《信息安全技術(shù) 災(zāi)難恢復(fù)服務(wù)要求-編制說明》

一、任務(wù)來源

《信息安全計技術(shù)災(zāi)難恢復(fù)服務(wù)要求》（標準原名稱：《信息系統(tǒng)災(zāi)難備份

與恢復(fù)服務(wù)要求與評估方法》）是國家標準化管理委員會2011年2月下達的國家

信息安全標準制定項目。該標準由中國信息安全認證中心牽頭，并聯(lián)合中國信息

安全測評中心、災(zāi)備技術(shù)國家工程實驗室、北京郵電大學(xué)信息安全中心、萬國數(shù)

據(jù)服務(wù)有限公司、太極計算機股份有限公司、南京南瑞集團公司、首都信息發(fā)展

股份有限公司、中金數(shù)據(jù)系統(tǒng)有限公司等單位共同編制。

二、標準編制過程

1.2011年2月16日，中國信息安全認證中心召集災(zāi)備技術(shù)國家工程實驗

室、萬國數(shù)據(jù)服務(wù)有限公司、中金數(shù)據(jù)系統(tǒng)有限公司等相關(guān)單位，啟動

《信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)要求與評估方法》項目，同時專門設(shè)立

體系建設(shè)項目，撥付?？钪С?。

2.2011年2月16日-7月22日，項目組搜集國內(nèi)外相關(guān)資料，重點研究

GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、ISO/IEC

24762:2008Informationtechnology-Securitytechniques-Guidelinesfor

informationandcommunicationstechnologydisasterrecoveryservices(信

息技術(shù)安全技術(shù)信息與通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南)、SS507:2008

SINGAPORESTANDARDFORBusinesscontinuity/disasterrecovery

(BC/DR)serviceproviders(新加坡業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)服務(wù)提供商標

準)、BS25999-1:2006《業(yè)務(wù)連續(xù)性管理第一部分：實用規(guī)則》、NIST

SP800-34ContingencyPlanningGuideforInformationTechnologySystem

(信息系統(tǒng)業(yè)務(wù)連續(xù)性計劃指南)等相關(guān)標準，完成標準（初稿）編制。

3.2011年7月25日-30日，通過電子郵件發(fā)送標準（初稿），征求災(zāi)備技

術(shù)國家工程實驗室、萬國數(shù)據(jù)服務(wù)有限公司、中金數(shù)據(jù)系統(tǒng)有限公司、

美國飛康軟件公司等研究機構(gòu)、災(zāi)備服務(wù)提供商、災(zāi)備產(chǎn)品廠商專家意

見。

4.2011年8月3日，聯(lián)合災(zāi)備技術(shù)國家工程實驗室，邀請萬國數(shù)據(jù)服務(wù)有

1

限公司、中金數(shù)據(jù)系統(tǒng)有限公司、美國飛康軟件公司等單位專家，在北

京召開第一次標準研討會，探討標準體系框架及主要內(nèi)容。

5.2011年8月10日，聯(lián)合災(zāi)備技術(shù)國家工程實驗室，邀請萬國數(shù)據(jù)服務(wù)

有限公司、中金數(shù)據(jù)系統(tǒng)有限公司、美國飛康軟件公司等單位專家，在

北京召開第二次標準研討會，討論修改標準主要內(nèi)容；

6.2011年8月23日，聯(lián)合災(zāi)備技術(shù)國家工程實驗室，邀請萬國數(shù)據(jù)服務(wù)

有限公司、中金數(shù)據(jù)系統(tǒng)有限公司、美國飛康軟件公司等單位專家，在

北京召開第三次標準研討會，進一步修改標準內(nèi)容；

7.2011年9月-10月，結(jié)合前三次標準研討會成果，通過電子郵件，就具

體內(nèi)容征求意見；

8.2011年10月20日，邀請災(zāi)備技術(shù)國家工程實驗室等相關(guān)單位專家，召

開研討會，完善標準核心內(nèi)容；

9.2012年2月20日下午，項目組按照信安標委要求，在北京應(yīng)物會議中

心，匯報該標準項目的進展情況以及下一步工作計劃；

10.2012年3月15日，邀請災(zāi)備技術(shù)國家工程實驗室等相關(guān)單位專家，召

開研討會，重點討論標準中評價部分內(nèi)容；

11.2012年3月19日，參加信安標委組織的課題協(xié)調(diào)會，聽取與會專家意

見，會后就專家意見對標準內(nèi)容進行調(diào)整。按照專家意見，刪除標準中

評估方法部分的內(nèi)容，標準中僅保留服務(wù)要求部分，并把標準名稱調(diào)整

為《信息安全技術(shù)信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)要求》；

12.2012年4月6日，項目組北京金泰海博大酒店，參加信安標委組織的“信

息安全服務(wù)標準研討會”，匯報該標準研究進展。

13.2013年4月9日，項目組向安標委WG7組提交標準編制成果及今年編

制工作計劃。

14.2013年9月1日，項目組按照安標委WG7組要求，向WG7組提交研究

項目進展情況報告以及最新研究成果。

15.2013年9月12日，安標委組織召開WG7在研項目檢查工作會議，WG7

組趙戰(zhàn)生副組長主持，項目組匯報項目主要內(nèi)容、進展情況、編制說明、

意見匯總處理表。

2

16.2014-2015年期間，在標準成果的基礎(chǔ)上，進一步研究云環(huán)境下災(zāi)難備份

與恢復(fù)服務(wù)、供應(yīng)鏈安全對災(zāi)難備份與恢復(fù)服務(wù)工作的關(guān)聯(lián)與影響，并

提出具體要求。

17.2016年5月，參加安標委2016年會議周，WG7組要求加快推進該標準

的編制工作。

18.2016年7月27日，項目組邀請萬國數(shù)據(jù)、太極、南瑞、首信等災(zāi)難備

份與恢復(fù)服務(wù)專業(yè)機構(gòu)的專家，就標準內(nèi)容進行研討。

19.2016年7月29日，項目組與中國信息安全測評中心就標準內(nèi)容及工作

分工進行溝通和探討，明確本標準與中國信息安全測評中心承擔標準

《信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)能力評估準則》的相互關(guān)系，避免標準內(nèi)容沖

突和重合。

20.2016年10月19日，項目組參加安標委2016年第二次會議周，在WG7

組進行項目匯報，聽取專家意見。WG7組復(fù)審結(jié)論為：標準繼續(xù)有效，

同意形成標準征求意見稿，并將標準名稱改為：《信息安全技術(shù)信息系

統(tǒng)災(zāi)難恢復(fù)服務(wù)要求》。

21.2016年11月9日，項目組將標準（征求意見稿）發(fā)中國信息安全測評

中心，供參考修改《信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)能力評估準則》標準中災(zāi)難

恢復(fù)服務(wù)過程要求，確保兩項標準服務(wù)要求相關(guān)內(nèi)容一致。

22.2016年11月29日，項目組向安標委WG7組要求，提交標準（征求意

見稿）、編制說明及專家意見匯總表。

23.2017年3月17日，項目組向安標委WG7組要求，提交標準（征求意見

稿）、編制說明及專家意見匯總表。

24.2017年7月10日，項目組向安標委WG7組要求，提交標準（征求意

見稿）、編制說明及專家意見匯總表。

25．2017年7月13日，項目組參加安標委WG7工作組第2次會議（2017），

在WG7組進行項目匯報，聽取專家意見。WG7組復(fù)審結(jié)論為：同意形成標準征

求意見稿。

26．2017年8月4日，項目組向安標委WG7組要求，提交標準（征求意見

稿）、編制說明及專家意見匯總表。

3

三、標準主要內(nèi)容

本標準結(jié)合信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)的工作流程，提出了組織開展信息系統(tǒng)

災(zāi)難恢復(fù)服務(wù)的能力要求。本標準適用于管理部門及第三方機構(gòu)對信息系統(tǒng)災(zāi)難

恢復(fù)服務(wù)提供商進行能力評估，可供重點行業(yè)和企事業(yè)單位選擇和使用災(zāi)難恢復(fù)

服務(wù)時參考，也可作為信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)提供商開展能力自評估的參考依

據(jù)。標準內(nèi)容框架如下：

目次

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4災(zāi)難恢復(fù)服務(wù)總體要求

5災(zāi)難恢復(fù)外包服務(wù)能力要求

5.1災(zāi)難恢復(fù)服務(wù)資源配置要求

5.1.1災(zāi)難恢復(fù)外包服務(wù)資源配置要求

5.1.2災(zāi)難恢復(fù)保障服務(wù)資源配置要求

5.2災(zāi)難恢復(fù)服務(wù)過程要求

5.2.1災(zāi)難恢復(fù)規(guī)劃設(shè)計服務(wù)過程要求

5.2.2災(zāi)難恢復(fù)建設(shè)實施服務(wù)過程要求

5.2.3災(zāi)難恢復(fù)運行維護服務(wù)過程要求

5.3災(zāi)難恢復(fù)服務(wù)項目組織管理要求

5.3.1項目質(zhì)量管理要求

5.3.2項目的管理配置要求

5.3.3項目風(fēng)險管理要求

5.3.4項目規(guī)劃要求

5.3.5項目監(jiān)控要求

5.3.6系統(tǒng)工程支持環(huán)境管理要求

5.3.7技能與知識提升服務(wù)要求

4

5.3.8與供應(yīng)商協(xié)調(diào)要求

參考文獻

四、采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對

比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況

本標準參照和借鑒GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)

范》、GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、DRIInternational

（國際災(zāi)難恢復(fù)協(xié)會）《ProfessionalPracticesforBusinessContinuityPlanners》和

《BusinessContinuityGlossary》、ISO/IEC24762:2008Information

technology-Securitytechniques-Guidelinesforinformationandcommunications

technologydisasterrecoveryservices（信息技術(shù)安全技術(shù)信息與通信技術(shù)災(zāi)難恢

復(fù)服務(wù)指南）、SS507:2008SINGAPORESTANDARDFORBusiness

continuity/disasterrecovery(BC/DR)serviceproviders.（新加坡業(yè)務(wù)連續(xù)性/災(zāi)難恢

復(fù)服務(wù)提供商標準）、NIST（美國國家標準和技術(shù)學(xué)會）《SP800-34Contingency

PlanningGuideforInformationTechnologySystem》、ISACA（信息系統(tǒng)審計與控

制協(xié)會）《COBITManagementGuidelines》等標準有關(guān)內(nèi)容和思想，結(jié)合國家信

息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)行業(yè)技術(shù)發(fā)展和實踐經(jīng)驗制定而成。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系

目前，國內(nèi)仍未出臺信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)相關(guān)法律、法規(guī)和強制

性國家標準。在該領(lǐng)域中，與此有關(guān)的標準包括2007年發(fā)布實施的國家推薦性

標準GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》，目前正在征求

意見的國家標準《信息安全技術(shù)災(zāi)難備份中心建設(shè)和管理規(guī)范》。GB/T

20988-2007的服務(wù)范圍覆蓋了災(zāi)難恢復(fù)需求確定、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)

策略實現(xiàn)的全過程，而且要求服務(wù)方是擁有數(shù)據(jù)中心，能夠給客戶提供數(shù)據(jù)備份

服務(wù)的機構(gòu)。然而，目前國內(nèi)擁有數(shù)據(jù)中心向客戶提供備份和恢復(fù)服務(wù)的機構(gòu)非

常少，很多服務(wù)商雖然不能提供數(shù)據(jù)中心，但能夠幫客戶確定災(zāi)難恢復(fù)需求、制

定災(zāi)難恢復(fù)策略和實現(xiàn)災(zāi)難恢復(fù)策略。這些機構(gòu)雖然服務(wù)范圍沒有達到

20988-2007的要求，然而也是提供了災(zāi)難備份與恢復(fù)服務(wù)。為此，我們在國標

20988-2007的基礎(chǔ)上，從災(zāi)難備份與恢復(fù)服務(wù)提供者服務(wù)范圍和能力兩個角度，

劃分服務(wù)級別，并提出相應(yīng)要求。

5

GB/T30285-2013《災(zāi)難恢復(fù)中心建設(shè)與運維管理規(guī)范》，由于其主要承擔單

位萬國數(shù)據(jù)服務(wù)有限公司也參與本國標項目的編制過程，因此，主要內(nèi)容相互銜

接和借鑒，同