1、国际/国家灾备标准应对关系
|
国际标准SHARE78 |
国家标准定义的灾难恢复六等级 《信息系统灾难恢复规范》—GB/T 20988-2007 |
RTO |
RPO |
对应灾备方案 |
|
Tier7-接近或无数据丢失 |
第六级 数据0丢失和远程集群支持:数据0丢失,自动系统故障切换,远程磁盘镜像,备用网络active |
数分钟 |
0 |
双活容灾 |
|
Tier6-交易的完整性 |
第五级 实时数据传输及完整设备支持:数据丢失趋于0,备用数据系统就绪,远程数据复制,备用网络就绪 |
数分钟至2天 |
0至30分钟 |
主备容灾 |
|
Tier5-使用快照技术拷贝数据 |
第四级 电子传输及完整设备支持:少量数据丢失,备用数据系统就绪,数据定时传送,备用网络就绪 |
数小时至2天 |
数小时至1天 |
|
|
Tier4-电子链接 |
第三级 电子传输和设备支持:关键数据定时传送,备用网络部分就绪 |
12小时以上 |
数小时至1天 |
本地/异地备份 |
|
Tier3-有数据备份有备用系统 |
第二级 备用场地支持:有备份场地,能调配所有资源 |
24小时以后 |
1天至7天 |
|
|
Tier2-有异地备份无备用系统 |
第一级 基本支持:基本支持备份介质并场外存放 |
2天以上 |
1天至7天 |
|
|
Tier1-有本地备份无异地备用 |
2、灾备国家标准-网络安全法
2017 年 6 月 1 日,《中华人民共和国网络安全法》正式实施,这是中国建立严格的网络治理指导方针的一个重要里程碑。
网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
网络安全法从保障网络产品和服务安全,保障网络运行安全,保障网络数据安全,保障网络信息安全等方面进行了具体的制度设计,旨在监管网络安全、保护个人隐私和敏感信息,以及维护国家网络空间主权 / 安全。该法第二十一条、第二十五条、三十四条明确规定关键信息基础设施的运营者应当履行对重要系统和数据库进行容灾备份的保护义务,并在其他条文中规定了相应的处罚细则。例如,第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险
3、灾备国家标准-数据安全法
2020 年 5 月 25 日,十三届人大三次会议举行第二次全体会议,常务委员会的工作报告提到:今年将加强重要领域立法,且在下一步主要工作安排中指出,围绕国家安全和社会治理,将制定“数据安全法”,即《中华人民共和国数据安全法》。
《中华人民共和国数据安全法》的制定,将确立数据主权、明确数据安全法的管辖范围,对数据经营进行牌照化管理,建立数据采集、加工和利用业务的准入制度,完善数据安全监管体系和数据安全监测预警、应急处置机制,建立责任主体问责制度等一系列建议
4、灾备行业标准-金融
行业要求:
- 《银行保险机构应对突发事件金融服务管理办法》中国银行保险监督管理委员会令(2020年第10号)
- 《保险业云灾备建设基本要求》 T/IAC 7-2017
- 《保险业信息系统灾难恢复管理指引》 【保监发〔2008〕20号】
- 《保险信息系统上线运行基本要求》 JR/T 0179—2019
参数要求:
|
业务系统 |
灾备等级建议 |
技术恢复时间目标 |
恢复点目标 |
|
核心系统、公司业务、个人业务 |
6级 |
RTO≈0 |
RPO≈0 |
|
网点渠道、电子渠道、自助渠道 |
5级 |
RTO≤2小时 |
RPO≤15分钟 |
|
外部监管、安全管理、客户关系 |
4级 |
RTO≤4小时 |
RPO≤60分钟 |
|
财务绩效、数据服务、增值应用 |
3级 |
RTO≤4小时 |
RPO≤120分钟 |
|
业务操作流程、企业资源、内容管理 |
2级 |
RTO≤48小时 |
RPO≤24小时 |
|
操作风险管理、员工积分 |
1级 |
RTO>48小时 |
RPO>24小时 |
