12.1 审计
灾难恢复工作的审计分为内部审计和外部审计。内部审计由单位内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。
审计工作主要包括以下内容:
—— 风险评估和管控;
—— 组织协作和授权机制;
—— 灾难恢复策略;
—— 灾难恢复工作的制度建设
—— 灾难恢复预案的管理和维护;
—— 演练组织和演练评估;
—— 灾难备份中心的可用性和有效性。
单位应根据信息系统的灾难恢复工作情况,确定审计频率。单位应每年至少组织一次内部灾难恢复工作审计。
灾难恢复审计工作结论应形成审计报告,审计报告应作为风险内控措施的成果进行存档,可纳入IT系统年度审计。
审计过程所涉及的资料调阅应有交接手续,严格控制审计过程中涉密资料的保管和发放,中介机构应保守被审计公司的商业秘密和风险信息。
12.2 备案
单位灾难恢复工作情况应在每年年底前向中国人民银行报备,主要内容包括:
—— 单位的灾难备份中心建设及重大变更情况;
—— 单位的年度灾难恢复重大演练情况。