证券信息系统分类分级管理规范模版.docx

证券信息系统分类分级管理规范 第一章总则 第一条 【背景】随着公司业务规模的扩大、业务种类的增多，各信息系统对人力、硬件、软件、监控等资源的需求也不断扩大。为提高信息系统运维效率，合理分配、利用资源，并实现资源利用的最大化，特制定本规范。 第二条 【范围】本规范适用于信息技术部统一归口管理的所有信息系统，其他信息系统可参照本规范执行。 第三条 信息系统分类分级遵循如下原则： 1） 系统风险可控原则。 2） 重要系统优先原则。 3） 运维资源适配原则。 第二章系统分类分级 第四条 信息系统按整体功能定位分为两类：业务系统，管理系统。其中业务系统指承载公司各大业务板块开展业务需要的系统，包含业务处理、电子通道以及业务运行基础件等各类系统；管理系统指为管理与运营提供服务与支撑的系统，涵盖内部管理、管理控制、运营支持等各类系统。 第五条 系统分级指按系统分类对应的各个维度对系统进行的综合评估分情况。系统评分为各维度评分乘积，系统根据评分分为四级，对应如下： 业务系统等级 分值Z （各维度评分乘积） 业务连续性保障要求 Ⅰ级 Z >=70 >99.99% Ⅱ级 30<=Z <70 >99.98% Ⅲ级 10<=Z <30 >=99.96% Ⅳ级 Z<10 <99.96% 第六条 不同级别的系统对应不同的业务连续性保障要求。业务连续性时间标准按240(天)*24(小时)计算。 第七条 根据系统分级，Ⅰ级系统为公司核心业务系统。 第八条 业务系统按故障恢复时间点RTO、核心业务量/天、单笔平均资金量、战略系数四个维度进行评估；管理系统按服务层级（公司级、业务条线级、部门级）、故障影响范围、连续性要求、战略系数四个维度进行评估。 第九条 分类分级评估标准如下： 系统分类 分级维度1 分级维度2 分级维度3 分级维度4 业务系统 RTO 核心业务笔数/天 单笔业务资金量 战略系数 标准 评分 标准 评分 标准 评分 系数分 <=5min 5 >100W 5 资金量较大 5 5min ~ 30min 4 10W ~ 100W 4 资金量较小 4 30min ~ 2h 2 1W ~ 10W 3 非资金类业务 3 >2h 1 <1W 2 管理系统 服务层级 故障影响范围 连续性要求 标准 评分 标准 评分 标准 评分 公司级 5 影响业务系统 5 高 4 业务条线级 3 对管理影响较大 3 低 2 部门级 1 对管理影响较小 1 无 1 第三章分类分级资源管理 第十条 系统运行维护资源主要包括人力资源、硬件设备资源、软件资源、备份资源、监控资源、测试资源、机房电力基础环境等方面。资源分配依据系统分类分级的评估结果进行，并从整体上对应不同的运维模式。 第十一条 人力资源涵盖技能要求、人员构成、人员数量等方面。技能要求指人员技能、工作经验等能力方面要求；人员构成形式主要包括专职、兼职、其他服务等形式；人员数量指投入运维的人员数量。 第十二条 硬件设备资源指硬件设备的适配环境、性能配置、更换周期。 第十三条 软件资源包括是否使用定制化软件，是否购买专业服务和技术支持等。 第十四条 备份资源包括系统备份能力投入与备份恢复资源。系统备份能力投入针对运行连续性要求，指是否应建立本地热备、冷备、同城灾备、异地灾备等。备份恢复资源针对静态备份要求，指系统、数据的定期备份、归档与恢复验证等。 第十五条 监控资源指对系统运维监控方面的资源投入要求，主要包括监控工具投入、监控覆盖范围、监控模式等。 第十六条 测试资源包括测试环境建设、测试工具投入、公共测试资源使用优先级等方面。 第十七条 为更高效分配信息系统运维管理资源，解决好系统数量与工作量增长同运维资源相对不足的矛盾，确保信息系统整体运行风险可控，将信息系统运维分三种模式。包括全面运维模式、有限运维模式、托管模式。全面运维模式要求人员专业化、结果最优化、资源投入最大化；有限运维模式实行人员集中化、保障标准化、资源适度化；托管模式实行规定动作流程化的基本保障运维。 第十八条 信息系统分类分级资源保障标准如下： 资源 系统级别 Ⅰ级 Ⅱ级 Ⅲ级 Ⅳ级 运维模式 全面运维 全面运维 有限运维 托管模式 人力资源 两人及以上专职运维人员； 主要负责人员应具备5年以上相关工作经验。 两名运维人员，至少一名专职人员； 主要负责人员应具备3年以上相关工作经验。 两名运维人员。每个运维人员同时管理的系统应不超过3个。 人员兼职运维 硬件设备 硬件配置从优，充分保障系统连续性与性能；设备更新周期为3年。 硬件设备采用标准配置； 关键设备3年更换，非关键设备5年更换。 关键设备实体机，其他设备尽量部署虚拟机。 软件资源 购买软件、原厂服务和技术支持 购买软件、原厂服务和技术支持 统筹采购软件及服务与技术支持 备份资源 按行业等保要求进行备份能力建设； 按行业等保要求进行备份能力建设； 做好数据备份； 视需要建设在线备份环境； 监控资源 全面完整的整体监控解决方案 使用软件供应商提供的监控工具；统一监控平台监控 统一监控平台监控 统一监控平台监控基本监控功能 测试资源 建设符合监管要求的全真环境与完备的测试环境；全面的测试体系管理。 具备满足监管与测试要求的测试环境； 纳入统一的测试体系管理。 根据需要部署测试环境 第四章管理与执行 第十九条 已投产的信息系统，应按照本规范进行分类分级评定、运维模式划分，并做好资源投入的分配管理，做好相关运维保障。 第二十条 新上线系统或移交系统，应在上线或移交前按本规范进行分类分级评定、运维模式划分，做好相关资源安排与后续运维保障。 第二十一条 信息技术部根据实际运维情况，每年组织对各信息系统进行重新分类分级评定，做好配套的资源保障管理。 第二十二条 分类分级明细为本规范的组成部分，具体信息见附件“证券信息系统分类分级表.xlsx”， 第二十三条 本规范由信息技术部负责解释与修订。 2016年5月