关于做好重要信息系统灾难备份工作的通知
(信安通[2004]11号)
信息产业部、国家广电总局、各重要信息系统主管部门:
为加强我国信息安全保障工作,2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,以下简称《意见》),其中明确提出要重点保障重要信息系统的安全。当前,银行、电力、民航、铁路、证券、海关、税务、保险等信息系统以及基础信息网络中的网管、计费和互联网域名注册信息系统(以上统称重要信息系统)的安全直接影响到国民经济的正常运行和群众生活,直接关系到社会稳定和国家安全。做好灾难备份工作,是保障重要信息系统安全稳定运行的关键环节。为此,《意见》特别强调各基础信息网络和重要信息系统的建设要充分考虑灾难发生时的抗毁性与灾难恢复能力。为做好重要信息系统的灾难备份工作,特提出以下原则要求。
一、重要信息系统灾难备份工作的主要目标
灾难备份是指利用技术、管理手段以及相关资源,确保已有的关键数据和关键业务在灾难发生后,在确定的时间内可以恢复和继续运营的过程。灾难备份防范的灾难包括地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破坏等无法预料的突发事件。
重要信息系统灾难备份工作的主要目标是:提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失,确保重要信息系统的数据安全和作业持续性,避免引起社会重要服务功能的严重中断,保障社会经济的稳定。
二、做好重要信息系统灾难备份工作的基本原则
重要信息系统灾难备份建设工作要坚持“统筹规划、资源共享、平战结合”的原则,充分调动和发挥各方面的积极性,提高抵御灾难破坏能力和灾难恢复能力。
灾难备份建设要统筹规划、合理布局,突出重点,避免重复建设。要从实际需求出发,组织有关机构和专家针对信息系统的安全威胁、脆弱性、防护措施有效性等进行分析评估,根据信息系统的重要性、面临的风险大小、业务中断所带来的损失等因素,综合平衡安全成本和风险,确定灾难备份建设等级,选择合适的灾难备份方案,严防不顾实际需求,一哄而上。
灾难备份建设要充分利用现有资源,讲求实效,保证重点,提倡资源共享,互为备份。可以采用自建、联合共建和利用社会化服务等模式。鼓励社会力量参与灾难备份设施建设,提倡使用社会化灾难备份服务,走专业化服务道路。采用第三方服务时,务必做好相关“敏感数据”的保密工作。
由于灾难备份资源是为小概率事件准备的,平时处于闲置状态,因此要在确保灾难备份与恢复功能的前提下,按照“平战结合”的原则,充分利用灾难备份设施的各类资源,将日常运营与应急灾难备份需求结合起来统筹安排,发挥更大效益。
三、做好重要信息系统灾难备份工作的若干要求
(一)明确责任,各司其职
重要信息系统灾难备份建设的规划与管理按照“谁主管谁负责,谁运营谁负责”的原则,由各重要信息系统的主管部门及其运行管理机构负责。
重要信息系统的各主管部门要根据国家信息安全保障工作的要求及本行业特点和实际情况,制定行业的灾难备份建设政策和规划,对本行业各单位的灾难备份建设进行指导和管理,确保国家和行业灾难备份政策法规的贯彻落实。
各重要信息系统管理运行机构要明确灾难备份管理和执行部门,负责落实国家和行业主管部门的灾难备份建设政策和要求,确定本单位的灾难备份建设目标和建设模式,制定完善的灾难恢复计划,确保在发生灾难和出现重大事故后能够快速地恢复业务系统的运行。灾难恢复计划应包含以下内容:灾难恢复目标、灾难恢复流程、灾难恢复队伍及联络清单、灾难恢复所需各类文档和手册等。要对本系统的灾难备份系统和灾难恢复计划进行定期演练测试,确保灾难备份系统的及时和有效性。
(二)制定灾难备份技术和管理标准规范
重要信息系统的主管部门要抓紧制定本行业的灾难备份管理和建设指南,对灾难备份涉及的各项工作,如灾难备份中心建设、灾难备份等级标准、灾难备份实施方法、灾难备份方案和灾难恢复计划的制定、灾难恢复机制的建立、灾难备份中心的信息安全保障和运营管理等提出规范性要求。
(三)积极开展灾难备份知识的宣传教育和培训工作
各重要信息系统要加强对有关人员的信息系统灾难备份知识培训。要加强对该项工作的宣传,增强全体人员的灾难应急意识、有备无患意识。
重要信息系统灾难备份是一项关系信息安全的长期任务,是国家信息安全保障体系的重要组成部分,各有关部门和单位必须高度重视,结合实际制定实施计划,落实有关工作经费,把这项工作做实、做好,确保国家重要信息系统的安全运行。
国家网络与信息安全协调小组
办公室(代章)
二〇〇四年九月二十日