XX版CISP0304应急响应与灾难恢复v30

XX版-CISP0304应急响应与灾难恢复_v302023/5/27XX版CISP0304应急响应与灾难恢复v30课程内容2知识体知识域知识子域应急响应与灾难恢复信息系统灾难恢复灾难恢复概况信息安全应急响应管理过程信息安全事件分类分级灾难恢复管理过程应急响应概况计算机取证灾难恢复相关技术灾难恢复能力备份技术备用场所XX版CISP0304应急响应与灾难恢复v30知识域：应急响应概况知识子域：信息安全事件分类分级理解信息安全事件和应急响应的基本概念了解国际和我国的信息安全应急响应组织了解我国信息安全事件应急响应工作的进展情况、政策要求和相关标准理解我国信息安全事件分类、分级方法XX版CISP0304应急响应与灾难恢复v30基本概念GB/T24363-2009信息安全应急响应计划规范信息安全事件由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件应急响应组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施XX版CISP0304应急响应与灾难恢复v30GB/Z20985-2007信息安全事件管理指南信息安全事件响应组

由组织中具备适当技能且可信的成员组成的一个小组，负责处理与信息安全事件相关的全部工作，有时小组可能有外部专家加入CERT计算机应急响应组国际或国家公认的计算机应急响应组织

基本概念XX版CISP0304应急响应与灾难恢复v30国际信息安全应急响应组织美国计算机紧急事件响应小组协调中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件响应与安全组织论坛（ForumofIncidentResponseandSecurityTeams,FIRST）

亚太地区计算机应急响应组（AsiaPacificComputerEmergencyResponseTeam,APCERT）

欧洲计算机网络研究教育协会（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)

XX版CISP0304应急响应与灾难恢复v30我国信息安全应急响应组织国家计算机网络应急技术处理协调中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中国教育和科研计算机网紧急响应组(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)

国家计算机病毒应急处理中心

国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心XX版CISP0304应急响应与灾难恢复v30应急响应组织的一般构成XX版CISP0304应急响应与灾难恢复v30国家政策要求和相关标准《关于加强信息安全保障工作的意见》（中办发『2003』27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”

GB/T24363-2009

《信息安全应急响应计划规范》GB/T20988-2007《信息系统灾难恢复规范》GB/Z20985-2007《信息安全事件管理指南》GB/Z20986-2007《信息安全事件分类分级指南》XX版CISP0304应急响应与灾难恢复v30我国信息安全事件分类方法GB/Z20986-2007《信息安全事件分级分类指南》7个基本类别有害程序事件：病毒、蠕虫、木马等网络攻击事件：DOS、后门攻击、扫描、钓鱼等信息破坏事件：信息被篡改、假冒、窃取等信息内容安全事件：危害国家安全、社会稳定等设备设施故障：软硬件自身故障和人为非技术破坏等灾害性事件：自然灾害、战争等其他信息安全事件：不能归为以上6个类别的事件XX版CISP0304应急响应与灾难恢复v30我国信息安全事件分级方法分级要素GB/Z20986-2007《信息安全事件分级分类指南》XX版CISP0304应急响应与灾难恢复v30我国信息安全事件分级方法GB/Z20986特别重大事件重大事件较大事件一般事件1级2级3级4级XX版CISP0304应急响应与灾难恢复v30知识域：应急响应概况知识子域：信息安全应急响应管理过程掌握信息安全应急响应阶段方法论掌握准备、检测、遏制、根除等应急响应阶段的主要工作内容掌握信息安全应急响应计划编制方法XX版CISP0304应急响应与灾难恢复v30应急响应六阶段第一阶段：准备——让我们严阵以待第二阶段：检测——对情况综合判断第三阶段：遏制——制止事态的扩大第四阶段：根除——彻底的补救措施第五阶段：恢复——系统恢复常态第六阶段：跟踪总结——还会有第二次吗XX版CISP0304应急响应与灾难恢复v30第一阶段—准备预防为主微观确定重要资产和风险，实施针对风险的防护措施编制和管理应急响应计划建立和训练应急响应组织准备相关的资源人力资源、财力资源、物质资源、技术资源、社会关系资源宏观建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定XX版CISP0304应急响应与灾难恢复v30编制和管理应急响应计划应急响应计划，是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程应急响应计划的制定是一个周而复始、持续改进的过程，包含以下几个阶段（1）应急响应需求分析和应急响应策略的确定（2）编制应急响应计划文档（3）应急响应计划的测试、培训、演练和维护应急响应计划主要内容总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施、附件XX版CISP0304应急响应与灾难恢复v30第二阶段—检测检测事件、确定事件性质和处理人微观进行监测、报告及信息收集确定事件类别和级别指定事件处理人，进行初步响应评估事件的影响范围事件通告（信息通报、信息上报、信息披露）宏观：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急方案XX版CISP0304应急响应与灾难恢复v30第三阶段—遏制限制事件影响的范围、损失微观启动应急响应计划确定适当的响应方式实施遏制行动要求用户按应急行为规范要求配合遏制工作宏观确保封锁方法对各网业务影响最小通过协调争取各网一致行动，实施隔离汇总数据，估算损失和隔离效果XX版CISP0304应急响应与灾难恢复v30第四阶段—根除长期的补救措施微观详细分析，确定原因实施根除措施，消除原因宏观加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题加强检测工作，发现和清理行业与重点部门的问题XX版CISP0304应急响应与灾难恢复v30第五阶段—恢复微观根据破坏程度决定是在原系统还是备份系统中恢复按恢复优先顺序恢复系统和业务运行可能需要执行以下事务性步骤和技术性恢复操作获得访问相关区域和资源的授权获取备份介质等相关资源恢复系统数据启用备份系统重建主系统宏观持续汇总分析，判断遏制、根除效果通过汇总分析的结果判断仍然受影响的终端的规模适当时解除封锁措施XX版CISP0304应急响应与灾难恢复v30第六阶段—跟踪总结关注系统恢复以后的安全状况，记录跟踪结果评估损失、响应措施效果分析和总结经验、教训重新评估和修改安全策略、措施和应急响应计划对进入司法程序的事件，进行进一步调查，打击违法犯罪活动编制并提交应急响应报告处理人时间和时段地点工作量事件的类类别、级别对事件的处置情况损失经验、教训XX版CISP0304应急响应与灾难恢复v30知识域：应急响应概况知识子域：计算机取证了解计算机取证的概念和目的了解计算机取证的基本步骤XX版CISP0304应急响应与灾难恢复v30计算机取证的概念、目的、原则计算机取证使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动提取和保护的是电子证据，相关工作主要围绕两个方面进行：证据的获取和证据的分析目的查找肇事者、推断犯罪过程、判断受害者损失程度、提供法律支持原则合法原则、充分授权原则、优先保护证据原则、全程监督原则XX版CISP0304应急响应与灾难恢复v30计算机取证的步骤XX版CISP0304应急响应与灾难恢复v30计算机取证-准备获取授权取证工作获得明确的授权（授权书）目标明确对取证的目的有清晰的认识工具准备对取证环境的了解及需要准备的工具软件准备对取证的软件进行过有效的验证介质准备确保有符合要求的干净的介质可用于取证XX版CISP0304应急响应与灾难恢复v30计算机取证-保护保证数据安全性制作磁盘映像——不在原始磁盘上操作保证数据完整性取证中不使用可能破坏完整性的操作第三方监督所有操作都有第三方在场监督XX版CISP0304应急响应与灾难恢复v30计算机取证-提取优先提取易消失的证据内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存文件系统数据恢复、隐藏文件、加密文件、系统日志应用系统系统日志XX版CISP0304应急响应与灾难恢复v30计算机取证-分析及提交证据在什么地方？日志、删除的文件、临时文件、缓存从证据中能发现什么？如何关联证据？电子取证提交必须与现实取证结合，文档化很重要XX版CISP0304应急响应与灾难恢复v30知识域：信息系统灾难恢复知识子域：灾难恢复概况了解灾难恢复的历史和背景、进展情况、政策要求和相关标准理解业务连续性管理与灾难恢复相关的基本概念了解灾难恢复组织的一般结构和职责理解组织应依据自身业务特点制定适宜的灾难恢复战略理解编制详细准确的备份策略和恢复步骤文档是成功恢复的基础，理解恢复性测试的重要性XX版CISP0304应急响应与灾难恢复v30灾难恢复的历史和背景20世纪90年代末期，开始关注数据安全，进行数据的备份。但当时，不论从灾难恢复理论水平，重视程度，从业人员数量质量，还是技术水平方面都还很不成熟。2000年，“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注，但“9.11”事件所引起的震动真正地引起了大家对灾难恢复的关注XX版CISP0304应急响应与灾难恢复v30我国灾难恢复进展情况各行业用户对信息安全的建设越来越重视投入呈现稳定增长的态势。但，大部分单位还没有有效的灾难恢复策略没有建立统一的业务连续管理机制随着国内信息化建设的不断完善、数据大集中的开展和国家对灾难恢复工作的高度重视，越来越多的单位和部门认识到灾难恢复的重要性和必要性，开展灾难恢复建设的时机已基本成熟一些大型行业已建设或启动灾备中心建设XX版CISP0304应急响应与灾难恢复v30我国国内灾难恢复的国家政策和标准2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》，要求：各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定和不断完善信息安全应急处置预案2004年，国信办《关于做好重要信息系统灾难备份工作的通知》，强调了“统筹规划、资源共享、平战结合”的灾备工作原则2005年，国务院信息化办公室《重要信息系统灾难恢复指南》2007年，《信息安全技术信息系统灾难恢复规范》（GB/T20988—2007）XX版CISP0304应急响应与灾难恢复v30灾难恢复相关基本概念灾难（disaster）由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行SARS灾难备份(backupfordisasterrecovery)为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程灾难恢复(disasterrecovery)为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程XX版CISP0304应急响应与灾难恢复v30规划和预案（GB/T20988）灾难恢复规划（disasterrecoveryplanning）为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。灾难恢复预案（disasterrecoveryplan）定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。XX版CISP0304应急响应与灾难恢复v30BCP和BCM（GB/T20988）业务连续性规划（BusinessContinuityPlanning，BCP）是灾难事件的预防和反应机制，是一系列事先制定的策略和规划，确保单位在面临突发的灾难事件时，关键业务功能能持续运作、有效的发挥作用，以保证业务的正常和连续。业务连续规划不仅仅包括对信息系统的恢复，而且包括关键业务运作、人员及其它重要资源等的恢复和持续业务连续性管理（BusinessContinuityManagement，BCM）为保护组织的利益、声誉、品牌和价值创造活动，找出对组织有潜在影响的威胁，提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理，以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程XX版CISP0304应急响应与灾难恢复v30RPO－RecoveryPointObjective，恢复点目标定义：灾难发生后，系统和数据必须恢复到的时间点要求代表了当灾难发生时允许丢失的数据量RTO－RecoveryTimeObjective，恢复时间目标定义：灾难发生后，信息系统和业务功能从停顿到必须恢复的时间要求代表了企业能容忍的信息系统和业务功能恢复的时间恢复点目标-RPO/恢复时间目标-RTO秒分小时日周秒分小时日周恢复点恢复时间XX版CISP0304应急响应与灾难恢复v30主中心与灾难备份中心、

主系统与灾难备份系统主中心(主站点/生产中心)，是指主系统所在的数据中心灾难备份中心（备用站点），是指用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生产设施主系统（生产系统），是指正常情况下支持组织日常运作的信息系统。包括主数据、主数据处理系统和主网络灾难备份系统，是指用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统XX版CISP0304应急响应与灾难恢复v30灾难恢复组织灾难恢复组织应由管理、业务、技术和行政后勤等人员组成，通常会分为灾难恢复规划领导小组、灾难恢复规划实施组和灾难恢复规划日常运行组等角色可聘请外部专家协助灾难恢复规划工作，也可委托外部机构承担实施组和运行组的部分或全部工作一般的灾难恢复组织结构XX版CISP0304应急响应与灾难恢复v30灾难恢复战略合适的数据备份及恢复战略是避免丢失重要数据、有效恢复和满足业务运营需要的保证组织应根据自身的业务性质、数据特点、信息系统规模、业务影响分析的结果（主要是RTO、RPO这两个指标），来制定适当的备份及恢复战略比如，实时性业务与非实时性业务的的战略应完全不同备份及恢复战略的不同，将决定组织选择不同的存储技术、备份技术、备用场所XX版CISP0304应急响应与灾难恢复v30备份策略和恢复步骤及测试备份、备份数据的测试，是恢复的基础应识别所有需要备份的数据项，编制诸如《备份策略和恢复步骤》的文档，分别描述每一备份项的备份策略、详细恢复步骤、测试要求因为不同类型的数据，其特点不同，备份策略和恢复步骤可能完全不同恢复步骤应足够详细XX版CISP0304应急响应与灾难恢复v30知识域：信息系统灾难恢复知识子域：灾难恢复管理过程掌握灾难恢复管理工作的主要内容掌握灾难恢复规划过程：灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理理解同城和异地灾难备份中心的优缺点XX版CISP0304应急响应与灾难恢复v30灾难恢复管理工作的主要内容灾难恢复规划灾难备份中心的日常运行灾难发生后的应急响应关键业务功能在灾难备份中心的恢复和运行主系统的灾后重建灾难恢复的外部协作灾难恢复的审计和备案XX版CISP0304应急响应与灾难恢复v30灾难恢复规划灾难恢复规划：是一个周而复始的、持续改进的过程，包含以下四个阶段灾难恢复需求分析灾难恢复策略制定灾难恢复策略实现灾难恢复预案的制定和管理XX版CISP0304应急响应与灾难恢复v30灾难恢复规划管理过程业务影响分析制定灾难恢复策略实现灾难恢复策略灾难恢复预案的制定、落实和管理分析业务功能和相关资源配置评估中断影响确定灾难恢复资源获取方式确定对灾难恢复资源的要求选择和建设灾难备份中心实现灾难备份系统技术方案实现专业技术支持能力实现运行维护管理能力制定灾难恢复预案教育、培训和演练灾难恢复预案更新维护灾难恢复预案风险分析标识资产标识威胁标识脆弱性标识现有控制分析风险灾难恢复需求分析灾难恢复策略制定灾难恢复预案制定和管理灾难恢复策略实现确定灾难恢复目标确定关键业务及恢复优先顺序确定RTO/RPOXX版CISP0304应急响应与灾难恢复v301.灾难恢复需求分析风险分析业务影响分析（BIA）确定灾难恢复目标恢复时间XX版CISP0304应急响应与灾难恢复v30明确关键业务功能和支持关键业务功能的关键应用系统明确系统中断对业务的损失和影响明确各业务系统的恢复目标和内外部依赖关系确定各业务功能灾难恢复指标（RTO/RPO）明确各业务功能恢复的最小资源需求及恢复策略业务影响分析（BIA）XX版CISP0304应急响应与灾难恢复v30确定灾难恢复目标XX版CISP0304应急响应与灾难恢复v302.灾难恢复策略制定数据备份系统备用数据处理系统备用网络系统备用基础设施专业技术支持能力运行维护管理能力灾难恢复预案恢复要素策略制定主要内容1.确定所需的灾难恢复资源2.明确恢复资源的获取方式3.明确对恢复资源的具体要求(需要具备的灾难恢复能力等级)XX版CISP0304应急响应与灾难恢复v30例如：灾难恢复资源的获取方式备用基础设施由单位所有或运行多方共建或通过互惠协议获取租用商业化灾难备份中心的基础设施备用数据处理系统事先与厂商签订紧急供货协议事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备XX版CISP0304应急响应与灾难恢复v30例如：确定灾难恢复等级各要素的要求数据备份系统数据备份的范围数据备份的时间间隔数据备份的技术及介质数据备份线路的速率及相关通信设备的规格和要求备用基础设施与生产中心的距离要求场地和环境（如面积、温度、湿度、防火、电力和工作时间等）要求运行和管理要求XX版CISP0304应急响应与灾难恢复v303、灾难恢复策略实现灾难备份中心的选择和建设选址原则基础设施要求灾难备份系统技术方案的实现技术方案的设计、验证、开发、安装和测试专业技术支持能力的实现明确灾难恢复策略的要求建立技术支持组织，定期技能培训运行维护管理能力的实现灾难备份中心应建立各种操作规程和管理制度保证备份的及时性和有效性保证有效的应急响应、处理能力XX版CISP0304应急响应与灾难恢复v30灾难备份中心的选择和建设选址原则避免灾难备份中心与生产中心同时遭受同类风险具备通信、电力资源和交通条件统筹规划、资源共享、平战结合基础设施要求计算机机房应符合有关国家标准工作辅助设施和生活设施要符合灾难恢复目标的要求XX版CISP0304应急响应与灾难恢复v30灾难备份中心的选择和建设同城和异地

同城异地含义指灾难备份中心与生产中心处于同一区域性风险威胁的地点，但又有一定距离的地点，例如在数十公里以内灾难备份中心不会同时遭受与生产中心同一区域性风险威胁的地点，例如距离生产中心在数百公里以上优点技术上可以支持同步的数据实时备份方式、便于运营管理和灾难演练对地震、地区停电、战争等大规模灾难防范能力较强缺点抵御灾难能力方面有局限性，对地震、地区停电、战争等大规模灾难防范能力较弱技术上只能支持异步或者定点拷贝的数据复制方式、运营管理和灾难演练的成本较高XX版CISP0304应急响应与灾难恢复v30灾难备份系统技术方案的实现三个主要步骤：技术方案的设计，技术方案的验证、确认和系统开发，系统安装和测试典型的灾难备份系统技术方案架构XX版CISP0304应急响应与灾难恢复v30专业技术支持能力的实现、

运行维护管理能力的实现灾难备份中心应建立相应的技术支持组织，定期对技术支持人员进行技能的教育和培训，以实现专业技术支持能力灾难备份中心应建立各种操作规程和管理制度，以实现运行维护管理能力XX版CISP0304应急响应与灾难恢复v304、灾难恢复预案的制定和管理灾难恢复预案的制定灾难恢复预案的教育、培训和演练灾难恢复预案的管理XX版CISP0304应急响应与灾难恢复v30灾难恢复预案的制定灾难恢复预案包括的主要内容确定风险场景描述可能受到的业务影响描述使用的预防性策略描述灾难恢复策略识别和排列关键应用系统行动计划团队和人员的职责联络清单所需资源配置XX版CISP0304应急响应与灾难恢复v30灾难恢复预案的制定制定灾难恢复预案的原则完整性易用性明确性有效性兼容性制定灾难恢复预案的一般流程制定框架起草评审修订测试完善审核和批准XX版CISP0304应急响应与灾难恢复v30灾难恢复预案的教育、培训和演练目的：在灾难来临前使相关人员了解灾难恢复的目标和流程，熟悉恢复操作规程教育：在规划初期即开始进行灾难恢复观念的宣传教育培训：评估培训需求，确定培训的频次和范围，开发培训课程，保留培训记录演练：制定演练计划，说明演练场景，记录演练过程，编制演练报告XX版CISP0304应急响应与灾难恢复v30演练与演习的类型演练和演习的主要方式桌面演练模拟演练实战演练等根据演练和演习的深度，可分为数据级演练应用级演练业务级演练等根据演练和演习的准备情况，可分为计划内的演练和演习计划外的演练和演习等XX版CISP0304应急响应与灾难恢复v30灾难恢复预案的管理按以下原则保存和分发指派专人负责制作多份拷贝，保存在不同地点分发给参与恢复工作的所有人员每次修订后统一更新所有拷贝按有关规定销毁旧版本为保证预案的有效性在发生各种变化后，及时更新预案在测试、演练、灾难发生后实际执行过预案以后，评估并修订定期评审和修订XX版CISP0304应急响应与灾难恢复v30知识域：信息系统灾难恢复知识子域：灾难恢复能力掌握国家有关标准对信息系统灾难恢复能力级别的划分理解各恢复能力级别对各类灾难恢复资源要素的指标要求掌握确定组织自身所需灾难恢复能力级别的方法XX版CISP0304应急响应与灾难恢复v30灾难恢复资源要素与恢复能力等级划分专业技术支持能力运行维护管理能力XX版CISP0304应急响应与灾难恢复v30第1级—基本支持要素要求数据备份系统完全数据备份至少每周一次备份介质场外存放备用数据处理系统

—备用网络系统

—备用基础设施有符合介质存放条件的场地专业技术支持能力

—运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案64XX版CISP0304应急响应与灾难恢复v30第2级—备用场地支持要素要求数据备份系统完全数据备份至少每周一次备份介质场外存放备用数据处理系统配备灾难恢复所需的部分备用数据处理设备，或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地备用网络系统配备部分通信线路和相应的网络设备，或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地备用基础设施有符合介质存放条件的场地有满足信息系统和关键业务功能恢复运作要求的场地专业技术支持能力

—运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用站点管理制度与相关厂商有符合灾难恢复时间要求的紧急供货协议与相关运营商有符合灾难恢复时间要求的备用通信线路协议灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案。XX版CISP0304应急响应与灾难恢复v30第3级—电子传输和部分设备支持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放每天多次利用通信网络将关键数据定时批量传送至备用场地备用数据处理系统配备灾难恢复所需的部分数据处理设备备用网络系统配备部分通信线路和相应的网络设备备用基础设施有符合介质存放条件的场地有满足信息系统和关键业务功能恢复运作要求的场地66XX版CISP0304应急响应与灾难恢复v30第3级—电子传输和部分设备支持要素要求专业技术支持能力在备用站点有专职的计算机机房运行管理人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房管理制度有备用数据处理设备硬件维护管理制度有电子传输数据备份系统运行管理制度灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案67XX版CISP0304应急响应与灾难恢复v30第4级—电子传输及完整设备支持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放每天多次利用通信网络将关键数据定时批量传送至备用场地备用数据处理系统配备灾难恢复所需的全部数据处理设备，并处于就绪状态或运行状态备用网络系统配备灾难恢复所需的通信线路配备灾难恢复所需的网络设备，并处于就绪状态

备用基础设施有符合介质存放条件的场地有符合备用数据处理系统和备用网络设备运行要求的场地有满足关键业务功能恢复运作要求的场地以上场地应保持7x24小时运作68XX版CISP0304应急响应与灾难恢复v30第4级—电子传输及完整设备支持要素要求专业技术支持能力在备用站点有：7x24小时专职计算机机房管理人员专职数据备份技术支持人员专职硬件、网络技术支持人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房运行管理制度有硬件和网络运行管理制度有电子传输数据备份系统运行管理制度灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案69XX版CISP0304应急响应与灾难恢复v30第5级—实时数据传输及完整设备支持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放采用远程数据复制技术，并利用通信网络将关键数据实时复制到备份场地备用数据处理系统配备灾难恢复所需的全部数据处理设备，并处于就绪或运行状态备用网络系统配备灾难恢复所需的通信线路配备灾难恢复所需的网络设备，并处于就绪状态具备通信网络自动或集中切换能力备用基础设施有符合介质存放条件的场地有符合备用数据处理系统和备用网络设备运行要求的场地有满足关键业务功能恢复运作要求的场地以上场地应保持7x24小时运作70XX版CISP0304应急响应与灾难恢复v30第5级—实时数据传输及完整设备支持要素要求专业技术支持能力在备用站点7x24小时有专职的：计算机机房管理人员数据备份技术支持人员硬件、网络技术支持人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房运行管理制度有硬件和网络运行管理制度有实时数据备份系统运行管理制度灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案71XX版CISP0304应急响应与灾难恢复v30第6级—数据零丢失和远程集群支持要素要求数据备份系统完全数据备份至少每天一次备份介质场外存放远程实时备份，实现数据零丢失备用数据处理系统备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容应用软件是“集群的”，可实时无缝切换具备远程集群系统的实时监控和自动切换能力备用网络系统配备与生产系统相同等级的通信线路和网络设备备用网络处于运行状态最终用户可通过网络同时接入主、备中心备用基础设施有符合介质存放条件的场地有符合备用数据处理系统和备用网络设备运行要求的场地有满足关键业务功能恢复运作要求的场地以上场地应保持7x24小时运作72XX版CISP0304应急响应与灾难恢复v30第6级—数据零丢失和远程集群支持要素要求专业技术支持能力在备用站点7x24小时有专职的：计算机机房管理人员专职数据备份技术支持人员专职硬件、网络技术支持人员专职操作系统、数据库和应用软件技术支持人员运行维护管理能力有介质存取、验证和转储管理制度按介质特性对备份数据进行定期的有效性验证有备用计算机机房运行管理制度有硬件和网络运行管理制度有实时数据备份系统运行管理制