JR/T01682020

按照GB/T20988有关内容，从数据备份、数据处理、网络能力和运维能力4个要素给出云计算平 台容灾能力等级相关技术要求。金融领域云计算平台至少应达到容灾能力3级要求，相应等级的具体技 术要求见表3至表6。 金融云应符合本文件中第6级容灾能力的要求，灾备数据中心的建设标准应与生产数据中心一致

JR/T 01682020

JR/T01682020

新闻出版标准6.1灾难恢复预案的制定

灾难恢复预案应包括应急和系统灾难恢复两部分： a）应急部分包括但不限于以下内容： 灾难场景和范围定义： 一应急的管理机构和决策机制； 一应急响应的流程、工具和工作制度。 b）系统灾难恢复部分包括但不限于以下内容： 一灾难恢复的范围和目标； 一灾难恢复的总体规程； 各系统恢复的切换步骤、操作手册和业务功能恢复验证测试方法

6.2灾难恢复演练和预案管理

在云计算环境下，灾难恢复演练主要是为了验证灾难恢复预案的完整性和有效性，提高预案的执行 能力，确保云服务各参与方在灾难发生时的有效协同，以及业务系统的快速恢复，具体的灾难恢复演织 和预案管理要求应符合GB/T20988的要求： a）云服务提供者、云服务合作者应根据云服务使用者的要求，及时提供技术和管理支持，配合执 行相关演练。 b 云服务使用者应会同云服务提供者制定行之有效的灾难恢复预案，明确金融云服务相关的计 算、存储、网络等资源的备份要求和恢复措施，双方每年应至少协同开展2次灾难恢复演练 并不断完善预案

在灾难发生后，云服务各参与方应依据灾难实际影响，按照预先制定的灾难恢复预案密切配合、有 序开展灾难恢复工作，包括但不限于： 应确保灾难影响、应对措施、恢复进度等信息在各参与方之间及时、有效、准确的沟通和传递 重大或特别重大的事件应及时向相关主管部门和监管机构报告。 b）灾难恢复完成后应及时总结经验教训型钢标准，并及时告知受影响的用户。 应定期进行灾难恢复的培训并保存培训记录。

JR/T 01682020

云计算环境的灾难恢复应具备的监控能力，包括但不限于： a）应实时监控生产中心和灾备中心的业务应用可用性和性能状态。 b）应能够有效监控灾备切换过程。 c）应能够监控灾备同步状态。 d）应具备告警功能。

云计算平台应对灾难恢复系统的日常生产维护工作进行监控，包括但不限于： a）应监控云计算平台资源的运行状态并主动进行优化。 b）应执行云计算平台资源的日常操作、维护工作和升级工作。 C）应解决云计算平台资源的基础架构的故障和问题。

审计包括内部审计和外部审计，内部审计由云服务提供者或云服务使用者的内部人员或部门承担， 部审计由具有国家相应监管部门认定资质的中介机构组织实施。在金融领域云计算环境下，应符合 /T20988所要求的相关内容，还应重点加强对如下问题的审计： a 灾难恢复过程中云服务提供者、云服务使用者、云服务合作者之间协同是否顺畅，是否能满足 不同灾难恢复需求。 b) 是否具备系统全流程和全环境的监控预警体系。 是否在机制和技术架构上存在数据同步的缺陷。 组织和流程上是否充分保证了云服务使用者的知情权和参与权。 e）灾难恢复流程是否存在数据泄露的风险。 审计要求如下： a 云服务提供者应至少每年提供1次更新的预案、演练记录和报告给相关金融机构进行备案或审 计。 6） 云服务提供者应至少每年组织2次全面的容灾审计，可由内部实施或聘请独立的外部审计机构 实施，并将审计意见、改进计划和改进结果在审计报告完成后及时交付给云服务使用者，审计 报告应妥善留存，留存时间不得少于10年。 C 云服务使用者应至少每3年组织1次对云服务提供者的审计，审计可以由云服务使用者组织也 可以由云服务使用者委托第三方独立审计机构组织。 d 云服务提供者在审计报告出具后应及时对审计报告提出的改进意见给出书面答复，答复的内容 全少应包括改进计划、改进措施和历次改进计划的执行情况

应通知各云服务参与方的情况，包括但不限于： a）需要共同协作的演练。 b)发生重大事件或面临重大风险。

c）需要相关方共同调整方法、流程和协作渠道。 应报告监管机构的情况公园标准规范范本，包括但不限于： a）可能影响多个金融机构的重大风险。 b）涉及多个金融机构的重大事故处置情况。 c）灾难性事件的处置情况报告。

应报告监管机构的情况，包括但不限于： ）可能影响多个金融机构的重大风险， 涉及多个金融机构的重大事故处置情况。 c）灾难性事件的处置情况报告。

JR/T01682020