“9·11”、卡特里娜飓风、“SARS”、南方暴雨雪等等事件告诫我们：看似遥不可及的突发性灾难并非想象得那么遥远。灾难备份的最大益处就是为企业和非盈利组织“买一份万能险”，使其在突发灾难发生之后，有机会将损失降到最低——这与企业和非盈利组织购买商业保险有“异曲同工”之处。

　　让企业和非盈利组织担心的是：一旦所购买“商业保险”的保险公司也在突发灾难后业务中断，甚至关张怎么办？这并非耸人听闻，Gartner Group的调研数据显示：在经历大型灾难而导致系统停运的公司中有2/5再也没有恢复运营，剩下的公司中也有1/3在两年内破产。

　　近日，中国保监会《保险业信息系统灾难恢复管理指引》（以下简称《指引》）的印发，让有此担心的企业和非盈利组织心里“踏实”了许多。

　　5年内，保险企业灾备必须“达标”

　　与此前中国银监会、中国证监会以及其它主管行业机构所颁发的相关灾难备份、恢复法律、法规所不同的是，此次，中国保监会所印发的《指引》第一次对保险机构信息系统灾备建设进度和灾难恢复能力进行了明确要求——保险机构应统筹规划信息系统灾难恢复工作，自《指引》生效起五年内至少达到《指引》规定的最低灾难恢复能力等级要求。

　　据了解，《指引》中所指的最低灾难恢复能力等级是根据信息系统中断对社会影响、保险机构业务影响以及经济损失程度来划分的。其中，针对“信息系统短时间中断会造成重大社会影响或影响保险机构关键业务功能，并造成重大经济损失的信息系统”，《指引》要求：该系统必须具备第4级电子传输及完整设备支持；RTO（Recovery Time Object，灾难恢复时间指标）必须<=36小时、RPO（Recovery Point Object，灾难恢复数据指标）必须<=8小时。针对“信息系统短时间中断会造成较大社会影响或影响保险机构部分关键业务功能，并造成较大经济损失的系统”必须具备：第3级电子传输和部分设备支持；RTO必须<=72小时，RPO必须<=24小时。针对“间接支持关键业务功能或对系统中断具有一定容忍度的系统”必须具备第2级备用场地支持；RTO必须<=7天，RPO必须<=36小时。

　　此最低标准与2008年2月中国人民银行颁发《银行业信息系统灾难恢复管理规范》中所要求的最低标准（第一类：RTO<6小时，RPO<15分钟；第二类：RTO<24小时，RPO<120分钟；第三类：RTO<7天）相比，虽然有些偏低，但由于《指引》是中国保监会第一次明确对灾难恢复时间和灾难恢复能力进行定性、定量要求，并在灾备系统建设完成时间上“设坎”，因此“门槛”设置不高也在情理之中。并且，保险业的行业特性也决定了保险业没有必要像银行业那样对灾难恢复时间和恢复目标那样紧迫。

　　业内人士强调，该标准仅仅是一个开始，随着保险机构业务的发展、IT应用能力的提升以及灾备需求的增长，未来，中国保监会肯定还会在此基础上推出更为严格的灾备规范、要求。

　　不能“光建不管”