|
审计依据
|
《保险机构信息化监管规定》
- 第四章基础设施建设与保障
《保险机构信息化风险非现场监管报表及评价体系》
- 灾难恢复管理(ZNHF)
|
|
|
审计过程中作为审计证据涉及的资料包括但不限于如下:
? F001.风险分析报告、业务影响分析报告、业务连续性计划等;
? F002.灾难恢复策略、灾难恢复范围、目标文件;
? F003.重要数据备份要求和记录;
? F004.服务水平协议、灾难恢复服务商服务水平验证报告;
? F005.灾备中心备案材料;
? F006.灾备中心建设验收报告;
? F007.灾备中心建设验收报告清单、文档;
? F008.灾难备份系统技术方案;
? F009..灾备中心运维制度规范、操作流程、记录;
? F010.灾备中心运维人员职责清单及资质证明;
? F011.灾难恢复设施与备份系统检测维护记录;
? F012.灾难备份中心监控记录;
? F013.灾难恢复预案;
? F014.灾难恢复预案测试记录、演练记录、评估报告等;
? F015.应急预案、更新记录、审查和批准记录;
? F016.应急指挥处置组织文档、处置规范流程、指挥和牵头及协调条款等;
? F017.灾难损失评估报告、修复重建方案等;
? F018.灾难恢复报告、预案修订记录等;
? F019.第三方应急沟通机制和协议。
|
|
|
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难恢复相关文档,了解保险机构灾难备份、恢复机制及其总体控制目标,包括:
a) 查阅灾难恢复策略制定过程中的风险分析文档,确认保险机构是否对信息系统自身的风险进行了全面分析,是否覆盖了所有关键业务系统;
b) 确认保险机构是否根据风险分析结果确定了风险防范措施和可接受的风险容忍度,并出具正式的分析文档做为灾备系统开发的重要依据,该文档是否经过管理层的正式审批;
c) 查阅灾难恢复策略制定开发过程的相关文档,确认保险机构是否在灾难恢复策略制定过程中实施了全面的业务影响分析,是否覆盖了所有关键业务系统;
d) 确认灾难恢复策略制定开发过程中是否实施了中断影响的评估,是否利用量化或定性分析的方法评估业务功能中断可能给组织带来的非经济损失,及由此带来的风险,是否形成正式的、经管理层审批的业务影响分析文档;
e) 查阅灾难恢复策略制度、风险分析报告、业务影响分析报告及业务连续性计划等记录,确认保险机构是否按照保监会的监管规范要求定期实施灾难恢复需求再分析,对于保险机构关键业务架构及重要信息系统变更是否及时按需要实施灾难恢复需求再分析。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难恢复策略制度、风险分析报告、业务影响分析报告及业务连续性计划等文档记录,了解并评估保险机构灾难恢复管理的灾难恢复范围及目标情况,确认保险机构在灾难恢复策略制定过程中是否实施全面的风险分析及业务影响分析,灾难恢复管理是否已覆盖所有关键业务系统及重要数据(例如客户数据、承保数据、赔付数据、资金运营数据、财务数据及相关日志等),并明确相关信息的保密性、完整性和可用性要求。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅相关风险分析文档和业务影响分析文档,了解并评估保险机构灾难恢复管理的灾难恢复范围及目标情况,包括:
a) 确认保险机构灾难恢复管理是否明确定义关键业务功能及恢复的优先顺序,该优先恢复顺序的制定过程中是否由业务部门发起,并经过高级管理层的审批;
b) 确认保险机构灾难恢复管理是否明确定义了灾难恢复时间范围(RTO和RPO的范围),该恢复时间范围的制定过程中是否由业务部门发起,并经过高级管理层的审批;
c) 查阅RTO/RPO目标与灾难恢复能力等级关系的相关文档,评估确认RTO/RPO目标时间定义是否符合保险机构业务连续性的要求。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难恢复策略相关文档,了解并评估保险机构的灾难备份、恢复机制及其总体控制目标情况;包括:
a) 确认保险机构灾难恢复管理是否基于灾难恢复成本与风险可能造成的损失进行分析,并以此确定每项关键业务功能的不同灾难恢复策略,灾难恢复策略内容是否完全包括了灾难恢复资源的获取方式和灾难恢复能力等级;
b) 确认保险机构灾难恢复策略的内容是否合理、完整,是否包括灾备中心日常运行、关键业务功能的恢复和继续运行机制、主系统灾后重建和回退工作、突发事件响应等内容;
c) 查阅灾难恢复策略制定开发过程的相关文档,确定灾难恢复策略的生命周期是否完整,主要包括灾难恢复需求的确定过程,灾难恢复策略的制定过程,灾难恢复策略的实现过程,灾难恢复预案的制定、实施落实和维护更新过程等;
d) 查阅灾难恢复策略相关制度和会议记录,确认保险机构的灾备策略评估、维护、更新是否已得到信息技术部门管理层及所有业务部门的参与和审批。
|
|
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难恢复策略相关文档,了解并评估保险机构的灾难恢复建设及模式确定情况,包括:
a) 查阅灾难恢复策略制定开发过程的相关文档,了解保险机构的灾难恢复建设模式确定过程,确认保险机构在确定灾难恢复模式时是否结合考虑灾难恢复成本、风险分析及业务影响分析结果,灾难恢复模式的确定及后续实施维护是否充分考虑相关风险,并明确相关外包服务商或共建方的各自权利责任;
b) 对于外包模式,IT审计专业人员应查阅外包服务商的相关资质证明,确认是否符合国家及保监会的规范要求,并查阅与外部服务商之间的服务水平协议(SLA),确认其中安全保密措施是否适当,灾难发生时是否可以得到及时的服务;
c) 对于共建模式,IT审计专业人员应查阅灾备中心建设验收报告及与共建方的合作协议等文档,确认灾备中心是否满足参与单位的最低灾难恢复能力等级要求,对于灾备中心的日常运维管理及紧急启用是否明确相关参与单位的权利责任。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员和信息安全管理负责人员,查阅相关备案证明及灾难恢复建设相关文档,了解保险机构对灾备中心的备案情况,确认保险机构是否按保监会有关规范要求将灾备中心建设相关材料向保监会备案。
|
|
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾备中心选址风险评估报告和灾备中心建设验收报告等文档,了解并评估灾备中心的建设规划情况,确认灾备中心物理位置是否中华人民共和国境内(不包括港、澳、台地区),与生产中心是否保持合理的距离,周围是否有危险程度高的环境因素影响,并评估灾备中心是否容易受到自然环境灾害性及人为灾难影响,包括火灾、水灾、地震、雷电、爆炸、骚乱等。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾备中心建设验收报告清单等文档,了解并评估灾备中心的基础设施配置情况,包括:
a) 确认灾备中心机房建设是否满足国家及保监会的规范要求达到国家B级或以上机房标准;
b) 确认灾备中心是否设置冗余或并行的电力电缆线路为机房设备供电(来自不同变电站的双回路市电供电),及配置有后备供电系统,如UPS设备和柴油发电机;
c) 确认灾备中心与生产中心是否设置两种或以上的网络通讯接入线路,以确保日常重要数据备份及紧急情况时的数据正常通讯;
d) 确认灾备中心是否具备完善有效的门禁、视频监控、消防、报警系统;
e) 确认灾备中心是否具备完善有效的防雷电、防水防潮、温湿控制系统;
f) 确认灾备中心是否具有辅助设施和生活设施,如生活用电、用水等。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难备份系统技术方案等文档,了解并评估灾难备份系统在软件、硬件和网络等方面的技术需求及实现情况,包括:
a) 查阅灾难恢复策略制定过程中产生的文档,确认数据备份系统建设是否根据成本风险平衡原则,明确定义了数据备份的范围、时间间隔、技术及介质、数据备份线路的速率及相关通信设备的规格和要求,并评估其保证RTO和RPO要求的能力;
b) 基于备用数据处理系统的数据处理能力、与主系统的兼容性要求、日常运维过程就绪或运行状态的情况,并结合恢复的时间要求,评估备用数据处理系统在灾难情况下的取得方式是否能够满足保险机构业务连续性的要求(常见三种方式:事前的紧急供货协议、灾备中心或设备仓库储备的数据处理设备、外包服务提供的兼容设备);
c) IT审计专业人员应评估备用数据通信线路的数据通信技术和线路带宽,网络通信设备的功能和容量,确认数据通信线路是否正常可用;
d) 查阅灾备中心运行维护的相关制度、流程和相关审批与操作记录,确认灾备中心是否建立了完善的技术支持体系,其技术支持的组织架构、技术支持人员数量和素质是否满足灾备中心运维能力的需要,委托外包方运行维护的需要根据外包协议内容确认其可用性或根据公允第三方评估报告确认其可用性。
|
|
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾备中心的运行维护制度和变更记录等文档,了解并评估灾备中心的日常运维情况,确认灾备中心是否建立完善的运维制度和流程,例如:灾备中心的机房管理制度、软硬件运行管理制度、信息安全管理制度、变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等,并确认灾备中心的运维制度和流程的变更是否得到管理层的审批。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾备中心的运行维护制度、运维人员职责清单及资质证明等文档,了解并评估灾备中心的日常运维团队人员情况,包括:
a) 确认灾备中心是否根据IT服务连续性和灾备策略的要求建立了专业运行维护团队,负责对灾难备份系统进行日常运行维护和技术支持,确保灾难备份系统稳定运行;
b) 确认灾备中心是否建立正式的文档,明确定义灾备中心组织架构、人员组成和职责定位及技术能力要求,并确认相关运维人员的变更是否得到管理层的审批。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾备中心的运行维护记录等文档,了解并评估灾备中心的日常运维的充分性及有效性,确认灾备中心运维人员是否定期检测维护灾难恢复设施与备份系统与生产环境的一致性,生产环境中重要信息系统的配置及数据的变更是否及时反馈至灾备中心,灾备中心是否及时根据反馈进行配置调整及数据同步,以确保备份系统和数据的一致性、可用性和完整性。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾备中心相关监控记录,了解并评估灾备中心的日常监控管理的充分性及有效性,包括:
a) IT审计专业人员应现场查看灾备中心的门禁及监控系统,确认灾备中心是否对全部出入口、安全区域及灾备中心环境进行7*24小时监控,监控记录保存是否依照规定严格执行;
b) 确认灾备中心是否安装必要的监控报警配置,对灾备中心机房环境、备份系统运行、网络状态等进行监控及异常警报。
|
|
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难恢复预案相关文档,了解并评估灾难恢复预案的制定过程情况,包括:
a) 查阅灾难恢复预案,确认是否涵盖了灾难恢复的整个过程,是否全面包括灾难恢复所需的数据资料及配套资源,是否明确定义灾难恢复的启动条件、启动流程和灾难恢复完成后的业务验证流程;
b) 查阅灾难恢复预案,评估其使用的语言和图表是否易于理解,其结构及资源描述是否清楚,工作内容和步骤的具体程度和相应责任人员定义是否明晰,灾难恢复表述是否简洁明了;
c) 查阅灾难恢复预案制定过程产生的文档记录,确认灾难恢复预案是否经过了起草、评审、测试、完善、审核和批准的全过程。查阅评审流程记录,确认是否得到管理层及业务部门的参与和严格评审。查阅预案测试报告,确认预案测试是否包含了单元测试、关联测试和整体测试;
d) 查阅灾难恢复预案相关的管理制度,了解灾难恢复预案的保存和分发流程,确认其是否满足如下几个方面的合理性:专人负责;多份拷贝异地保存;分发给所有参与灾难恢复工作的人员;每次修订后的所有拷贝统一更新,并保留一套备查;旧版本按规定销毁。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难恢复预案演练计划及记录等文档,了解并评估灾难恢复预案演练的过程情况,包括:
a) 查阅灾难恢复相关宣传方案及宣传邮件/彩页等,确认保险机构从灾难恢复规划、建设及维护的整个生命周期均持续开展了相关观念及知识的宣传教育活动;
b) 查阅灾难恢复预案的相关培训计划,确认保险机构是否持续提供关于灾备、应急、专业技术、业务系统方面的培训,以提升专业技术支持能力;
c) 查阅灾难恢复演练计划及总结报告,根据演练的类型(桌面演练,模拟演练,真实演练,混合演练)和结果,确认其演练过程是否有效,是否每年至少组织一次有最终用户参与的完整演练,演练所发现的问题是否得到及时改进。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅灾难恢复预案更新及审批记录等文档,了解并评估灾难恢复预案日常维护管理情况,包括:
a) 查阅灾难恢复预案相关的管理制度,了解灾难恢复预案的日常维护机制,确认保险机构是否授权或制定专门人员负责灾难恢复预案的日常维护管理;
b) 查阅灾难恢复预案的维护和变更记录及审核文档,确认灾难恢复预案的评估和修订是否获得管理层及相关部门的参与和审批,所有的修订是否都经过起草、评审、测试、完善、审核和批准等程序,对于业务流程的变化、信息系统的变更、人员的变更是否在灾难恢复预案中及时反映;
c) 查阅灾难恢复预案的测试、演练和执行效果的评估结果,确认灾难恢复预案是否及时进行相应的修订;
d) 查阅灾难恢复预案的审查报告等记录,确认保险机构是否定期(至少每年一次)对灾难恢复预案进行审查和批准。
|
|
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理及应急响应管理负责人员,查阅灾难恢复预案及应急响应管理制度等文档,了解并评估灾难预警的响应管理流程,包括:
a) 查阅应急响应管理制度和灾难恢复预案相关文档,确认保险机构针对各种可能发生的信息系统突发事件是否建立完善的灾难预警机制,对于信息系统的监测、预警信息的分析,事件确认及报告,人员协调,影响控制、事件升级、灾难预警或宣告、灾难恢复等过程是否有明确的人员分工及操作指引;
b) 查阅应急响应管理架构说明相关文档,确认保险机构是否建立应急指挥中心团队,该团体明确有关领导、执行和保障的岗位;并确认相关应急指挥中心团队人员职责规定是否文件化,其职责划分是否清晰,是否考虑突发事件应急管理的各个环节,进一步抽查访谈应急指挥中心团队成员,确认是否明确其应急管理职责。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,查阅应急预案及灾难恢复预案制度等文档,确认保险机构对于灾难情况是否有明确的信息系统重建方案,对于灾难情况下的数据抢救、损失评估、IT基础设施恢复、基础应用主机恢复、网络恢复、业务平台恢复各阶段是否有明确的步骤,过程的统计与记录要求是否清晰,灾难损失评估报告是否完整。
|
|
|
IT审计专业人员应访谈保险机构灾难恢复管理负责人员,并查阅灾难恢复总结报告、灾难恢复策略及预案的修订记录,确认保险机构在灾难恢复后是否及时进行回顾总结,对于灾难恢复过程中发现的问题及不足是否针对灾难恢复策略及预案进行相应的更新修订,相关修订是否得到合理的测试和完善,并经过管理层及相关业务部门的参与和审批。
|
|
|
IT审计专业人员应保险机构应急响应管理和灾难恢复管理负责人员,查阅应急预案及灾难恢复预案等文档,了解并评估保险机构在应急响应管理中与第三方服务供应商的沟通机制,包括:
a) 确认应急预案和灾难恢复预案是否充分考虑了第三方服务供应商应急管理,是否明确了第三方服务供应商的职责,与第三方服务供应商签订的服务协议是否包含了应急响应的条款;
b) 确认保险机构是否建立第三方服务供应商及业务联系方联系表,是否掌握第三方服务供应商沟通清单及联系方式,是否指定联系人员,何种情况下与何机构、何人联系是否清晰;
c) 确认保险机构是否对应急管理第三方服务供应商进行评估和定期考核,是否要求第三方服务供应商参与保险机构的应急预案和灾难恢复预案的测试及演练。
|
