《信息安全技术 灾难恢复服务要求-编制说明》_第1页
《信息安全技术 灾难恢复服务要求-编制说明》_第2页
《信息安全技术 灾难恢复服务要求-编制说明》_第3页
《信息安全技术 灾难恢复服务要求-编制说明》_第4页
《信息安全技术 灾难恢复服务要求-编制说明》_第5页
已阅读5页,还剩1页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

一、任务来源

《信息安全计技术灾难恢复服务要求》(标准原名称:《信息系统灾难备份

与恢复服务要求与评估方法》)是国家标准化管理委员会2011年2月下达的国家

信息安全标准制定项目。该标准由中国信息安全认证中心牵头,并联合中国信息

安全测评中心、灾备技术国家工程实验室、北京邮电大学信息安全中心、万国数

据服务有限公司、太极计算机股份有限公司、南京南瑞集团公司、首都信息发展

股份有限公司、中金数据系统有限公司等单位共同编制。

二、标准编制过程

1.2011年2月16日,中国信息安全认证中心召集灾备技术国家工程实验

室、万国数据服务有限公司、中金数据系统有限公司等相关单位,启动

《信息系统灾难备份与恢复服务要求与评估方法》项目,同时专门设立

体系建设项目,拨付专款支持。

2.2011年2月16日-7月22日,项目组搜集国内外相关资料,重点研究

GB/T20988-2007《信息安全技术信息系统灾难恢复规范》、ISO/IEC

24762:2008Informationtechnology-Securitytechniques-Guidelinesfor

informationandcommunicationstechnologydisasterrecoveryservices(信

息技术安全技术信息与通信技术灾难恢复服务指南)、SS507:2008

SINGAPORESTANDARDFORBusinesscontinuity/disasterrecovery

(BC/DR)serviceproviders(新加坡业务连续性/灾难恢复服务提供商标

准)、BS25999-1:2006《业务连续性管理第一部分:实用规则》、NIST

SP800-34ContingencyPlanningGuideforInformationTechnologySystem

(信息系统业务连续性计划指南)等相关标准,完成标准(初稿)编制。

3.2011年7月25日-30日,通过电子邮件发送标准(初稿),征求灾备技

术国家工程实验室、万国数据服务有限公司、中金数据系统有限公司、

美国飞康软件公司等研究机构、灾备服务提供商、灾备产品厂商专家意

见。

4.2011年8月3日,联合灾备技术国家工程实验室,邀请万国数据服务有

1

限公司、中金数据系统有限公司、美国飞康软件公司等单位专家,在北

京召开第一次标准研讨会,探讨标准体系框架及主要内容。

5.2011年8月10日,联合灾备技术国家工程实验室,邀请万国数据服务

有限公司、中金数据系统有限公司、美国飞康软件公司等单位专家,在

北京召开第二次标准研讨会,讨论修改标准主要内容;

6.2011年8月23日,联合灾备技术国家工程实验室,邀请万国数据服务

有限公司、中金数据系统有限公司、美国飞康软件公司等单位专家,在

北京召开第三次标准研讨会,进一步修改标准内容;

7.2011年9月-10月,结合前三次标准研讨会成果,通过电子邮件,就具

体内容征求意见;

8.2011年10月20日,邀请灾备技术国家工程实验室等相关单位专家,召

开研讨会,完善标准核心内容;

9.2012年2月20日下午,项目组按照信安标委要求,在北京应物会议中

心,汇报该标准项目的进展情况以及下一步工作计划;

10.2012年3月15日,邀请灾备技术国家工程实验室等相关单位专家,召

开研讨会,重点讨论标准中评价部分内容;

11.2012年3月19日,参加信安标委组织的课题协调会,听取与会专家意

见,会后就专家意见对标准内容进行调整。按照专家意见,删除标准中

评估方法部分的内容,标准中仅保留服务要求部分,并把标准名称调整

为《信息安全技术信息系统灾难备份与恢复服务要求》;

12.2012年4月6日,项目组北京金泰海博大酒店,参加信安标委组织的“信

息安全服务标准研讨会”,汇报该标准研究进展。

13.2013年4月9日,项目组向安标委WG7组提交标准编制成果及今年编

制工作计划。

14.2013年9月1日,项目组按照安标委WG7组要求,向WG7组提交研究

项目进展情况报告以及最新研究成果。

15.2013年9月12日,安标委组织召开WG7在研项目检查工作会议,WG7

组赵战生副组长主持,项目组汇报项目主要内容、进展情况、编制说明、

意见汇总处理表。

2

16.2014-2015年期间,在标准成果的基础上,进一步研究云环境下灾难备份

与恢复服务、供应链安全对灾难备份与恢复服务工作的关联与影响,并

提出具体要求。

17.2016年5月,参加安标委2016年会议周,WG7组要求加快推进该标准

的编制工作。

18.2016年7月27日,项目组邀请万国数据、太极、南瑞、首信等灾难备

份与恢复服务专业机构的专家,就标准内容进行研讨。

19.2016年7月29日,项目组与中国信息安全测评中心就标准内容及工作

分工进行沟通和探讨,明确本标准与中国信息安全测评中心承担标准

《信息系统灾难恢复服务能力评估准则》的相互关系,避免标准内容冲

突和重合。

20.2016年10月19日,项目组参加安标委2016年第二次会议周,在WG7

组进行项目汇报,听取专家意见。WG7组复审结论为:标准继续有效,

同意形成标准征求意见稿,并将标准名称改为:《信息安全技术信息系

统灾难恢复服务要求》。

21.2016年11月9日,项目组将标准(征求意见稿)发中国信息安全测评

中心,供参考修改《信息系统灾难恢复服务能力评估准则》标准中灾难

恢复服务过程要求,确保两项标准服务要求相关内容一致。

22.2016年11月29日,项目组向安标委WG7组要求,提交标准(征求意

见稿)、编制说明及专家意见汇总表。

23.2017年3月17日,项目组向安标委WG7组要求,提交标准(征求意见

稿)、编制说明及专家意见汇总表。

24.2017年7月10日,项目组向安标委WG7组要求,提交标准(征求意

见稿)、编制说明及专家意见汇总表。

25.2017年7月13日,项目组参加安标委WG7工作组第2次会议(2017),

在WG7组进行项目汇报,听取专家意见。WG7组复审结论为:同意形成标准征

求意见稿。

26.2017年8月4日,项目组向安标委WG7组要求,提交标准(征求意见

稿)、编制说明及专家意见汇总表。

3

三、标准主要内容

本标准结合信息系统灾难恢复服务的工作流程,提出了组织开展信息系统

灾难恢复服务的能力要求。本标准适用于管理部门及第三方机构对信息系统灾难

恢复服务提供商进行能力评估,可供重点行业和企事业单位选择和使用灾难恢复

服务时参考,也可作为信息系统灾难恢复服务提供商开展能力自评估的参考依

据。标准内容框架如下:

目次

前言

引言

1范围

2规范性引用文件

3术语和定义

4灾难恢复服务总体要求

5灾难恢复外包服务能力要求

5.1灾难恢复服务资源配置要求

5.1.1灾难恢复外包服务资源配置要求

5.1.2灾难恢复保障服务资源配置要求

5.2灾难恢复服务过程要求

5.2.1灾难恢复规划设计服务过程要求

5.2.2灾难恢复建设实施服务过程要求

5.2.3灾难恢复运行维护服务过程要求

5.3灾难恢复服务项目组织管理要求

5.3.1项目质量管理要求

5.3.2项目的管理配置要求

5.3.3项目风险管理要求

5.3.4项目规划要求

5.3.5项目监控要求

5.3.6系统工程支持环境管理要求

5.3.7技能与知识提升服务要求

4

5.3.8与供应商协调要求

参考文献

四、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对

比情况,或与测试的国外样品、样机的有关数据对比情况

本标准参照和借鉴GB/T20988-2007《信息安全技术信息系统灾难恢复规

范》、GB/T20984-2007《信息安全技术信息安全风险评估规范》、DRIInternational

(国际灾难恢复协会)《ProfessionalPracticesforBusinessContinuityPlanners》和

《BusinessContinuityGlossary》、ISO/IEC24762:2008Information

technology-Securitytechniques-Guidelinesforinformationandcommunications

technologydisasterrecoveryservices(信息技术安全技术信息与通信技术灾难恢

复服务指南)、SS507:2008SINGAPORESTANDARDFORBusiness

continuity/disasterrecovery(BC/DR)serviceproviders.(新加坡业务连续性/灾难恢

复服务提供商标准)、NIST(美国国家标准和技术学会)《SP800-34Contingency

PlanningGuideforInformationTechnologySystem》、ISACA(信息系统审计与控

制协会)《COBITManagementGuidelines》等标准有关内容和思想,结合国家信

息系统灾难备份与恢复服务行业技术发展和实践经验制定而成。

五、与有关的现行法律、法规和强制性国家标准的关系

目前,国内仍未出台信息系统灾难备份与恢复服务相关法律、法规和强制

性国家标准。在该领域中,与此有关的标准包括2007年发布实施的国家推荐性

标准GB/T20988-2007《信息安全技术信息系统灾难恢复规范》,目前正在征求

意见的国家标准《信息安全技术灾难备份中心建设和管理规范》。GB/T

20988-2007的服务范围覆盖了灾难恢复需求确定、灾难恢复策略制定、灾难恢复

策略实现的全过程,而且要求服务方是拥有数据中心,能够给客户提供数据备份

服务的机构。然而,目前国内拥有数据中心向客户提供备份和恢复服务的机构非

常少,很多服务商虽然不能提供数据中心,但能够帮客户确定灾难恢复需求、制

定灾难恢复策略和实现灾难恢复策略。这些机构虽然服务范围没有达到

20988-2007的要求,然而也是提供了灾难备份与恢复服务。为此,我们在国标

20988-2007的基础上,从灾难备份与恢复服务提供者服务范围和能力两个角度,

划分服务级别,并提出相应要求。

5

GB/T30285-2013《灾难恢复中心建设与运维管理规范》,由于其主要承担单

位万国数据服务有限公司也参与本国标项目的编制过程,因此,主要内容相互衔

接和借鉴,同

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论