企业灾备服务能力评价方法DOC.docx
《企业灾备服务能力评价方法DOC.docx》由会员分享,可在线阅读,更多相关《企业灾备服务能力评价方法DOC.docx(13页珍藏版)》请在冰豆网上搜索。
企业灾备服务能力评价方法DOC
本标准根据我国企业灾备服务能力的需求,同时考虑到国内灾备服务提供商的实际情况,参考GBZ20985-2007《信息技术安全技术信息安全事件管理指南》、GB20986《信息技术安全技术信息安全事件分类分级指南》、GBT22080-2008《信息技术安全技术信息安全管理体系要求》、《计算机信息系统集成资质管理办法》、《计算机信息系统集成资质等级评定条件》、GB20988-2007-T《信息安全技术_信息系统灾难恢复规范》、《重要信息系统灾难恢复规划指南》、GB/T20984-2007《信息安全技术信息安全风险评估规范》、BS25777:
2008《Informationandcommunicationstechnologycontinuitymanagement—Codeofpractice》、BS25999-1《Codeofpracticeforbusinesscontinuitymanagement》、ISO/IEC24762:
2008《Informationtechnology—Securitytechniques—Guidelinesforinformationandcommunicationstechnologydisasterrecoveryservices》等文件和相关国际国内标准制定而成。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:
国家计算机网络应急技术处理协调中心
。
。
。
。
。
。
本标准主要起草人:
企业灾备服务能力评价准则
1范围
本标准规定了对企业灾备服务提供者应具备的服务能力要求,以及对灾备服务提供者进行评价的要求。
本标准适用于对灾备服务能力服务提供者进行灾备服务能力的评价,可作为信息系统所有者选择灾备服务能力提供者的依据,可作为有关主管部门对灾备服务提供者进行管理的技术性规范,也可为灾备服务提供者改进自身服务能力提供参考。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T19000.3质量管理和质量保证标准第3部分:
GB/T19001在计算机软件开发、供应、
安装和维护中的使用指南
GB/T19001质量管理体系标准要求
GB/T19004.2质量管理和质量体系要素第2部分:
服务指南
GB/T19004.4质量管理和质量体系要素第4部分:
质量改进指南
GB/Z20286信息安全技术信息安全事件分类分级指南
GB/T20984信息安全技术信息安全风险评估规范
GB/T22081信息技术安全技术信息安全管理实用规则
YD/T1621网络与信息安全服务资质评估准则
GBZ20985-2007信息技术安全技术信息安全事件管理指南
GBT22080-2008信息技术安全技术信息安全管理体系要求
GB20988-2007-T信息安全技术_信息系统灾难恢复规范
重要信息系统灾难恢复规划指南
BS25777:
2008Informationandcommunicationstechnologycontinuitymanagement—Codeofpractice
BS25999-1Codeofpracticeforbusinesscontinuitymanagement
ISO/IEC24762:
2008Informationtechnology—Securitytechniques—Guidelinesforinformationandcommunicationstechnologydisasterrecoveryservices
3术语和定义
本文件“2规范性引用文件”中的术语和定义适用于本标准。
4.2.1灾难disaster
由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。
4.2.1灾难恢复(DR)disasterrecovery
将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态,而设计的活动和流程。
4.2.1灾难恢复规划(DRP)disasterrecoverplanning
为了减少灾难带来的损失和实现灾难恢复所做的事前计划和安排。
4.2.1业务影响分析(BIA)businessimpactanalysis
分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。
4.2.1恢复时间目标(RTO)recoverytimeobjective
灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。
4.2.1恢复点目标(RPO)recoverypointobjective
灾难发生后,系统和数据必须恢复到的时间点要求。
4.2.1关键业务功能criticalbusinessfunctions
如果中断一定时间,将显著影响组织运作的服务或职能。
4.2.1生产系统productionsystem
正常情况下支持单位日常业务运作的信息系统,包括生产数据、生产数据处理系统和生产网络。
4.2.1灾难备份中心;备用场所alternatesite
用于灾难发生时接替生产系统运行进行数据处理和支持关键业务功能运作的场所,包括备用数据处理中心、备用的工作环境、备用生活设施和技术支持及运行管理人员。
4.2.1灾难备份backupfordisasterrecovery
为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。
4.2.1灾难备份系统backupsystemfordisasterrecovery
用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。
4.2.1数据备份策略databackupstrategy
为了达到数据恢复和重建目标所确定的备份步骤和行为。
通过确定备份时间、技术、介质和场外存放方式,以保证达到RPO和RTO。
4.2.1灾难恢复预案disasterrecoveryplan
定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件,用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。
4.2.1演练exercise
用于训练人员和提高灾难恢复能力的活动,包括桌面演练、模拟演练、操作演练和演习等。
4.2.1[灾难恢复]演习mockdrill
按设定的灾难场景,参与人员根据灾难恢复预案进行活动的过程。
4概述
4.1灾备服务概述
灾难备份是信息安全保障工作的基础性工作和重要环节,贯穿于网络和信息系统建设运行的全过程。
灾备服务提供者通过对信息系统提供灾备服务,系统地分析网络与信息系统所面临的灾难,根据灾难特性,提前选取恰当的备份方式,并建立科学合理的应急处理、灾难恢复和更新总结,将服务接受方的损失降低到最小。
灾备服务能力等级是衡量灾备服务提供者的能力的尺度。
能力等级分为三级,一级最高,三级最低。
在本标准中,灾备服务能力等级要求包含基本能力要求、过程能力要求,不同等级要求三个部分,具体参见第5、6、7章内容。
4.2实施灾备的原则
4.2.1标准性原则
灾备服务需要参照国际、国家、行业标准等进行实施。
4.2.3核心业务原则
灾备服务工作应以被服务组织的关键业务作为核心,涉及关键业务的相关网络与系
统,包括基础网络、业务网络、操作系统、应用基础平台、业务应用平台等作为灾备的重点。
4.2.3可控性原则
a)服务可控性
在灾备工作沟通会议中,事先向用户介绍灾备服务流程,明确需要得到用户协作的内容,确保灾备工作的顺利进行。
b)人员可控性
所有参与灾备的人员均应签署保密协议以进行项目安全约束,对过程数据和结果数据严格保密,XX不得泄露给任何单位和个人,确保项目成员的安全控制与管理。
c)过程可控性
应依据项目管理规范进行项目管理,组建项目实施团队,项目经理负责制,做到项目过程的可控。
d)备份模式可控性
灾备服务人员所使用的备份模式应事先通告用户,在项目实施过程中应获得用户对灾备方式、方法、模式、技术等的认可。
4.2.3最小影响原则
对于在线业务系统的灾备服务,首要保障业务系统的稳定运行。
对于需要进行演练测试的工作内容,需与用户充分沟通并进行应急备份,选择避开业务的高峰时间进行。
5灾备服务提供者基本能力要求
5.1基本条件
灾备服务提供者:
a)应具有中华人民共和国境内的独立法人资格,具有相关部门颁发的合法经营资格;
b)从事涉密信息系统的灾备服务提供者必须满足国家保密机关的相关要求;
c)具有固定的工作场所;
d)近两年内经济状况良好,财务数据真实可信,并需经国家相关部门认定的会计师事务所核实;
e)必须遵守国家现行法律、法规的规定。
5.2基本管理能力要求
灾备服务提供者:
a)应采取技术和管理措施确保客户信息的安全、可控,这些信息包括但不限于客户资料、灾备活动中产生的文档、最终灾备计划等;
b)制定保密管理要求,明确保密岗位与职责,定期对服务人员进行保密教育与培训,并签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责落实;
c)建立人员管理程序,使每一位服务人员持续满足岗位职责的需求;制定灾备技能培训计划,定期对服务人员进行培训、指导、考核;
d)按照持续改进的要求制定灾备项目的管理制度;制定灾备项目计划及监督检查要求,具体包括对组织内外的交流机制、规划关键技术活动、选择服务小组、设立项目的里程碑及评审的要求、日常的监督检查;
e)应使用符合标准要求的检查列表、文档模板、测试工具,保证灾备质量的一致性。
5.3基本技术能力要求
灾备服务提供者:
a)具有建立适当的灾备模型、选择适当的灾备方法的能力;具有识别并分析组织和信息系统的信息资产价值的能力;能够全面、准确了解组织和信息系统所面临的各种威胁;能够对组织和信息系统的脆弱性进行有效识别和分析;
b)具备对风险处置、安全整改提出有效措施的能力;
c)应具备独立的测试环境及必要的软、硬件设备,用于满足技术培训和模拟测试的需要;具备满足承担灾备项目所需的工具,如备份工具、灾备中心、物理设施等;对测试工具的功能、性能进行确认,保证测试工具的可用性、稳定性、安全性;
d)可采用远程、本地两种方式进行灾备,灾备方法可包括在线、热备、温备、冷备等;
e)具备灾备有关的工作流程及操作规范;
f)具备灾备方案;能够按照标准要求提供灾备方案及过程文件,灾备方案包括可执行的灾备技术;
g)有专门的技术人员关注国内外权威机构发布的灾难公告;了解灾难信息、灾难动向,有能力掌握灾难的最新技术和标准;有专门的人员持续对最新的灾备技术进行研究。
6灾备服务过程要求
6.1灾备服务过程
灾备服务过程可分为功能需求、设计和开发、执行和演练、维护和更新四个关键段。
功能需求阶段主要是采取风险分析和业务影响分析确定接受灾备服务方的RTO、RPO、SDL以及灾备所需资源等设计开发要素;设计和开发阶段根据功能需求分析结果选择备份战略、资源战略、威胁目录等;测试和演练将对方案的效果通过不同的演练方式校验方案效果;维护和更新通过分析输入、过程和输出,保持灾备服务的有效性。
表1灾备服务过程控制措施列表
阶段
控制措施
功能需求
服务需求界定
服务合同或协议签订
服务方案制定
人员和工具准备
风险分析
业务影响分析
设计和开发
分析结果的运用
威胁目录
交付物目录
冗余策略
站点策略
数据备份策略
保险策略
资源储备策略
应急响应策略
人员策略
策略的运用
灾难恢复计划
应急处理计划
组织结构
培训文件
测试与演练
演练场景
演练模式
维护与更新
输入信息
结果分析
审计
灾备服务提供者应遵循每一阶段的要求为灾备对象提供灾备服务。
每一阶段的要求有必备要求和可选要求,具体要求见6.2、6.3、6.4、6.5。
6.2准备阶段
6.2.1灾备准备阶段的主要内容
功能需求阶段是整个灾备过程有效性的保证,功能需求的结果可能会受到评估对象的业务战略、业务流程、安全需求、系统规模和结构等各方面的影响。
因此,在灾备实施前,应充分做好以下工作。
6.2.2控制措施:
服务需求界定
1)应确定灾备目标。
充分了解灾备对象,了解各项业务功能及各项业务功能之间的相关性,确定支持各种业务功能的相应信息系统资源及其它资源,确定系统执行的关键功能,并确定执行这些功能所需的特定系统资源。
2)应确定灾备范围。
在确定灾备目标之后,应进一步明确灾备范围,可以是组织全部的信息及与信息处理相关的各类资产、管理机构,也可以是某个独立的信息系统、关键业务流程、与组织知识产权相关的系统或部门等。
在确定灾备范围时,应结合已确定的灾备目标和组织的实际信息系统建设情况,合理定义灾备对象和灾备范围边界,可以参考以下依据来作为灾备范围边界的划分原则:
a)业务系统的业务逻辑边界;
b)网络及设备载体边界;
c)物理环境边界;
d)组织管理权限边界;
e)其它。
6.2.3控制措施:
服务合同签订
1)应签订服务合同或协议;
2)应明确双方的职责和责任;
3)应明确哪些具体的灾备行为是可接受或者禁止的,哪些行为需要系统管理者的事先批准,尤其是对于关键系统的拒绝服务尝试、对敏感信息的破解尝试。
6.2.4控制措施:
服务方案制定
1)应进行充分的系统调研。
服务方案应在充分掌握评需求的基础上进行制定,事先需进行充分的系统调研,为灾备依据和方法的选择、灾备内容的实施奠定基础;
2)宜根据灾备目标以及调研结果,确定灾备依据和灾备方法。
灾备依据包括(但不仅限于):
a)适用的法律、法规;
b)现有国际标准、国家标准、行业标准;
c)行业主管机关的业务系统的要求和制度;
d)系统互联单位的灾备要求;
e)系统本身的实时性或性能要求等。
3)应形成较为完整的灾备实施方案,为后面的灾备实施活动提供一个总体计划,用于指导实施方开展后续工作,并作为灾备项目验收的主要依据之一。
灾备方案的内容应包括(但不限于):
a)灾备工作框架:
包括灾备目标、灾备范围、灾备依据等内容;
b)灾备团队组织:
包括灾备团队成员、组织结构、角色、责任等内容;
c)灾备工作计划:
灾备各阶段的工作计划,包括工作内容、工作形式、工作
成果等内容;
d)灾备工作中的风险规避:
包括保密协议约定、灾备工作环境要求、灾备方法和
工具的选择等内容;
e)时间进度安排:
灾备实施的时间进度安排;
f)项目验收方法:
包括验收方式、验收依据、验收结论定义等。
6.2.5控制措施:
人员和工具准备
1)应组建灾备团队。
为了保障灾备工作的顺利开展,灾备实施团队应由管理层、相关业务骨干、IT技术人员等组成灾备小组。
必要时,可组建由灾备方、被灾备方领导和相关部门负责人参加的灾备领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。
2)应根据服务对象的需求准备必要的工具包,包括合格的灾备系统、工具软件等,工具包保存在不可更改的移动介质上,并定期更新和具备有完善的版本控制;
3)宜做好灾备前的表格、文档等各项准备工作,进行灾备技术培训和保密教育,制定灾备过程管理相关规定。
可根据被灾备方要求,双方签署保密合同,适情签署个人保密协议。
4)为确保灾备工作的顺利有效进行,应采用合理的项目管理机制,明确主要相关人员的角色与职责。
6.2.6控制措施:
风险评估
参见《网络与信息安全风险评估能力评价方法》
6.2.7控制措施:
业务影响分析
1)具备可重复、可度量的风险分析方法;
2)具备业务影响分析相关工具;
要求
必选
可选
功能需求
服务需求界定
确定备份目标,充分了解备份对象
√
确定备份范围,合理定义备份对象和备份范围边界
√
服务合同签订
明确双方的职责和责任
√
服务方案制定
进行充分的系统调研
√
确定备份依据和备份方法
√
形成方案,提供总体计划
√
人员和工具准备
组建灾备团队
√
根据需求准备必要的工具包,定期更新
√
做好灾备前的表格、文档等准备工作
√
采用合理的项目管理机制,明确主要人员的权责
√
7灾备服务能力分级评价要求
提供灾备服务的组织除满足基本要求(5.1)、管理要求(5.2)、技术能力要求(5.3)外,根据灾备服务提供者的机构注册资金、从业经验、人员素质要求、项目经验、管理能力和技术能力等要素,可将灾备服务提供者的能力划分为三个等级,各级别的具体要求见表1。
7.1灾备服务一级能力要求
7.1.1基本资格
7.1.1.1基本条件(参见第5.1节);
7.1.1.2注册资本:
产权关系明晰,注册资本不少于100万元人民币;
7.1.1.3人员素质要求:
机构人员总数20人以上;灾备服务人员10名以上;本科以上学历人员占机构总人数比例在60%以上;具有相关资质的灾备服务人员至少2人。
7.1.1.4从业时间:
从事灾备服务一年以上;
7.1.1.5从业经验:
独立完成省级范围的信息系统灾备项目或中小型企业的信息系统灾备项目;近三年内至少完成4个以上完整的灾备项目,无客户投诉,项目合同总金额不少于50万元人民币。
7.1.2管理能力(参见第5.2节)
7.1.3技术能力(参见第5.3节)
7.1.4服务过程要求(参见第6章)
7.2灾备服务二级能力要求
7.2.1基本资格
7.2.1.1基本条件(参见第5.1节);
7.2.1.2注册资本:
产权关系明晰,注册资本不少于500万元人民币;
7.2.1.3人员素质要求:
机构人员总数80人以上;灾备服务人员15名以上;本科以上学历人员占机构总人数比例在70%以上;具有相关资质的灾备服务人员至少6人。
7.2.1.4从业时间:
从事灾备服务三年以上;
7.2.1.5从业经验:
独立完成省级范围的灾备项目或大型企业的信息系统灾备项目;近三年内至少完成6个以上完整的灾备项目,无客户投诉,项目合同总金额不少于100万元人民币。
7.2.2管理能力
7.2.2.1基本管理能力(参见第5.2节)
7.2.2.2制定项目风险管理制度,评估项目风险,制定项目风险控制措施并跟踪其
有效性。
7.2.2.3制定服务质量持续改进制度,并跟踪落实情况。
7.2.3技术能力
7.2.3.1基本技术能力(参见第5.3节);
7.2.3.2有专门人员进行灾备标准研究;
7.2.3.3有专门人员跟踪、发现和挖掘灾备风险;
7.2.3.4有专门人员进行灾备工具开发,将工具应用到实践中。
7.2.4服务过程要求(参见第6章)
7.3灾备服务一级能力要求
7.3.1基本资格
7.3.1.1基本条件(参见第5.1节);
7.3.1.2注册资本:
产权关系明晰,注册资本不少于1000万元人民币;
7.3.1.3人员素质要求:
机构人员总数150人以上;灾备服务人员30名以上;本科以上学历人员占机构总人数比例在80%以上;具有相关资质的灾备估服务人员至少10人。
7.3.1.4从业时间:
从事灾备服务五年以上;
7.3.1.5从业经验:
独立完成全国范围的信息系统灾备项目;近三年内至少完成10个以上完整的灾备项目,无客户投诉,项目合同总金额不少于500万元人民币。
7.3.2管理能力
7.3.2.1基本管理能力(参见第5.2节);
7.3.2.2制定项目风险管理制度,评估项目风险、制定项目风险控制措施并跟踪其有效性;
7.3.2.3制定服务质量持续改进的制度,跟踪其落实情况;
7.3.2.4参考GB/T22080标准建立信息安全管理体系。
7.3.3技术能力
7.3.3.1基本技术能力(参见第5.3节);
7.3.3.2应具备独立的测试环境及必要的软、硬件设备,用于满足信息系统仿真;
7.3.3.3有专门团队跟踪、发现和挖掘灾备风险;并提交给国际或国内权威机
构。
7.3.4服务过程要求(参见第6章)
8评价要求
对灾备服务提供方的服务能力主要是从基本资格、管理能力、技术能力、过程要求等四个方面综合评价。
基本资格主要包括基本条件、注册资本、人员素质要求、从业时间、从业经验等方面。
管理能力包括保密管理、人员管理、项目管理、质量管理等方面。
技术能力包括风险分析、业务影响分析、应急能力、灾备文件编写能力、灾备技术的研究与跟踪能力等多个方面;过程要求包括四个方面。
评价所依据的证明材料至少包含:
a)营业执照、独立法人资格证明;
b)从事灾备服务的相关资质证明材料;
c)安全保密制度及措施;
d)人员构成与素质证明材料;
e)组织结构、规模与资产、设施环境相关材料;
f)项目案例及业绩证明材料;
g)灾备流程与操作规范、质量管理等材料。
参考文献
GB/Z20286信息安全技术信息安全事件分类分级指南
GB/T20984信息安全技术信息安全风险评估规范
GB/T22081信息技术安全技术信息安全管理实用规则
YD/T1621网络与信息安全服务资质评估准则
GBZ20985-2007信息技术安全技术信息安全事件管理指南
GBT22080-2008信息技术安全技术信息安全管理体系要求
GB20988-2007-T信息安全技术_信息系统灾难恢复规范
重要信息系统灾难恢复规划指南
BS25777:
2008Informationandcommunicationstechnologycontinuitymanagement—Codeofpractice
BS25999-1Codeofpracticeforbusinesscontinuitymanagement
ISO/IEC24762:
2008Informationtechnology—Securitytechniques—Guidelinesforinformationandcommunicationstechnologydisasterrecoveryservices
升级会员 