新浪財經訊 今日晚間，中國證券業協會發布了《證券公司集中交易安全管理技術指引》。指引提出，對實行集中交易的證券公司所有客戶的客戶資料數據及交易數據全部保存在集中交易系統中，分支機構可不再保留客戶資料數據及實時的交易數據。

    以下為證券業協會的有關通知及指引全文。

    關于發布《證券公司集中交易安全管理技術指引》的通知

　　各證券公司會員：

　　為進一步指導證券公司集中交易系統的建設和管理，促進技術與管理的規范化與標準化建設，我會組織業內起草了《證券公司集中交易安全管理技術指引》。經中國證監會核準，現予以發布，請參照執行。

　　附件：《證券公司集中交易安全管理技術指引》

　　中國證券業協會

　　二〇〇六年八月一日

　　證券公司集中交易安全管理技術指引

　　第一章 總則

　　第一條 為進一步指導證券公司集中交易系統的建設和管理，提高證券公司內控水平，有效控制風險，促進規范化與標準化建設，依據《中華人民共和國證券法》、《證券公司管理辦法》、《證券公司內部控制指引》、《證券公司信息技術管理規范》(JR/T 0023—2004)和《證券期貨業信息安全保障管理暫行辦法》制定本技術指引。　　

　　第二條 本技術指引所指證券公司集中交易是指以集中的網絡與信息系統為技術支撐的、對證券公司各類需要通過委托、清算、交收才能完成的相關業務實行由證券公司總部直接管理的運營模式。

　　第三條 集中交易系統應具備如下技術特征：

　　1. 客戶數據集中化：證券公司所有客戶的客戶資料數據及交易數據全部保存在集中交易系統中，分支機構可不再保留客戶資料數據及實時的交易數據；

　　2. 委托處理集中化：客戶委托過程中，合法性校驗(身份認證、資金證券校驗等)、資金證券變動、訂單申報、成交回報處理均由集中交易系統集中完成； 根據業務量的需要，可采用多節點分布計算；根據業務屬性的不同，業務處理可以由不同的主機完成；

　　3. 清算、交收處理集中化：由證券公司集中統一實施盤后清算及交收的處理；

　　4. 權限管理集中化：集中交易系統中的所有權限(如經紀業務權限、清算權限、系統管理權限、日常操作權限和系統維護權限等)均實行集中管理、統一授權；

　　5. 運行管理集中化：對集中交易系統的運維工作實行集中統一管理，并配置相應的集中監控處理工具；

　　第四條 集中交易是一個完整的集中管理體系，應包含集中的授權管理、客戶管理、業務管理、運營管理、技術管理以及風險管理等。

　　第五條 對集中交易安全管理的評價，將納入證券公司內控能力的評估，并作為證券公司相關業務資格評定的前置條件。

　　第二章 管理組織體系

　　第六條 證券公司應建立健全對集中交易統一管理的組織體系和配套的業務體系，業務與技術有機結合，相互支持。

　　第七條 證券公司應設立總工程師崗位，總工程師負責集中交易系統建設項目的規劃、論證、實施以及其它與集中交易相關的業務需求設計、系統開發、運營管理、技術審計、安全保障等工作的管理與組織協調。

　　第八條 證券公司應實現技術開發與運營管理之間的相互隔離。

　　第九條 技術開發部門負責集中交易技術系統的開發和維護，其職責包括集中交易系統的設計、開發、集成并根據業務需求進行系統變更和技術支持。

　　第十條 運營管理部門負責集中交易的具體操作，其職責包括：

　　1.負責集中交易系統的測試、上線、操作、監控；

　　2.負責操作崗位人員的操作權限的設定和變更；

　　3.負責業務參數的設定和變更；

　　4.負責對授權業務實施逐級審批；

　　5.負責制定業務連續性計劃(BCP，以下簡稱應急預案)和災難恢復計劃(DRP，以下簡稱應急計劃)并組織演練，在發生突發事故時作為應急指揮中心實施應急預案和應急計劃。

　　第十一條 證券公司內部稽核部門應對集中交易系統及其安全管理進行合規性審核、技術審計及定期風險評估。

　　第十二條 證券公司應實現集中交易業務運作與技術支持之間的相互隔離，電腦人員、會計人員之間及與其它業務人員之間職責不得相互交叉。

　　第十三條 開展集中交易的證券公司應實現前臺業務操作、中臺業務管理以及后臺業務支持三者之間的隔離。

　　第十四條 對各重要崗位的人員上崗要有相應的資質要求和必要的上崗培訓，對重要崗位人員建立輪崗制度和定期培訓制度。

　　第三章 機房和運行環境

　　第十五條 實施集中交易的證券公司應建設相應的中心機房。對于將中心機房外包的證券公司，外包機房視為其中心機房。

　　第十六條 機房建設、機房環境、供電系統等應符合《證券公司信息技術管理規范》(JR/T 0023—2004)第五章“機房與設備管理”的相關要求，機房等級應達到《電子計算機機房設計規范》(GB50174)B類以上(含B類)。

　　第十七條 中心機房監控應達到以下要求：

　　1. 機房進出口和重要通道應安裝監視系統和門禁系統；監視資料應完備、清晰，妥善存放，便于檢查且保存足夠長的時間；

　　2. 安裝環境監控系統和設備監控系統，對環境和設備的異常情況及時報警。

　　第十八條 中心機房管理應達到以下要求：

　　1. 建立人員和設備的進出管理制度；

　　2. 實施7x24小時安全保衛值班；

　　3. 建立機房設備管理制度，并根據設備的運行狀況定期對其進行更新和保養，提高設備的可靠性，降低故障隱患；

　　4. 機房供電系統由專人負責管理，定期進行檢修和維護；

　　5. 對機房的照明、空調、防火、門禁等機房環境系統進行定期檢查，確保其處于正常工作狀態；

　　6. 嚴禁易燃、易爆、強磁及其它與機房工作無關的物品進入機房。

　　第四章 網絡和通信

　　第十九條 用于集中交易系統的核心網絡是公司網絡的重要組成部分，應做好統一規劃。對于核心網絡的建設應遵循高可靠性、高安全性、高性能、可擴展性、可管理性、標準化等原則。

　　第二十條 核心網絡的建設應達到以下要求：

　　1. 網絡承建集成商應具有國家有關部門頒發的二級以上(含二級)計算機信息系統集成資質證書。

　　2. 網絡設備的性能和通信帶寬應保證滿足業務需求；

　　3. 網絡不應存在單點故障，其交換機、路由器和防火墻應有熱備份；

　　4. 針對不同業務或應用應采取適當技術手段(如交易網段和非交易網段應實現物理隔離)，以提高網絡安全性；

　　5. 與互聯網、外聯單位的連接應采用可靠的技術隔離手段(如防火墻、安全網關等)，以確保網絡的安全。

　　第二十一條 核心網絡的管理應達到以下要求：

　　1. 建立健全網絡管理制度，采用統一的網絡管理策略；

　　2. 設置專職、雙崗網絡管理員，實行網絡分級管理；網絡管理員應具備相應的素質和技能，持有相應的資格證書；

　　3. 配備網管系統，對網絡進行監控、管理和維護，重要網絡設備開啟日志和審計功能；

　　4. 建立完整的網絡技術文檔，定期對網絡設備和線路進行巡檢和維護，詳細記錄網絡故障處理過程。

　　第二十二條 核心網絡的安全應達到以下要求：

　　1. 建立健全網絡安全體系，統一制定網絡安全策略，網絡安全策略遵循技術保護和管理保護相結合的原則；

　　2. 應設置專門的安全管理崗位，配備專業的安全管理人員；

　　3. 利用成熟的網絡安全技術，防止非法訪問、攻擊和破壞計算機網絡等活動；

　　4. 所有可配置的網絡設備按最小安全訪問原則設置訪問控制權限，關閉不必要的端口及服務，妥善保管和定期更換網絡設備的遠程訪問口令；

　　5. 對于來自互聯網的訪問采用可靠的身份認證、訪問控制和安全審計措施，防止非法接入和非法訪問；

　　6. 建立完善的計算機病毒防范制度：

　　(1) 設置專人負責計算機病毒防范工作，統一組織和實施網絡的計算機病毒防范工作；

　　(2) 建立計算機病毒預警機制，嚴格執行病毒檢測及報告措施；

　　(3) 應安裝經國家安全部門認證的正版網絡防病毒軟件；

　　(4) 應及時更新防病毒軟件版本、殺毒引擎和病毒庫；

　　(5) 建立病毒監控中心，對網絡內計算機感染病毒的情況進行監控。

　　7. 定期對網絡進行安全檢查，發現問題，及時解決, 并記錄存檔。

　　第二十三條 集中交易通信系統應達到以下要求：

　　1. 中心機房與交易所的通信連接應做到地面線路和衛星通信相互備份，與中國證券登記結算公司的通信連接應有備份線路；

　　2. 公司中心機房和各分支機構之間應建立多條、不同運營商、不同介質的通信通道(如DDN、幀中繼、衛星等)，保證業務的連續性；

　　3. 網上委托系統應根據網上委托有關辦法的規定接入互聯網；

　　4. 公司應與電信運營商和設備供應商簽訂服務協議，做到定期檢修、發現故障及時響應。

　　第五章 系統建設

　　第二十四條 集中交易系統建設總體上至少應達到如下要求：

　　1.項目管理過程應符合國家有關法規規定；

　　2.系統功能應符合國家頒布的法律法規、證券市場的業務規則和證券公司的內控要求；

　　3.核心部分與外圍系統之間的接口定義應清晰明確、整體技術架構及數據庫結構設計應便于維護；

　　4.應按照99.99%可用性和7x24小時連續性指標對集中交易系統進行整體設計；

　　5.系統最大處理能力應達到日常實際處理量的5倍以上；

　　6.應建立災難備份系統，主備系統實際切換時間應少于60分鐘，災備系統處理能力應不低于主用系統處理能力的50%，通信線路應分別接入主備系統。有條件時可采用主、備系統處理能力相同、輪換交替使用的雙系統模式；

　　7.應配備獨立的測試系統，并與交易所測試系統聯網，實現完整的交易測試環境。測試系統應具有與主用系統相同的技術架構，物理上應具有與主用系統完全獨立的通訊、主機及操控系統；

　　8.安全等級應達到《計算機信息系統安全保護等級劃分準則》(GB17859-1999)三級以上(含三級)。

　　第二十五條 集中交易系統系統軟件的選用和管理應符合《證券公司信息技術管理規范》 (JR/T 0023—2004)第七章7.1的要求。

　　第二十六條 集中交易系統應用軟件的開發應符合《證券公司信息技術管理規范》(JR/T 0023—2004)第七章7.3的要求，并達到：

　　1. 在系統總體設計時同步進行安全保密設計，利用成熟的安全技術確保數據的保密性、完整性、可用性和可控性，對重要數據在采集、傳輸、使用和存儲過程中進行加密，使用經國家密碼管理機構認可的加密產品和加密算法；

　　2. 重要環節應采取冗余備份措施，如報盤系統、重要的數據庫服務器和中間件服務器等。

　　第二十七條 集中交易系統的性能和功能應達到以下要求：

　　1. 在系統構架和功能上，保證客戶端操作與數據庫服務端的物理無關性；

　　2. 具有完備的操作日志和錯誤報告；

　　3. 業務數據在通信網絡上以加密方式傳輸；

　　4、客戶口令等關鍵數據不得以明碼存放；

　　5. 防止異常中斷后非法進入系統；

　　6. 能防止強力試探口令，并具有超時自動鎖定功能；

　　7. 具有防止數據的重發攻擊、篡改和偽造等功能；

　　8. 建立工作站點與功能操作相關聯的全面安全控制機制；

　　9. 保證系統的可擴展性與可維護性；

　　10. 具有動態加載、卸載功能，具有實現系統不停機維護的能力；

　　11. 提供系統運行狀態監控模塊；

　　12. 提供數據接口，滿足稽核、審計及技術監控等的要求。

　　第二十八條 證券公司集中交易系統建設過程中，應實行第三方項目監理和項目審計。在系統交付使用前，應組織公司相關部門進行項目驗收。

　　第二十九條 集中交易系統的功能設計與技術實現要最大限度地符合規范化業務發展的實際需求，禁止對違規業務功能的設計與實現。對集中交易系統中的前瞻性功能，若確需做技術模擬和前期準備的，證券公司應建立和實施嚴格的內部審批程序，技術上須具備禁止啟用手段，并由內部稽核部門實行嚴密監控。

　　第六章 運行管理

　　第三十條 應建立集中交易運營管理組織，負責集中交易系統的運行和管理。

　　第三十一條 設置專職的應用管理員、系統管理員、網絡管理員、數據管理員和安全專員，分別負責集中交易系統的應用管理、系統管理、網絡管理、數據管理和安全管理。

　　第三十二條 集中交易系統安全管理應達到以下要求：

　　1.在系統構架上支持前臺操作與后臺數據的分離；

　　2.在系統管理和業務操作的各層面建立相應的操作權限制約機制：

　　(1) 實行權限集中管理，統一授權；

　　(2)在權限體系中支持前臺業務操作、中臺業務管理與后臺業務支持的分離；

　　3.帳戶和口令專人專用，加強對缺省帳戶和口令的管理；

　　4.禁止為客戶設置統一的、有規律的、易猜測的初始口令；

　　5.所設置的管理員口令應具有足夠的強度，由字母、數字、特殊字符等混合組成，并定期更換；

　　6.數據安全管理應符合《證券公司信息技術管理規范》(JR/T 0023—2004)第八章8.1的要求。

　　第三十三條 應建立集中交易系統運行管理考核體系，設立考核指標，完善獎懲制度。

　　第三十四條 應制定規范化的系統上線流程：

　　1.未經嚴格、完備測試，系統不得上線運行；

　　2.評估系統上線風險，做好相應的應急和備份計劃；

　　3.系統通過規定流程審批后，才能獲準上線。

　　第三十五條 集中交易系統的軟件升級和變更、系統設置變更等操作應建立規范的流程:

　　1. 變更請求應由業務或相關需求人員發起；

　　2. 經公司集中交易運行管理機構審批后，組織開發；

　　3. 變更請求由業務和技術人員成立聯合測試小組進行系統測試；

　　4. 經公司集中交易運行管理機構審批同意后，提交給運行管理人員實施；

　　5. 實施完成后，建立相應的升級或變更文檔。

　　第三十六條 集中交易系統在日常運行管理方面應達到以下要求：

　　1. 制定規范化的日常操作流程，關鍵操作應建立復核機制，建立詳細的操作日志(包括重要的日常操作、運行維護記錄、參數的設置和修改等內容)，并及時備份參數文件；

　　2. 制定規范化的故障處理流程，建立詳細的故障日志(包括故障發生的時間、范圍、現象、處理結果和處理人員等內容)；

　　3. 制定完善的值班工作制度，實行7x24小時值班，建立詳細的值班日志(包括時間、人員、值班任務等內容)；

　　4. 運維崗位的描述應明確清晰，應建立重要崗位的雙人、雙職、雙責制，并加強對單人單崗的監控；

　　5. 建立完善的運行監控系統，對集中交易系統的運行環境、運行狀況進行實時監控(包括服務器、報盤系統、數據庫、存儲系統、網絡和通信線路等)，并提供多種報警手段；定期分析監控系統的記錄，做到防患于未然；

　　6. 嚴禁在生產環境進行未經批準的操作；

　　7. 對重要設備和系統建立運行檔案和配置變更文檔，確保重要參數、運行環境的可恢復性；

　　8、應急預案和應急計劃每年至少演練一次；

　　9、集中交易系統全年實際可用性達到99.9%，單次故障停機時間不超過60分鐘。

　　第三十七條 應建立完整、規范的系統測試操作流程，對測試工作的計劃、實施及總結做出詳細的規定。對于在生產系統上進行的測試工作，必須制定詳細的系統及數據備份、測試環境搭建、測試后系統及數據恢復、生產系統審核等計劃，確保生產系統的安全。

　　第三十八條 對集中交易系統提出新的業務或管理需求，應當留有充足的技術準備期。交易所、登記結算公司的創新業務以及其他重大技術變更，從業務規則和技術規范發布之日起，整個技術準備期原則上不少于30個工作日，交易所、登記結算公司并應就此提供足夠的技術服務與支持。證券公司內部的業務或管理需求，技術準備期原則上不少于30個工作日。

　　第七章 災難備份

　　第三十九條 實行集中交易的證券公司應建立災難備份中心。

　　第四十條 災難備份中心與中心機房應有足夠的安全距離。

　　第四十一條 災備機房的等級應達到《電子計算機機房設計規范》(GB50174-93)B類以上(含B類)；

　　第四十二條 災難備份中心與交易所之間的通信連接必須符合交易所的接入管理要求與技術標準；災難備份中心與中心機房之間的通信連接除主用線路外、應有備用線路；災難備份中心與各分支機構之間應建立通信連接。

　　第四十三條 災難備份中心的交易系統應有足夠的處理能力，確保屆時能完全承擔交易、清算及交收業務。

　　第四十四條 災難備份中心對中心機房的數據備份等級要求應達到《重要信息系統災難恢復指南》(國信辦[2005]8號)災難恢復等級劃分中的第5級(見附錄A)。

　　第四十五條 災難備份BCP(業務連續性計劃)的三個具體指標RPO(恢復點目標)、RTO(恢復時間目標)、DOO(運行性能降低預期)是衡量災難恢復性能好壞的關鍵指標，應分別達到： RPO < 16分鐘，RTO <1小時，DOO<50%。

　　第四十六條 應制定完善的災難備份中心管理制度、應急預案和應急計劃。

　　第四十七條 應定期組織災難備份應急預案和應急計劃的演練，至少每年二次，并根據演練的結果和發現的問題進行總結，對系統和應急方案進行優化及完善。

　　第四十八條 災難備份中心應配備足夠的運行管理人員。

　　第八章 技術委托與外包

　　第四十九條 證券公司在保障安全的前提下，可以將系統集成、應用開發、運營維護、設備托管、網絡通信、技術咨詢等專業服務按市場公平競爭的原則外包給具有國家相應資質的專業服務商(產品提供商、系統開發商、運行服務商)。

　　第五十條 證券公司實施技術外包，其安全運營的最終管理責任依然由證券公司承擔。證券公司與技術外包方應簽訂詳細的商業契約或合同，明確約定相關責任。外包服務商根據合同約定承擔相應的經濟責任和法律責任。

　　第五十一條 證券公司應重視知識產權保護。

　　第五十二條 證券公司應重視持續的技術維護與服務，應與集中交易系統有關的產品提供、系統開發和運營服務廠商簽訂規范的售后服務合同。

　　第五十三條 證券公司應建立產品提供、系統開發和運營服務廠商的退出機制，以保障其退出之后集中交易系統的持續運行和系統重要數據的安全。由證券公司組織定制開發的核心業務系統，應要求開發商提供源代碼或對源代碼實行第三方托管。

　　第九章 應急恢復與事故處理

　　第五十四條 證券公司應根據應急計劃和應急預案妥善處置集中交易系統發生的重大技術故障。應急預案中，應規定各業務部門(包括一線客戶服務人員)的應急處置措施和相應職責分工，以及必要的業務規程和保障機制。在系統故障時做好投資者的安撫工作，保護投資者利益。

　　第五十五條 證券公司應建立內部的責任機制，堅持安全事故問責制度。

　　第五十六條 證券公司在與投資者、在與技術服務廠商簽訂的服務協議中應包含與技術故障相關的責任條款，在條款中應揭示風險，明確權責義務，確定補償措施與限額，保障雙方的合法權益。

　　第五十七條 技術故障影響交易60分鐘以上構成重大安全事故，應按照《證券期貨業網絡與信息安全信息通報暫行辦法》規定的程序及要求，及時上報證券業協會。

　　第十章 技術監管

　　第五十八條 證券公司集中交易系統與交易所、登記結算公司業務系統的互連和對接，應遵循交易所、登記結算公司制定的相應的接入管理規定和技術標準。開展集中交易的證券公司應向相關交易所提出專項接入申請，完成接入審核備案程序。

　　第五十九條 證券公司對集中交易系統實行年度例行安全評估，并將評估結果報備相關交易所。交易所對存在安全隱患、可能引發行業技術風險的證券公司可予以警告、限期整改以及取消其集中交易通道等處置，并報備中國證券業協會及中國證監會。

　　第六十條 證券公司實現集中交易的下屬營業部等分支機構不再執行《證券經營機構營業部信息系統技術管理規范》，并報備轄區證監局。

　　第六十一條 證券業協會信息技術委員會負責組織對集中交易系統的各級事故的調查、鑒定。

　　第十一章 附則

　　第六十二條 本指引適用于在中華人民共和國境內依法設立的證券公司。

　　第六十三條 本指引由中國證券業協會負責解釋。

　　第六十四條 本指引自發布之日起施行。

　　附錄A 災難恢復的等級劃分

　　A.1 第1級 基本支持

　　第1級災難恢復應具有技術和管理支持如表A.1所示。

　　表 A. 1 第1級災難恢復的技術和管理支持

　　要素要求

　　A.1.1數據備份系統a)完全數據備份至少每周一次；b)備份介質場外存放。

　　A.1.2備用數據處理系統—

　　A.1.3備用網絡系統—

　　A.1.4備用基礎設施a)有符合介質存放條件的場地。

　　A.1.5技術支持—

　　A.1.6運行維護支持a)有介質存取、驗證和轉儲管理制度；b)按介質特性對備份數據進行定期的有效性驗證。

　　A.1.7災難恢復預案有相應的經過完整測試和演練的災難恢復預案

　　A.2 第2級 備用場地支持

　　第2級災難恢復應具有技術和管理支持如表A.2所示。

　　表 A. 2 第2級災難恢復的技術和管理支持

　　要素要求

　　A.2.1數據備份系統a)完全數據備份至少每周一次；b)備份介質場外存放。

　　A.2.2備用數據處理系統a)災難發生時能在預定時間內調配所需的數據處理設備到場。

　　A.2.3備用網絡系統a)災難發生時能在預定時間內調配所需的通信線路和網絡設備到位。

　　A.2.4備用基礎設施a)有符合介質存放條件的場地；b)有滿足信息系統和關鍵業務功能恢復運作要求的備用場地。

　　A.2.5技術支持—

　　A.2.6運行維護支持a)有介質存取、驗證和轉儲管理制度；b)按介質特性對備份數據進行定期的有效性驗證；c)有備用場地管理制度；d)與相關廠商有符合災難恢復時間要求的緊急供貨協議；e)與相關運營商有符合災難恢復時間要求的備用通信線路協議。

　　A.2.7災難恢復預案a)有相應的經過完整測試和演練的災難恢復預案。

　　A.3 第3級 電子傳輸和部分設備支持

　　第3級災難恢復應具有技術和管理支持如表A.3所示。

　　表 A. 3 第3級災難恢復的技術和管理支持

　　要素要求

　　A.3.1數據備份系統a)完全數據備份至少每天一次；b)備份介質場外存放；c)每天多次利用通信網絡將關鍵數據定時批量傳送至備用場地。

　　A.3.2備用數據處理系統a)配備災難恢復所需的部分數據處理設備。

　　A.3.3備用網絡系統a)配備部分通信線路和相應的網絡設備。

　　A.3.4備用基礎設施a)有符合介質存放條件的場地； b)有滿足信息系統和關鍵業務功能恢復運作要求的場地。

　　A.3.5技術支持a)在備用場地有專職的計算機機房運行管理人員。

　　A.3.6運行維護支持a)按介質特性對備份數據進行定期的有效性驗證；b)有介質存取、驗證和轉儲管理制度；c)有備用計算機機房管理制度；d)有備用數據處理設備硬件維護管理制度；e)有電子傳輸數據備份系統運行管理制度。

　　A.3.7災難恢復預案有相應的經過完整測試和演練的災難恢復預案。

　　A.4 第4級 電子傳輸及完整設備支持

　　第4級災難恢復應具有技術和管理支持如表A.4所示。

　　表 A. 4 第4級災難恢復的技術和管理支持

　　要素要求

　　A.4.1數據備份系統a)完全數據備份至少每天一次；b)備份介質場外存放；c)每天多次利用通信網絡將關鍵數據定時批量傳送至備用場地。

　　A.4.2備用數據處理系統a)配備災難恢復所需的全部數據處理設備，并處于就緒狀態或運行狀態。

　　A.4.3備用網絡系統a)配備災難恢復所需的通信線路；b)配備災難恢復所需的網絡設備，并處于就緒狀態。

　　A.4.4備用基礎設施a)有符合介質存放條件的備用場地；b)有符合備用數據處理系統和備用網絡設備運行要求的場地；c)有滿足關鍵業務功能恢復運作要求的場地；d)以上場地應保持7 x 24運作。

　　A.4.5技術支持在備用場地有：a)7 x 24專職計算機機房管理人員；b)專職數據備份技術支持人員；c)專職硬件、網絡技術支持人員。

　　A.4.6運行維護支持a)有介質存取、驗證和轉儲管理制度；b)按介質特性對備份數據進行定期的有效性驗證；c)有備用計算機機房運行管理制度；d)有硬件和網絡運行管理制度；e)有電子傳輸數據備份系統運行管理制度。

　　A.4.7災難恢復預案有相應的經過完整測試和演練的災難恢復預案。

　　A.5 第5級 實時數據傳輸及完整設備支持

　　第五級災難恢復應具有技術和管理支持如表A.5所示。

　　表 A. 5 第5級災難恢復的技術和管理支持

　　要素要求

　　A.5.1數據備份系統a)完全數據備份至少每天一次；b)備份介質場外存放；c)采用遠程數據復制技術，并利用通信網絡將關鍵數據實時復制到備份場地。

　　A.5.2備用數據處理系統a)配備災難恢復所需的全部數據處理設備，并處于就緒或運行狀態。

　　A.5.3備用網絡系統a)配備災難恢復所需的通信線路；b)配備災難恢復所需的網絡設備，并處于就緒狀態；c)具備通信網絡自動或集中切換能力。

　　A.5.4備用基礎設施a)有符合介質存放條件的備用場地；b)有符合備用數據處理系統和備用網絡設備運行要求的場地；c)有滿足關鍵業務功能恢復運作要求的場地；a)以上場地應保持7 x 24運作。

　　A.5.5技術支持在備用場地有：a)7 x 24專職計算機機房管理人員；b)7 x 24專職數據備份技術支持人員；c)7 x 24專職硬件、網絡技術支持人員。

　　A.5.6運行維護支持a)有介質存取、驗證和轉儲管理制度；b)按介質特性對備份數據進行定期的有效性驗證；c)有備用計算機機房運行管理制度；d)有硬件和網絡運行管理制度；e)有實時數據備份系統運行管理制度。

　　A.5.7災難恢復預案有相應的經過完整測試和演練的災難恢復預案。

　　A.6 第6級 數據零丟失和遠程集群支持

　　第六級災難恢復應具有技術和管理支持如表A.6所示。

　　表 A. 6 第6級災難恢復的技術和管理支持

　　要素要求

　　A.6.1數據備份系統a)完全數據備份至少每天一次；b)備份介質場外存放；c)遠程實時備份，實現數據零丟失。

　　A.6.2備用數據處理系統a)備用數據處理系統具備與生產數據處理系統一致的處理能力并完全兼容；b)應用軟件是“集群的”，可實時無縫切換；c)具備遠程集群系統的實時監控和自動切換能力。

　　A.6.3備用網絡系統a)配備與生產系統相同等級的通信線路和網絡設備；b)備用網絡處于運行狀態；c)最終用戶可通過網絡同時接入主、備中心。

　　A.6.4備用基礎設施a)有符合介質存放條件的備用場地；b)有符合備用數據處理系統和備用網絡設備運行要求的場地；c)有滿足關鍵業務功能恢復運作要求的場地；d)以上場地應保持7 x 24運作。

　　A.6.5技術支持在備用場地有：a)7 x 24專職計算機機房管理人員；b)7 x 24專職數據備份技術支持人員；c)7 x 24專職硬件、網絡技術支持人員；d)7 x 24專職

　　A.6.6運行維護支持a)有介質存取、驗證和轉儲管理制度；b)按介質特性對備份數據進行定期的有效性驗證；c)有備用計算機機房運行管理制度；d)有硬件和網絡運行管理制度；e)有實時數據備份系統運行管理制度；f)有操作系統、數據庫和應用軟件運行管理制度。

　　A.6.7災難恢復預案有相應的經過完整測試和演練的災難恢復預案。

　　A.7 災難恢復等級評定原則

　　如要達到某個災難恢復等級，應同時滿足該等級中7個要素的要求。

　　A.8 災難備份中心的等級

　　災難備份中心的等級等于其可以支持的災難恢復最高等級。

　　示例：可支持1至5級的災難備份中心的級別為5級。