GB∕T 42971-2023 第三方電子合同服務(wù)平臺信息安全技術(shù)要求（正式版）

第三方電子合同服務(wù)平臺信息安全技術(shù)要求2023-09-07發(fā)布國家市場監(jiān)督管理總局I前言 12規(guī)范性引用文件 13術(shù)語和定義 14基本要求 24.1資質(zhì)要求 24.2真實身份標(biāo)識 24.3業(yè)務(wù)持續(xù)性保障 24.4通信安全 24.5安全評估與監(jiān)管 34.6數(shù)據(jù)安全 34.7電子簽名 34.8記錄留存 35訂立過程安全 35.1基本要求 35.2實名核驗 45.3數(shù)字證書申請 45.4密碼算法及密碼產(chǎn)品 55.5時間戳 55.6存證可靠性 55.7數(shù)據(jù)安全技術(shù) 56存儲與應(yīng)用安全 56.1存儲安全 56.2隱私保護(hù)安全 66.3司法舉證 67安全運維 7 77.2漏洞管理 77.3備份管理 77.4安全事件管理 7參考文獻(xiàn) 9ⅢGB/T42971—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由全國電子業(yè)務(wù)標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC83)提出并歸口。本文件起草單位：杭州天谷信息科技有限公司、深圳惠農(nóng)智光科技有限公司、廣州執(zhí)友信息科技有限公司、福州易伽科技有限公司、仙居好牛網(wǎng)絡(luò)科技有限公司、江西澤山智能科技有限公司、深圳法大大網(wǎng)絡(luò)科技有限公司、北京安證通信息科技股份有限公司、中國標(biāo)準(zhǔn)化研究院、北京聲智科技有限公司、江西金虎保險設(shè)備集團(tuán)有限公司、中移系統(tǒng)集成有限公司、杭州市消費者權(quán)益保護(hù)委員會秘書處(杭州國家電子商務(wù)產(chǎn)品質(zhì)量監(jiān)測處置中心)、杭州尚尚簽網(wǎng)絡(luò)科技有限公司、中國信息安全研究院有限公司、南京壹證通信息科技有限公司、北京中普至信標(biāo)準(zhǔn)化咨詢事務(wù)所、山西科泰航天防務(wù)技術(shù)股份有限公司、杭州市質(zhì)量技術(shù)監(jiān)督檢測院、福建工程學(xué)院、聊城卓群汽車部件有限公司、聊城市正豐電器有限公司、中關(guān)村新興科技服務(wù)業(yè)產(chǎn)業(yè)聯(lián)盟、中關(guān)村空間信息產(chǎn)業(yè)技術(shù)聯(lián)盟、河南省信息咨詢設(shè)計研究有限公司、福建省標(biāo)準(zhǔn)化研究院、中國輕工業(yè)信息中心、長城計算機(jī)軟件與系統(tǒng)有限公司、中科標(biāo)準(zhǔn)(寧德)科技有限公司、中纜網(wǎng)信息科技(山東)有限公司、綠燈行電纜集團(tuán)有限公司、東莞市衣電園實業(yè)投資有限公司、福州市寶尚信息科技有限公司、山東融托科技有限公司、江西金格科技股份有限公司、北京中科標(biāo)準(zhǔn)科技集團(tuán)有限公司。1第三方電子合同服務(wù)平臺信息安全技術(shù)要求1范圍本文件規(guī)定了第三方電子合同服務(wù)平臺的基本要求、訂立過程安全、存儲與應(yīng)用安全和安全運維等要求。本文件適用于第三方電子合同服務(wù)平臺的設(shè)計、開發(fā)、運營和電子合同訂立過程。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用干本文件。GB/T20520信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范GB/T20988信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T28448信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求GB/T32918.2信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第2部分：數(shù)字簽名算法GB/T35273信息安全技術(shù)個人信息安全規(guī)范GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB50174數(shù)據(jù)中心設(shè)計規(guī)范JR/T0118金融電子認(rèn)證規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。自然人、法人、其他組織之間以數(shù)據(jù)電文為載體，并利用電子通信手段設(shè)立、變更、終止民事權(quán)利義務(wù)關(guān)系的協(xié)議。[來源：GB/T36298—2018,3.1,有修改]數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。基于PKI的數(shù)字簽名認(rèn)證技術(shù)。為電子簽名相關(guān)各方提供真實性、可靠性驗證的活動。2獨立于合同締約人，具備身份認(rèn)證、談判磋商、電子簽名、合同存儲與調(diào)用等功能，能實現(xiàn)電子合同在線訂立及處理的信息系統(tǒng)。數(shù)字證書digitalcertificate由國家認(rèn)可的，具有權(quán)威性、可信性和公正性的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)(CA,CertificateAuthority)進(jìn)行數(shù)字簽名的一個可信的數(shù)字化文件。注：按類別可分為個人證書、機(jī)構(gòu)證書和設(shè)備證書；按用途可分為簽名證書和加密證書。能證明數(shù)據(jù)電文(電子文件)在一個時間點是已經(jīng)存在的、完整的、可驗證的，具備法律效力的電子憑證。注1:可信時間戳由權(quán)威時間戳服務(wù)中心機(jī)構(gòu)簽發(fā)。注2:可信時間戳主要用于電子文件防篡改和事后抵賴，確定電子文件產(chǎn)生的準(zhǔn)確時間。4基本要求4.1資質(zhì)要求第三方電子合同服務(wù)平臺資質(zhì)應(yīng)符合但不限于以下要求之一：a)網(wǎng)絡(luò)安全等級保護(hù)應(yīng)為GB/T22239中第三級要求或更高級別；b)部署在境內(nèi)的公有云、互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC,InternetDataCenter)或自建機(jī)房；c)云服務(wù)通過通信主管部門的可信云服務(wù)認(rèn)證；d)獲得相關(guān)的信息安全、隱私保護(hù)、業(yè)務(wù)連續(xù)性管理體系的權(quán)威認(rèn)證。4.2真實身份標(biāo)識第三方電子合同服務(wù)平臺應(yīng)使用組織驗證(OV,OrganizationValidation)或擴(kuò)展驗證(EV,ExtendedValidation)的傳輸層安全(SSL,SecureSocketsLayer)網(wǎng)站認(rèn)證證書等手段標(biāo)識網(wǎng)站的真實性，并有效保護(hù)交易信息的安全。4.3業(yè)務(wù)持續(xù)性保障業(yè)務(wù)持續(xù)性保障應(yīng)符合但不限于以下要求：a)部署在符合GB50174要求的A級數(shù)據(jù)中心機(jī)房；b)建立或使用與其業(yè)務(wù)規(guī)模相匹配的災(zāi)備系統(tǒng)設(shè)施，系統(tǒng)的災(zāi)難恢復(fù)能力滿足GB/T20988的第三級及以上等級要求，具備實時數(shù)據(jù)傳輸及完整設(shè)備支持，保證業(yè)務(wù)持續(xù)性及應(yīng)急響應(yīng)；c)提供7×24h服務(wù)，并提供7×24h服務(wù)熱線，全年服務(wù)可用率≥99.95%。4.4通信安全數(shù)據(jù)在公網(wǎng)傳輸時應(yīng)采用數(shù)據(jù)加密技術(shù)實現(xiàn)機(jī)密性保護(hù)，保證數(shù)據(jù)傳輸?shù)陌踩?，安全網(wǎng)絡(luò)傳輸協(xié)34.5安全評估與監(jiān)管第三方電子合同服務(wù)平臺應(yīng)依據(jù)GB/T28448定期開展等級保護(hù)測評，測評應(yīng)由具備等級保護(hù)測評資質(zhì)的信息安全測評認(rèn)證機(jī)構(gòu)進(jìn)行。第三方電子合同服務(wù)平臺應(yīng)向監(jiān)管部門或行業(yè)自律組織完成報備等合規(guī)工作。4.6數(shù)據(jù)安全第三方電子合同服務(wù)平臺數(shù)據(jù)安全主要包括身份認(rèn)證、授權(quán)訪問控制、可審計、存儲保護(hù)和隱私保護(hù)，應(yīng)符合但不限于以下要求：a)采取身份認(rèn)證，確保具備訪問權(quán)限；b)具有授權(quán)訪問控制功能，用戶通過實名核驗后，才可查看、下載本人已訂立或被授予權(quán)限的電子合同；c)完整記錄用戶操作日志以備審計；d)具有安全措施，確保電子合同不泄露，對電子合同進(jìn)行加密存儲；e)具有隱私保護(hù)措施，確保用戶隱私安全，符合GB/T35273要求。4.7電子簽名4.7.1基本要求電子簽名應(yīng)符合但不限于以下要求：a)在可靠電子簽名體系中，標(biāo)識電子簽名人真實身份的數(shù)字證書由電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)；b)第三方電子合同服務(wù)平臺所合作的電子認(rèn)證服務(wù)機(jī)構(gòu)要取得主管部門頒發(fā)的“電子認(rèn)證服務(wù)許可證”,并符合主管部門的各項管理要求和在主管部門備案的電子認(rèn)證業(yè)務(wù)規(guī)則。4.7.2電子簽名驗證第三方電子合同服務(wù)平臺應(yīng)對電子簽名人提交的電子簽名進(jìn)行驗證，以保證電子合同的完整性和抗抵賴性，電子簽名驗證應(yīng)符合但不限于以下要求：a)驗證簽訂人數(shù)字證書的有效性；b)驗證電子簽名的有效性以及時間戳信息；c)驗證電子簽名所使用的電子簽名算法符合GB/T32918.2要求；d)驗證電子簽名所使用的數(shù)據(jù)摘要算法符合GB/T32918.2要求；e)驗證電子簽名攻擊，防止通用簽名偽造(USF,UniversalSignature(ISA,IncrementalSavingAttack)和特征包裹攻擊(SWA,SignatureForgery)、增量保存攻擊WrappingAttack)攻擊。4.8記錄留存第三方電子合同服務(wù)平臺應(yīng)記錄并保存簽訂人的合同記錄，客戶有要求時，按客戶要求對相關(guān)信息進(jìn)行保留，無特殊要求時留存期限應(yīng)至少為當(dāng)事人數(shù)字證書失效后5年。5訂立過程安全5.1基本要求簽訂人應(yīng)先通過實名核驗，由電子認(rèn)證服務(wù)機(jī)構(gòu)為其簽發(fā)數(shù)字證書，簽訂人使用數(shù)字證書對電子合同進(jìn)行電子簽名，第三方電子合同服務(wù)平臺使用電子簽名驗證數(shù)據(jù)進(jìn)行電子合同完整性驗證，并且確認(rèn)4簽訂人的真實身份。5.2實名核驗5.2.1基本要求實名核驗基本要求包括但不限于以下要求。a)實名核驗應(yīng)包含對簽訂人提供的有效證件真實性、一致性、意愿真實性三方面進(jìn)行核驗。第三方電子合同服務(wù)平臺可根據(jù)平臺自身的風(fēng)控制度自主選擇實名核驗的方式。b)實名核驗方式應(yīng)不少于兩種，不應(yīng)規(guī)定單一校驗方式。c)簽訂人登錄第三方電子合同服務(wù)平臺，應(yīng)提交真實、完整和準(zhǔn)確的個人或企業(yè)身份信息，第三方電子合同服務(wù)平臺應(yīng)對簽訂人的身份信息進(jìn)行審核，只有實名核驗通過的個人或企業(yè)，才能簽訂合同。d)實名核驗需明示個人信息數(shù)據(jù)流向，個人信息處理方式應(yīng)符合相關(guān)法律法規(guī)要求。e)應(yīng)準(zhǔn)確記錄簽訂人實名核驗操作時間、操作內(nèi)容、操作結(jié)果、操作來源互聯(lián)網(wǎng)協(xié)議(IP,InternetProtocol)便于審計。第三方電子合同服務(wù)平臺在對自然人進(jìn)行實名核驗時可采用以下方式。a)線下核驗：包括對自然人有效證件的現(xiàn)場審核、自然人生物特征信息的采集和比對核驗以及人證合一的確認(rèn)。b)線上核驗：核驗信息包括姓名、身份證號碼、手機(jī)號碼或銀行卡號。核驗信息應(yīng)利用政府權(quán)威部門的數(shù)據(jù)庫或取得政府權(quán)威部門授權(quán)或認(rèn)可的數(shù)據(jù)庫等，并采用生物特征識別技術(shù)或其他安全有效的技術(shù)手段進(jìn)行人證合一的確認(rèn)，也可通過電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)的數(shù)字證書進(jìn)行實名核驗。c)其他經(jīng)過認(rèn)可的，可保證自然人有效證件真實性、一致性及意愿真實性的實名核驗方式。5.2.3法人或其他組織實名核驗第三方電子合同服務(wù)平臺在對法人或其他組織進(jìn)行實名核驗時可采用以下方式：a)線下核驗：包括對法人或其他組織有效證件和經(jīng)辦人的合法授權(quán)文件的現(xiàn)場審核，以及經(jīng)辦人的個人實名核驗；b)線上核驗：核驗信息包括名稱、工商登記號或統(tǒng)一社會信用代碼、法定代表人或負(fù)責(zé)人姓名和身份證號碼，應(yīng)采用經(jīng)辦人個人實名核驗，以及核心隱私數(shù)據(jù)的核驗，例如對公銀行打款、開具指定金額發(fā)票等核驗方式，也可通過電子認(rèn)證服務(wù)機(jī)構(gòu)頒發(fā)的數(shù)字證書進(jìn)行實名核驗；c)其他經(jīng)過認(rèn)可的，可保證有效證件真實性、一致性及意愿真實性的實名核驗方式。5.2.4核驗隱私數(shù)據(jù)保護(hù)第三方電子合同服務(wù)平臺對核驗信息的保護(hù)，應(yīng)符合GB/T35273以及相關(guān)法律法規(guī)中對敏感信息要求。5.3數(shù)字證書申請簽訂人應(yīng)在第三方電子合同服務(wù)平臺上通過實名核驗后才能申請數(shù)字證書。55.3.2個人數(shù)字證書申請的有效身份證件在個人數(shù)字證書申請時對個人身份進(jìn)行鑒別時，應(yīng)符合JR/T0118中有關(guān)個人有效身份證件的要求。5.3.3企業(yè)數(shù)字證書申請的有效證件在企業(yè)數(shù)字證書申請時對機(jī)構(gòu)身份進(jìn)行鑒別時，應(yīng)符合JR/T0118中有關(guān)企業(yè)有效身份證件的要求。5.3.4數(shù)字證書安全在使用數(shù)字證書簽名時，應(yīng)符合GB/T32918.2中的密碼算法安全要求。5.4密碼算法及密碼產(chǎn)品第三方電子合同服務(wù)平臺所使用的密碼算法可包括但不限于：雜湊算法、非對稱密碼算法和對稱密碼算法，所有算法應(yīng)是國家密碼主管部門認(rèn)可的算法。第三方電子合同服務(wù)平臺采用的密碼產(chǎn)品(模塊)應(yīng)取得國家密碼主管部門頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書。注：密碼產(chǎn)品(模塊)是自研產(chǎn)品(模塊)或第三方產(chǎn)品(模塊)。5.5時間戳電子合同采用的可信時間戳應(yīng)符合以下要求：a)第三方電子合同服務(wù)平臺確保合同具備可信時間戳要素，滿足防篡改要求；b)權(quán)威時間戳服務(wù)機(jī)構(gòu)應(yīng)與國家授時中心保持時間同步；c)時間戳應(yīng)符合GB/T20520的要求。5.6存證可靠性第三方電子合同服務(wù)平臺將簽名數(shù)據(jù)固化后，形成證據(jù)鏈條應(yīng)符合以下要求。a)能夠可靠地保證自最終形成時起，內(nèi)容保持完整、未被更改。但是在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲存和顯示過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。b)能夠有效地表現(xiàn)所載內(nèi)容并能夠隨時調(diào)取查用。5.7數(shù)據(jù)安全技術(shù)第三方電子合同服務(wù)平臺系統(tǒng)數(shù)據(jù)安全，應(yīng)符合GB/T37988的要求，包括：a)數(shù)據(jù)采集安全；b)數(shù)據(jù)傳輸安全；c)數(shù)據(jù)存儲安全；d)數(shù)據(jù)交換安全；e)數(shù)據(jù)銷毀安全。6存儲與應(yīng)用安全6.1存儲安全第三方電子合同服務(wù)平臺數(shù)據(jù)存儲安全應(yīng)符合但不限于以下要求。6a)制定數(shù)據(jù)存儲安全規(guī)則，包括但不限于：1)數(shù)據(jù)存儲設(shè)備運行維護(hù)操作規(guī)則；2)數(shù)據(jù)存儲系統(tǒng)安全管理規(guī)則；3)數(shù)據(jù)復(fù)制、備份與恢復(fù)的操作規(guī)則及定期檢查或更新工作程序；4)數(shù)據(jù)歸檔存儲制度及相應(yīng)的安全審計與恢復(fù)制度；5)數(shù)據(jù)存儲時效性管理規(guī)則。b)建立開放可伸縮的數(shù)據(jù)存儲架構(gòu)，以滿足數(shù)據(jù)量持續(xù)增長、數(shù)據(jù)分類分級存儲等需求。c)建立具備跨地域容錯、容災(zāi)能力的數(shù)據(jù)存儲架構(gòu)。d)數(shù)據(jù)邏輯存儲多租戶隔離，分層分級保護(hù)，并授權(quán)管理。e)采用中間件/安全加密技術(shù)/安全設(shè)備實施實現(xiàn)數(shù)據(jù)資源的保護(hù)。f)數(shù)據(jù)訪問審計的存儲保護(hù)和管控。g)數(shù)據(jù)存儲完整性、多副本一致性檢測與恢復(fù)。h)在安全等級可接受的環(huán)境中再次使用存儲介質(zhì)之前應(yīng)清除存儲介質(zhì)上已有的內(nèi)部存儲、緩存或其他可用的數(shù)據(jù)，以防對先前數(shù)據(jù)的訪問。i)對存儲介質(zhì)進(jìn)行標(biāo)記，明確存儲介質(zhì)存儲的數(shù)據(jù)對象，并對存儲介質(zhì)訪問和使用行為進(jìn)行記錄和審計。6.2隱私保護(hù)安全第三方電子合同服務(wù)平臺數(shù)據(jù)隱私保護(hù)安全應(yīng)符合但不限于以下要求：a)構(gòu)建數(shù)據(jù)脫敏規(guī)范，數(shù)據(jù)使用正當(dāng)性的內(nèi)部責(zé)任制度，數(shù)據(jù)溯源策略和管理制度以及不同類型、級別數(shù)據(jù)的加密規(guī)則和保存期限；b)建立分布式處理節(jié)點間可信連接策略和規(guī)范，采用節(jié)點認(rèn)證等機(jī)制確保節(jié)點接入的真實性；c)建立分布式處理節(jié)點和用戶安全屬性的周期性確認(rèn)機(jī)制，確保預(yù)定義分布式安全策略一致性；d)建立分布式處理過程中數(shù)據(jù)文件鑒別和訪問用戶身份認(rèn)證的策略和規(guī)范，確保分布式處理數(shù)據(jù)文件的可訪問性；e)分析利用所掌握的信息資源，不應(yīng)影響國家安全、經(jīng)濟(jì)運行、社會穩(wěn)定，不應(yīng)損害他人合法f)若收到個人信息查詢、更正、刪除及用戶注銷賬號請求，在合理時間和代價范圍內(nèi)予以查詢、更g)因業(yè)務(wù)需求，需擴(kuò)大個人信息使用范圍的，征得個人信息主體同意，不應(yīng)違反收集使用規(guī)則使用個人信息；h)制定可公開的隱私政策。6.3司法舉證第三方電子合同服務(wù)平臺具有協(xié)助舉證方進(jìn)行舉證的義務(wù)。證據(jù)證明包括但不限于：a)第三方電子合同服務(wù)平臺提供訂立的電子合同原文、簽訂人在平臺的實名核驗等證據(jù)，第三方電子合同服務(wù)平臺依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護(hù)法》對公民個人信息安全進(jìn)行保護(hù)并告知義務(wù)的履行證明文件；b)第三方電子合同服務(wù)平臺可與存證機(jī)構(gòu)對接，有司法舉證需求時，存證機(jī)構(gòu)應(yīng)出具存證證明c)電子認(rèn)證服務(wù)機(jī)構(gòu)出具數(shù)字證書及電子簽名的驗證報告，證明證書及電子簽名的有效性；d)電子簽名人委托他人代為實施簽名行為時，電子簽名的制作數(shù)據(jù)應(yīng)由簽名人控制，第三方電子7合同服務(wù)平臺提供調(diào)用電子簽名制作數(shù)據(jù)的時間和方式、IP地址、授權(quán)及認(rèn)證方式、授權(quán)及認(rèn)證記錄等證明；e)有司法舉證要求時使用解密密鑰解密原文；f)司法機(jī)構(gòu)要求配合提供的其他相關(guān)證據(jù)。7安全運維7.1日志管理日志管理滿足以下要求。a)應(yīng)全面收集第三方電子合同服務(wù)平臺系統(tǒng)的運行日志，并進(jìn)行歸一化預(yù)處理，以便后續(xù)存儲和處理。b)原始日志信息和歸一化處理后的日志信息應(yīng)分別進(jìn)行存儲。原始日志信息應(yīng)防篡改，以便可作為司法證據(jù)；已歸一化的日志應(yīng)進(jìn)行結(jié)構(gòu)化存儲，以便檢索和深度處理。c)對日志信息應(yīng)進(jìn)行多種分析，包括：1)攻擊線索查找分析：在第三方電子合同服務(wù)平臺系統(tǒng)受到攻擊后，通過日志分析找到攻擊源和攻擊路徑，以便清除木馬和病毒，并恢復(fù)系統(tǒng)正常運行；2)日志交叉深度分析：通過定期的交叉分析，發(fā)現(xiàn)并阻斷潛在攻擊；3)對攻擊日志進(jìn)行歷史分析，發(fā)現(xiàn)攻擊趨勢，以實現(xiàn)早期防御。7.2漏洞管理應(yīng)建立漏洞應(yīng)急機(jī)制，可通過以下兩種方式獲取第三方電子合同服務(wù)平臺系統(tǒng)及其支撐軟硬件系統(tǒng)存在的脆弱性或漏洞。a)借助漏洞掃描工具對第三方電子合同服務(wù)平臺系統(tǒng)及其軟硬件系統(tǒng)存在的漏洞進(jìn)行掃描，以發(fā)現(xiàn)存在的脆弱性。b)通過多種渠道及時了解第三方電子合同服務(wù)平臺系統(tǒng)及其支撐軟硬件系統(tǒng)存在的脆弱性。及時更新第三方電子合同服務(wù)平臺系統(tǒng)和相應(yīng)的支撐軟硬件設(shè)備，以保持系統(tǒng)處于安全狀態(tài)。7.3備份管理可根據(jù)業(yè)務(wù)數(shù)據(jù)的重要程度設(shè)定相應(yīng)的備份策略?？蛇x擇的備份方式包括完全備份、差異備份或增量備份；可選擇的備份地點包括同城備份或異地備份等。對已備份的數(shù)據(jù)的恢復(fù)演練頻次不應(yīng)低于每季度一次，以保證備份的可用性和災(zāi)難恢復(fù)系統(tǒng)的可靠性