国家标准软件工程软件测量过程送审稿编制说明-全国信息安全

国家标准信息安全计技术 灾难恢复服务要求（征求意见稿）编制说明一、任务来源信息安全计技术 灾难恢复服务要求（标准原名称：信息系统灾难备份与恢复服务要求与评估方法）是国家标准化管理委员会2011年2月下达的国家信息安全标准制定项目。该标准由中国信息安全认证中心牵头，并联合中国信息安全测评中心、灾备技术国家工程实验室、北京邮电大学信息安全中心、万国数据服务有限公司、太极计算机股份有限公司、南京南瑞集团公司、首都信息发展股份有限公司、中金数据系统有限公司等单位共同编制。二、标准编制过程1. 2011年2月16日，中国信息安全认证中心召集灾备技术国家工程实验室、万国数据服务有限公司、中金数据系统有限公司等相关单位，启动信息系统灾难备份与恢复服务要求与评估方法项目，同时专门设立体系建设项目，拨付专款支持。2. 2011年2月16日-7月22日，项目组搜集国内外相关资料，重点研究GB/T 20988-2007信息安全技术 信息系统灾难恢复规范、ISO/IEC 24762:2008 Information technology-Security techniques-Guidelines for information and communications technology disaster recovery services (信息技术 安全技术 信息与通信技术灾难恢复服务指南)、SS 507:2008 SINGAPORE STANDARD FOR Business continuity/disaster recovery (BC/DR) service providers(新加坡业务连续性/灾难恢复服务提供商标准)、BS 25999-1:2006业务连续性管理 第一部分：实用规则、NIST SP 800-34 Contingency Planning Guide for Information Technology System (信息系统业务连续性计划指南)等相关标准，完成标准（初稿）编制。3. 2011年7月25日-30日，通过电子邮件发送标准（初稿），征求灾备技术国家工程实验室、万国数据服务有限公司、中金数据系统有限公司、美国飞康软件公司等研究机构、灾备服务提供商、灾备产品厂商专家意见。4. 2011年8月3日，联合灾备技术国家工程实验室，邀请万国数据服务有限公司、中金数据系统有限公司、美国飞康软件公司等单位专家，在北京召开第一次标准研讨会，探讨标准体系框架及主要内容。5. 2011年8月10日，联合灾备技术国家工程实验室，邀请万国数据服务有限公司、中金数据系统有限公司、美国飞康软件公司等单位专家，在北京召开第二次标准研讨会，讨论修改标准主要内容；6. 2011年8月23日，联合灾备技术国家工程实验室，邀请万国数据服务有限公司、中金数据系统有限公司、美国飞康软件公司等单位专家，在北京召开第三次标准研讨会，进一步修改标准内容；7. 2011年9月-10月，结合前三次标准研讨会成果，通过电子邮件，就具体内容征求意见；8. 2011年10月20日，邀请灾备技术国家工程实验室等相关单位专家，召开研讨会，完善标准核心内容；9. 2012年2月20日下午，项目组按照信安标委要求，在北京应物会议中心，汇报该标准项目的进展情况以及下一步工作计划；10. 2012年3月15日，邀请灾备技术国家工程实验室等相关单位专家，召开研讨会，重点讨论标准中评价部分内容；11. 2012年3月19日，参加信安标委组织的课题协调会，听取与会专家意见，会后就专家意见对标准内容进行调整。按照专家意见，删除标准中评估方法部分的内容，标准中仅保留服务要求部分，并把标准名称调整为信息安全技术 信息系统灾难备份与恢复服务要求；12. 2012年4月6日，项目组北京金泰海博大酒店，参加信安标委组织的“信息安全服务标准研讨会”，汇报该标准研究进展。13. 2013年4月9日，项目组向安标委WG7组提交标准编制成果及今年编制工作计划。14. 2013年9月1日，项目组按照安标委WG7组要求，向WG7组提交研究项目进展情况报告以及最新研究成果。15. 2013年9月12日，安标委组织召开WG7在研项目检查工作会议，WG7组赵战生副组长主持，项目组汇报项目主要内容、进展情况、编制说明、意见汇总处理表。16. 2014-2015年期间，在标准成果的基础上，进一步研究云环境下灾难备份与恢复服务、供应链安全对灾难备份与恢复服务工作的关联与影响，并提出具体要求。17. 2016年5月，参加安标委2016年会议周，WG7组要求加快推进该标准的编制工作。18. 2016年7月27日，项目组邀请万国数据、太极、南瑞、首信等灾难备份与恢复服务专业机构的专家，就标准内容进行研讨。19. 2016年7月29日，项目组与中国信息安全测评中心就标准内容及工作分工进行沟通和探讨，明确本标准与中国信息安全测评中心承担标准信息系统灾难恢复服务能力评估准则的相互关系，避免标准内容冲突和重合。20. 2016年10月19日，项目组参加安标委2016年第二次会议周，在WG7组进行项目汇报，听取专家意见。WG7组复审结论为：标准继续有效，同意形成标准征求意见稿，并将标准名称改为：信息安全技术 信息系统灾难恢复服务要求。21. 2016年11月9日，项目组将标准（征求意见稿）发中国信息安全测评中心，供参考修改信息系统灾难恢复服务能力评估准则标准中灾难恢复服务过程要求，确保两项标准服务要求相关内容一致。22. 2016年11月29日，项目组向安标委WG7组要求，提交标准（征求意见稿）、编制说明及专家意见汇总表。23. 2017年3月17日，项目组向安标委WG7组要求，提交标准（征求意见稿）、编制说明及专家意见汇总表。24. 2017年7月10日，项目组向安标委WG7组要求，提交标准（征求意见稿）、编制说明及专家意见汇总表。252017年7月13日，项目组参加安标委WG7工作组第2次会议（2017），在WG7组进行项目汇报，听取专家意见。WG7组复审结论为：同意形成标准征求意见稿。262017年8月4日，项目组向安标委WG7组要求，提交标准（征求意见稿）、编制说明及专家意见汇总表。三、标准主要内容本标准结合信息系统灾难恢复服务的工作流程，提出了组织开展信息系统灾难恢复服务的能力要求。本标准适用于管理部门及第三方机构对信息系统灾难恢复服务提供商进行能力评估，可供重点行业和企事业单位选择和使用灾难恢复服务时参考，也可作为信息系统灾难恢复服务提供商开展能力自评估的参考依据。标准内容框架如下：目 次前 言引 言1范围2规范性引用文件3术语和定义4灾难恢复服务总体要求5灾难恢复外包服务能力要求5.1灾难恢复服务资源配置要求5.1.1灾难恢复外包服务资源配置要求5.1.2灾难恢复保障服务资源配置要求5.2灾难恢复服务过程要求5.2.1灾难恢复规划设计服务过程要求5.2.2灾难恢复建设实施服务过程要求5.2.3灾难恢复运行维护服务过程要求5.3灾难恢复服务项目组织管理要求5.3.1项目质量管理要求5.3.2项目的管理配置要求5.3.3项目风险管理要求5.3.4项目规划要求5.3.5项目监控要求5.3.6系统工程支持环境管理要求5.3.7技能与知识提升服务要求5.3.8与供应商协调要求参考文献四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况本标准参照和借鉴GB/T 20988-2007信息安全技术 信息系统灾难恢复规范、GB/T 20984-2007信息安全技术 信息安全风险评估规范、DRI International（国际灾难恢复协会）Professional Practices for Business Continuity Planners和Business Continuity Glossary、ISO/IEC 24762:2008 Information technology-Security techniques-Guidelines for information and communications technology disaster recovery services（信息技术 安全技术 信息与通信技术灾难恢复服务指南）、SS 507:2008 SINGAPORE STANDARD FOR Business continuity/disaster recovery (BC/DR) service providers.（新加坡业务连续性/灾难恢复服务提供商标准）、NIST（美国国家标准和技术学会）SP 800-34 Contingency Planning Guide for Information Technology System、ISACA（信息系统审计与控制协会）COBIT Management Guidelines等标准有关内容和思想，结合国家信息系统灾难备份与恢复服务行业技术发展和实践经验制定而成。五、与有关的现行法律、法规和强制性国家标准的关系目前，国内仍未出台信息系统灾难备份与恢复服务相关法律、法规和强制性国家标准。在该领域中，与此有关的标准包括2007年发布实施的国家推荐性标准GB/T 20988-2007信息安全技术 信息系统灾难恢复规范，目前正在征求意见的国家标准信息安全技术 灾难备份中心建设和管理规范。GB/T 20988-2007的服务范围覆盖了灾难恢复需求确定、灾难恢复策略制定、灾难恢复策略实现的全过程，而且要求服务方是拥有数据中心，能够给客户提供数据备份服务的机构。然而，目前国内拥有数据中心向客户提供备份和恢复服务的机构非常少，很多服务商虽然不能提供数据中心，但能够帮客户确定灾难恢复需求、制定灾难恢复策略和实现灾难恢复策略。这些机构虽然服务范围没有达到20988-2007的要求，然而也是提供了灾难备份与恢复服务。为此，我们在国标20988-2007的基础上，从灾难备份与恢复服务提供者服务范围和能力两个角度，划分服务级别，并提出相应要求。GB/T 30285-