关于印发药物非临床研究质量管理规范认证管理办法的通知
国家食品药品监督管理局
关于印发药物非临床研究质量管理规范认证管理办法的通知
国食药监安[2007]214号
各省、自治区、直辖市食品药品监督管理局(药品监督管理局):
为贯彻实施《中华人民共和国药品管理法》,规范《药物非临床研究质量管理规范》认证管理工作,国家局对《药物非临床研究质量管理规范检查办法(试行)》进行了修订,并更名为《药物非临床研究质量管理规范认证管理办法》。现印发给你们,请遵照执行。
国家食品药品监督管理局
二○○七年四月十六日
药物非临床研究质量管理规范认证管理办法
第一章 总 则
第一条 为加强药物非临床研究的监督管理,规范药物非临床研究质量管理规范(以下简称GLP)认证管理工作,根据《中华人民共和国药品管理法》和《中华人民共和国药品管理法实施条例》及有关规定,制定本办法。
第二条 GLP认证是指国家食品药品监督管理局对药物非临床安全性评价研究机构的组织管理体系、人员、实验设施、仪器设备、试验项目的运行与管理等进行检查,并对其是否符合GLP作出评定。
第三条 国家食品药品监督管理局主管全国GLP认证管理工作,省级药品监督管理部门负责本行政区域内药物非临床安全性评价研究机构的日常监督管理工作。
第二章 申请与受理
第四条 拟申请GLP认证的药物非临床安全性评价研究机构可根据本机构的研究条件,申请单项或多项药物安全性评价试验项目的认证。
申请GLP认证的机构,应在申请前按照GLP的要求运行12个月以上,并按照GLP的要求完成申请试验项目的药物安全性评价研究。
第五条 申请GLP认证的药物非临床安全性评价研究机构,应向国家食品药品监督管理局报送《药物非临床研究质量管理规范认证申请表》、申请资料(附件1、2)和电子版本。申请资料中有关证明文件的复印件应加盖申请机构公章。
第六条 国家食品药品监督管理局在收到申请资料之日起5个工作日内做出是否受理的决定,并书面告知申请机构和申请机构所在地省级药品监督管理部门。
第三章 资料审查与现场检查
第七条 国家食品药品监督管理局自受理之日起20个工作日内完成对申请资料的审查。
第八条 资料审查符合要求的,在20个工作日内制订检查方案,组织实施现场检查。资料审查不符合要求的,发给申请机构不予行政许可的通知,书面说明原因;需要补充资料的,应当一次性告知申请机构要求补充的全部内容。申请机构须在2个月内按要求一次性完成补充资料的报送,逾期未报的,视为自动放弃认证申请。
第九条 实施现场检查前,国家食品药品监督管理局提前5个工作日通知被检查机构和所在地省级药品监督管理部门现场检查安排。
第十条 实施现场检查时,被检查机构所在地省级药品监督管理部门应派分管药品研究监督管理的人员作为观察员参加现场检查。
第十一条 被检查机构应积极配合检查组工作,按检查组要求协助开展检查工作。
第十二条 现场检查工作由检查组组长负责组织实施。在检查开始前,应宣布检查纪律,提出检查要求,明确检查范围、检查方式和检查日程安排。
第十三条 检查组应按照检查方案和GLP认证标准(附件3)进行检查,详细记录检查的情况,对检查中发现的不符合GLP的事项如实记录,必要时应予取证。
第十四条 检查组在现场检查结束前应对检查中发现的问题进行评议汇总,撰写现场检查意见。检查组评议期间,被检查机构人员应回避。
第十五条 检查结束时,检查组应向被检查机构宣读现场检查意见。现场检查意见须由检查组全体成员和被检查机构负责人签字。
第十六条 被检查机构对现场检查意见有异议时,可向检查组说明,双方不能达成一致意见的问题,检查组须做好记录,经检查组全体成员和被检查机构负责人签字,由检查组提交国家食品药品监督管理局。
第十七条 检查组完成现场检查后, 应退还被检查机构提供的所有资料。
第十八条 现场检查时间一般为3至5天,根据检查工作的需要可适当调整。
第四章 审核与公告
第十九条 国家食品药品监督管理局应在现场检查结束后20个工作日内完成检查结果的分析和汇总;在20个工作日内做出审批决定。
第二十条 对符合GLP要求的,发给申请机构GLP认证批件,并通过局政府网站予以公告。
第二十一条 对不符合GLP要求的,书面告知申请机构。未通过GLP认证的机构或试验项目,如再次申请认证,间隔时间不得少于1年。
第二十二条 对经现场检查和审核确定需要整改的,申请机构完成整改后,应在规定期限内按照本办法第五条要求向国家食品药品监督管理局提出复查申请。现场复查、审核的程序和时限,参照本办法第十九条、二十条和第二十一条的规定执行。
限期整改的时限为6个月。对在规定期限内未提交复查申请的,视为机构未通过GLP认证。
第五章 监督管理
第二十三条 已通过GLP认证的机构应于每年12月向所在地省级药品监督管理部门报送本年度执行GLP的报告。报告的内容应包括开展药物安全性评价研究工作情况、人员和培训情况、实施GLP过程中存在的问题以及采取的措施等。
第二十四条 药物非临床安全性评价研究机构通过GLP认证后,在主要人员和实验设施发生变更,或出现可能严重影响GLP实施的情况时,应及时向省级药品监督管理部门提交书面报告,由省级药品监督管理部门组织检查并将检查结果报送国家食品药品监督管理局。
第二十五条 省级药品监督管理部门负责对本行政区域内已通过GLP认证的机构进行日常监督检查。在检查中发现严重问题时应及时报告国家食品药品监督管理局。
第二十六条 省级药品监督管理部门应于每年1月将上一年度开展日常监督检查情况和已通过GLP认证的机构年度报告报送国家食品药品监督管理局。
第二十七条 国家食品药品监督管理局组织对已通过GLP认证的药物非临床安全性评价研究机构实行定期检查、随机检查和有因检查。
定期检查每3年进行一次。实施检查前,提前5个工作日通知被检查机构和所在地省级药品监督管理部门,检查结束后将检查结果书面告知被检查机构,并抄送省级药品监督管理部门。
第二十八条 认证批件所载明的事项和内容有变动时,须重新核发GLP认证批件。
第二十九条 对违反药物非临床研究质量管理规范的药物安全性评价研究机构,药品监督管理部门将依照《中华人民共和国药品管理法》有关规定进行处理,情节严重的收回GLP认证批件。
第六章 检查人员的管理
第三十条 国家食品药品监督管理局负责组织GLP检查人员的遴选、选派、培训与管理。
第三十一条 GLP检查人员从省级以上药品监督管理系统的人员和研究机构的专业人员中遴选。
第三十二条 GLP检查人员应严格遵守国家法律、法规和检查纪律, 严格按照本办法和检查方案的要求客观、公正地进行GLP认证检查。
第三十三条 GLP检查人员不得从事与GLP认证相关的有偿活动;在与被检查单位存在利益关系或有其他可能影响现场检查结果公正性的情况时,应主动申明并回避;对被检查单位的技术、管理资料或商业秘密保密。
第三十四条 对违反本办法和有关规定的检查人员,将予以批评教育或取消药品GLP检查人员资格。
第三十五条 GLP检查人员应按要求参加国家食品药品监督管理局组织的GLP培训,及时了解和掌握国内外GLP发展动态和相关政策法规,不断提高GLP认证检查水平。
第七章 附 则
第三十六条 本办法由国家食品药品监督管理局负责解释。
第三十七条 本办法自发布之日起施行,国家食品药品监督管理局2003年10月1日施行的《药物非临床研究质量管理规范检查办法(试行)》同时废止。
关于印发《保险业信息系统灾难恢复管理指引》的通知
中国保险监督管理委员会
关于印发《保险业信息系统灾难恢复管理指引》的通知
保监发〔2008〕20号
各保险公司、保险资产管理公司:
为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日
保险业信息系统灾难恢复管理指引
第一章 总则
第一条 为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条 保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条 本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条 本指引所称灾难恢复为信息系统灾难恢复。灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。
本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。
本指引所称外包是指,选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护,以及应急响应和恢复工作。
第五条 中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。
第六条 《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)中的条款通过本指引的引用而成为本指引的条款。
第二章 总体工作要求
第七条 保险机构应统筹规划信息系统灾难恢复工作,自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。
保险机构新建信息系统时,应同步规划和实施灾难备份系统建设。本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。
第八条 保险机构应持续开展灾难恢复工作,以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。
灾难恢复的需求应定期进行再分析。灾难恢复需求再分析周期最长为三年。当信息系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
第九条 保险机构应加强与其业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章 组织机构
第十条 保险机构法定代表人或主要负责人是灾难恢复工作的责任人。
保险机构董事会或最高决策层应参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
第十一条 灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。
保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。
保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务。
第十二条 保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责:
(一)灾难恢复需求分析和策略制订;
(二)资源准备和经费审批;
(三)灾难备份中心的选择和建设;
(四)灾难备份中心的日常运行和维护;
(五)灾难恢复预案的制订、维护和演练;
(六)人员的教育和培训;
(七)监督检查和审计。
保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责:
(一)应急响应和预警报告;
(二)事件通报和沟通;
(三)损害评估、抢修拯救和敏感数据保护;
(四)灾难恢复工作的重大决策;
(五)生产中心的恢复、重建和回退;
(六)业务恢复和客户服务;
(七)资源保障和供应;
(八)媒体公关和信息通报;
(九)恢复成效评估和总结。
第十三条 从事灾难恢复的专业工作人员应符合以下要求:
(一)具备良好的职业道德和风险意识,掌握履行灾难恢复相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第四章 需求分析和策略制定
第十四条 灾难恢复需求分析包括风险分析和业务影响分析。保险机构的风险分析和业务影响分析应符合以下要求:
(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。根据风险发生的概率和可能造成的损失,评估风险可接受的程度,针对不可接受的风险,制定相应的风险防范措施;
(二)应根据信息系统支持的业务区域范围,分析信息系统面临的灾难风险。应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点,以及影响范围的广泛性;
(三)应根据业务经营范围确定关键业务功能。关键业务功能包括但不限于承保、理赔、投资和财务管理等。采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。
第十五条 保险机构应根据风险分析和业务影响分析的结果,确定信息系统的灾难恢复目标,包括:
(一)信息系统的灾难恢复范围;
(二)信息系统的灾难恢复顺序;
(三)信息系统的灾难恢复能力等级。
第十六条 保险机构应加强重要数据的备份和传输安全管理,保证数据的完整性。重要数据应异地备份,防范区域性灾难风险。重要数据包括但不限于:客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。
第十七条 保险机构应根据风险分析和业务影响分析的结论,将直接或间接支持关键业务功能的信息系统分成三种类别:
第一类:信息系统短时间中断会造成重大社会影响;或影响保险机构关键业务功能,并造成重大经济损失。
第二类:信息系统短时间中断会造成较大社会影响;或影响保险机构部分关键业务功能,并造成较大经济损失。
第三类:信息系统间接支持关键业务功能;或保险机构对系统中断具有一定容忍度的系统。
第十八条 信息系统的最低灾难恢复能力等级要求:
(一)第一类
1、第4级电子传输及完整设备支持
2、RTO<=36小时,RPO<=8小时
(二)第二类
1、第3级电子传输和部分设备支持
2、RTO<=72小时,RPO<=24小时
(三)第三类
1、第2级备用场地支持
2、RTO<=7天,RPO<=36小时
第十九条 保险机构应制定统一的灾难恢复策略。灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。
保险机构应根据各信息系统的灾难恢复目标,确定灾难恢复所需的七个方面的资源要素:
(一)数据备份系统;
(二)备用数据处理系统;
(三)备用网络系统;
(四)备用基础设施;
(五)专业技术支持能力;
(六)运行维护管理能力;
(七)灾难恢复预案。
第二十条 保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。灾难恢复策略经决策层审查和批准后,按本指引要求备案。
第五章 灾难备份中心的建设与运行维护
第二十一条 保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。
保险机构应根据风险分析的结果,确定同城和/或异地灾备建设方案。灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。
第二十二条 灾难备份中心的基础设施应符合以下要求:
(一)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;
(二)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受一定的同类风险;
(三)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据、人员等资源可及时到达;
(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;
(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准,并通过当地消防部门验收;
(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式,只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备;
(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。
(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。
第二十三条 灾难备份系统的建设应符合以下要求:
(一)根据灾难恢复策略制定灾难备份系统技术方案,建立数据备份系统、备用数据处理系统和备用网络系统等。技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性;
(二)应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统;
(三)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求;
(四)应根据灾难恢复策略的要求,建立灾难备份系统的技术支持体系。
第二十四条 灾难备份中心的运行维护应符合以下要求:
(一)建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等;
(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员,保障设备和系统正常稳定运行;
(三)定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能提供切换和运行时的技术支持;
(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息;记录机房环境、系统运行和网络状态等监控信息。
第六章 资源和专业服务的获取和保障
第二十五条 灾难恢复建设可以采用自建、共建和外包等模式,并按有关要求向中国保监会备案。
第二十六条 保险机构在进行灾难恢复外包时,应根据灾难恢复策略确定外包服务范围,认真分析和评估外包存在的风险,制定相关的风险管控措施。应与外包服务商签署服务水平协议,并定期验证灾难恢复服务商的服务水平和能力,加强外包系统的安全和保密管理。中国保监会采纳国家认可的有关测评机构对灾难恢复服务商的评估结果。涉密信息系统的灾难恢复工作应符合国家有关保密规定。
灾难恢复外包服务商应至少符合以下要求,国家另有规定的应从其规定:
(一)在中华人民共和国境内注册的法人机构;
(二)具备三年以上灾难恢复外包服务经验,服务的灾难恢复外包客户不少于三家;
(三)具备完整的服务质量保证体系和信息安全管理体系,通过相关权威认证;
(四)基础设施应达到本指引的要求,灾难恢复能力等级应在四级以上;
(五)中国保监会规定的其他要求。
第二十七条 采用共建模式的灾难恢复建设应至少满足各参与单位的最低灾难恢复能力等级要求,并明确权责,签订相关的合同或协议。
第七章 灾难恢复预案的管理
第二十八条 保险机构应制订灾难恢复预案,预案应包含:灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确,适合在紧急情况下使用。
保险机构应加强灾难恢复预案与其它应急预案体系的有机结合。
第二十九条 保险机构所制定的灾难恢复预案,应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练,及时总结评估,完善灾难恢复预案,通过演练使得相关人员熟练灾难恢复操作及流程。
灾难恢复预案的演练包括但不限于桌面演练、模拟演练、实战演练、部分演练和全面演练。保险机构应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次,演练类型可以是模拟演练、实战演练、部分演练和全面演练。
演练工作文档应包含演练计划、现场记录和结论评估,演练工作文档应存档保管。
第三十条 保险机构应安排专人负责灾难恢复预案的日常维护管理,预案可以以多种形式的介质拷贝保存在不同的安全地点,并确保在生产中心以外的安全地点存放灾难恢复预案。灾难恢复预案的调用需进行严格授权。
灾难恢复预案涉及的内容发生重大变更后,应立即更新灾难恢复预案;演练后应根据演练评估结论,立即更新灾难恢复预案;每年应至少组织一次灾难恢复预案的审查和批准工作。
第三十一条 灾难恢复预案的教育和培训应贯穿灾难恢复规划和实施的全过程。保险机构应定期组织预案培训,并保存培训文档。
第八章 应急响应和灾难恢复
第三十二条 保险机构针对信息系统的风险应建立科学的预警机制,在信息系统发生紧急事件后,应建立应急指挥中心,统一领导、协调和指挥所有应急响应工作,加强信息沟通和跨部门协调,提高机构整体的应急响应和应急处置能力;组织灾难恢复专业人员尽快对事件进行响应和评估;采取相应的风险处置和弥补工作,降低可能造成的损失,防范事态恶化;根据对紧急事件的处置和评估结果,决策是否对灾难备份中心发出灾难预警或灾难宣告。
保险机构应加强媒体公关和客户服务工作,避免造成恶劣的社会影响。发生重大灾难事件,应根据有关要求,及时向中国保监会报告。
第三十三条 灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作,并及时跟踪事态变化和恢复进程,加强沟通,加强恢复工作的统一指挥和管理。
保险机构应保证并合理配置恢复所需的各项资源,确保灾难恢复工作的顺利实施。
第三十四条 保险机构应明确信息系统的重建方案,在进行信息系统重建前应评估灾难造成的损失。根据损失评估情况,结合灾难备份系统运行可接受的最长时间,确定修复或者重新建设方案,执行信息系统的重新建设和功能恢复。
信息系统的回退是指将灾难备份系统的功能转移到新建或恢复的信息系统,各项业务恢复到正常运行状态的过程。加强信息数据安全处理,防止重要信息的泄漏,将灾难备份系统恢复为备用状态。
第三十五条 灾难恢复之后,应及时组织相关人员进行总结,修订灾难恢复策略和灾难恢复预案。
第九章 审计和备案
第三十六条 灾难恢复工作的审计分为内部审计和外部审计。内部审计由保险机构内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。
中国保监会可依据法律法规,委托并授权具有资质的中介机构对保险机构进行外部审计。中介机构根据保监会或其派出机构委托或授权对保险机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。中介机构根据授权出具的审计报告经中国保监会审阅确定后具备法律效力,被审计保险机构应对该审计报告在规定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。
审计报告应作为风险管控措施的成果进行存档,审计过程所涉及的资料调阅应有交接手续,严格控制审计过程中的涉密资料的保管和发放,中介机构应保守被审计保险机构的商业秘密和风险信息。
第三十七条 审计工作主要包括以下内容:
(一)灾难恢复项目的建立和管理;
(二)风险评估和管控;
(三)组织协作和授权机制;
(四)业务影响分析;
(五)灾难恢复策略;
(六)应急管理和操作;
(七)灾难恢复预案;
(八)培训和认知;
(九)演练和维护;
(十)公共关系和危机通讯。
第三十八条 保险机构应根据信息系统的灾难恢复工作情况,确定审计频率,每三年至少进行一次审计。
第三十九条 保险机构灾难恢复工作报告和审计报告应在中国保监会进行备案。灾难恢复工作报告备案工作在每年的第一季度进行,审计报告备案工作在审计结束后的三个月内进行。灾难恢复工作报告主要内容包括:
(一)短期和中长期灾难恢复规划和策略;
(二)上年度灾难恢复工作以及重大变更情况。
第四十条 中国保监会根据工作需要,可对保险机构的信息系统灾难恢复规划、建设、运营等进行不定期抽查、现场检查。
第十章 附则
第四十一条 本指引由中国保监会负责解释、修订。
第四十二条 本指引自颁布之日起施行。