节。脆弱性识别可以从环境、业务、网络、系统、应用等层次进行识别。脆弱性识别的依据可以是国际或国家的安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同弱点其脆弱性严重程度是不同的。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国金融行业标准
JR/T00442008
银行业信息系统灾难恢复管理规范Management specification of information system disaster recovery for banks2008-02-04发布
中国人民银行发布
2008-02-04实施
2规范性引用文件
3术语和定义.
4银行业信息系统灾难恢复综述
4.1灾难恢复工作内容.
4.2灾难恢复的周期性工作
4.3机构间合作..
5组织机构设立和职责,
5.1组织机构设立
5.2组织机构的组成和职责
6灾难恢复需求分析.
6.1风险分析.
6.2业务影响分析.
6.3确定灾难恢复需求,
7灾难恢复策略制定.
7.1成本风险分析和策略的确定
7.2灾难恢复能力等级,
7.3灾难备份中心的布局
7.4资源、服务的获取和保障
8灾难备份中心的建设
8.1基础设施建设.
8.2灾难备份系统建设.
8.3项目监理.
9灾难备份中心的运行维护管理
9.1管理制度建设.
9.2运行维护工作内容
9.3运行维护的资源保障
10灾难恢复预案的制订、演练与管理10.1灾难恢复预案的制订,
10.2灾难恢复预案的演练.
10.3灾难恢复预案的管理.
11应急响应和灾难恢复
11.1应急响应
11.2灾难恢复
11.3重建与回退
12监督管理
12.1审计
JR/T0044—2008
JR/T00442008
12.2备案..
(资料性附录)
附录A
附录B
(资料性附录)
应急响应和灾难恢复工作要点
RTO/RPO与灾难恢复能力等级的关系13
本标准是对银行业信息系统灾难恢复管理要求的描述。本标准由中国人民银行提出,由全国金融标准化技术委员会归口管理。本标准由中国人民银行批准。
本标准负责起草单位:中国人民银行。本标准参加起草单位:万国数据服务(深圳)有限公司。JR/T0044—2008
本标准主要起草人:文四立、李晓枫、杨、郭全明、曹旭辉、李健、袁慧萍、汪琪、于健、何政、刘东红、高勇、陈天晴、康潭云、王铮、张艳、竺毅强、周恒、王雄、刘鹏鹏。JR/T00442008
为规范和引导银行业信息系统灾难恢复工作,有效防范银行业信息系统风险,保护银行业客户的合法权益,特制定本规范。
1范围
银行业信息系统灾难恢复管理规范本规范规定了银行业信息系统灾难恢复应遵循的管理要求。JR/T0044—2008
本规范适用于中国人民银行,以及在中华人民共和国境内设立的银行业金融机构(包括外资银行,以下简称“单位”)。
规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容)或修订版均不适用于本规范。凡是不注日期的引用文件,其最新版本适用于本规范。
GB/T20988-2007信息安全技术信息系统灾难恢复规范3术语和定义
信息系统informationsystem
由计算机系统、网络系统软硬件及其相关的设备、设施和应用软件等构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的人机系统。3.2
灾难disaster
由于人为或自然的原因,造成信息系统严重故障、瘫痪或其数据严重受损,使信息系统支持的业务功能停顿或服务水平达到不可接受的程度,并持续特定时间的突发性事件。3.3wwW.bzxz.Net
灾难恢复
disasterrecovery
为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。3.4
disasterrecoveryplanning
灾难恢复规划
为了规避灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。
区域性灾难regionaldisaster
造成所在地区或有紧密联系的邻近地区的通信、电力、交通及其它关键基础设施受到严重破坏,或大规模人口疏散的事件,导致无法维持信息系统正常运行。例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障等。3.6
风险分析risk analysis
JR/T00442008
确定影响信息系统正常运行的风险,评估对单位业务运营至关重要的功能,定义降低潜在危险控制手段的流程。风险分析经常会涉及到对特殊事件发生可能性的评估。3.7
业务影响分析businessimpactanalysisBIA
分析业务功能及其相关信息系统资源,评估特定灾难对各种业务功能的影响。3.8
关键业务功能criticalbusinessfunctions如果中断一定时间,将显著影响单位运作的服务或职能。3.9
生产系统productionsystem
正常情况下支持单位生产运行的信息系统。包括主数据、主数据处理系统和主网络。3.10
生产中心productioncenter
生产系统所在的数据中心。
灾难备份中心backupcenterfordisasterrecovery灾难发生后,接替生产中心进行数据处理和支持关键业务功能运作的场所,包括备用数据中心、备用工作环境、备用生活设施等。形成灾难恢复能力还需配备相关业务、技术等人员,并建立相应的运作机制。
灾难备份backupfordisasterrecovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、业务和技术等相关人员进行备份的措施。
灾难备份系统backupsystemfordisasterrecovery用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用网络系统等组成的信息系统。3.14
灾难恢复预案disasterrecoveryplan定义信息系统灾难恢复所需组织、流程、资源等预先制定的行动方案(以下简称“预案”)。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。3.15
同城备份regionalbackup
生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,一般距离在数十公里以内,可实现同步数据复制。
异地备份non-regionalbackup
生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,一般距离在数百公里以上。
恢复时间目标recoverytimeobjectiveRTO
灾难发生后,信息系统从停顿到必须恢复的时间要求。3.18
恢复点目标recoverypointobjectiveRPO
灾难发生后,数据必须恢复到的时间点要求。3.19
灾难恢复外包outsourcingfordiasaterrecoveryJR/T00442008
选择外部资源提供灾难恢复服务,例如:承担或协助制定信息系统灾难恢复规划,提供或协助建设灾难备份设施,负责运行维护灾难备份中心,提供或协助应急响应技术支持工作等。3.20
演练exercise
为提高灾难恢复能力,基于灾难恢复预案进行的演习,形式包括桌面演练、模拟演练、实战演练3.21
应急响应emergencyresponse
为应对突发事件、最大化减少突发事件对业务运作的影响而采取的紧急行动。3.22
重建restoration
在灾难对单位原生产中心造成损害后,为了使业务恢复到正常运行状态而修复原生产中心或在其他地址重新建造生产中心的过程。3.23
回退return
生产中心重建完成并达到各项规范所要求的运营条件后,单位的信息系统由灾难备份中心迁移到已修复的或新建的生产中心并恢复运行的过程。3.24
强制决策点mandatorydecisionpoint为了实现灾难恢复时间目标,在灾难事件发生后必须决定是否启动灾难恢复预案的时间点。4银行业信息系统灾难恢复综述
4.1灾难恢复工作内容
灾难恢复工作主要包括以下内容:组织机构设立和职责;
灾难恢复需求分析;
灾难恢复策略制定;
灾难备份系统实施;
灾难备份中心运行维护;
灾难恢复预案制订、演练和管理;应急响应和灾难恢复。
4.2灾难恢复的周期性工作
4.2.1需求分析
灾难恢复的需求分析主要包含风险分析和业务影响分析。灾难恢复的需求应定期进行再分析,再分析周期最长为三年。当生产中心环境、生产系统或业务流程发生重大变更时,单位应立即启动灾难恢复需求再分析工作。4.2.2策略制定
单位应统筹规划信息系统灾难恢复工作,制定统一的灾难恢复策略。三年及以上的灾难恢复策略规划应满足本规范7.2.2描述的最低灾难恢复能力等级要求。三年以下的临时性灾难恢复策略可降低一个灾难恢复能力等级,或部分系统降低一个灾难恢复能力等级。3
JR/T00442008
单位应定期根据最新的灾难恢复需求分析重审和修订灾难恢复策略。4.2.3技术方案管理
单位应定期根据最新的灾难恢复策略复审和调整灾难恢复技术方案。4.2.4预案管理
单位应定期根据最新的灾难恢复策略复审和修订灾难恢复预案。每年应至少组织一次灾难恢复预案的审查和批准工作。
4.3机构间合作
单位应加强与其业务密切相关的机构间的协调联系,相互合作、分享经验,共同评估面临的风险,协同制定灾难恢复策略,提高银行业整体风险防范和灾难恢复能力。5
组织机构设立和职责
5.1组织机构设立
单位应结合具体情况设立灾难恢复组织机构,明确工作职责。单位的灾难恢复组织机构应在灾难恢复预案中准确说明。
灾难恢复组织机构应包含灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职。关键岗位的人员应有备份。可根据信息系统和分支机构情况设立不同级别的灾难恢复组织机构,如设立总行和分支机构的多级灾难恢复组织机构。
5.2组织机构的组成和职责
灾难恢复组织机构应分为决策层、管理层和执行层。a)
决策层主要由单位高层管理者组成,决策信息系统灾难恢复的重大事宜,主要职责如下:确定灾难恢复战略:
审核批准灾难恢复策略;
审核批准灾难恢复经费预算;
审核批准灾难备份设施建设;
审核批准灾难恢复预案;
批准启动灾难恢复预案:
决策应急响应与恢复重大事宜;审核批准对外情况通报和信息发布;批准生产中心的重建与回退。
管理层主要由单位的业务、技术、后勤等相关部门负责人组成,在决策层领导下开展工作,负b)
责管理和协调信息系统灾难恢复工作,主要职责如下:组织制定灾难恢复策略;
编制灾难恢复经费预算;
组织灾难备份中心建设;
管理灾难备份中心;
组织制定灾难恢复预案;
组织实施灾难恢复预案的演练;协调内外部灾难恢复资源;
指挥和协调应急响应与恢复工作;指挥和协调生产中心的重建与回退工作;负责内部信息通报和沟通;
组织和管理媒体公关工作;
监督、检查和总结灾难恢复工作。4
JR/T0044—2008
执行层主要由单位的业务、技术、后勤等相关部门工作人员和外部机构人员组成,在管理层的c)
领导下,负责灾难恢复的具体实施工作,主要职责如下:提出灾难恢复需求和策略建议;实施灾难备份中心建设;
运行维护灾难备份中心;
提供灾难恢复的专业技术支持;开发、测试、培训、演练和维护灾难恢复预案;实施应急响应和恢复工作;
实施生产中心的重建和回退工作;负责灾难恢复过程的记录、报告和通讯联络;承担灾难抢修、拯救和损害评估;负责资源保障和供应;
负责灾难发生后的外部协作;
分析和总结灾难恢复工作。
6灾难恢复需求分析
6.1风险分析
6.1.1确定风险分析目标
单位应根据长期可持续发展和信息化建设的战略目标,明确风险分析目标,全面识别信息系统灾难风险威胁和脆弱性。
6.1.2确定风险分析范围
单位应根据信息系统的范围和特点,全面识别和分析影响信息系统正常运行的灾难风险要素。单位应根据信息系统支持业务的区域范围,分析信息系统面临的区域性灾难风险。单位应根据业务经营领域,分析信息系统中断造成的金融领域关联性风险。金融领域关联性风险指由于部分金融机构不能履行职责,导致其他机构无法开展特定业务,造成连锁反应,进而影响金融体系稳定的风险。
6.1.3风险分析方法
a)资产识别
资产是具有价值的信息或资源,是单位风险分析所要保护的对象,它以无形、有形的形式存在,主要包括:基础设施、硬件、软件、数据、文档、服务和声誉等。单位应对资产进行分类以区分资产的不同重要程度并确定重要资产的范围,应对资产进行标识以区分资产对业务正常运作的不同影响程度,据此确定资产的等级b)
威胁识别
威胁指对信息资产构成潜在破坏的可能性因素。灾难风险的威胁有多种分类方法,主要包括:自然或人为;
无意或有意;
内部、外部或内外勾结:
在控制能力之内或超出控制能力之外;可先期预警或不可先期预警。
脆弱性识别
脆弱性是可能被威胁利用的信息资产的弱点。脆弱性识别是风险分析中的一个主要环节。脆弱性识别可以从环境、业务、网络、系统、应用等层次进行识别。脆弱性识别的依据可以是国际或国家的安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同弱点其脆弱性严重程度是不同的。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。