关于请组织申报2011年工业企业能源管理中心建设示范项目财政补助资金的通知

上一篇: 南通市人民政府关于印发《南通市市级部门预算编制管理办法（试行）》的通知
下一篇: 中国银监会关于印发《商业银行资产证券化风险暴露监管资本计量指引》的通知

建设部


关于加强房屋建筑和市政基础设施工程项目施工招标投标行政监督工作的若干意见

建市[2005]208号

各省、自治区建设厅，直辖市建委，江苏省、山东省建管局，新疆生产建设兵团建设局，解放军总后营房部工程管理局，计划单列市建委：

　　近年来，各地建设行政主管部门以建立统一、开放、竞争、有序的建筑市场为目标，不断深化招标投标体制改革，完善招标投标法律法规，依法履行行政监督职能，健全建设工程交易中心的服务功能，使招标投标工作和建设工程交易中心建设取得了新的进展。为进一步规范房屋建筑和市政基础设施工程项目（以下简称工程项目）的施工招标投标活动，维护市场秩序，保证工程质量，根据《国务院办公厅关于进一步规范招投标活动的若干意见》（国办发[2004]56号）精神，现就加强招标投标行政监督的有关工作提出如下意见。

　　一、明确招标人自行办理招标事宜的条件和监督程序

　　依法必须进行招标的工程项目，招标人自行办理施工招标事宜的，应当在发布招标公告或者发出投标邀请书的5日前，向建设行政主管部门备案，以证明其具备以下编制招标文件和组织评标的能力：具有项目法人资格或者法人资格；有从事同类工程招标的经验；有与招标项目规模和复杂程度相适应的工程技术、概预算、财务和工程管理等方面的专业技术力量，即招标人应当具有3名以上本单位的中级以上职称的工程技术经济人员，并熟悉和掌握招标投标有关法规，并且至少包括1名在本单位注册的造价工程师。

　　建设行政主管部门在收到招标人自行办理招标事宜的备案材料后，应当对照标准及时进行核查，发现招标人不具备自行办理招标事宜的条件或者在备案材料中弄虚作假的，应当依法责令其改正，并且要求其委托具有相应资格的工程建设项目招标代理机构（以下简称招标代理机构）代理招标。

　　二、完善资格审查制度

　　资格审查分为资格预审和资格后审，一般使用合格制的资格审查方式。

　　在工程项目的施工招标中，除技术特别复杂或者具有特殊专业技术要求的以外，提倡实行资格后审。实行资格预审的，提倡招标人邀请所有资格预审合格的潜在投标人（以下简称合格申请人）参加投标。

　　依法必须公开招标的工程项目的施工招标实行资格预审，并且采用经评审的最低投标价法评标的，招标人必须邀请所有合格申请人参加投标，不得对投标人的数量进行限制。

　　依法必须公开招标的工程项目的施工招标实行资格预审，并且采用综合评估法评标的，当合格申请人数量过多时，一般采用随机抽签的方法，特殊情况也可以采用评分排名的方法选择规定数量的合格申请人参加投标。其中，工程投资额1000万元以上的工程项目，邀请的合格申请人应当不少于9个；工程投资额1000万元以下的工程项目，邀请的合格申请人应当不少于7个。

　　实行资格后审的，招标文件应当设置专门的章节，明确合格投标人的条件、资格后审的评审标准和评审方法。

　　实行资格预审的，资格预审文件应当明确合格申请人的条件、资格预审的评审标准和评审方法、合格申请人过多时将采用的选择方法和拟邀请参加投标的合格申请人数量等内容。资格预审文件一经发出，不得擅自更改。确需更改的，应当将更改的内容通知所有已经获取资格预审文件的潜在投标人。

　　对潜在投标人或者投标人的资格审查必须充分体现公开、公平、公正的原则，不得提出高于招标工程实际情况所需要的资质等级要求。资格审查中还应当注重对拟选派的项目经理（建造师）的劳动合同关系、参加社会保险、正在施工和正在承接的工程项目等方面情况的审查。要严格执行项目经理管理规定的要求，一个项目经理（建造师）只宜担任一个施工项目的管理工作，当其负责管理的施工项目临近竣工，并已经向发包人提出竣工验收申请后，方可参加其他工程项目的投标。

　　三、深化对评标专家和评标活动的管理

　　各地要不断深化对已经建立的评标专家名册的管理，建立对评标专家的培训教育、定期考核和准入、清出制度。要强化对评标专家的职业道德教育和纪律约束，有组织、有计划地组织培训学习和交流研讨，提高评标专家的综合素质。对不能胜任评标工作或者有不良行为记录的评标专家，应当暂停或者取消其评标专家资格。

　　工程项目的评标专家应当从建设部或者省、自治区、直辖市建设行政主管部门组建的专家名册内抽取，抽取工作应当在建设工程交易中心内进行，并采取必要的保密措施，参与抽取的所有人员应当在抽取清单上签字。评标委员会中招标人的代表应当具备评标专家的相应条件。

　　评标工作应当在建设工程交易中心进行，有条件的地方应当建立评标监控系统。评标时间在1天以上的，应当采取必要的隔离措施，隔断评委与外界，尤其是与投标人的联系。提倡采用电子招标、电子投标和计算机辅助评标等现代化的手段，提高招标投标的效率和评标结果的准确性、公正性。

　　四、积极推行工程量清单计价方式招标

　　各地要进一步在国有资金投资的工程项目中推行《建设工程工程量清单计价规范》（以下简称《计价规范》）。工程量清单作为招标文件的重要组成部分，应当本着严格、准确的原则，依据《计价规范》的规定进行编制。

　　提倡在工程项目的施工招标中设立对投标报价的最高限价，以预防和遏制串通投标和哄抬标价的行为。招标人设定最高限价的，应当在投标截止日3天前公布。

　　五、探索实行科学、公正、合理的评标方法

　　各地要深化对经评审的最低投标价法、综合评估法等评标方法的研究，制定更加明确的标准，尤其要突出《计价规范》所要求的技术与经济密切结合的特点。

　　对于具有通用技术和性能标准的一般工程，当采用经评审的不低于成本的最低投标价法时，提倡对技术部分采用合格制评审的方法。对可能低于成本的投标，评标委员会不仅要审查投标报价是否存在漏项或者缺项，是否符合招标文件规定的要求，还应当从技术和经济相结合的角度，对工程内容是否完整，施工方法是否正确，施工组织和技术措施是否合理、可行，单价和费用的组成、工料机消耗及费用、利润的确定是否合理，主要材料的规格、型号、价格是否合理，有无具有说服力的证明材料等方面进行重点评审。在充分发挥招标投标机制实现社会资源合理分配的同时，要防止恶意的、不理性的“低价抢标”行为，维护正当的竞争秩序。

　　在推行经评审的最低投标价法的同时，除了要完善与评标程序、评标标准有关的规定外，还应当积极推行工程担保制度的实施，按市场规律建立风险防范机制。国有资金投资的工程项目实行担保的，应当由金融机构或者具有风险防范能力的专业担保机构实施担保。对于以价格低为理由，在合同履行中偷工减料、减少必要的安全施工措施和设施、拖延工期、拖欠农民工工资、降低工程质量标准等行为，要予以公开曝光，依法处理，并记入信用档案。

　　对于技术复杂的工程项目，可以采用综合评估的方法，但不能任意提高技术部分的评分比重，一般技术部分的分值权重不得高于40％，商务部分的分值权重不得少于60％。

　　所有的评标标准和方法必须在招标文件中详细载明，招标文件未载明评标的具体标准和方法的，或者评标委员会使用与招标文件规定不一致的评标标准和方法的，评标结果无效，应当依法重新评标或者重新招标。招标文件应当将投标文件存在重大偏差和应当废除投标的情形集中在一起进行表述，并要求表达清晰、含义明确。严禁针对某一投标人的特点，采取“量体裁衣”等手法确定评标的标准和方法，对这类行为应当视为对投标人实行歧视待遇，要按照法律、法规、规章的相关规定予以处理。

　　六、建立中标候选人的公示制度，加强对确定中标人的管理

　　各地应当建立中标候选人的公示制度。采用公开招标的，在中标通知书发出前，要将预中标人的情况在该工程项目招标公告发布的同一信息网络和建设工程交易中心予以公示，公示的时间最短应当不少于2个工作日。

　　确定中标人必须以评标委员会出具的评标报告为依据，严格按照法定的程序，在规定的时间内完成，并向中标人发出中标通知书。对于拖延确定中标人、随意更换中标人、向中标人提出额外要求甚至无正当理由拒不与中标人签署合同的招标人，要依法予以处理。

　　七、建立和完善各管理机构之间的联动机制，监督合同的全面履行

　　各地建设行政主管部门应当进一步建立和完善建筑市场与招标投标、资质和资格、工程造价、质量和安全监督等管理机构之间的相互联动机制，相互配合，加强对合同履行的监督管理，及时发现和严厉查处中标后随意更换项目经理（建造师）、转包、违法分包、任意进行合同变更、不合理地增加合同价款、拖延支付工程款、拖延竣工结算等违法、违规和违约行为，促进合同的全面履行，营造诚信经营、忠实履约的市场环境。同时，要建立工程信息和信用档案管理系统，及时、全面地掌握工程项目的进展情况和合同履约情况，对于发现的不良行为和违法行为，要及时予以查处，并计入相应责任单位和责任人的信用档案，向社会公布。

　　八、加强对招标代理机构的管理，维护招标代理市场秩序

　　招标代理机构必须遵循《民法通则》和《合同法》的规定，订立工程招标代理合同，严格履行民事代理责任。招标代理服务费原则上向招标人收取。

　　各地建设行政主管部门要在严格招标代理机构资格市场准入的基础上，加强对招标代理机构承接业务后的行为管理，重点是代理合同的签订、代理项目专职人员的落实、在代理过程中签字、盖章手续的履行等。应当尽快建立和实施对招标代理机构及其专职人员的清出制度，严厉打击挂靠，出让代理资格，通过采用虚假招标、串通投标等违法方式操纵招标结果，违反规定将代理服务费转嫁给投标人或者中标人，以及以赢利为目的高价出售资格预审文件和招标文件等行为。对上述行为，经查证核实的，除依法对招标代理机构进行处理外，还应当将负有直接和相关责任的专职人员清出招标代理机构。

　　各地工程招标投标行政监督机构和建设工程招标投标行业社团组织应当建立对招标代理机构专职人员的继续教育制度，通过不断的培训教育，提高其业务水平、综合素质和工程招标代理的服务质量。

　　各地建设行政主管部门要积极推动工程招标投标行业社团组织的建设，充分发挥行业社团组织的特点和优势，建立和完善工程招标投标行业自律机制，包括行业技术规范、行业行为准则以及行业创建活动等，规范和约束工程招标代理机构的行为，维护工程招标投标活动的秩序。

　　九、继续推进建设工程交易中心的建设与管理，充分发挥建设工程交易中心的作用

　　建设工程交易中心是经省级以上建设行政主管部门批准设立，为工程项目的交易活动提供服务的特殊场所，应当为非盈利性质的事业单位。各地建设行政主管部门要全面贯彻落实《国务院办公厅转发建设部、国家计委、监察部关于健全和规范有形建筑市场若干意见的通知》（国办发[2002]21号）要求，加强对建设工程交易中心的管理，继续做好与纪检监察及其他有关部门的协调工作，强化对建设工程交易中心的监督、指导和考核，及时研究、解决实际工作中遇到的困难和问题，完善服务设施，规范服务行为，提高服务质量。

　　建设工程交易中心要在充分发挥现有服务功能的基础上，积极拓展服务范围、服务内容和服务领域，为工程项目的交易活动提供全面、规范和高效的服务。当前要重点做好以下两个方面的工作：一是为全国建筑市场与工程项目招标投标的信用体系建设提供信息网络平台，为建筑市场参与各方提供真实、准确、便捷的信用状况服务，为营造诚实守信、失信必惩的建筑市场环境，提高整个行业的信用水平，推进建设领域诚信建设创造条件。各地可以以项目经理（建造师）的联网管理作为试点，取得经验后逐步向其他方面拓展。二是建立档案管理制度，加强对工程项目交易档案的管理，及时收集和整理建设工程交易活动中产生的各类文字、音像、图片资料和原始记录，并妥善保存档案资料。

　　十、切实加强工程项目施工招标投标活动的监督管理

　　各地建设行政主管部门要切实加强对工程项目施工招标投标活动的监督管理工作，依法履行好行政监督职能。

　　对于招标投标活动中的各个重要环节，应当通过完善方式、明确重点来实施有效的监督。在监督的对象上，要以国有资金投资的工程项目为重点，对非国有资金投资的工程项目的施工招标投标活动，可以转变方式，突出重点；在监督的主体上，要以招标人、招标代理机构和评标委员会为重点；在监督的方法上，除了全过程监督外，要进一步创新方法，将有针对性的过程监督和随机监督有机地结合起来，提高行政监督的效率和权威。同时，要注意发挥建设工程交易中心的作用，相互配合，形成合力，共同推进招标投标工作水平的提高。

　　要按照国家七部委颁发的《工程建设项目招标投标活动投诉处理办法》的要求，进一步加强招标投标活动中的投诉处理工作，建立和完善公正、高效的投诉处理机制，及时受理和妥善处理投诉，查处投诉处理中发现的违法行为。

　　招标投标监督管理机构是受建设行政主管部门委托，依法对工程项目的招标投标活动实施监督的职能机构，各地要积极、认真地解决好工程招标投标监督管理机构的编制、人员和经费等问题，为工程项目招标投标的监督提供保障，同时要加强工程招标投标监督管理机构的廉政建设和所属工作人员的教育和培训，提高依法监督和依法行政的水平。

中华人民共和国建设部
二○○五年十月十日


中国保险监督管理委员会


关于印发《保险业信息系统灾难恢复管理指引》的通知

保监发〔2008〕20号


各保险公司、保险资产管理公司：

　　为加强保险信息安全基础设施建设，推进信息系统灾难恢复工作，根据《中华人民共和国保险法》和国家有关信息安全法律法规，我会制订了《保险业信息系统灾难恢复管理指引》，现印发给你们，请遵照执行。

　　 　　　 　　　 　　　 　　　 　　二○○八年三月二十一日

保险业信息系统灾难恢复管理指引

第一章　总则

　　 第一条　为规范并指导我国保险业信息系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户和股东的合法权益，根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定，制定本指引。

　　第二条　保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

　　第三条　本指引所称保险机构是指，经中国保险监督管理委员会（以下简称“中国保监会”）批准设立，并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

　　第四条　本指引所称灾难恢复为信息系统灾难恢复。灾难恢复工作是指，为保障信息系统持续运营，防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作，包括：组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

　　本指引所称区域性灾难是指，造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏，关键信息网络设备毁损、重大故障或大规模人口疏散的事件，将会导致信息系统无法正常运行。例如：地震、大型公共卫生事件、恐怖袭击、区域性通信网故障、区域性电网故障、机房内关键设备毁损等。

　　本指引所称同城灾备是指，生产中心与灾难备份中心处于同一地理区域，面临同一区域性灾难风险，能够抵御小范围区域内的灾难，例如小面积停电、火灾、设备故障等，距离通常在数十公里左右。

　　本指引所称异地灾备是指，生产中心与灾难备份中心处于不同地理区域，一般不会同时面临同一区域性灾难风险，能够抵御较大范围区域内的灾难，例如大面积停电、地震、战争等，距离通常在数百公里以上。

　　本指引所称自建是指，自行出资建设和拥有灾难备份中心，为自身提供灾难恢复服务。

　　本指引所称共建是指，多个机构共同出资建设和拥有灾难备份中心，为参与单位提供灾难恢复服务。

　　本指引所称外包是指，选择外部资源来承担或协助完成信息系统灾难恢复的规划、实施、运营维护，以及应急响应和恢复工作。

　　第五条　中国保监会负责对保险业信息系统灾难恢复工作实施监督和管理。

　　第六条　《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）中的条款通过本指引的引用而成为本指引的条款。

第二章　总体工作要求

　　 第七条　保险机构应统筹规划信息系统灾难恢复工作，自本指引生效起五年内至少达到本指引规定的最低灾难恢复能力等级要求。

　　保险机构新建信息系统时，应同步规划和实施灾难备份系统建设。本指引生效后新成立的保险机构应在成立五年内达到本指引规定的最低灾难恢复能力等级要求。

　　第八条　保险机构应持续开展灾难恢复工作，以保障灾难恢复策略、灾难备份系统和灾难恢复预案的适用性。

　　灾难恢复的需求应定期进行再分析。灾难恢复需求再分析周期最长为三年。当信息系统及相关业务流程发生重大变更时，应立即启动灾难恢复需求的再分析，并根据最新的灾难恢复需求分析重审和修订灾难恢复策略。

　　保险机构应根据灾难恢复策略定期复审和调整灾难恢复技术方案、灾难恢复预案，并定期开展灾难恢复预案培训和演练工作。

　　第九条　保险机构应加强与其业务密切相关的机构间的协调，共同评估面临的风险，协同制定灾难恢复策略，提高整体风险防范和灾难恢复能力。

　　第三章　组织机构　　

　　第十条　保险机构法定代表人或主要负责人是灾难恢复工作的责任人。

　　保险机构董事会或最高决策层应参与制定和审核灾难恢复策略，保证灾难恢复策略与经营目标的一致性。

　　第十一条　灾难恢复的组织机构由保险机构的管理、业务、技术、财务和行政后勤等相关人员组成。

　　保险机构应设立灾难恢复管理委员会，统一负责灾难恢复的规划、实施、运营维护、应急响应和恢复的管理和决策工作。

　　保险机构应设立或依托现有部门设立灾难恢复工作办公室作为灾难恢复管理委员会的常设办公机构，负责处理灾难恢复工作的具体事务。

　　第十二条　保险机构灾难恢复组织机构在灾难恢复规划、实施和运营维护阶段的主要职责：

　　（一）灾难恢复需求分析和策略制订；

　　（二）资源准备和经费审批；

　　（三）灾难备份中心的选择和建设；

　　（四）灾难备份中心的日常运行和维护；

　　（五）灾难恢复预案的制订、维护和演练；

　　（六）人员的教育和培训；

　　（七）监督检查和审计。

　　保险机构灾难恢复组织机构在应急响应和恢复阶段的主要职责：

　　（一）应急响应和预警报告；

　　（二）事件通报和沟通；

　　（三）损害评估、抢修拯救和敏感数据保护；

　　（四）灾难恢复工作的重大决策；

　　（五）生产中心的恢复、重建和回退；

　　（六）业务恢复和客户服务；

　　（七）资源保障和供应；

　　（八）媒体公关和信息通报；

　　（九）恢复成效评估和总结。

　　第十三条　从事灾难恢复的专业工作人员应符合以下要求：

　　（一）具备良好的职业道德和风险意识，掌握履行灾难恢复相关岗位职责所需的专业知识和技能；

　　（二）未经岗前培训或培训不合格者不得上岗；经考核不适宜的工作人员，应及时进行调整。

第四章　需求分析和策略制定

　　 第十四条　灾难恢复需求分析包括风险分析和业务影响分析。保险机构的风险分析和业务影响分析应符合以下要求：

　　（一）应全面分析、识别可能影响信息系统正常运行的灾难风险以及来自内部和外部的威胁。根据风险发生的概率和可能造成的损失，评估风险可接受的程度，针对不可接受的风险，制定相应的风险防范措施；

　　（二）应根据信息系统支持的业务区域范围，分析信息系统面临的灾难风险。应充分考虑残余风险导致的灾难事件发生在最不利的时间和地点，以及影响范围的广泛性；

　　（三）应根据业务经营范围确定关键业务功能。关键业务功能包括但不限于承保、理赔、投资和财务管理等。采用定量和/或定性的方法分析关键业务功能的经济和非经济损失。

　　第十五条　保险机构应根据风险分析和业务影响分析的结果，确定信息系统的灾难恢复目标，包括：

　　（一）信息系统的灾难恢复范围；

　　（二）信息系统的灾难恢复顺序；

　　（三）信息系统的灾难恢复能力等级。

　　第十六条　保险机构应加强重要数据的备份和传输安全管理，保证数据的完整性。重要数据应异地备份，防范区域性灾难风险。重要数据包括但不限于：客户数据、承保数据、赔付数据、资金运用数据、财务数据及相关日志等。

　　第十七条　保险机构应根据风险分析和业务影响分析的结论，将直接或间接支持关键业务功能的信息系统分成三种类别：

　　第一类：信息系统短时间中断会造成重大社会影响；或影响保险机构关键业务功能，并造成重大经济损失。

　　第二类：信息系统短时间中断会造成较大社会影响；或影响保险机构部分关键业务功能，并造成较大经济损失。

　　第三类：信息系统间接支持关键业务功能；或保险机构对系统中断具有一定容忍度的系统。

　　第十八条　信息系统的最低灾难恢复能力等级要求：

　　（一）第一类

　　1、第4级电子传输及完整设备支持

　　2、RTO<=36小时，RPO<=8小时

　　（二）第二类

　　1、第3级电子传输和部分设备支持

　　2、RTO<=72小时，RPO<=24小时

　　（三）第三类

　　1、第2级备用场地支持

　　2、RTO<=7天，RPO<=36小时

　　第十九条　保险机构应制定统一的灾难恢复策略。灾难恢复策略包括灾难恢复建设计划、灾难恢复资源要素的具体要求和灾难恢复建设模式。

　　保险机构应根据各信息系统的灾难恢复目标，确定灾难恢复所需的七个方面的资源要素：

　　（一）数据备份系统；

　　（二）备用数据处理系统；

　　（三）备用网络系统；

　　（四）备用基础设施；

　　（五）专业技术支持能力；

　　（六）运行维护管理能力；

　　（七）灾难恢复预案。

　　第二十条　保险机构应编写风险分析报告、业务影响分析报告、灾难恢复策略报告。灾难恢复策略经决策层审查和批准后，按本指引要求备案。　　

　　第五章　灾难备份中心的建设与运行维护　　

　　第二十一条　保险机构的灾难备份中心应设置在中华人民共和国境内（不包括港、澳、台地区）。

　　保险机构应根据风险分析的结果，确定同城和/或异地灾备建设方案。灾难备份中心应具备接替运行后持续运作至生产中心正常运转的能力。

　　第二十二条　灾难备份中心的基础设施应符合以下要求：

　　（一）根据信息系统和数据分布特点，选择或建设专业的灾难备份中心；

　　（二）灾难备份中心与生产中心之间距离合理，应避免灾难备份中心与生产中心同时遭受一定的同类风险；

　　（三）灾难备份中心应便于灾难恢复工作的开展，考虑灾难恢复所需的数据、人员等资源可及时到达；

　　（四）灾难备份中心应具有业务恢复座席等灾难恢复工作所需的辅助设施，灾难备份中心或其周边应具备所需生活设施；

　　（五）灾难备份中心机房环境至少应达到《GB/T 9361-88计算站场地安全要求》B类机房标准，并通过当地消防部门验收；

　　（六）灾难备份中心应具有两种或两种以上的电力供应或接入方式，只有一种电力供应或接入方式的必须配备能够维持灾难备份中心持续稳定运行的供电设备；

　　（七）灾难备份中心与生产中心应保持两种以上的网络通讯接入线路服务。

　　（八）灾难备份中心机房应具备门禁系统、监视系统和报警系统。

　　第二十三条　灾难备份系统的建设应符合以下要求：

　　（一）根据灾难恢复策略制定灾难备份系统技术方案，建立数据备份系统、备用数据处理系统和备用网络系统等。技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性；

　　（二）应确保技术方案满足灾难恢复策略的要求，组织开展灾难恢复技术方案和业务功能恢复的测试，并记录和保存测试结果，以保证灾难恢复时最终用户能正常使用灾难备份系统；

　　（三）应充分考虑到灾难备份中心接替生产中心运行后，灾难备份系统的处理能力、存储容量、网络带宽能否满足业务运作要求；

　　（四）应根据灾难恢复策略的要求，建立灾难备份系统的技术支持体系。

　　第二十四条　灾难备份中心的运行维护应符合以下要求：

　　（一）建立完善的灾难备份中心运行维护管理制度和流程，包括：灾难备份的流程和管理制度，灾难备份中心机房的管理制度，硬件系统、系统软件和应用软件的运行管理制度，灾难备份中心信息安全管理制度，灾难备份系统的变更管理流程，灾难恢复预案以及相关技术手册的保管、分发、更新和备案制度等；

　　（二）灾难备份中心专业运行维护队伍包括基础设施和灾难备份系统运行维护和技术支持人员，保障设备和系统正常稳定运行；

　　（三）定期检测维护灾难恢复设施，保持备份数据的一致性、可用性和完整性，保障数据备份系统、备用数据处理系统、备用网络系统在灾难恢复和运行阶段的正常运作，保障能提供切换和运行时的技术支持；

　　（四）支持关键业务功能恢复的灾难备份中心应实行7×24小时监控。记录灾难备份系统运行过程中输出的相应记录表单与统计信息；记录机房环境、系统运行和网络状态等监控信息。

第六章　资源和专业服务的获取和保障　　

　　第二十五条　灾难恢复建设可以采用自建、共建和外包等模式，并按有关要求向中国保监会备案。

　　第二十六条　保险机构在进行灾难恢复外包时，应根据灾难恢复策略确定外包服务范围，认真分析和评估外包存在的风险，制定相关的风险管控措施。应与外包服务商签署服务水平协议，并定期验证灾难恢复服务商的服务水平和能力，加强外包系统的安全和保密管理。中国保监会采纳国家认可的有关测评机构对灾难恢复服务商的评估结果。涉密信息系统的灾难恢复工作应符合国家有关保密规定。

　　灾难恢复外包服务商应至少符合以下要求，国家另有规定的应从其规定：

　　（一）在中华人民共和国境内注册的法人机构；

　　（二）具备三年以上灾难恢复外包服务经验，服务的灾难恢复外包客户不少于三家；

　　（三）具备完整的服务质量保证体系和信息安全管理体系，通过相关权威认证；

　　（四）基础设施应达到本指引的要求，灾难恢复能力等级应在四级以上；

　　（五）中国保监会规定的其他要求。

　　第二十七条　采用共建模式的灾难恢复建设应至少满足各参与单位的最低灾难恢复能力等级要求，并明确权责，签订相关的合同或协议。

第七章　灾难恢复预案的管理　　

　　第二十八条　保险机构应制订灾难恢复预案，预案应包含：灾难恢复组织机构各工作岗位的职责、灾难恢复的整个过程以及灾难恢复所需的资料和配套资源等。预案的结构、内容和步骤清晰明确，适合在紧急情况下使用。

　　保险机构应加强灾难恢复预案与其它应急预案体系的有机结合。

　　第二十九条　保险机构所制定的灾难恢复预案，应按照由模拟到实际、从易到难、从局部到整体的原则进行测试和演练，及时总结评估，完善灾难恢复预案，通过演练使得相关人员熟练灾难恢复操作及流程。

　　灾难恢复预案的演练包括但不限于桌面演练、模拟演练、实战演练、部分演练和全面演练。保险机构应定期组织开展灾难恢复预案的演练工作。灾难恢复预案每年至少演练一次，演练类型可以是模拟演练、实战演练、部分演练和全面演练。

　　演练工作文档应包含演练计划、现场记录和结论评估，演练工作文档应存档保管。

　　第三十条　保险机构应安排专人负责灾难恢复预案的日常维护管理，预案可以以多种形式的介质拷贝保存在不同的安全地点，并确保在生产中心以外的安全地点存放灾难恢复预案。灾难恢复预案的调用需进行严格授权。

　　灾难恢复预案涉及的内容发生重大变更后，应立即更新灾难恢复预案；演练后应根据演练评估结论，立即更新灾难恢复预案；每年应至少组织一次灾难恢复预案的审查和批准工作。

　　第三十一条　灾难恢复预案的教育和培训应贯穿灾难恢复规划和实施的全过程。保险机构应定期组织预案培训，并保存培训文档。　　

第八章　应急响应和灾难恢复　　

　　第三十二条　保险机构针对信息系统的风险应建立科学的预警机制，在信息系统发生紧急事件后，应建立应急指挥中心，统一领导、协调和指挥所有应急响应工作，加强信息沟通和跨部门协调，提高机构整体的应急响应和应急处置能力；组织灾难恢复专业人员尽快对事件进行响应和评估；采取相应的风险处置和弥补工作，降低可能造成的损失，防范事态恶化；根据对紧急事件的处置和评估结果，决策是否对灾难备份中心发出灾难预警或灾难宣告。

　　保险机构应加强媒体公关和客户服务工作，避免造成恶劣的社会影响。发生重大灾难事件，应根据有关要求，及时向中国保监会报告。

　　第三十三条　灾难恢复工作人员应根据灾难恢复预案执行相关的指挥和操作工作，并及时跟踪事态变化和恢复进程，加强沟通，加强恢复工作的统一指挥和管理。

　　保险机构应保证并合理配置恢复所需的各项资源，确保灾难恢复工作的顺利实施。

　　第三十四条　保险机构应明确信息系统的重建方案，在进行信息系统重建前应评估灾难造成的损失。根据损失评估情况，结合灾难备份系统运行可接受的最长时间，确定修复或者重新建设方案，执行信息系统的重新建设和功能恢复。

　　信息系统的回退是指将灾难备份系统的功能转移到新建或恢复的信息系统，各项业务恢复到正常运行状态的过程。加强信息数据安全处理，防止重要信息的泄漏，将灾难备份系统恢复为备用状态。

　　第三十五条　灾难恢复之后，应及时组织相关人员进行总结，修订灾难恢复策略和灾难恢复预案。

第九章　审计和备案　　

　　第三十六条　灾难恢复工作的审计分为内部审计和外部审计。内部审计由保险机构内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。

　　中国保监会可依据法律法规，委托并授权具有资质的中介机构对保险机构进行外部审计。中介机构根据保监会或其派出机构委托或授权对保险机构进行审计时，应出示委托授权书，并依照委托授权书上规定的委托和授权范围进行审计。中介机构根据授权出具的审计报告经中国保监会审阅确定后具备法律效力，被审计保险机构应对该审计报告在规定时间内提出整改意见，并按审计报告中提出的建议进行及时整改。

　　审计报告应作为风险管控措施的成果进行存档，审计过程所涉及的资料调阅应有交接手续，严格控制审计过程中的涉密资料的保管和发放，中介机构应保守被审计保险机构的商业秘密和风险信息。

　　第三十七条　审计工作主要包括以下内容：

　　（一）灾难恢复项目的建立和管理；

　　（二）风险评估和管控；

　　（三）组织协作和授权机制；

　　（四）业务影响分析；

　　（五）灾难恢复策略；

　　（六）应急管理和操作；

　　（七）灾难恢复预案；

　　（八）培训和认知；

　　（九）演练和维护；

　　（十）公共关系和危机通讯。

　　第三十八条　保险机构应根据信息系统的灾难恢复工作情况，确定审计频率，每三年至少进行一次审计。

　　第三十九条　保险机构灾难恢复工作报告和审计报告应在中国保监会进行备案。灾难恢复工作报告备案工作在每年的第一季度进行，审计报告备案工作在审计结束后的三个月内进行。灾难恢复工作报告主要内容包括：

　　（一）短期和中长期灾难恢复规划和策略；

　　（二）上年度灾难恢复工作以及重大变更情况。

　　第四十条　中国保监会根据工作需要，可对保险机构的信息系统灾难恢复规划、建设、运营等进行不定期抽查、现场检查。　　

第十章　附则

　　第四十一条　本指引由中国保监会负责解释、修订。

　　第四十二条　本指引自颁布之日起施行。