国家标准《网络安全技术 信息系统灾难恢复规范》（征求意见稿）编制说明

国家标准征求意见材料

一、工作简况

1.1任务来源

本标准任务来源为国家标准化管理委员会2023年下达的国家标准制修订计

划，《网络安全技术信息系统灾难恢复规范》由中国信息安全测评中心负责承

办，计划号：20231920-T-469。本标准由全国网络安全标准化技术委员会归口管

理。

1.2制定背景

国内现行国标20988发布于2007年，至今已经超过15年未修订，已经不能

很好的满足国内迅速发展的信息产业对于系统容灾的需求，特别是在国家陆续发

布了关键信息基础设施、数据安全等领域的法律法规与标准，本标准已经无法支

撑国内法律法规和行业发展要求，因此对标准GB/T20988-2007《信息安全技术

信息系统灾难恢复规范》的修订需求迫在眉睫，修订后的标准可以更好的指导各

个行业在灾难恢复领域的规划、设计、实施和管理。

1.3起草过程

标准制定的主要工作过程如下：

1）立项申请

2023年2月至5月，中国信息安全测评中心牵头组织相关技术人员对标准

的内容进行预研，分析了国内外相关形势及发展趋势，研究了国内外的相关政策

法规及标准，多次召开标准讨论会，起草并修改完善了标准草案初稿。向全国网

络安全标准化技术委员会提交2023年国家标准修订项目立项申请。

2023年5月30日，全国网络安全标准化技术委员会2023年第一次“标准

周”期间，在WG7工作组进行立项汇报并通过。会后，根据工作组成员单位专

家意见组织编制组讨论并继续完善草案内容。

2）草案完善

2023年8月25日，根据《全国网络安全标准化技术委员会关于2023年第

一批网络安全国家标准项目立项的通知》（信安字〔2023〕17号）发布的通知，

本标准正式获批为2023年网络安全标准修订项目。

1

国家标准征求意见材料

2023年8月至10月，征集标准编制单位，共收集58家单位提交的申请材

料并对申请的参编单位进行了遴选。2023年10月，成立标准编制工作组，初步

选择20余家参编单位，并召开项目启动会，对各参编单位的任务进行分工，并

对标准内容进行进一步修改完善。同期征求责任专家意见，并进行了修改。10

月下旬召开标准编制启动会，

3）形成征求意见稿

2023年11月本标准形成征求意见稿，编制组召开多次工作会，对标准草案

进行多轮修改完善。2023年11月末组织召开包括WG1专家、WG7组副组长、

责任专家、责任编辑等的专家评审会，会后编制组依据专家组的意见进行了3

轮的文本修改和完善工作。2024年1月向全国网络安全标准化技术委员会秘书

处提出征求意见稿专家评审会议召开。

2024年2月2日由全国网络安全标准化技术委员会秘书处组织在北京召开

了国家标准《网络安全技术信息系统灾难恢复规范》（征求意见稿）专家评审

会，对标准征求意见稿及相关材料进行了审查和质询，会上专家一致同意同通过

对该项标准的审查，建议标准编制工作组根据会上意见修改后，发起公开征求意

见。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1编制原则

1）通用性

按照本标准实现的灾难恢复中心建设和运行、信息系统灾难恢复规范，实

现了实际应用场景中可能涉及的不同类型、不同级别和不同规模的信息系统灾难

恢复规划到运行相关的活动。

2）实用性

根据我国国情、实际运用环境和国家有关政策编制本标准，使其在指导灾

难恢复中心和信息系统灾难恢复规划、建设、运行等多个方面具有很强的实用性。

3）符合性

符合国家有关法律法规和已有标准规范的相关要求。

2.2主要内容及其确定依据

本标准给出了信息系统灾难恢复工作原则，提出了信息系统灾难恢复生命

2

国家标准征求意见材料

周期，规定了信息系统灾难恢复应遵循的基本要求、灾难恢复能力等级划分和测

试评价方法。本标准结合现行国内法律法规与标准，以及行业发展现状情况，增

加新技术、新应用、新业态，立足指导国内灾难恢复各方工作的科学发展。本标

准参考的相关文件如下：

a）标准格式按照GB/T1.1—2020标准要求编写。

b）本标准制定参考以下国家标准：

—GB/T25069信息安全技术术语

—GB/T5271.8-2001信息技术词汇第8部分：安全

—GB/T20984—2022信息安全技术信息安全风险评估法

c）本标准使用重新起草法修改《信息安全技术信息系统灾难恢复规范》

（GB/T20988—2007）、《信息安全技术灾难恢复中心建设与运维管理规定》

（GB/T30285—2013），修订《信息安全技术信息系统灾难恢复规范》（GB/T

20988—2007）、《信息安全技术灾难恢复中心建设与运维管理规定》（GB/T

30285—2013）。

d）本标准中修订的内容主要根据国家版本的法律、法规的要求，以及相关

标准的变化和技术的发展趋势。

e）在标准修订立项前，已经具备了较为成熟的的研究基础和条件。根据中

央网信办课题《关键信息基础设施业务连续性与灾难恢复工作支撑》的相关安排，

前期已经调研分析了国际与国内关键信息基础设施现状，以及灾难恢复状的国际

与国内法律、法规政策，业内的应用现状、关键技术应用与发展和灾难恢复标准

应用现状。通过调研结果发现，国际与国内灾难恢复的服务形式发生巨大变化，

灾难恢复成为关键信息基础设施保护的重要支撑，灾难恢复在新形势下与新应用

结合发挥作用升级，同时也发现了灾难恢复各项标准应用周期过长，指导作用下

降。基于调研报告的成果，以问题为导向，针对目前多地多中心乱象丛生、缺乏

有效的灾难恢复及安全保证标准规范、灾备体系软硬件自主可控偏低、缺乏国家

级的统一管理及指挥协调体系、缺乏灾难恢复领军企业、产业发展不均衡等问题，

提出了标准的修订方向和主要内容。

2.3修订前后技术内容的对比

本文件替代《信息安全技术信息系统灾难恢复规范》（GB/T20988—2007）、

3

国家标准征求意见材料

《信息安全技术灾难恢复中心建设与运维管理规定》（GB/T30285—2013），

除结构调整和编辑性改动外，主要技术变化如下：本文件代替《信息安全技术信

息系统灾难恢复规范》（GB/T20988—2007）、《信息安全技术灾难恢复中心

建设与运维管理规定》（GB/T30285—2013），与GB/T20988—2007、GB/T30285

—2013相比，整体结构与内容进行了重新整合，除结构调整和编辑性改动外，

主要技术变化如下：

a)本文件参照GB/T20988—2007、GB/T30285—2013标准主线，提出灾难

恢复生命周期概念，围绕灾难恢复全生命周期主线展开文件编写，增加了新技术、

新应用内容；

b)在范围中增加了本标准的使用对象；

c)在术语与定义中参照GB/T25069—2022对本标准中的术语与定义进行

了更新；

d)本文件正文第4章增加了灾难恢复生命周期概念与模型，将GB/T20988

—2007、GB/T30285—2013主线进行了融合，提出全新的思路；

e)本文件正文中增加第5章节灾难恢复的组织机构设置；

f)本文件正文在第6章依据灾难恢复生命周期主线，对灾难恢复规划设计

内容进行了全新的修订，对风险评估方法、业务连续性等进行更新，突出业务连

续性的考量，对目前多业态形式的灾难恢复规划设计进行整合，特别是增加了云

灾备等方面内容；

g)本文件正文在第7章依据灾难恢复生命周期主线，对灾难恢复生命周期

中建设实施阶段进行规范细化；

h)本文件正文增加第8章灾难恢复系统的安全建设，从国家政策、安全管

理、人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理、供应

链安全、数据安全等方面构化出包括技术、管理及政策要求的全方位安全要求；

i)本文件正文在第9章依据灾难恢复生命周期主线，对灾难恢复生命周期

中运行维护管理方面工作内容进行规范，本部分着重突出运行维护内容，解决有

效性分析不足、业务连续性概念缺失的问题，真正达到闭环控制，发挥灾难恢复

服务能够做到闭环控制、持续改进的目的；

j)本文件正文增加了第10章测试评价方法，构化出了灾难恢复测试评价的

4

国家标准征求意见材料

总体方法论；

k)本文件更新了GB/T20988—2007中附录A灾难恢复能力等级划分、附

录B某行业RTO/RPO与灾难恢复能力等级的关系示例、附录E灾难恢复预案框

架，增加了附录C某行业信息系统需求分类示例、附录D云技术灾难恢复服务

示例。

本文件适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息

系统灾难恢复的规划、实施、安全建设和运行管理等工作。。”

2）根据GB/T20988—2007调整了本标准的结构；

原标准的章节结构为：

前言

引言

1范围

2规范性引用文件

3术语和定义

4灾难恢复概述

4.1灾难恢复的工作范围

4.2灾难恢复的组织机构

4.3灾难恢复规划的管理

4.4灾难恢复的外部协作

4.5灾难恢复的审计和备案

5灾难恢复需求的确定

5.1风险分析

5.2业务影响分析

5.3确定灾难恢复目标

6灾难恢复策略制定

6.1灾难恢复策略制定的要素

6.2灾难恢复资源的获取方式

6.3灾难恢复资源的要求

7灾难恢复策略的实现

7.1灾难备份系统技术方案的实现

7.2灾难备份中心的选择和建设

7.3专业技术支持能力的实现

7.4运行维护管理能力的实现

7.5灾难恢复预案的实现

附录A（规范性附录）灾难恢复能力等级的划分

附录B（资料性附录）灾难恢复预案框架

附录C（资料性附录）某行业RTO/RPO与灾难恢复能力等级的关系示例

现标准的章节结构为：

前言

5

国家标准征求意见材料

1范围

2规范性引用文件

3术语和定义

4灾难恢复概述

4.1灾难恢复目标

4.2灾难恢复生命周期和工作范围

5灾难恢复的组织机构设置

5.1组织机构的设立

5.2组织机构的职责

6灾难恢复规划设计

6.1灾难恢复需求的确定

6.2灾难恢复策略的制定

6.3灾难恢复技术方案设计

6.4灾难恢复中心的基础设施

6.5灾难恢复技术方案的验证、确认和系统开发

7灾难恢复系统建设实施

7.1灾难恢复系统实现

7.2灾难恢复中心建设

8灾难恢复系统的安全建设

8.1网络安全等级保护

8.2安全管理制度

8.3安全管理架构

8.4安全管理人员

8.5安全通信网络

8.6安全计算环境

8.7安全建设管理

8.8安全运维管理

8.9供应链安全

8.10数据安全

9灾难恢复系统运行管理

9.1灾难恢复预案开发及管理

9.2灾难恢复系统运行维护

9.3应急事件响应及灾难接管

9.4重建和回退

9.5灾难恢复审计

10测试评价方法

6

国家标准征求意见材料

10.1评价指标

10.2评价对象和内容

10.3评价方式与方法

10.4评价有效性

附录A（规范性）灾难恢复能力等级划分

附录B（资料性）某行业RTO/RPO与灾难恢复能力等级的关系示例

附录C（资料性）某行业信息系统需求分类示例

附录D（资料性）云技术灾难恢复服务示例

附录E（资料性）灾难恢复预案框架

参考文献

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益

和生态效益

3.1试验验证的分析、综述报告

本标准为等同采用国际标准，编制组内部编制成员研究验证，最终形成现行

版本。

本标准编制组先后组织编制组成员学习相关标准、对相关标准的内容和框架

进行充分研究，并广泛查阅国内外相关文献完善技术细节。整体标准试验工作整

体说明如下：

1.2023年2月标准编制和讨论期间，并根据全国网络安全标准化技术委员

会2023第一次标准周专家相关意见，组织灾备中心运行单位、灾备服务提供商、

灾难恢复软件厂商以及行业相关主管部门进行研讨，对标准的内容可行性进行讨

论。

2.在进行参编单位遴选时，特意选择可以参与试点的单位，在召开启动会

时，对后期实验情况进行了安排，计划标准公开征求意见时，同步组织试点工作。

3.2技术经济论证

标准用于灾难恢复全生命周期，以预防由于灾难恢复过程中导致的各种损失。

3.3预期的经济效益、社会效益和生态效益

标准可有利于灾难恢复技术在我国国内各行业内的应用，有利于提高各种类

7

国家标准征求意见材料

型组织的灾难恢复能力。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样

机的有关数据对比情况

本标准参照和借鉴ISO和NIST相关标准内容，主要包括：

ISO31000RiskManagementGuidelines

ISO/IEC13335InformationTechnology—GuidelinesforTheManagementof

ITSecurity

ISO/IEC27005InformationTechnology—SecurityTechniques—Information

SecurityRiskManagement

NISTSpecialPublication800-26SecuritySelf-AssessmentGuidefor

InformationTechnologySystems

NISTSpecialPublication800-30RiskManagementGuideforInformation

TechnologySystems

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，

并说明未采用国际标准的原因

本标准参照和借鉴ISO和NIST相关标准内容，主要包括：

ISO31000RiskManagementGuidelines

ISO/IEC13335InformationTechnology—GuidelinesforTheManagementof

ITSecurity

ISO/IEC27005InformationTechnology—SecurityTechniques—Information

SecurityRiskManagement

NISTSpecialPublication800-26SecuritySelf-AssessmentGuidefor

InformationTechnologySystems

NISTSpecialPublication800-30RiskManagementGuideforInfo