信息安全技術(shù) 災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范-編制說明

PAGE1PAGE任務(wù)來源近年來，相關(guān)國(guó)際組織和各國(guó)的法律及監(jiān)管部門頒布了不同層次的法規(guī)、規(guī)章、指引、白皮書等各種形式的材料，對(duì)歸口的行業(yè)和領(lǐng)域的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性業(yè)務(wù)提供操作指南和監(jiān)管條款。國(guó)家對(duì)災(zāi)難恢復(fù)相關(guān)工作非常重視，先后出臺(tái)了相關(guān)的國(guó)家和行業(yè)政策文件和標(biāo)準(zhǔn)規(guī)范，主要有：《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》、《關(guān)于印發(fā)“重要信息系統(tǒng)災(zāi)難恢復(fù)指南”的通知》、GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、JR/T0044-2008《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》、《保險(xiǎn)業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》、《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》等。其中，GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》描繪了組織災(zāi)難恢復(fù)建設(shè)及管理體系，提出體系建立的基本要求，系統(tǒng)中各重要組成部分有待細(xì)化。為了深入規(guī)范體系，明確建設(shè)要求，形成業(yè)務(wù)連續(xù)性管理及災(zāi)難恢復(fù)國(guó)標(biāo)簇。災(zāi)難恢復(fù)中心是災(zāi)難恢復(fù)的核心內(nèi)容，因此，首要制定災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范?！缎畔⑾到y(tǒng)災(zāi)難恢復(fù)規(guī)范》由萬國(guó)長(zhǎng)安承擔(dān)，由工信部、國(guó)家發(fā)改委、主要行業(yè)及萬國(guó)數(shù)據(jù)和萬國(guó)長(zhǎng)安的領(lǐng)導(dǎo)和專家組成《規(guī)范》工作組。編制原則為確保災(zāi)難恢復(fù)中心建設(shè)與管理的有效性，災(zāi)難恢復(fù)中心的建設(shè)與管理應(yīng)遵循以下原則：預(yù)防為主原則：災(zāi)難恢復(fù)中心不能解決或消除所有生產(chǎn)中心面臨的風(fēng)險(xiǎn)，在災(zāi)難恢復(fù)中心的規(guī)劃階段應(yīng)充分認(rèn)識(shí)生產(chǎn)中心在使用和管理過程中所面臨的風(fēng)險(xiǎn)并提出風(fēng)險(xiǎn)處置策略，明確在災(zāi)難恢復(fù)中心需要解決或處置的災(zāi)難事件風(fēng)險(xiǎn)場(chǎng)景，這些風(fēng)險(xiǎn)往往無法通過單一生產(chǎn)中心處置或處置成本極高，其他風(fēng)險(xiǎn)應(yīng)根據(jù)成本效益原則采取必要的措施降低風(fēng)險(xiǎn)發(fā)生的可能性，最大限度地減少可能造成的損害。在災(zāi)難恢復(fù)中心選址時(shí)，應(yīng)避免與生產(chǎn)中心同處一個(gè)風(fēng)險(xiǎn)區(qū)域和環(huán)境，以達(dá)到風(fēng)險(xiǎn)分散的目的。資源共享原則：災(zāi)難恢復(fù)中心的資源是在災(zāi)難發(fā)生時(shí)為機(jī)構(gòu)從事災(zāi)難恢復(fù)活動(dòng)所提供的專用資源。在未發(fā)生災(zāi)難時(shí)，其資源一般處于閑置或就緒狀態(tài)，為最大限度地降低災(zāi)難恢復(fù)中心的總體擁有成本，提高災(zāi)難恢復(fù)資源建設(shè)的投入費(fèi)效比，建議在保證業(yè)務(wù)、數(shù)據(jù)安全的前提下可利用災(zāi)難恢復(fù)中心的閑置資源或利用第三方機(jī)構(gòu)的資源實(shí)現(xiàn)機(jī)構(gòu)之間和機(jī)構(gòu)內(nèi)部功能區(qū)之間的資源共享。持續(xù)保障原則：在災(zāi)難恢復(fù)中心的建設(shè)和管理過程中，應(yīng)充分考慮與生產(chǎn)中心的業(yè)務(wù)和數(shù)據(jù)處理能力保持一致，以保證災(zāi)難恢復(fù)中心具有接管生產(chǎn)中心關(guān)鍵信息系統(tǒng)運(yùn)行的能力。同時(shí)機(jī)構(gòu)還應(yīng)建立一整套長(zhǎng)效保障機(jī)制以確保災(zāi)難恢復(fù)中心資源的完整性和長(zhǎng)期有效性。安全保障原則：應(yīng)加強(qiáng)災(zāi)難恢復(fù)中心的安全保障工作，使災(zāi)難恢復(fù)中心與生產(chǎn)中心具備同等的安全保障機(jī)制，以確保災(zāi)難恢復(fù)中心的信息安全和信息系統(tǒng)的運(yùn)行安全，實(shí)現(xiàn)災(zāi)難發(fā)生時(shí)災(zāi)難恢復(fù)中心對(duì)生產(chǎn)中心的平穩(wěn)接替。災(zāi)難恢復(fù)中心運(yùn)維管理體系建設(shè)應(yīng)遵循以下原則：安全性原則：災(zāi)難恢復(fù)中心的安全管理的等級(jí)和要求應(yīng)與生產(chǎn)中心保持一致，災(zāi)難備份中心存儲(chǔ)的網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等安全等級(jí)不可因使用模式和狀態(tài)的不同降低安全要求。關(guān)聯(lián)性原則：災(zāi)難恢復(fù)中心運(yùn)維管理體系應(yīng)與生產(chǎn)中心運(yùn)維管理體系相關(guān)聯(lián)，在人員崗位構(gòu)成、日常管理流程和應(yīng)急恢復(fù)期管理流程的銜接、應(yīng)用和數(shù)據(jù)的備份恢復(fù)操作、數(shù)據(jù)有效性測(cè)試、演練組織、數(shù)據(jù)安全管理要求等方面都應(yīng)與生產(chǎn)中心相關(guān)聯(lián)；規(guī)范性原則：災(zāi)難恢復(fù)中心運(yùn)行維護(hù)管理體系的建設(shè)應(yīng)遵循國(guó)家和機(jī)構(gòu)所述行業(yè)監(jiān)管要求，并引入國(guó)際標(biāo)準(zhǔn)和最佳實(shí)踐，確保災(zāi)難恢復(fù)中心運(yùn)維管理體系的規(guī)范性；流程化與制度化原則：機(jī)構(gòu)應(yīng)按照災(zāi)難恢復(fù)中心運(yùn)維管理要求，建立具有完善的、可行的運(yùn)維管理流程和制度，以規(guī)范運(yùn)維人員的工作行為，提高運(yùn)維管理的質(zhì)量、效率和水平；可用性與有效性原則：災(zāi)難恢復(fù)中心運(yùn)維管理應(yīng)通過全面測(cè)試和定期的驗(yàn)證機(jī)制，確保資源的可用性和有效性。主要工作過程標(biāo)準(zhǔn)制定的主要工作過程如下：1 2009年，向國(guó)資委申請(qǐng)國(guó)標(biāo)起草立項(xiàng)，并提交《信息安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目申請(qǐng)書(DR)》與《推薦性國(guó)標(biāo)項(xiàng)目建議書(DR)》；2 2010年，國(guó)標(biāo)正式立項(xiàng)，并提交《信息安全專項(xiàng)項(xiàng)目任務(wù)書》；3 2011年3月，國(guó)標(biāo)起草項(xiàng)目組成立，并廣泛收集資料，分析國(guó)內(nèi)、外相關(guān)標(biāo)準(zhǔn)，包括國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及國(guó)際標(biāo)準(zhǔn)；4 2011年4月，經(jīng)國(guó)標(biāo)起草組內(nèi)部討論，形成國(guó)標(biāo)框架，并由項(xiàng)目組成員分頭起草，包括GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》內(nèi)部討論稿V0.1；5 2011年5月，工作組內(nèi)部討論稿形成，為GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》內(nèi)部討論稿V0.4；6 2011年6月，召開工作組專家初步評(píng)議，根據(jù)各領(lǐng)域?qū)＜乙庖娦薷?，形成草案初稿，形成GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》草案V0.5；7 2011年9月，召開第二次工作組專家評(píng)議，形成草案終稿，GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》草案V0.6。8 2011年10月，召開國(guó)標(biāo)專家評(píng)審會(huì)，形成征求意見稿 GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》V0.7（征求意見稿）。92011年12月，召開WG7國(guó)標(biāo)專家投票會(huì)，經(jīng)內(nèi)部討論達(dá)成一致意見，國(guó)標(biāo)題目修改為《災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范》。標(biāo)準(zhǔn)征求意見的落實(shí)情況如下：1第一次與第二次工作組會(huì)議，工作組專家出席35人次，共提出意見68條，其中62條意見接納，其余意見未接受。2第三次專家評(píng)審會(huì)議，共出席專家10人，共提出意見36條。其中31條意見接納，其余意見未接受。3共匯集反饋意見104條，其中93條意見為采納或部分采納，其余意見未采納，具體參見意見匯總處理表。標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)《規(guī)范》主要包括以下內(nèi)容：第三部分術(shù)語和定義：對(duì)規(guī)范涉及的常用術(shù)語進(jìn)行了定義。第四部分災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理概述：對(duì)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理進(jìn)行了框架行的描述和定義：災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理原則災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理的生命周期模型災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理的內(nèi)容災(zāi)難恢復(fù)中心組織機(jī)構(gòu)及崗位的設(shè)立第五章災(zāi)難恢復(fù)中心劃：分析與規(guī)劃工作要點(diǎn)災(zāi)難恢復(fù)中心需求分析災(zāi)難恢復(fù)中心的規(guī)劃第六章災(zāi)難恢復(fù)中心的建設(shè)管理。本章從在災(zāi)難恢復(fù)中心建設(shè)與資源獲角度，包括按照災(zāi)難恢復(fù)中心的規(guī)劃設(shè)計(jì)方案，進(jìn)行災(zāi)難恢復(fù)中心的機(jī)房基礎(chǔ)設(shè)施建設(shè)、配套生活設(shè)施建設(shè)、人力資源建設(shè)、管理體系建設(shè)和信息系統(tǒng)運(yùn)行平臺(tái)建設(shè)。災(zāi)難恢復(fù)中心建設(shè)管理的主要內(nèi)容災(zāi)難恢復(fù)中心基礎(chǔ)設(shè)施建設(shè)管理災(zāi)難恢復(fù)系統(tǒng)的建設(shè)管理預(yù)案體系建設(shè)管理第七章災(zāi)難恢復(fù)中心交付管理：應(yīng)依據(jù)設(shè)計(jì)方案對(duì)相關(guān)建設(shè)項(xiàng)目進(jìn)行測(cè)試、驗(yàn)證，并形成運(yùn)行規(guī)范和操作手冊(cè)，通過培訓(xùn)、演練、試運(yùn)行等方式使得使用方和運(yùn)行維護(hù)團(tuán)隊(duì)能夠自主使用和維護(hù)災(zāi)難恢復(fù)中心，包括：災(zāi)難恢復(fù)中心基礎(chǔ)設(shè)施的驗(yàn)收和移交災(zāi)難恢復(fù)系統(tǒng)的有效性驗(yàn)證災(zāi)難恢復(fù)預(yù)案的驗(yàn)證災(zāi)難恢復(fù)中心與生產(chǎn)中心的協(xié)作管理第八章災(zāi)難恢復(fù)中心運(yùn)行維護(hù)管理，在完成移交后，災(zāi)難恢復(fù)中心使用和運(yùn)行維護(hù)團(tuán)隊(duì)?wèi)?yīng)完成包括基礎(chǔ)運(yùn)維和災(zāi)難恢復(fù)專業(yè)服務(wù)在內(nèi)的各項(xiàng)工作，保證災(zāi)難恢復(fù)中心能夠安全、持久、有效運(yùn)行，包括：災(zāi)難恢復(fù)中心運(yùn)行維護(hù)管理原則災(zāi)難恢復(fù)中心運(yùn)行維護(hù)管理的組織災(zāi)難恢復(fù)中心運(yùn)行維護(hù)管理制度災(zāi)難恢復(fù)中心運(yùn)行維護(hù)管理內(nèi)容和要求災(zāi)難恢復(fù)中心管理的審核與驗(yàn)證與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系在本《標(biāo)準(zhǔn)》的編寫過程中，借鑒了以下國(guó)內(nèi)標(biāo)準(zhǔn)的內(nèi)容，包括：GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。2007年7月，國(guó)務(wù)院信息化工作辦公室領(lǐng)導(dǎo)編制的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》正式升級(jí)成為國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988-2007），這是中國(guó)災(zāi)難備份與恢復(fù)行業(yè)的第一個(gè)國(guó)家標(biāo)準(zhǔn)，并于2007年11月1日開始正式實(shí)施?！缎畔⑾到y(tǒng)災(zāi)難恢復(fù)規(guī)范》規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的基本要求，適用于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實(shí)施和管理。《規(guī)范》中參考并延續(xù)了其中的術(shù)語定義，以及災(zāi)難備份中心建設(shè)與管理的方法論。GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南》。本標(biāo)準(zhǔn)提出了風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。本標(biāo)準(zhǔn)適用于規(guī)范組織開展的風(fēng)險(xiǎn)評(píng)估工作。《規(guī)范》中在數(shù)據(jù)中心規(guī)劃策略制定章節(jié)中，借鑒了這個(gè)標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估思路與要求。GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》，為加強(qiáng)電子信息系統(tǒng)機(jī)房的工程設(shè)計(jì)質(zhì)量，住房和城鄉(xiāng)建設(shè)部發(fā)布了國(guó)家標(biāo)準(zhǔn)GB50174《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》，于2009年6月1日起正式實(shí)施，規(guī)范為新建、改建和擴(kuò)建建筑物中的電子信息系統(tǒng)機(jī)房提供了設(shè)計(jì)標(biāo)準(zhǔn)?！兑?guī)范》數(shù)據(jù)中心基礎(chǔ)環(huán)境規(guī)劃與建設(shè)內(nèi)容借鑒并吸取了《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》的要求與標(biāo)準(zhǔn)。有關(guān)問題的說明《規(guī)范》是對(duì)做好災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理工作的具體規(guī)范和指導(dǎo)，為災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理提供指導(dǎo)性的流程和方法。要使《規(guī)范》能在全國(guó)范圍內(nèi)得到貫徹，首先要使《規(guī)范》的具體內(nèi)容能為數(shù)據(jù)中心設(shè)計(jì)人員、建設(shè)人員、管理人員和測(cè)評(píng)人員。