灾难恢复服务能力评估准则

时间：2025-04-23

国家信息安全服务资质

灾难恢复服务能力评估准则

（试行）

©版权2008—中国信息全安全测评中心

2008年5月1日

-I-

1 范围 .............................................................................................................. 1

2 规范性引用文件 ............................................................................................ 2

3 术语、定义和缩略语 ..................................................................................... 3

3.1 术语和定义 ......................................................................................... 3

3.2 缩略语 ................................................................................................ 5

4 概述 .............................................................................................................. 6

4.1 信息安全灾难恢复服务介绍 ................................................................ 6

4.2 信息安全灾难恢复能力成熟度模型 ..................................................... 8

4.3 如何使用标准 ................................................................................... 15

5 灾难恢复过程域 .......................................................................................... 21

5.1 PA01灾难恢复需求 ........................................................................... 22

5.2 PA02灾难恢复策略制定 ................................................................... 26

5.3 PA03灾难恢复资源获取 ................................................................... 29

5.4 PA04灾难恢复资源要求 ................................................................... 37

5.5 PA05灾难备份系统技术方案实现 ..................................................... 45

5.6 PA06灾难备份中心的选择和建设 ..................................................... 49

5.7 PA07技术支持能力的实现 ................................................................ 52

5.8 PA08运行维护管理能力的实现 ......................................................... 54

5.9 PA09灾难恢复预案的制定 ................................................................ 56

5.10 PA10灾难恢复预案的教育、培训和演练 ........................................ 59

5.11 PA11灾难恢复预案的管理 .............................................................. 61

6 项目和组织的基本实践过程域 ..................................................................... 64

6.1 PA12保证质量 .................................................................................. 65

6.2 PA13管理配置 .................................................................................. 73

6.3 PA14管理项目风险 ........................................................................... 79

6.4 PA15监控技术活动 ........................................................................... 86

6.5 PA16规划技术活动 ........................................................................... 93

6.6 PA17定义组织的系统工程过程 ....................................................... 104

6.7 PA18改进组织的系统工程过程 ....................................................... 109

6.8 PA19管理产品生产线演进 .............................................................. 114

6.9 PA20管理系统工程支撑环境 .......................................................... 120

6.10 PA21提供现时的技能和知识 ........................................................ 128

6.11 PA22供应商协调 .......................................................................... 137 7 信息安全灾难恢复能力级别 ...................................................................... 143

7.1 能力级别1 —— 非正式实施 .......................................................... 144

7.2 能力级别2 —— 计划和跟踪 .......................................................... 148

7.3 能力级别3 —— 充分定义.............................................................. 156

7.4 能力级别4 —— 定量控制.............................................................. 163

7.5 能力级别5 —— 持续改进.............................................................. 168 参考文献 ...................................................................................................... 173

1 范围

本标准适用于评估机构对提供信息安全灾难恢复服务的组织进行信息安全灾难恢复服务能力的测评。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8—2001 信息技术词汇第8部分：安全

GB/T 20988-2007 信息安全技术信息系统灾难恢复规范

3 术语、定义和缩略语

3.1 术语和定义

过程域 process area（PA）

一个过程域（PA）是一组相关系统工程过程的性质，当这些性质全部实施后则能够达到过程域定义的目的。

基本实践 base practices（BP）

一个过程域由基本实践(BP)组成。这些基本实践是系统工程过程中必须存在的性质，只有当所有这些性质完全实现后，才可说满足了这个过程域的要求。