GB/T 37046-2018信息安全技術災難恢復服務能力評估準則

ICS35040

L80.

中華人民共和國國家標準

GB/T37046—2018

信息安全技術

災難恢復服務能力評估準則

Informationsecuritytechniques—

Assessmentcriteriafordisasterrecoveryservicecapability

2018-12-28發(fā)布2019-07-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T37046—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

災難恢復服務能力成熟度模型概述

5……………………3

災難恢復服務生命周期概述

5.1………………………3

災難恢復服務能力構成要素

5.2………………………4

災難恢復服務能力成熟度模型

5.3……………………5

災難恢復服務能力要素

6…………………6

災難恢復服務資源配置

6.1……………6

災難恢復服務場地資源配置能力

6.1.1……………6

災難恢復系統(tǒng)資源配置能力

6.1.2…………………7

災難恢復服務團隊能力

6.1.3………………………7

災難恢復服務過程

6.2…………………7

災難恢復服務過程綜述

6.2.1………………………7

災難恢復需求分析

6.2.2PA01———…………………7

災難恢復資源獲取

6.2.3PA02———…………………8

災難備份中心的選擇和建設

6.2.4PA03———………10

災難備份系統(tǒng)技術規(guī)劃及實現(xiàn)

6.2.5PA04———……………………11

災難備份系統(tǒng)運行維護及技術支持

6.2.6PA05———………………13

災難恢復預案的開發(fā)及管理

6.2.7PA06———………13

突發(fā)事件應急響應及災難接管

6.2.8PA07———……………………15

災難恢復能力評估

6.2.9PA08———…………………16

災難恢復服務項目過程和組織過程

6.3………………17

災難恢復服務項目過程與組織過程綜述

6.3.1……………………17

質(zhì)量保證

6.3.2PA09———……………17

管理配置

6.3.3PA10———……………19

管理項目風險

6.3.4PA11———………………………20

項目規(guī)劃

6.3.5PA12———……………21

項目監(jiān)控

6.3.6PA13———……………22

管理系統(tǒng)工程支持環(huán)境

6.3.7PA14———……………23

技能和知識提升

6.3.8PA15———……………………24

與供應商協(xié)調(diào)

6.3.9PA16———………………………25

災難恢復服務過程能力級別定義

7………………………26

災難恢復服務過程能力概述

7.1………………………26

Ⅰ

GB/T37046—2018

能力級別基本執(zhí)行級

7.21———………………………27

基本執(zhí)行級綜述

7.2.1………………27

公共特征執(zhí)行基本實施

7.2.21.1———……………27

能力級別計劃與跟蹤級

7.32———……………………27

計劃與跟蹤級綜述

7.3.1……………27

公共特征規(guī)劃執(zhí)行

7.3.22.1———…………………28

公共特征規(guī)范化執(zhí)行

7.3.32.2———………………29

公共特征驗證執(zhí)行

7.3.42.3———…………………30

公共特征跟蹤執(zhí)行

7.3.52.4———…………………30

能力級別充分定義級

7.43———………………………31

充分定義級綜述

7.4.1………………31

公共特征定義標準過程

7.4.23.1———……………31

公共特征執(zhí)行已定義過程

7.4.33.2———…………32

公共特征協(xié)調(diào)實施

7.4.43.3———…………………33

能力級別量化控制級

7.54———………………………34

量化控制級綜述

7.5.1………………34

公共特征建立可測的質(zhì)量目標

7.5.24.1———……………………34

公共特征客觀地管理執(zhí)行

7.5.34.2———…………35

能力級別持續(xù)改進級

7.65———………………………35

持續(xù)改進級綜述

7.6.1………………35

公共特征改進組織能力

7.6.25.1———……………35

公共特征改進過程有效性

7.6.35.2———…………36

災難恢復服務能力評估

8…………………37

概述

8.1…………………37

災難恢復服務能力評估

8.2……………37

本標準附錄的適用性說明

8.3…………38

附錄資料性附錄災難恢復級別與使用的工具設備參考表

A()………40

附錄規(guī)范性附錄災難恢復服務與過程域?qū)?/p>

B()…………………42

附錄規(guī)范性附錄災難恢復能力級別與能力要素的映射表

C()………43

Ⅱ

GB/T37046—2018

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全測評中心中國網(wǎng)絡安全審查技術與認證中心中國電子技術標準

:、、

化研究院萬國數(shù)據(jù)服務有限公司中電長城網(wǎng)際系統(tǒng)應用有限公司北京華勝天成科技股份有限公司

、、、、

北京市太極華青信息系統(tǒng)有限公司國富瑞數(shù)據(jù)系統(tǒng)有限公司清華大學中國民航大學上海信息安全

、、、、

工程技術研究中心

。

本標準主要起草人孫明亮李斌位華王琰劉作康張曉菲張劍魏立茹程瑜琦許玉娜

:、、、、、、、、、、

王惠蒞關繼錚閔京華劉洋閆城安新亞李杰魏剛毅劉瑋雷縉葉曉俊陸麗汪濤武勇

、、、、、、、、、、、、、。

Ⅲ

GB/T37046—2018

引言

本標準參照和借鑒信息安全技術信息安全服務能力評估準則

GB/T30271—2013《》、

信息安全技術信息系統(tǒng)災難恢復規(guī)范信息技術系統(tǒng)安

GB/T20988—2007《》、GB/T20261—2006《

全工程能力成熟度模型信息技術安全技術系統(tǒng)安全工程能力成熟度模

》、ISO/IEC21827:2008《

型??的有關內(nèi)容和思想結合國內(nèi)外實踐經(jīng)驗制定而成

(SSE-CMM)》,。

本標準內(nèi)容是在的框架下對信息系統(tǒng)災難恢復服務能力評估的具體細化是

GB/T30271—2013,

針對信息系統(tǒng)災難恢復組織的服務能力進行的評估框架主要是闡述災難恢復服務組織的災難恢復服

。

務能力的評估方法與模型以及對災難恢復服務組織服務能力評估分級的方法及特征描述具體評估要

,,

求參照本標準在制定過程中對于災難恢復服務組織的災難恢復服務過程能力參

GB/T36957—2018。

考中的信息系統(tǒng)災難恢復技術過程主要針對災難恢復服務組織的服務能力進行

GB/T20988—2007,

評估方法模型分級的框架闡述主要闡述災難恢復組織在做災難恢復服務時的

、、;GB/T36957—2018

具體要求是對信息系統(tǒng)災難恢復服務過程的闡述以及針對信息系統(tǒng)災難恢復的

;GB/T20988—2007,

能力的闡述核心是信息系統(tǒng)本標準與配套使用

,;GB/T36957—2018。

Ⅳ

GB/T37046—2018

信息安全技術

災難恢復服務能力評估準則

1范圍

本標準規(guī)定了信息系統(tǒng)災難恢復服務所應遵循的基本原則明確了信息系統(tǒng)災難恢復服務組織服

,

務能力的評估機制

。

本標準適用于信息系統(tǒng)災難恢復服務的需求方提供方和評估方

、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息系統(tǒng)災難恢復規(guī)范

GB/T20988—2007

信息安全技術術語

GB/T25069—2010

信息技術安全技術信息安全管理體系概述和詞匯

GB/T29246—2017

信息安全技術信息安全服務能力評估準則

GB/T30271—2013

信息安全技術災難恢復服務要求

GB/T36957—2018

信息技術安全技術系統(tǒng)安全工程能力成熟度模型?

ISO/IEC21827:2008(Informationtech-