国中华人民共和国国家标准信息安全技术灾难恢复服务能力评估准则发布实施国家市场监督管理总局峪非中国国家标准化管理委员会目次引言范围规范性引用文件术语和定义缩略语灾难恢复服务能力成熟度模型概述灾难恢复服务生命周期概述灾难恢复服务能力构成要素灾难恢复服务能力成熟度模型灾难恢复服务能力要素灾难恢复服务资源配置灾难恢复服务场地资源配置能力灾难恢复系统资源配置能力灾难恢复服务团队能力灾难恢复服务过程灾难恢复服务过程综述灾难恢复需求分析灾难恢复资源获取灾难备份中心的选择和建设一一灾难备份系统技术规划及实现一一灾难备份系统运行维护及技术支持灾难恢复预案的开发及管理一一灾难恢复能力评估突发事件应急响应及灾难接管灾难恢复服务项目过程和组织过程灾难恢复服务项目过程与组织过程综述一一一质量保证管理配置一一项目规划一一项目监控管理系统工程支持环境技能和知识提舟管理项目风险与供应商协调灾难恢复服务过程能力级别定义灾难恢复服务过程能力概述一点羊一阶事平现在险叫也曲趣的咽惯例吃一事饱一一一踪且司悦和盟旦回且一品惯例公民耐也号恤噎且理寄到唱运唱由出旷田串也咛拿唱缸以二确二击矗瞠唱帚岖二鸣俨火尊勘奇司唱鼻量苦雪古牛图吆豆主叫噜五目二哥气咱哥哩且叶回斗隅且龟量是习员百噎哇旨哇主二证钱拟峻过程域与公共特征关系汇总表域维由过程域和资源配置组成灾难恢复服务的过程域包括灾难恢复服务技术过程域项目与组织过程域过程域自基本实施构成每个过程域的基本实施是构成该过程域的基本要素是该完成该过程活动的基本单元对于不同级别的能力维灾难恢复服务过程域的各个基本实施都是必须的对应于各个灾难恢复服务过程域资源配置是完成灾难恢复服务活动的基本条件但针对不同能力级别和不同的信息系统灾难恢复级别可能需要特定的资源配置条件参见附录灾难恢复服务能力要素灾难恢复服务资源配置灾难恢复服务场地资源配置能力灾难恢复场地是指由服务提供方所提供灾难恢复所帘的场地环境包括灾难恢复工作设施辅助设施生活设施及其他配套设施的建设实施能力以确保服务提供方能灾难恢复服务此外灾难恢复服务场地还满足国家相关规范同时需要具备符合安全管理要求的管理控制措施包括物理安全运行安全人员安全等安全管控措施并进行安全审计灾难恢复场地资源配置能力要求见的灾难恢复系统资源配置能力灾难恢复系统是指由服务提供方应提供的用于向服务需求方提供灾难恢复服务的设备设施及工具等以提升信息系统灾难恢复能力和服务质量为信息系统的快速恢复提供技术保障服务的设备和设施应包括但不限于数据备份系统备用数据处理系统备用网络系统灾难恢复服务工具等灾难恢复系统资源配置能力要求见的灾难恢复服务团队能力灾难恢复服务团队的能力主要体现在服务提供方的灾难恢复服务人员的服务范围团队编制岗位职责团队管理理论知识专业技能和服务经验等灾难恢复服务团队能力要求见的灾难恢复服务过程灾难恢复服务过程综述灾难恢复服务过程包括灾难恢复规划设计服务建设实施服务和安全运维管理服务三个服务阶段其中灾难恢复规划设计服务包括灾难恢复需求分析灾难恢复资惊获取方式灾难备份中心选择和建设灾难备份系统技术规划及实现灾难恢复建设实施服务包括灾难备份系统技术规划及实现灾难恢复预案的开发及管理灾难恢复安全运维管理服务包括灾难恢复系统运行维护及技术支持突发事件应急响应及灾难接管灾难恢复能力评估一一灾难恢复需求分析灾难恢复需求分析综述灾难恢复需求分析能力要求见的其中风险分析见的业务影响分析见标与策略制定见的灾难恢复目的一一凤险分析描述标识信息系统的资产价值识别信息系统丽临的自然的和人为的威胁识别信息系统的脆弱性分析各种威胁发生的可能性并定量或定性描述可能造成的损失通过技术和管理手段防范或控制信息系统的风险依据防范或控制风险的可行性和残余风险的可接受程度确定对风险的防范和控制措施风险分析的范围应至少涵盖基础环境可能丽临的供电中断地质灾害气象灾害交通通信中断以及生产中心基础设施本身的缺陷和弱点风险分析应根据业务和环境变换的情况至少每三年进行一次重新评估工作产品示例系统调研分析报告系统风险分析报告等注释信息系统资源一般包括信息系统的软硬件设备以及支撑信息系统运行的基础资源环境及数据中心等一一业务影晌分析描述分析业务功能及其相关信息系统资源评估特定灾难对各种业务功能的影响的过程对组织的各项业务功能及各项业务功能之间的相关性进行分析确定支持各种业务功能的相应信息系统资源及其他资獗明确相关信息的保密性完整性和可用性要求凡涉及到采用密码技术解决机密性完整性其实性不可否认性需求的应遵循密码相关国家标准和行业标准应采用定量和或定性的方法对各种业务功能的中断造成的影响进行评估定量分析以量化方法评估业务功能的中断可能给组织带来的直接经济损失和间接经济影响定性分析运用归纳与演绎分析与综合以及抽象与概括等方法评估业务功能的中断可能给组织带来的非经济损失确定中断造成的影响信息系统灾难恢复指标灾难恢复优先级别和灾难恢复资源需求等工作产品示例业务系统调研分析报告业务系统的关联关系分析表业务影响分析报告等一一灾难恢复目标与策略制定描述根据风险分析和业务影响分析的结果确定灾难恢复目标与策略包括关键业务功能及资源的恢复的优先顺序关键业务功能及资源的灾难恢复时间范围即和的范围工作产品示例灾难恢复策略分析报告信息系统灾难恢复等级评估报告等一一灾难恢复资源获取灾难恢复资源获取综述灾难恢复资源获取能力要求见的一一数据备份系统描述数据备份系统获取方式可由组织自行建设也可通过租用其他机构的系统而获取工作产品示例数据备份系统建议指导用户如何获取数据备份系统的建议文档一一备用数据处理系统描述备用数据处理系统获取方式可选用以下三种方式之一来获取备用数据处理系统事先购买所帘的数据处理设备并存放在灾难备份中心或安全的设备仓库事先与厂商签订紧急供货协议利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备工作产品示例备用数据处理系统建议指导用户如何获取备用数据处理系统的建议文档一一备用网络系统描述备用网络系统获取方式备用网络通信设备可通过所述的方式获取备用数据通信线路可使用自有数据通信线路或租用公用数据通信线路工作产品示例备用网络系统建议指导用户如何获取备用网络系统的建议文档一一备用基础设施描述备用基础设施获取方式可采用以下三种方式获取备用基础设施由组织所有井运行多方共建或通过互惠协议挟取租用商业化灾难备份中心的基础设施工作产品示例备用基础设施建议指导用户如何获取备用基础设施的建议文档一一技术支持能力描述技术支持能力获取方式可选用以下几种方式获取技术支持能力灾难备份中心设置专职技术支持人员与厂商签订技术支持或服务合同由第三方专业服务机掏承担技术支持由生产中心技术支持人员兼任但对于较短的关键业务功能应考虑到灾难发生时交通和通信的不正常造成技术支持人员无法提供有效支持的情况工作产品示例技术支持能力建议指导用户如何获取技术支持能力的建议文挡一一运行维护管理能力描述运行维护管理能力获取方式可选用以下对灾难备份中心的运行维护管理模式自行运行和维护委托其他机构运行和维护组织和专业服务机构共同运行维护工作产品示例运行维护管理能力建议指导用户如何获取运行维护管理能力的建议文档一一灾难恢复预案描述灾难恢复预案获取可采用以下方式完成灾难恢复预案的制定落实和管理由组织独立完成聘请外部专家指导完成委托外部机构完成工作产品示例灾难恢复预案建议指导用户如何获取灾难恢复预案的建议文挡一一灾难备份中心的选择和建设灾难备份中心的选择与建设综述灾难备份中心的选择和建设能力要求见的一一选址原则描述选择或建设灾难备份中心时应根据风险分析的结果避免灾难备份中心与主中心同时遭受同类风险灾难备份中心还应具有方便灾难恢复人员或设备到达的交通条件以及数据备份和灾难恢复所需的通信电力等资源灾难备份中心应根据资源共享平战结合的原则合理地布局工作产晶示例选址原则制定能够指导灾难备份中心选址的文档一一基础设施的要求描述灾难备份中心基础设施要求新建或选用灾难备份中心的基础设施时计算机机房应符合有关国家标准的要求工作辅助设施和生活设施应符合灾难恢复目标的要求工作产品示例基础设施要求制定能够指导灾难备份系统基础设施建设的要求文档灾难备份系统技术规划及实现灾难备份系统技术规划及实现综述灾难备份系统技术规划及实现能力要求见的一一成本凤险分析与策略制定描述分析戚本风险确定灾难恢复策略按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则以下简称成本风险平衡原则确定每项关键业务系统的灾难恢复策略不同的业务系统可采用不同的灾难恢复策略灾难恢复策略包括灾难恢复资源的获取方式灾难恢复等级各要素的具体要求工作产品示例组织总体灾难恢复策略针对单一灾难场景制定所有业务系统恢复的策略关键业务灾难恢复策略针对每项关键业务系统制定不同的灾难恢复策略一一技术路线的规划描述根据灾难恢复策略制定相应的灾难恢复系统技术路线其中应包括灾难恢复模式的确定灾难恢复中心的建设模式灾难恢复技术的选型相关配套的网络主机安全等规划工作产品示例技术路线灾难备份系统的技术路线一一技术方案的设计描述根据灾难恢复技术路线制定相应的灾难恢复系统技术方案包含数据备份系统备用数据处理系统和备用的网络系统技术方案中所设计的系统应获得同主系统相当的安全保护现在资源的再利用具有可扩展性工作产品示例技术方案灾难备份系统的技术方案一一技术方案的验证确认和系统开发描述验证确认技术方案井按照确认的方案进行开发为确保技术方案满足灾难恢复策略的要求应由服务需求方的相关部门对技术方案进行确认和验证并记录和保存验证及确认的结果按照确认的灾难恢复系统技术方案进行开发实现所要求的数据备份系统备用数据处理系统和备用网络系统工作产品示例验证及确认报告记录组织对技术方案进行确认和验证的结果的报告开发计划按照确认的灾难备份系统技术方案进行开发的计划文挡一系统安装和测试描述按照经过确认的技术方案制定各阶段的系统安装及测试计划以及支持不同关键业务功能的系统安装及测试计划并组织服务需求方共同进行测试确认以下各项功能可正确实现数据备份及数据恢复功能在限定的时间内利用备份数据正确恢复系统应用软件及各类数据并可正确恢复各项关键业务功能客户端可与备用数据处理系统通信正常工作产品示例安装计划包括针对各阶段和不同业务功能的安装计划测试计划包括针对各阶段和不同业务功能的测试计划等注释测试并实现描述中提到的功能一一灾难备份系统运行维护及技术支持灾难备份系统运行维护及技术支持综述灾难备份系统运行维护及技术支持能力要求见中一一运行维护管理能力的实现描述为了达到灾难恢复目标灾难备份中心应建立各种操作和管理制度用以保证数据备份的及时性和有效性备用数据处理系统和备用网络系统处于正常状态并与主系统的参数保持一致有效的应急响应处理能力对必要的供方服务进行有效管理工作产品示例操作管理制度能够指导运行维护管理从而达到灾难恢复目标的文档注释操作管理制度应该包括的内容见描述一一技术支持

pdf文档 GB-T 37046-2018 信息安全技术 灾难恢复服务能力评估准则

文档预览
中文文档 48 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共48页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB-T 37046-2018 信息安全技术 灾难恢复服务能力评估准则 第 1 页 GB-T 37046-2018 信息安全技术 灾难恢复服务能力评估准则 第 2 页 GB-T 37046-2018 信息安全技术 灾难恢复服务能力评估准则 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-24 14:31:09上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。