宁波市人民政府办公室转发市财政局关于宁波市第四方物流市场注册企业管理暂行办法(试行)的通知
浙江省宁波市人民政府办公室
转发市财政局关于宁波市第四方物流市场注册企业管理暂行办法(试行)的通知
甬政办发〔2009〕16号
各县(市)区人民政府,市政府各部门、各直属单位:
市财政局关于《宁波市第四方物流市场注册企业管理暂行办法(试行)》已经市政府同意,现转发给你们,希认真贯彻执行。
二○○九年一月二十三日
宁波市第四方物流市场注册企业管理暂行办法(试行)
(宁波市财政局)
第一章 总则
第一条 为促进第四方物流市场发展,确保第四方物流市场交易高效、安全、有序进行,根据《宁波人民政府关于培育第四方物流市场的试行办法》(甬政发〔2008〕41号)精神,依据相关法律法规,结合我市实际,制定本办法。
第二条 本办法所称第四方物流市场注册企业是指取得第四方物流市场会员资格,并以公司或分公司形式注册在宁波第四方物流市场的运输物流企业(以下简称注册企业)。
第三条 本办法适用于第四方物流市场注册企业、第四方物流市场实施主体、以及为第四方物流市场提供服务和实施监管的政府管理部门、商业银行、中介服务机构等相关单位。
第四条 本办法遵循依法合规、创新服务、便利高效、促进发展的原则,通过实施积极有效的管理,为物流企业提供运输经营许可、工商注册、税务登记、税收征管、网上交易结算等各项便利化服务。
第二章 登记注册
第五条 注册申请。要求注册在宁波第四方物流市场的运输物流企业,应向第四方物流市场提出申请,并由第四方物流市场实施主体对其资格条件进行初审,初审合格后,由第四方物流市场实施主体出具《会员注册申请接收函》。
第六条 运输经营许可。运输物流企业申请运输经营许可,需先到宁波市行政服务中心工商局窗口办理企业名称预先核准,再凭《会员注册申请接收函》和预核通知书,到宁波市交通行政服务中心申请办理《宁波第四方物流市场道路(水路)运输经营许可证》。
第七条 工商注册。运输物流企业获得《宁波市第四方物流市场道路(水路)运输经营许可证》后,到宁波市行政服务中心工商局窗口申请工商注册登记,市工商部门凭第四方物流市场接收函、《宁波第四方物流市场道路(水路)运输经营许可证》及相关资料,核发《工商营业执照》。
第八条 税务登记。对由第四方物流市场招商引资引入的,并经市工商部门注册的新办运输物流企业,其主管税务机关为宁波市地方税务局直属分局,由其对上述企业进行税务登记、纳税辅导、发票、帐簿管理、税款征收、涉税事项审核审批。
第九条 不需要办理《宁波第四方物流市场道路(水路)运输经营许可证》的会员企业,直接到机构所在地工商、税务部门办理企业工商注册、税务登记。
第三章 交易结算
第十条 第四方物流市场注册企业网上交易结算资格取得。第四方物流市场注册企业如果需要通过第四方物流市场进行网上交易并结算资金的,应向第四方物流市场实施主体提出申请,经审核后,再选择一家成为第四方物流市场联合主体的商业银行,向其申请开通网上银行,进行第四方物流市场网上交易结算。
第十一条 商业银行参与第四方物流市场网上结算业务,须与第四方物流市场实施主体签订合作协议,成为第四方物流市场联合主体。
第十二条 第四方物流市场交易规则。第四方物流市场网上交易遵循安全、高效、分级参与的原则。核心会员之间主要采用网上交易、网上结算的电子商务模式,普通会员与普通会员之间主要采用信息发布、信息检索、业务洽谈等传统模式,普通会员与核心会员之间的信息匹配优先于普通会员之间。
第十三条 网上结算规定。注册企业进行网上交易结算必须与第四方物流市场实施主体、商业银行签订第四方物流网上结算协议,明确相关权利义务。注册企业在第四方物流市场的网上结算按照网上银行支付方式处理。第四方物流市场为注册企业交易提供付款确认和合同约定两种支付结算模式,交易双方需在交易合同中确定一种支付结算模式。
第四章 服务提供
第十四条 第四方物流市场实施主体要为注册企业提供网上信息发布、交易撮合、业务洽谈、电子合同、网上结算支付、大宗运力网上招投标等电子商务服务;利用平台优势,整合第三方物流企业资源,依托信息技术进行综合管理,为客户开发和提供供应链解决方案;指导注册企业办理会员网上注册工作,协助或代理注册企业在指定区域办理宁波第四方物流市场道路(水路)运输经营许可证、工商注册、税务登记等相关手续。
第十五条 政府相关部门要对物流运输领域网上办事、政策公告、信息咨询等电子政府服务进行整合,逐步实现物流运输行业“一窗式”服务,方便注册企业办事。
第十六条 宁波市公路运输管理处和宁波市港航管理局负责第四方物流市场注册企业的道路、水路运输经营许可(不含危险品运输)和运输经营管理,为注册企业申请运输经营许可提供便利条件。
第十七条 宁波市工商行政管理局负责提供第四方物流市场注册企业的工商注册和日常监管,要积极创造条件,为注册企业申请工商登记开辟绿色通道。
第十八条 对在第四方物流市场进行网上交易并在市地税局直属分局登记的货运自开票注册企业,可由第四方物流市场实施主体委托中介机构办理集中开票及代理各项涉税事项,上述中介机构资格取得需经市地税局直属分局认可。
对于在第四方物流市场进行网上交易的会员企业,需要代开票的,可由市地税局直属分局(或市地税局直属分局根据国家税务总局规定委托的代开票中介机构)进行代开货运业发票并按现行税法规定缴纳各项税费。
第五章 政策优惠
第十九条 加大第四方物流市场扶持力度。对于税务登记在市地税局直属分局,并在第四方物流市场进行交易结算、税收入库在市级的注册企业,3年内,其网上交易实现的营业收入、利润总额形成的地方财力部分,以及第四方物流市场代征税收地方留成部分,按60%返还给第四方物流市场实施主体,再由第四方物流市场根据注册企业交易量、资信情况补贴给企业,具体办法由市交通局、市财政局另行制定。
第二十条 未在第四方物流市场注册登记的市内物流企业(包括核心会员和普通会员)在第四方物流市场网上交易结算的财政优惠政策,以及鼓励金融机构参与第四方物流市场网上结算的优惠政策,按《关于培育第四方物流市场的扶持政策的通知》(甬政办发〔2008〕140号)规定执行。
第二十一条 商业银行可根据注册企业信用情况,对诚信守约的注册企业依据银行信贷政策提供账户透支融资服务,与其签订银行账户透支协议,为其设定一定的银行授信额度和优惠利率,用于第四方物流市场网上交易,提高网上交易支付效率。
第六章 监督管理
第二十二条 交通、工商、财政等管理部门(以下简称管理部门)应当推进管理方式改革和创新,减少审批事项和环节,积极发挥对第四方物流市场的服务、培育、规范和监管功能,提升第四方物流市场的业务整合能力和综合竞争力。
对涉及第四方物流市场的行政审批项目,管理部门应实现行政审批与执法监管的相对分离,在内部建立相对独立和制约运作体系,提高服务水平和监管效能。
第二十三条 管理部门应当加强对第四方物流市场的研究,加强对第四方物流市场主体的行政指导,积极解决第四方物流市场发展存在的问题,为第四方物流市场发展提供有效服务。
管理部门要加强第四方物流市场发展的服务网络建设,为有关企业提供咨询、投诉和求助服务。
第二十四条 管理部门应加强对第四方物流市场经营行为的监管和违法行为的查处,采取积极的技术手段和管理措施,维护交易秩序,保障交易安全,规范第四方物流市场经营秩序,促进第四方物流市场交易的正常进行。
第二十五条 第四方物流市场实施主体应按照主管税务机关要求,向税务机关、注册企业和税务服务中介机构提供网上交易明细数据和统计数据,加强内部控制制度建设,完善技术保障,健全网上交易制度,保证交易系统运行安全和网上支付交易业务的数据安全。要建立与税务服务中介机构和注册企业定期对账制度,确保财务核算信息真实、完整、准确。
第四方物流市场实施主体和税务服务中介机构应加强相关电子业务资料和纸质业务资料的管理,确保业务数据真实、安全、可靠。对于税务机关的检查、查询要求,第四方物流市场实施主体和税务服务中介机构应如实提供,不得隐瞒、拒绝。
注册企业必须严格执行《国家税务总局关于加强货物运输业税收征收管理的通知》(国税发〔2003〕123号)中规定的《货物运输业营业税征收管理试行办法》、《运输发票增值税抵扣管理试行办法》、《货物运输业营业税纳税人认定和年审试行办法》,以及《公路、内河货物运输业税收管理操作规程的通知》(国税发〔2004〕135号),按规定购买、保管和使用货物运输业发票及税控器具,规范财务、会计核算,依法申报并缴纳各项税费。
第二十六条 商业银行应为注册企业提供安全、高效的支付结算服务,制定严格的网上银行支付结算制度,加强注册企业身份认证及银行结算账户的日常管理,及时进行对账,并对注册企业账户透支实施监控,防范风险。
第七章 法律责任
第二十七条 注册企业的行为应当遵守交通运输法律法规及有关交通运输部令等规定,对有关违法行为,依照《中华人民共和国道路运输条例》、《浙江省道路运输管理条例》及其他交通运输方面的规定追究法律责任。
第二十八条 注册企业违反工商登记法律法规的,依照《中华人民共和国公司法》、《中华人民共和国公司登记管理条例》的有关规定追究法律责任。
第二十九条 注册企业违反税务管理法律责任。注册企业违反税务登记、纳税申报和税款征收规定,依照《税收征管法》及实施细则有关规定追究法律责任。纳税人违反发票领购、使用、保管和缴销规定,依照《中华人民共和国发票管理办法》及其实施细则有关规定进行处罚。
第三十条 参与第四方物流市场网上交易结算的商业银行、第四方物流市场实施主体、注册企业,违反网上交易结算规定,依照《宁波市第四方物流市场网上结算试行办法》(甬政办发〔2008〕263号)及相关法律法规进行处罚。
第八章 附则
第三十一条 市级有关部门要根据本办法精神,抓紧制定出台具体配套实施办法。
第三十二条 本办法自2009年1月1日起施行。
国家发展改革委、交通部关于进一步加强春运期间道路客运价格管理确保春运工作平稳有序的通知
国家发展和改革委员会 交通部
国家发展改革委、交通部关于进一步加强春运期间道路客运价格管理确保春运工作平稳有序的通知
发改电〔2007〕18号
各省、自治区、直辖市发展改革委、物价局、交通厅(局):
为认真贯彻落实《关于2007年春运期间旅客运输票价不再上浮的通知》(发改电〔2007〕11号,以下简称《通知》)精神,加强春运期间道路客运价格管理,做好春运期间道路旅客运输组织工作,保障广大旅客平安、及时、便利出行,现将有关事项通知如下:
一、高度重视春运期间稳定旅客票价工作。保持春运期间道路客运票价基本稳定,是减轻旅客负担、特别是农民工等低收入旅客负担而采取的一项重大举措,关系到广大人民群众的切身利益。各级价格、交通主管部门要充分认识这一措施的意义,切实加强春运工作的领导,采取有力措施,把稳定春运期间旅客票价工作落到实处,保护广大旅客权益,确保春运工作平稳、有序进行。
二、严格执行春运期间客运票价政策。各地要认真落实《通知》要求,稳定春运期间公路客运票价。要抓紧明确春运期间道路客运价格政策,并及时向社会公布。在制定春运期间道路客运价格政策时,要注意与日常道路客运价格政策的衔接。实行道路客运政府指导价的地方,不得在规定的浮动幅度之外另行加价;在历年春运期间按基准价执行未上浮的,今年也不得上浮。由于不实行春运期间在政府指导价基础上加价的政策,造成运输企业经营困难的,要采取多种措施予以缓解。
三、减轻道路客运经营者负担。各地要根据本地实际情况,在省级人民政府的统一领导下,研究制订春运期间对道路客运经营者的优惠政策,视情减免客运附加费、养路费等收费,努力降低客运经营者运输成本,为稳定春运期间道路客运票价创造条件。
四、强化市场运力的组织调配。各级交通主管部门要强化运输组织协调,加强运力调配。对于运力紧张的地区,当地交通主管部门要及时与相关地区进行沟通协调,调集运力支援;仍然不能满足的,要及时向上级交通主管部门报告。各级交通主管部门要做好客运企业和客运经营者的动员工作,强化运力组织调度措施,确保运力调配及时。春运期间,南方片区省份交通主管部门要加强对进出广东省际道路客运的管理,督促有关道路客运企业提前到广东省与客运站场、厂矿企业、建设工地签订加班合同或包车合同,并严格按合同规定运行,确保节前支援广东的加班车和包车总量不少于去年。
五、加强市场监控,做好应急准备。各地交通主管部门要认真分析道路客运票价春运期间不再加成可能对春运组织工作带来的影响,根据可能出现的问题,提前制定应急预案,建立完善组织领导机制和通讯联络制度,落实并增加应急备用运力储备。春运开始后,各地交通主管部门要加强对道路客运市场的动态监控,一旦发现运输紧张状况,要立即启动应急预案,及时调集应急运力组织抢运,全力避免发生旅客滞留现象。对认真完成政府指令性应急运输任务的道路客运经营者,各省可视情给予专项优惠政策或资金补偿,弥补其经济损失。
六、加强春运票价政策的宣传解释。要利用电视、广播、互联网站等新闻媒体,加强对有关政策的宣传解释。要督促客运站场、客运企业实行明码标价,在客运站和客车上张贴公告,明示相关政策规定和每条客运班线的实际票价。同时,各级价格、交通主管部门和客运站场、客运企业要组织专门人员,采取电话咨询、现场答疑等形式,及时受理和解答旅客咨询。
七、加强监督检查,维护市场秩序。各级价格主管部门要组织力量,深入客运站场等客源集中地,加强对春运期间道路客运价格的监督检查,督促各有关客运企业、客运站严格执行道路客运票价管理规定。要认真值守12358价格举报电话,及时受理旅客投诉。对借春运之机乱涨价、乱收费的行为,要依据有关法律、法规的规定,进行严肃处理。各级交通主管部门要积极协调公安部门,加大对道路客运市场的监管力度,严厉打击炒卖客票、兜揽旅客、中途甩客以及班车不按规定站点停靠或不按规定线路、班次运行等各种违法违规行为,维护良好的道路客运市场秩序。
国家发展改革委
交 通 部
二○○七年一月三十日
关于印发《保险业信息系统灾难恢复管理指引》的通知
中国保险监督管理委员会
关于印发《保险业信息系统灾难恢复管理指引》的通知
保监发〔2008〕20号
各保险公司、保险资产管理公司:
为加强保险信息安全基础设施建设,推进信息系统灾难恢复工作,根据《中华人民共和国保险法》和国家有关信息安全法律法规,我会制订了《保险业信息系统灾难恢复管理指引》,现印发给你们,请遵照执行。
二○○八年三月二十一日
保险业信息系统灾难恢复管理指引
第一章 总则
第一条 为规范并指导我国保险业信息系统灾难恢复工作,提高防范灾难风险的能力,保障持续运营,保护客户和股东的合法权益,根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定,制定本指引。
第二条 保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则,平衡成本与风险,确保工作的有效性。
第三条 本指引所称保险机构是指,经中国保险监督管理委员会(以下简称“中国保监会”)批准设立,并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。
第四条 本指引所称灾难恢复为信息系统灾难恢复。灾难恢复工作是指,为保障信息系统持续运营,防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作,包括:组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。
本指引所称区域性灾难是指,造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏,关键信息网络设备毁损、重大故障或大规模人口疏散的事件,将会导致信息系统无法正常运行。例如:地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。
本指引所称同城灾备是指,生产中心与灾难备份中心处于同一地理区域,面临同一区域性灾难风险,能够抵御小范围区域内的灾难,例如小面积停电、火灾、设备故障等,距离通常在数十公里左右。
本指引所称异地灾备是指,生产中心与灾难备份中心处于不同地理区域,一般不会同时面临同一区域性灾难风险,能够抵御较大范围区域内的灾难,例如大面积停电、地震、战争等,距离通常在数百公里以上。
本指引所称自建是指,自行出资建设和拥有灾难备份中心,为自身提供灾难恢复服务。
本指引所称共建是指,多个机构共同出资建设和拥有灾难备份中心,为参与单位提供灾难恢复服务。
本指引所称外包是指,选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护,以及应急响应和恢复工作。
第五条 中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。
第六条 《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)中的条款通过本指引的引用而成为本指引的条款。
第二章 总体工作要求
第七条 保险机构应统筹规划信息系统灾难恢复工作,自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。
保险机构新建信息系统时,应同步规划和实施灾难备份系统建设。本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。
第八条 保险机构应持续开展灾难恢复工作,以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。
灾难恢复的需求应定期进行再分析。灾难恢复需求再分析周期最长为三年。当信息系统及相关业务流程发生重大变更时,应立即启动灾难恢复需求的再分析,并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。
保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案,并定期开展灾难恢复预案培训和演练工作。
第九条 保险机构应加强与其业务密切相关的机构间的协调,共同评估面临的风险,协同制定灾难恢复策略,提高整体风险防范和灾难恢复能力。
第三章 组织机构
第十条 保险机构法定代表人或主要负责人是灾难恢复工作的责任人。
保险机构董事会或最高决策层应参与制定和审核灾难恢复策略,保证灾难恢复策略与经营目标的一致性。
第十一条 灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。
保险机构应设立灾难恢复管理委员会,统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。
保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构,负责处理灾难恢复工作的具体事务。
第十二条 保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责:
(一)灾难恢复需求分析和策略制订;
(二)资源准备和经费审批;
(三)灾难备份中心的选择和建设;
(四)灾难备份中心的日常运行和维护;
(五)灾难恢复预案的制订、维护和演练;
(六)人员的教育和培训;
(七)监督检查和审计。
保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责:
(一)应急响应和预警报告;
(二)事件通报和沟通;
(三)损害评估、抢修拯救和敏感数据保护;
(四)灾难恢复工作的重大决策;
(五)生产中心的恢复、重建和回退;
(六)业务恢复和客户服务;
(七)资源保障和供应;
(八)媒体公关和信息通报;
(九)恢复成效评估和总结。
第十三条 从事灾难恢复的专业工作人员应符合以下要求:
(一)具备良好的职业道德和风险意识,掌握履行灾难恢复相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第四章 需求分析和策略制定
第十四条 灾难恢复需求分析包括风险分析和业务影响分析。保险机构的风险分析和业务影响分析应符合以下要求:
(一)应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。根据风险发生的概率和可能造成的损失,评估风险可接受的程度,针对不可接受的风险,制定相应的风险防范措施;
(二)应根据信息系统支持的业务区域范围,分析信息系统面临的灾难风险。应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点,以及影响范围的广泛性;
(三)应根据业务经营范围确定关键业务功能。关键业务功能包括但不限于承保、理赔、投资和财务管理等。采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。
第十五条 保险机构应根据风险分析和业务影响分析的结果,确定信息系统的灾难恢复目标,包括:
(一)信息系统的灾难恢复范围;
(二)信息系统的灾难恢复顺序;
(三)信息系统的灾难恢复能力等级。
第十六条 保险机构应加强重要数据的备份和传输安全管理,保证数据的完整性。重要数据应异地备份,防范区域性灾难风险。重要数据包括但不限于:客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。
第十七条 保险机构应根据风险分析和业务影响分析的结论,将直接或间接支持关键业务功能的信息系统分成三种类别:
第一类:信息系统短时间中断会造成重大社会影响;或影响保险机构关键业务功能,并造成重大经济损失。
第二类:信息系统短时间中断会造成较大社会影响;或影响保险机构部分关键业务功能,并造成较大经济损失。
第三类:信息系统间接支持关键业务功能;或保险机构对系统中断具有一定容忍度的系统。
第十八条 信息系统的最低灾难恢复能力等级要求:
(一)第一类
1、第4级电子传输及完整设备支持
2、RTO<=36小时,RPO<=8小时
(二)第二类
1、第3级电子传输和部分设备支持
2、RTO<=72小时,RPO<=24小时
(三)第三类
1、第2级备用场地支持
2、RTO<=7天,RPO<=36小时
第十九条 保险机构应制定统一的灾难恢复策略。灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。
保险机构应根据各信息系统的灾难恢复目标,确定灾难恢复所需的七个方面的资源要素:
(一)数据备份系统;
(二)备用数据处理系统;
(三)备用网络系统;
(四)备用基础设施;
(五)专业技术支持能力;
(六)运行维护管理能力;
(七)灾难恢复预案。
第二十条 保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。灾难恢复策略经决策层审查和批准后,按本指引要求备案。
第五章 灾难备份中心的建设与运行维护
第二十一条 保险机构的灾难备份中心应设置在中华人民共和国境内(不包括港、澳、台地区)。
保险机构应根据风险分析的结果,确定同城和/或异地灾备建设方案。灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。
第二十二条 灾难备份中心的基础设施应符合以下要求:
(一)根据信息系统和数据分布特点,选择或建设专业的灾难备份中心;
(二)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受一定的同类风险;
(三)灾难备份中心应便于灾难恢复工作的开展,考虑灾难恢复所需的数据、人员等资源可及时到达;
(四)灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施,灾难备份中心或其周边应具备所需生活设施;
(五)灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准,并通过当地消防部门验收;
(六)灾难备份中心应具有两种或两种以上的电力供应或接入方式,只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备;
(七)灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。
(八)灾难备份中心机房应具备门禁系统、监视系统和报警系统。
第二十三条 灾难备份系统的建设应符合以下要求:
(一)根据灾难恢复策略制定灾难备份系统技术方案,建立数据备份系统、备用数据处理系统和备用网络系统等。技术方案中所涉及的系统应获得同信息系统相当的安全保护,具有可扩展性;
(二)应确保技术方案满足灾难恢复策略的要求,组织开展灾难恢复技术方案和业务功能恢复的测试,并记录和保存测试结果,以保证灾难恢复时最终用户能正常使用灾难备份系统;
(三)应充分考虑到灾难备份中心接替生产中心运行后,灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求;
(四)应根据灾难恢复策略的要求,建立灾难备份系统的技术支持体系。
第二十四条 灾难备份中心的运行维护应符合以下要求:
(一)建立完善的灾难备份中心运行维护管理制度和流程,包括:灾难备份的流程和管理制度,灾难备份中心机房的管理制度,硬件系统、系统软件和应用软件的运行管理制度,灾难备份中心信息安全管理制度,灾难备份系统的变更管理流程,灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等;
(二)灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员,保障设备和系统正常稳定运行;
(三)定期检测维护灾难恢复设施,保持备份数据的一致性、可用性和完整性,保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作,保障能提供切换和运行时的技术支持;
(四)支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息;记录机房环境、系统运行和网络状态等监控信息。
第六章 资源和专业服务的获取和保障
第二十五条 灾难恢复建设可以采用自建、共建和外包等模式,并按有关要求向中国保监会备案。
第二十六条 保险机构在进行灾难恢复外包时,应根据灾难恢复策略确定外包服务范围,认真分析和评估外包存在的风险,制定相关的风险管控措施。应与外包服务商签署服务水平协议,并定期验证灾难恢复服务商的服务水平和能力,加强外包系统的安全和保密管理。中国保监会采纳国家认可的有关测评机构对灾难恢复服务商的评估结果。涉密信息系统的灾难恢复工作应符合国家有关保密规定。
灾难恢复外包服务商应至少符合以下要求,国家另有规定的应从其规定:
(一)在中华人民共和国境内注册的法人机构;
(二)具备三年以上灾难恢复外包服务经验,服务的灾难恢复外包客户不少于三家;
(三)具备完整的服务质量保证体系和信息安全管理体系,通过相关权威认证;
(四)基础设施应达到本指引的要求,灾难恢复能力等级应在四级以上;
(五)中国保监会规定的其他要求。
第二十七条 采用共建模式的灾难恢复建设应至少满足各参与单位的最低灾难恢复能力等级要求,并明确权责,签订相关的合同或协议。
第七章 灾难恢复预案的管理
第二十八条 保险机构应制订灾难恢复预案,预案应包含:灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确,适合在紧急情况下使用。
保险机构应加强灾难恢复预案与其它应急预案体系的有机结合。
第二十九条 保险机构所制定的灾难恢复预案,应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练,及时总结评估,完善灾难恢复预案,通过演练使得相关人员熟练灾难恢复操作及流程。
灾难恢复预案的演练包括但不限于桌面演练、模拟演练、实战演练、部分演练和全面演练。保险机构应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次,演练类型可以是模拟演练、实战演练、部分演练和全面演练。
演练工作文档应包含演练计划、现场记录和结论评估,演练工作文档应存档保管。
第三十条 保险机构应安排专人负责灾难恢复预案的日常维护管理,预案可以以多种形式的介质拷贝保存在不同的安全地点,并确保在生产中心以外的安全地点存放灾难恢复预案。灾难恢复预案的调用需进行严格授权。
灾难恢复预案涉及的内容发生重大变更后,应立即更新灾难恢复预案;演练后应根据演练评估结论,立即更新灾难恢复预案;每年应至少组织一次灾难恢复预案的审查和批准工作。
第三十一条 灾难恢复预案的教育和培训应贯穿灾难恢复规划和实施的全过程。保险机构应定期组织预案培训,并保存培训文档。
第八章 应急响应和灾难恢复
第三十二条 保险机构针对信息系统的风险应建立科学的预警机制,在信息系统发生紧急事件后,应建立应急指挥中心,统一领导、协调和指挥所有应急响应工作,加强信息沟通和跨部门协调,提高机构整体的应急响应和应急处置能力;组织灾难恢复专业人员尽快对事件进行响应和评估;采取相应的风险处置和弥补工作,降低可能造成的损失,防范事态恶化;根据对紧急事件的处置和评估结果,决策是否对灾难备份中心发出灾难预警或灾难宣告。
保险机构应加强媒体公关和客户服务工作,避免造成恶劣的社会影响。发生重大灾难事件,应根据有关要求,及时向中国保监会报告。
第三十三条 灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作,并及时跟踪事态变化和恢复进程,加强沟通,加强恢复工作的统一指挥和管理。
保险机构应保证并合理配置恢复所需的各项资源,确保灾难恢复工作的顺利实施。
第三十四条 保险机构应明确信息系统的重建方案,在进行信息系统重建前应评估灾难造成的损失。根据损失评估情况,结合灾难备份系统运行可接受的最长时间,确定修复或者重新建设方案,执行信息系统的重新建设和功能恢复。
信息系统的回退是指将灾难备份系统的功能转移到新建或恢复的信息系统,各项业务恢复到正常运行状态的过程。加强信息数据安全处理,防止重要信息的泄漏,将灾难备份系统恢复为备用状态。
第三十五条 灾难恢复之后,应及时组织相关人员进行总结,修订灾难恢复策略和灾难恢复预案。
第九章 审计和备案
第三十六条 灾难恢复工作的审计分为内部审计和外部审计。内部审计由保险机构内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。
中国保监会可依据法律法规,委托并授权具有资质的中介机构对保险机构进行外部审计。中介机构根据保监会或其派出机构委托或授权对保险机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。中介机构根据授权出具的审计报告经中国保监会审阅确定后具备法律效力,被审计保险机构应对该审计报告在规定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。
审计报告应作为风险管控措施的成果进行存档,审计过程所涉及的资料调阅应有交接手续,严格控制审计过程中的涉密资料的保管和发放,中介机构应保守被审计保险机构的商业秘密和风险信息。
第三十七条 审计工作主要包括以下内容:
(一)灾难恢复项目的建立和管理;
(二)风险评估和管控;
(三)组织协作和授权机制;
(四)业务影响分析;
(五)灾难恢复策略;
(六)应急管理和操作;
(七)灾难恢复预案;
(八)培训和认知;
(九)演练和维护;
(十)公共关系和危机通讯。
第三十八条 保险机构应根据信息系统的灾难恢复工作情况,确定审计频率,每三年至少进行一次审计。
第三十九条 保险机构灾难恢复工作报告和审计报告应在中国保监会进行备案。灾难恢复工作报告备案工作在每年的第一季度进行,审计报告备案工作在审计结束后的三个月内进行。灾难恢复工作报告主要内容包括:
(一)短期和中长期灾难恢复规划和策略;
(二)上年度灾难恢复工作以及重大变更情况。
第四十条 中国保监会根据工作需要,可对保险机构的信息系统灾难恢复规划、建设、运营等进行不定期抽查、现场检查。
第十章 附则
第四十一条 本指引由中国保监会负责解释、修订。
第四十二条 本指引自颁布之日起施行。