《信息安全技术 灾难恢复服务要求-编制说明》

一、任务来源

《信息安全计技术灾难恢复服务要求》（标准原名称：《信息系统灾难备份

与恢复服务要求与评估方法》）是国家标准化管理委员会2011年2月下达的国家

信息安全标准制定项目。该标准由中国信息安全认证中心牵头，并联合中国信息

安全测评中心、灾备技术国家工程实验室、北京邮电大学信息安全中心、万国数

据服务有限公司、太极计算机股份有限公司、南京南瑞集团公司、首都信息发展

股份有限公司、中金数据系统有限公司等单位共同编制。

二、标准编制过程

1.2011年2月16日，中国信息安全认证中心召集灾备技术国家工程实验

室、万国数据服务有限公司、中金数据系统有限公司等相关单位，启动

《信息系统灾难备份与恢复服务要求与评估方法》项目，同时专门设立

体系建设项目，拨付专款支持。

2.2011年2月16日-7月22日，项目组搜集国内外相关资料，重点研究

GB/T20988-2007《信息安全技术信息系统灾难恢复规范》、ISO/IEC

24762:2008Informationtechnology-Securitytechniques-Guidelinesfor

informationandcommunicationstechnologydisasterrecoveryservices(信

息技术安全技术信息与通信技术灾难恢复服务指南)、SS507:2008

SINGAPORESTANDARDFORBusinesscontinuity/disasterrecovery

(BC/DR)serviceproviders(新加坡业务连续性/灾难恢复服务提供商标

准)、BS25999-1:2006《业务连续性管理第一部分：实用规则》、NIST

SP800-34ContingencyPlanningGuideforInformationTechnologySystem

(信息系统业务连续性计划指南)等相关标准，完成标准（初稿）编制。

3.2011年7月25日-30日，通过电子邮件发送标准（初稿），征求灾备技

术国家工程实验室、万国数据服务有限公司、中金数据系统有限公司、

美国飞康软件公司等研究机构、灾备服务提供商、灾备产品厂商专家意

见。

4.2011年8月3日，联合灾备技术国家工程实验室，邀请万国数据服务有

1

限公司、中金数据系统有限公司、美国飞康软件公司等单位专家，在北

京召开第一次标准研讨会，探讨标准体系框架及主要内容。

5.2011年8月10日，联合灾备技术国家工程实验室，邀请万国数据服务

有限公司、中金数据系统有限公司、美国飞康软件公司等单位专家，在

北京召开第二次标准研讨会，讨论修改标准主要内容；

6.2011年8月23日，联合灾备技术国家工程实验室，邀请万国数据服务

有限公司、中金数据系统有限公司、美国飞康软件公司等单位专家，在

北京召开第三次标准研讨会，进一步修改标准内容；

7.2011年9月-10月，结合前三次标准研讨会成果，通过电子邮件，就具

体内容征求意见；

8.2011年10月20日，邀请灾备技术国家工程实验室等相关单位专家，召

开研讨会，完善标准核心内容；

9.2012年2月20日下午，项目组按照信安标委要求，在北京应物会议中

心，汇报该标准项目的进展情况以及下一步工作计划；

10.2012年3月15日，邀请灾备技术国家工程实验室等相关单位专家，召

开研讨会，重点讨论标准中评价部分内容；

11.2012年3月19日，参加信安标委组织的课题协调会，听取与会专家意

见，会后就专家意见对标准内容进行调整。按照专家意见，删除标准中

评估方法部分的内容，标准中仅保留服务要求部分，并把标准名称调整

为《信息安全技术信息系统灾难备份与恢复服务要求》；

12.2012年4月6日，项目组北京金泰海博大酒店，参加信安标委组织的“信

息安全服务标准研讨会”，汇报该标准研究进展。

13.2013年4月9日，项目组向安标委WG7组提交标准编制成果及今年编

制工作计划。

14.2013年9月1日，项目组按照安标委WG7组要求，向WG7组提交研究

项目进展情况报告以及最新研究成果。

15.2013年9月12日，安标委组织召开WG7在研项目检查工作会议，WG7

组赵战生副组长主持，项目组汇报项目主要内容、进展情况、编制说明、

意见汇总处理表。

2

16.2014-2015年期间，在标准成果的基础上，进一步研究云环境下灾难备份

与恢复服务、供应链安全对灾难备份与恢复服务工作的关联与影响，并

提出具体要求。

17.2016年5月，参加安标委2016年会议周，WG7组要求加快推进该标准

的编制工作。

18.2016年7月27日，项目组邀请万国数据、太极、南瑞、首信等灾难备

份与恢复服务专业机构的专家，就标准内容进行研讨。

19.2016年7月29日，项目组与中国信息安全测评中心就标准内容及工作

分工进行沟通和探讨，明确本标准与中国信息安全测评中心承担标准

《信息系统灾难恢复服务能力评估准则》的相互关系，避免标准内容冲

突和重合。

20.2016年10月19日，项目组参加安标委2016年第二次会议周，在WG7

组进行项目汇报，听取专家意见。WG7组复审结论为：标准继续有效，

同意形成标准征求意见稿，并将标准名称改为：《信息安全技术信息系

统灾难恢复服务要求》。

21.2016年11月9日，项目组将标准（征求意见稿）发中国信息安全测评

中心，供参考修改《信息系统灾难恢复服务能力评估准则》标准中灾难

恢复服务过程要求，确保两项标准服务要求相关内容一致。

22.2016年11月29日，项目组向安标委WG7组要求，提交标准（征求意

见稿）、编制说明及专家意见汇总表。

23.2017年3月17日，项目组向安标委WG7组要求，提交标准（征求意见

稿）、编制说明及专家意见汇总表。

24.2017年7月10日，项目组向安标委WG7组要求，提交标准（征求意

见稿）、编制说明及专家意见汇总表。

25．2017年7月13日，项目组参加安标委WG7工作组第2次会议（2017），

在WG7组进行项目汇报，听取专家意见。WG7组复审结论为：同意形成标准征

求意见稿。

26．2017年8月4日，项目组向安标委WG7组要求，提交标准（征求意见

稿）、编制说明及专家意见汇总表。

3

三、标准主要内容

本标准结合信息系统灾难恢复服务的工作流程，提出了组织开展信息系统

灾难恢复服务的能力要求。本标准适用于管理部门及第三方机构对信息系统灾难

恢复服务提供商进行能力评估，可供重点行业和企事业单位选择和使用灾难恢复

服务时参考，也可作为信息系统灾难恢复服务提供商开展能力自评估的参考依

据。标准内容框架如下：

目次

前言

引言

1范围

2规范性引用文件

3术语和定义

4灾难恢复服务总体要求

5灾难恢复外包服务能力要求

5.1灾难恢复服务资源配置要求

5.1.1灾难恢复外包服务资源配置要求

5.1.2灾难恢复保障服务资源配置要求

5.2灾难恢复服务过程要求

5.2.1灾难恢复规划设计服务过程要求

5.2.2灾难恢复建设实施服务过程要求

5.2.3灾难恢复运行维护服务过程要求

5.3灾难恢复服务项目组织管理要求

5.3.1项目质量管理要求

5.3.2项目的管理配置要求

5.3.3项目风险管理要求

5.3.4项目规划要求

5.3.5项目监控要求

5.3.6系统工程支持环境管理要求

5.3.7技能与知识提升服务要求

4

5.3.8与供应商协调要求

参考文献

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对

比情况，或与测试的国外样品、样机的有关数据对比情况

本标准参照和借鉴GB/T20988-2007《信息安全技术信息系统灾难恢复规

范》、GB/T20984-2007《信息安全技术信息安全风险评估规范》、DRIInternational

（国际灾难恢复协会）《ProfessionalPracticesforBusinessContinuityPlanners》和

《BusinessContinuityGlossary》、ISO/IEC24762:2008Information

technology-Securitytechniques-Guidelinesforinformationandcommunications

technologydisasterrecoveryservices（信息技术安全技术信息与通信技术灾难恢

复服务指南）、SS507:2008SINGAPORESTANDARDFORBusiness

continuity/disasterrecovery(BC/DR)serviceproviders.（新加坡业务连续性/灾难恢

复服务提供商标准）、NIST（美国国家标准和技术学会）《SP800-34Contingency

PlanningGuideforInformationTechnologySystem》、ISACA（信息系统审计与控

制协会）《COBITManagementGuidelines》等标准有关内容和思想，结合国家信

息系统灾难备份与恢复服务行业技术发展和实践经验制定而成。

五、与有关的现行法律、法规和强制性国家标准的关系

目前，国内仍未出台信息系统灾难备份与恢复服务相关法律、法规和强制

性国家标准。在该领域中，与此有关的标准包括2007年发布实施的国家推荐性

标准GB/T20988-2007《信息安全技术信息系统灾难恢复规范》，目前正在征求

意见的国家标准《信息安全技术灾难备份中心建设和管理规范》。GB/T

20988-2007的服务范围覆盖了灾难恢复需求确定、灾难恢复策略制定、灾难恢复

策略实现的全过程，而且要求服务方是拥有数据中心，能够给客户提供数据备份

服务的机构。然而，目前国内拥有数据中心向客户提供备份和恢复服务的机构非

常少，很多服务商虽然不能提供数据中心，但能够帮客户确定灾难恢复需求、制

定灾难恢复策略和实现灾难恢复策略。这些机构虽然服务范围没有达到

20988-2007的要求，然而也是提供了灾难备份与恢复服务。为此，我们在国标

20988-2007的基础上，从灾难备份与恢复服务提供者服务范围和能力两个角度，

划分服务级别，并提出相应要求。

5

GB/T30285-2013《灾难恢复中心建设与运维管理规范》，由于其主要承担单

位万国数据服务有限公司也参与本国标项目的编制过程，因此，主要内容相互衔

接和借鉴，同