路径: 主页 > GB/T > 第209页 > GB/T 37046-2018 | 标准编号 | GB/T 37046-2018 (GB/T37046-2018) | | 中文名称 | 信息安全技术 灾难恢复服务能力评估准则 | | 英文名称 | Information security techniques -- Assessment criteria for disaster recovery service capability | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 50,567 | | 发布日期 | 2018-12-28 | | 实施日期 | 2019-07-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 37046-2018
Information security techniques--Assessment criteria for disaster recovery service capability
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
灾难恢复服务能力评估准则
2018-12-28发布
2019-07-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 3
5 灾难恢复服务能力成熟度模型概述 3
5.1 灾难恢复服务生命周期概述 3
5.2 灾难恢复服务能力构成要素 4
5.3 灾难恢复服务能力成熟度模型 5
6 灾难恢复服务能力要素 6
6.1 灾难恢复服务资源配置 6
6.1.1 灾难恢复服务场地资源配置能力 6
6.1.2 灾难恢复系统资源配置能力 7
6.1.3 灾难恢复服务团队能力 7
6.2 灾难恢复服务过程 7
6.2.1 灾难恢复服务过程综述 7
6.2.2 PA01---灾难恢复需求分析 7
6.2.3 PA02---灾难恢复资源获取 8
6.2.4 PA03---灾难备份中心的选择和建设 10
6.2.5 PA04---灾难备份系统技术规划及实现 11
6.2.6 PA05---灾难备份系统运行维护及技术支持 13
6.2.7 PA06---灾难恢复预案的开发及管理 13
6.2.8 PA07---突发事件应急响应及灾难接管 15
6.2.9 PA08---灾难恢复能力评估 16
6.3 灾难恢复服务项目过程和组织过程 17
6.3.1 灾难恢复服务项目过程与组织过程综述 17
6.3.2 PA09---质量保证 17
6.3.3 PA10---管理配置 19
6.3.4 PA11---管理项目风险 20
6.3.5 PA12---项目规划 21
6.3.6 PA13---项目监控 22
6.3.7 PA14---管理系统工程支持环境 23
6.3.8 PA15---技能和知识提升 24
6.3.9 PA16---与供应商协调 25
7 灾难恢复服务过程能力级别定义 26
7.1 灾难恢复服务过程能力概述 26
7.2 能力级别1---基本执行级 27
7.2.1 基本执行级综述 27
7.2.2 公共特征1.1---执行基本实施 27
7.3 能力级别2---计划与跟踪级 27
7.3.1 计划与跟踪级综述 27
7.3.2 公共特征2.1---规划执行 28
7.3.3 公共特征2.2---规范化执行 29
7.3.4 公共特征2.3---验证执行 30
7.3.5 公共特征2.4---跟踪执行 30
7.4 能力级别3---充分定义级 31
7.4.1 充分定义级综述 31
7.4.2 公共特征3.1---定义标准过程 31
7.4.3 公共特征3.2---执行已定义过程 32
7.4.4 公共特征3.3---协调实施 33
7.5 能力级别4---量化控制级 34
7.5.1 量化控制级综述 34
7.5.2 公共特征4.1---建立可测的质量目标 34
7.5.3 公共特征4.2---客观地管理执行 35
7.6 能力级别5---持续改进级 35
7.6.1 持续改进级综述 35
7.6.2 公共特征5.1---改进组织能力 35
7.6.3 公共特征5.2---改进过程有效性 36
8 灾难恢复服务能力评估 37
8.1 概述 37
8.2 灾难恢复服务能力评估 37
8.3 本标准附录的适用性说明 38
附录A(资料性附录) 灾难恢复级别与使用的工具设备参考表 40
附录B(规范性附录) 灾难恢复服务与过程域对应表 42
附录C(规范性附录) 灾难恢复能力级别与能力要素的映射表 43
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准
化研究院、万国数据服务有限公司、中电长城网际系统应用有限公司、北京华胜天成科技股份有限公司、
北京市太极华青信息系统有限公司、国富瑞数据系统有限公司、清华大学、中国民航大学、上海信息安全
工程技术研究中心。
本标准主要起草人:孙明亮、李斌、位华、王琰、刘作康、张晓菲、张剑、魏立茹、程瑜琦、许玉娜、
王惠莅、关继铮、闵京华、刘洋、闫城、安新亚、李杰、魏刚毅、刘玮、雷缙、叶晓俊、陆丽、汪涛、武勇。
引 言
本标准参照和借鉴 GB/T 30271-2013《信息安全技术 信息安全服务能力评估准则》、
GB/T 20988-2007《信息安全技术 信息系统灾难恢复规范》、GB/T 20261-2006《信息技术 系统安
全工程能力成熟度模型》、ISO/IEC 21827:2008《信息技术 安全技术 系统安全工程能力成熟度模
型(SSE-CMM)》的有关内容和思想,结合国内外实践经验制定而成。
本标准内容是在GB/T 30271-2013的框架下对信息系统灾难恢复服务能力评估的具体细化,是
针对信息系统灾难恢复组织的服务能力进行的评估框架。主要是阐述灾难恢复服务组织的灾难恢复服
务能力的评估方法与模型,以及对灾难恢复服务组织服务能力评估分级的方法及特征描述,具体评估要
求参照GB/T 36957-2018。本标准在制定过程中对于灾难恢复服务组织的灾难恢复服务过程能力参
考GB/T 20988-2007中的信息系统灾难恢复技术过程,主要针对灾难恢复服务组织的服务能力进行
评估方法、模型、分级的框架阐述;GB/T 36957-2018主要阐述灾难恢复组织在做灾难恢复服务时的
具体要求;GB/T 20988-2007是对信息系统灾难恢复服务过程的阐述,以及针对信息系统灾难恢复的
能力的阐述,核心是信息系统;本标准与GB/T 36957-2018配套使用。
信息安全技术
灾难恢复服务能力评估准则
1 范围
本标准规定了信息系统灾难恢复服务所应遵循的基本原则,明确了信息系统灾难恢复服务组织服
务能力的评估机制。
本标准适用于信息系统灾难恢复服务的需求方、提供方和评估方。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
GB/T 25069-2010 信息安全技术 术语
GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 30271-2013 信息安全技术 信息安全服务能力评估准则
GB/T 36957-2018 信息安全技术 灾难恢复服务要求
ISO/IEC 21827:2008 信息技术 安全技术 系统安全工程能力成熟度模型(Informationtech-
CMM)
3 术语和定义
GB/T 25069-2010、GB/T 20988-2007、GB/T 30271-2013、GB/T 29246-2017、
GB/T 36957-2018和ISO/IEC 21827:2008界定的以及下列术语和定义适用于本文件。为了便于使
用,以下重复列出了GB/T 36957-2018、GB/T 29246-2017和GB/T 30271-2013中的一些术语和
定义。
3.1
为了将......
|