《信息安全技術(shù) 災(zāi)難恢復(fù)服務(wù)要求-編制說明》

一、任務(wù)來源

《信息安全計(jì)技術(shù)災(zāi)難恢復(fù)服務(wù)要求》（標(biāo)準(zhǔn)原名稱：《信息系統(tǒng)災(zāi)難備份

與恢復(fù)服務(wù)要求與評(píng)估方法》）是國家標(biāo)準(zhǔn)化管理委員會(huì)2011年2月下達(dá)的國家

信息安全標(biāo)準(zhǔn)制定項(xiàng)目。該標(biāo)準(zhǔn)由中國信息安全認(rèn)證中心牽頭，并聯(lián)合中國信息

安全測評(píng)中心、災(zāi)備技術(shù)國家工程實(shí)驗(yàn)室、北京郵電大學(xué)信息安全中心、萬國數(shù)

據(jù)服務(wù)有限公司、太極計(jì)算機(jī)股份有限公司、南京南瑞集團(tuán)公司、首都信息發(fā)展

股份有限公司、中金數(shù)據(jù)系統(tǒng)有限公司等單位共同編制。

二、標(biāo)準(zhǔn)編制過程

1.2011年2月16日，中國信息安全認(rèn)證中心召集災(zāi)備技術(shù)國家工程實(shí)驗(yàn)

室、萬國數(shù)據(jù)服務(wù)有限公司、中金數(shù)據(jù)系統(tǒng)有限公司等相關(guān)單位，啟動(dòng)

《信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)要求與評(píng)估方法》項(xiàng)目，同時(shí)專門設(shè)立

體系建設(shè)項(xiàng)目，撥付?？钪С?。

2.2011年2月16日-7月22日，項(xiàng)目組搜集國內(nèi)外相關(guān)資料，重點(diǎn)研究

GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、ISO/IEC

24762:2008Informationtechnology-Securitytechniques-Guidelinesfor

informationandcommunicationstechnologydisasterrecoveryservices(信

息技術(shù)安全技術(shù)信息與通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南)、SS507:2008

SINGAPORESTANDARDFORBusinesscontinuity/disasterrecovery

(BC/DR)serviceproviders(新加坡業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)服務(wù)提供商標(biāo)

準(zhǔn))、BS25999-1:2006《業(yè)務(wù)連續(xù)性管理第一部分：實(shí)用規(guī)則》、NIST

SP800-34ContingencyPlanningGuideforInformationTechnologySystem

(信息系統(tǒng)業(yè)務(wù)連續(xù)性計(jì)劃指南)等相關(guān)標(biāo)準(zhǔn)，完成標(biāo)準(zhǔn)（初稿）編制。

3.2011年7月25日-30日，通過電子郵件發(fā)送標(biāo)準(zhǔn)（初稿），征求災(zāi)備技

術(shù)國家工程實(shí)驗(yàn)室、萬國數(shù)據(jù)服務(wù)有限公司、中金數(shù)據(jù)系統(tǒng)有限公司、

美國飛康軟件公司等研究機(jī)構(gòu)、災(zāi)備服務(wù)提供商、災(zāi)備產(chǎn)品廠商專家意

見。

4.2011年8月3日，聯(lián)合災(zāi)備技術(shù)國家工程實(shí)驗(yàn)室，邀請(qǐng)萬國數(shù)據(jù)服務(wù)有

1

限公司、中金數(shù)據(jù)系統(tǒng)有限公司、美國飛康軟件公司等單位專家，在北

京召開第一次標(biāo)準(zhǔn)研討會(huì)，探討標(biāo)準(zhǔn)體系框架及主要內(nèi)容。

5.2011年8月10日，聯(lián)合災(zāi)備技術(shù)國家工程實(shí)驗(yàn)室，邀請(qǐng)萬國數(shù)據(jù)服務(wù)

有限公司、中金數(shù)據(jù)系統(tǒng)有限公司、美國飛康軟件公司等單位專家，在

北京召開第二次標(biāo)準(zhǔn)研討會(huì)，討論修改標(biāo)準(zhǔn)主要內(nèi)容；

6.2011年8月23日，聯(lián)合災(zāi)備技術(shù)國家工程實(shí)驗(yàn)室，邀請(qǐng)萬國數(shù)據(jù)服務(wù)

有限公司、中金數(shù)據(jù)系統(tǒng)有限公司、美國飛康軟件公司等單位專家，在

北京召開第三次標(biāo)準(zhǔn)研討會(huì)，進(jìn)一步修改標(biāo)準(zhǔn)內(nèi)容；

7.2011年9月-10月，結(jié)合前三次標(biāo)準(zhǔn)研討會(huì)成果，通過電子郵件，就具

體內(nèi)容征求意見；

8.2011年10月20日，邀請(qǐng)災(zāi)備技術(shù)國家工程實(shí)驗(yàn)室等相關(guān)單位專家，召

開研討會(huì)，完善標(biāo)準(zhǔn)核心內(nèi)容；

9.2012年2月20日下午，項(xiàng)目組按照信安標(biāo)委要求，在北京應(yīng)物會(huì)議中

心，匯報(bào)該標(biāo)準(zhǔn)項(xiàng)目的進(jìn)展情況以及下一步工作計(jì)劃；

10.2012年3月15日，邀請(qǐng)災(zāi)備技術(shù)國家工程實(shí)驗(yàn)室等相關(guān)單位專家，召

開研討會(huì)，重點(diǎn)討論標(biāo)準(zhǔn)中評(píng)價(jià)部分內(nèi)容；

11.2012年3月19日，參加信安標(biāo)委組織的課題協(xié)調(diào)會(huì)，聽取與會(huì)專家意

見，會(huì)后就專家意見對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行調(diào)整。按照專家意見，刪除標(biāo)準(zhǔn)中

評(píng)估方法部分的內(nèi)容，標(biāo)準(zhǔn)中僅保留服務(wù)要求部分，并把標(biāo)準(zhǔn)名稱調(diào)整

為《信息安全技術(shù)信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)要求》；

12.2012年4月6日，項(xiàng)目組北京金泰海博大酒店，參加信安標(biāo)委組織的“信

息安全服務(wù)標(biāo)準(zhǔn)研討會(huì)”，匯報(bào)該標(biāo)準(zhǔn)研究進(jìn)展。

13.2013年4月9日，項(xiàng)目組向安標(biāo)委WG7組提交標(biāo)準(zhǔn)編制成果及今年編

制工作計(jì)劃。

14.2013年9月1日，項(xiàng)目組按照安標(biāo)委WG7組要求，向WG7組提交研究

項(xiàng)目進(jìn)展情況報(bào)告以及最新研究成果。

15.2013年9月12日，安標(biāo)委組織召開WG7在研項(xiàng)目檢查工作會(huì)議，WG7

組趙戰(zhàn)生副組長主持，項(xiàng)目組匯報(bào)項(xiàng)目主要內(nèi)容、進(jìn)展情況、編制說明、

意見匯總處理表。

2

16.2014-2015年期間，在標(biāo)準(zhǔn)成果的基礎(chǔ)上，進(jìn)一步研究云環(huán)境下災(zāi)難備份

與恢復(fù)服務(wù)、供應(yīng)鏈安全對(duì)災(zāi)難備份與恢復(fù)服務(wù)工作的關(guān)聯(lián)與影響，并

提出具體要求。

17.2016年5月，參加安標(biāo)委2016年會(huì)議周，WG7組要求加快推進(jìn)該標(biāo)準(zhǔn)

的編制工作。

18.2016年7月27日，項(xiàng)目組邀請(qǐng)萬國數(shù)據(jù)、太極、南瑞、首信等災(zāi)難備

份與恢復(fù)服務(wù)專業(yè)機(jī)構(gòu)的專家，就標(biāo)準(zhǔn)內(nèi)容進(jìn)行研討。

19.2016年7月29日，項(xiàng)目組與中國信息安全測評(píng)中心就標(biāo)準(zhǔn)內(nèi)容及工作

分工進(jìn)行溝通和探討，明確本標(biāo)準(zhǔn)與中國信息安全測評(píng)中心承擔(dān)標(biāo)準(zhǔn)

《信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)能力評(píng)估準(zhǔn)則》的相互關(guān)系，避免標(biāo)準(zhǔn)內(nèi)容沖

突和重合。

20.2016年10月19日，項(xiàng)目組參加安標(biāo)委2016年第二次會(huì)議周，在WG7

組進(jìn)行項(xiàng)目匯報(bào)，聽取專家意見。WG7組復(fù)審結(jié)論為：標(biāo)準(zhǔn)繼續(xù)有效，

同意形成標(biāo)準(zhǔn)征求意見稿，并將標(biāo)準(zhǔn)名稱改為：《信息安全技術(shù)信息系

統(tǒng)災(zāi)難恢復(fù)服務(wù)要求》。

21.2016年11月9日，項(xiàng)目組將標(biāo)準(zhǔn)（征求意見稿）發(fā)中國信息安全測評(píng)

中心，供參考修改《信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)能力評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)中災(zāi)難

恢復(fù)服務(wù)過程要求，確保兩項(xiàng)標(biāo)準(zhǔn)服務(wù)要求相關(guān)內(nèi)容一致。

22.2016年11月29日，項(xiàng)目組向安標(biāo)委WG7組要求，提交標(biāo)準(zhǔn)（征求意

見稿）、編制說明及專家意見匯總表。

23.2017年3月17日，項(xiàng)目組向安標(biāo)委WG7組要求，提交標(biāo)準(zhǔn)（征求意見

稿）、編制說明及專家意見匯總表。

24.2017年7月10日，項(xiàng)目組向安標(biāo)委WG7組要求，提交標(biāo)準(zhǔn)（征求意

見稿）、編制說明及專家意見匯總表。

25．2017年7月13日，項(xiàng)目組參加安標(biāo)委WG7工作組第2次會(huì)議（2017），

在WG7組進(jìn)行項(xiàng)目匯報(bào)，聽取專家意見。WG7組復(fù)審結(jié)論為：同意形成標(biāo)準(zhǔn)征

求意見稿。

26．2017年8月4日，項(xiàng)目組向安標(biāo)委WG7組要求，提交標(biāo)準(zhǔn)（征求意見

稿）、編制說明及專家意見匯總表。

3

三、標(biāo)準(zhǔn)主要內(nèi)容

本標(biāo)準(zhǔn)結(jié)合信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)的工作流程，提出了組織開展信息系統(tǒng)

災(zāi)難恢復(fù)服務(wù)的能力要求。本標(biāo)準(zhǔn)適用于管理部門及第三方機(jī)構(gòu)對(duì)信息系統(tǒng)災(zāi)難

恢復(fù)服務(wù)提供商進(jìn)行能力評(píng)估，可供重點(diǎn)行業(yè)和企事業(yè)單位選擇和使用災(zāi)難恢復(fù)

服務(wù)時(shí)參考，也可作為信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)提供商開展能力自評(píng)估的參考依

據(jù)。標(biāo)準(zhǔn)內(nèi)容框架如下：

目次

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4災(zāi)難恢復(fù)服務(wù)總體要求

5災(zāi)難恢復(fù)外包服務(wù)能力要求

5.1災(zāi)難恢復(fù)服務(wù)資源配置要求

5.1.1災(zāi)難恢復(fù)外包服務(wù)資源配置要求

5.1.2災(zāi)難恢復(fù)保障服務(wù)資源配置要求

5.2災(zāi)難恢復(fù)服務(wù)過程要求

5.2.1災(zāi)難恢復(fù)規(guī)劃設(shè)計(jì)服務(wù)過程要求

5.2.2災(zāi)難恢復(fù)建設(shè)實(shí)施服務(wù)過程要求

5.2.3災(zāi)難恢復(fù)運(yùn)行維護(hù)服務(wù)過程要求

5.3災(zāi)難恢復(fù)服務(wù)項(xiàng)目組織管理要求

5.3.1項(xiàng)目質(zhì)量管理要求

5.3.2項(xiàng)目的管理配置要求

5.3.3項(xiàng)目風(fēng)險(xiǎn)管理要求

5.3.4項(xiàng)目規(guī)劃要求

5.3.5項(xiàng)目監(jiān)控要求

5.3.6系統(tǒng)工程支持環(huán)境管理要求

5.3.7技能與知識(shí)提升服務(wù)要求

4

5.3.8與供應(yīng)商協(xié)調(diào)要求

參考文獻(xiàn)

四、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的對(duì)

比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

本標(biāo)準(zhǔn)參照和借鑒GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)

范》、GB/T20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、DRIInternational

（國際災(zāi)難恢復(fù)協(xié)會(huì)）《ProfessionalPracticesforBusinessContinuityPlanners》和

《BusinessContinuityGlossary》、ISO/IEC24762:2008Information

technology-Securitytechniques-Guidelinesforinformationandcommunications

technologydisasterrecoveryservices（信息技術(shù)安全技術(shù)信息與通信技術(shù)災(zāi)難恢

復(fù)服務(wù)指南）、SS507:2008SINGAPORESTANDARDFORBusiness

continuity/disasterrecovery(BC/DR)serviceproviders.（新加坡業(yè)務(wù)連續(xù)性/災(zāi)難恢

復(fù)服務(wù)提供商標(biāo)準(zhǔn)）、NIST（美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會(huì)）《SP800-34Contingency

PlanningGuideforInformationTechnologySystem》、ISACA（信息系統(tǒng)審計(jì)與控

制協(xié)會(huì)）《COBITManagementGuidelines》等標(biāo)準(zhǔn)有關(guān)內(nèi)容和思想，結(jié)合國家信

息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)行業(yè)技術(shù)發(fā)展和實(shí)踐經(jīng)驗(yàn)制定而成。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

目前，國內(nèi)仍未出臺(tái)信息系統(tǒng)災(zāi)難備份與恢復(fù)服務(wù)相關(guān)法律、法規(guī)和強(qiáng)制

性國家標(biāo)準(zhǔn)。在該領(lǐng)域中，與此有關(guān)的標(biāo)準(zhǔn)包括2007年發(fā)布實(shí)施的國家推薦性

標(biāo)準(zhǔn)GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》，目前正在征求

意見的國家標(biāo)準(zhǔn)《信息安全技術(shù)災(zāi)難備份中心建設(shè)和管理規(guī)范》。GB/T

20988-2007的服務(wù)范圍覆蓋了災(zāi)難恢復(fù)需求確定、災(zāi)難恢復(fù)策略制定、災(zāi)難恢復(fù)

策略實(shí)現(xiàn)的全過程，而且要求服務(wù)方是擁有數(shù)據(jù)中心，能夠給客戶提供數(shù)據(jù)備份

服務(wù)的機(jī)構(gòu)。然而，目前國內(nèi)擁有數(shù)據(jù)中心向客戶提供備份和恢復(fù)服務(wù)的機(jī)構(gòu)非

常少，很多服務(wù)商雖然不能提供數(shù)據(jù)中心，但能夠幫客戶確定災(zāi)難恢復(fù)需求、制

定災(zāi)難恢復(fù)策略和實(shí)現(xiàn)災(zāi)難恢復(fù)策略。這些機(jī)構(gòu)雖然服務(wù)范圍沒有達(dá)到

20988-2007的要求，然而也是提供了災(zāi)難備份與恢復(fù)服務(wù)。為此，我們?cè)趪鴺?biāo)

20988-2007的基礎(chǔ)上，從災(zāi)難備份與恢復(fù)服務(wù)提供者服務(wù)范圍和能力兩個(gè)角度，

劃分服務(wù)級(jí)別，并提出相應(yīng)要求。

5

GB/T30285-2013《災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)范》，由于其主要承擔(dān)單

位萬國數(shù)據(jù)服務(wù)有限公司也參與本國標(biāo)項(xiàng)目的編制過程，因此，主要內(nèi)容相互銜

接和借鑒，同