5.1 组织机构设立
单位应结合具体情况设立灾难恢复组织机构,明确工作职责。单位的灾难恢复组织机构应在灾难恢复预案中准确说明。
灾难恢复组织机构应包含灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的人员,有关人员可为专职,也可为兼职。关键岗位的人员应有备份。
可根据信息系统和分支机构情况设立不同级别的灾难恢复组织机构,如设立总行和分支机构的多级灾难恢复组织机构。
5.2 组织机构的组成和职责
灾难恢复组织机构应分为决策层、管理层和执行层。
a) 决策层主要由单位高层管理者组成,决策信息系统灾难恢复的重大事宜,主要职责如下:
—— 确定灾难恢复战略;
—— 审核批准灾难恢复策略;
—— 审核批准灾难恢复经费预算;
—— 审核批准灾难备份设施建设;
—— 审核批准灾难恢复预案;
—— 批准启动灾难恢复预案;
—— 决策应急响应与恢复重大事宜;
—— 审核批准对外情况通报和信息发布;
—— 批准生产中心的重建与回退。
b) 管理层主要由单位的业务、技术、后勤等相关部门负责人组成,在决策层领导下开展工作,负责管理和协调信息系统灾难恢复工作,主要职责如下:
—— 组织制定灾难恢复策略;
—— 编制灾难恢复经费预算;
—— 组织灾难备份中心建设;
—— 管理灾难备份中心;
—— 组织制定灾难恢复预案;
—— 组织实施灾难恢复预案的演练;
—— 协调内外部灾难恢复资源;
—— 指挥和协调应急响应与恢复工作;
—— 指挥和协调生产中心的重建与回退工作;
—— 负责内部信息通报和沟通;
—— 组织和管理媒体公关工作;
—— 监督、检查和总结灾难恢复工作。
c) 执行层主要由单位的业务、技术、后勤等相关部门工作人员和外部机构人员组成,在管理层的领导下,负责灾难恢复的具体实施工作,主要职责如下:
—— 提出灾难恢复需求和策略建议;
—— 实施灾难备份中心建设;
—— 运行维护灾难备份中心;
—— 提供灾难恢复的专业技术支持;
—— 开发、测试、培训、演练和维护灾难恢复预案;
—— 实施应急响应和恢复工作;
—— 实施生产中心的重建和回退工作;
—— 负责灾难恢复过程的记录、报告和通讯联络;
—— 承担灾难抢修、拯救和损害评估;
—— 负责资源保障和供应;
—— 负责灾难发生后的外部协作;
—— 分析和总结灾难恢复工作。