| 标准编号 | GB/T 20988-2025 (GB/T20988-2025) | | 中文名称 | 网络安全技术 信息系统灾难恢复规范 | | 英文名称 | Cybersecurity technology - Disaster recovery specifications for information systems | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 61,632 | | 发布日期 | 2025-06-30 | | 实施日期 | 2026-01-01 | | 旧标准 (被替代) | GB/T 20988-2007, GB/T 30285-2013 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 20988-2025: 网络安全技术 信息系统灾难恢复规范
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 20988-2007,GB/T 30285-2013
网络安全技术 信息系统灾难恢复规范
2025-06-30发布
2026-01-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 灾难恢复概述 3
4.1 灾难恢复目标 3
4.2 灾难恢复生命周期和工作范围 3
5 灾难恢复的组织机构设置 4
5.1 组织机构的设立 4
5.2 组织机构的人员组成和职责 4
6 灾难恢复规划设计 5
6.1 灾难恢复需求的确定 5
6.2 灾难恢复策略的制定 5
6.3 灾难恢复技术方案设计 7
6.4 灾难恢复中心选址和等级 9
6.5 灾难恢复技术方案的验证和确认 9
7 灾难恢复系统和中心建设 9
7.1 灾难恢复系统建设 9
7.2 灾难恢复中心建设 11
8 灾难恢复系统运行管理 12
8.1 灾难恢复预案制定及管理 12
8.2 灾难恢复系统运行维护 13
8.3 应急事件响应及灾难接管 15
8.4 重建和回退 16
8.5 灾难恢复审计 16
9 测试评价方法 16
9.1 灾难恢复总体测试评价要求 16
9.2 灾难恢复的组织机构设置测试评价方法 16
9.3 灾难恢复规划设计测试评价方法 17
9.4 灾难恢复系统和中心建设测试评价方法 24
9.5 灾难恢复系统的安全建设测试评价方法 28
9.6 灾难恢复系统运行管理测试评价方法 36
附录A(规范性) 灾难恢复能力等级划分 42
A.1 第1级---基本支持 42
A.2 第2级---备用场地支持 42
A.3 第3级---电子传输和部分设备支持 43
A.4 第4级---电子传输及完整设备支持 43
A.5 第5级---实时数据传输及完整设备支持 44
A.6 第6级---数据零丢失和远程集群支持 45
A.7 灾难恢复能力等级评定原则 46
A.8 灾难恢复中心的等级 46
附录B(资料性) 某行业同城灾难恢复中心RTO/RPO与灾难恢复能力等级的关系示例 47
附录C(资料性) 某行业信息系统需求分类示例 48
附录D(资料性) 云计算技术灾难恢复服务示例 49
附录E(资料性) 灾难恢复系统的安全建设 51
E.1 网络安全等级保护 51
E.2 安全管理制度 51
E.3 安全管理架构 51
E.4 安全管理人员 51
E.5 安全通信网络 51
E.6 安全计算环境 52
E.7 安全建设管理 52
E.8 安全运维管理 52
E.9 供应链安全 53
E.10 数据安全 53
附录F(资料性) 灾难恢复预案框架 54
F.1 目标和范围 54
F.2 组织和职责 54
F.3 联络与通信 54
F.4 突发事件响应流程 54
F.5 恢复及重续运行流程 55
F.6 灾后重建和回退 55
F.7 预案的保障条件 55
F.8 预案附录 55
参考文献 56
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 20988-2007《信息安全技术 信息系统灾难恢复规范》和GB/T 30285-2013
《信息安全技术 灾难恢复中心建设与运维管理规范》,与GB/T 20988-2007相比,除结构调整和编辑
性改动外,主要技术变化如下:
a) 删除了术语“灾难备份中心”“灾难备份系统”及其定义(见2007年版的3.1、3.3);
b) 增加了术语“灾难恢复系统”“灾难恢复中心”及其定义(见3.17、3.19);
c) 将术语“灾难恢复规划”修改为“灾难恢复计划”,术语“演练”修改为“应急演练”(见3.15、3.11,
2007年版的3.11、3.13);
d) 增加了“灾难恢复生命周期概念与模型”(见第4章);
e) 增加了“灾难恢复的组织机构设置”(见第5章);
f) 修改了“灾难恢复规划设计”,增加了“云灾备”等方面内容(见第6章,2007年版的第6章);
g) 修改了“灾难恢复策略实现”,增加了“灾难恢复方案的验证和确认”“灾难恢复中心建设”等内
容(见第6章、第7章,2007年版的第7章);
h) 修改了“灾难恢复策略实现”,增加了“灾难恢复生命周期中运行维护管理”(见第8章,2007年
版的第7章);
i) 增加了“灾难恢复测试评价方法”(见第9章);
j) 将“数据备份系统”修改为“数据备份容灾系统”(见附录A,2007年版的附录A);
k) 增加了“灾难恢复系统的安全建设”(见附录E);
l) 增加了“灾难恢复预案框架”(见附录F)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国信息安全测评中心、北京安信天行科技有限公司、北京邮电大学、华为技术有
限公司、中国电子技术标准化研究院、中科信息安全共性技术国家工程研究中心有限公司、北京金融信
息化研究所有限责任公司、杭州美创科技股份有限公司、阿里巴巴(北京)软件服务有限公司、深圳市科
力锐科技有限公司、教育部教育管理信息中心、国家信息中心、航天壹进制(江苏)信息科技有限公司、
北京市经济和信息化局网络安全管理中心、公安部第一研究所、甘肃海丰信息科技有限公司、中国信息
通信研究院、奇安信科技集团股份有限公司、深信服科技股份有限公司、广东省信息安全测评中心、民航
成都电子技术有限责任公司、云南电网有限责任公司信息中心、安徽科技学院、中国互联网络信息中心、
中国科学院信息工程研究所、首都信息科技发展有限公司、中国能源建设集团山西省电力勘测设计院有
限公司。
本文件主要起草人:孙明亮、张晓菲、陈青民、李小勇、李晓翠、王惠莅、刘鑫、苑洁、邓娟、顾寅红、
胡建勋、李海鹏、杨晓平、冯秀康、杨希、陈永刚、胡安磊、杨伟平、吴齐跃、廖运华、胡春涛、于铮、程颖博、
李秋香、陆丽、郑方、赵增振、刘丰、彭海龙、马多贺、肖鹏、王文佳、马勇、李静毅、马国梁、曹京、王玉英、
康楠、常新苗、曹浩、刘斌、安锦程、金铄。
本文件及其所代替文件的历次版本发布情况为:
---GB/T 20988,2007年首次发布;GB/T 30285,2013年首次发布;
---本次为第一次修订。
网络安全技术 信息系统灾难恢复规范
1 范围
本文件确立了信息系统灾难恢复工作原则,给出了信息系统灾难恢复生命周期,规定了信息系统灾
难恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法。
本文件适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划
设计、建设实施和运行管理等工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 20984-2022 信息安全技术 信息安全风险评估方法
GB/T 25069-2022 信息安全技术 术语
GB 50174-2017 数据中心设计规范
3 术语和定义
GB/T 25069-2022界定的以及下列术语和定义适用于本文件。
3.1
场外存放 offsitestorage
将存储介质存放到离主中心(3.21)有一定安全距离的物理地点的过程。
3.2
重续 resumption
灾难恢复中心(3.19)替代主中心(3.21),支持关键业务功能(3.3)重新运作的过程。
3.3
中断一定时间将显著影响组织运作的服务......
|