GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf

所需积分/C币:50 2019-09-28 16:52:57 3.98MB PDF
86
收藏 收藏
举报

GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则
GB/37046-2018 目次 前言 Ⅲ 引言… 1范围……… 香非 ·非中 2规范性引用文件 3术语和定义…………………… 4缩略语 ………………………………………………………3 5灾难恢复服务能丿成熟度模型概述 5.1灾难恢复服务生命周期概述 ·*···“····“·““·········4··““··“· 5.2灾难恢复服务能力构成要素…………………………………………………………………4 5.3灾难恢复服务能力成熟度模型 6灾难恢复服务能力要素……………………………………………………… 6.1灾难恢复服务资源配置 6.1.1灾难恢复服务场地资源配置能力 6.1.2灾难恢复系统资源配置能力 由非 6.1.3灾难恢复服务团队能力… 6,2灾难恢复服务过程…… 6.2.1灾难恢复服务过程综述………………………………………………………………………7 6.2.2PA1灾难恢复需求分析…………………………… .2.3PA02——灾难恢复资源获取………………………………………………………8 6.2.4PA03—灾难备份中心的选择和建设 香鲁鲁 10 6.2.5PA04——灾难备份系统技术规划及实现…… 6.2.6PA05—灾难备份系统运行维护及技术支持… ··曾·。曾曾于 13 6.2.7PA06—灾难恢复预案的开发及管理………………………… 6.2.8PA07——突发事件应急响应及灾难接管…………… 6,2,PAO8——灾难恢复能力评估…… 6.3火难恢复服务项目过程和组织过程……………………………………………17 6.3.1灾难恢复服务项目过程与组织过程综述…… …………17 6.3.2PA09—质量保证 自自量自世自虚自自制者血重非首自自自虚自自日自自自虚前自世首自非自虚“自自自t 6.3.3PA10—管理配置……………………………………………………………………19 6.3,4PA11—管理项目风险…………………………………………………………………20 6.3.5PA12—项目规划…… ·····*··“·*···· ………………………21 6.3.6PA13项目监控……………………………………………………………………………22 6.3.7PA14—管理系统工程支持环境………………………………………………………23 6.3.8PA15—技能和知识提升…… ……24 6.3.9PA16与供应商协调… ………25 灾难恢复服务过程能力级别定义 26 7.1灾难恢复服务过程能力概述 GB/T37046-2018 7.2能力级别1——基本执行级……… 7.2.1基本执行级综述 7.2,2公共特征1,.1执行基本实施 ················“········:·············:·······:······: 3能力级别2——计划与跟踪级………………………………………………………27 7.3.1计划与跟踪级综述 7.3.2公共特征2.1—规划执行 28 7.3.3公共特征2.2规范化执行…………………………………………………………………29 7.3.4公共特征2.3—验证执行…………………… 7.3.5公共特征2.4—跟踪执行……………………………………………………………30 7.4能力级别 充分定义级………………………………………………………………………31 1,41,1允分定义级综述… t ………31 7.4.2公共特征3.1——定义标准过程………………………………………………………………31 7.4.3公共特征3.2—执行已定义过程………………………………………………………32 7.4.4公共特征3.3——协调实施……………………………………………………………33 7.5能力级别 量化控制级……………………………………………………………………34 7.5.1量化控制级综述………………………………………………………………………………34 7,5,2公共特征4,1—建立可测的质量目标…… ······.··..·,,:·· 34 7.5.3公共特征4.2—客观地管理执行……………………………………………………………35 7.6能力级別5——持续改进级………………………………………… 7.6.1持续改进级综述 7.6.2公共特征5.1—改进组织能力…………………………………………………………35 7.6.3公共特征52改进过程有效性… ………………36 8灾难恢复服务能力评估………… 曹··鲁鲁·,重曹鲁·鲁重鲁·中鲁曾费鲁「曹·鲁!·鲁·!,鲁鲁·曾鲁香里鲁·!··型鲁 鲁··鲁于曹·。鲁曹 8,1概述……… 37 8.2灾难恢复服务能力评估…………………………………………………………………37 83本标准附录的适用性说明………………………………… 福南4,番着福善4。番蕃 38 附录A(资料性附录)灾难恢复级别与使用的工具设备参考表… ,, 附录B(规范性附录)灾难恢复服务与过程域对应表…… ·“· 42 附录C(规范性附录)灾难恢复能力级别与能力要素的映射表…………………………………43 GB/37046-2018 前言 本标准按照GB/T1.1—2009给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国信息安全测评中心、中国网络安全审查技术与认证中心、中国电子技术标准 化研究院、万国数据服务有限公司、中电长城网际系统应用有限公司、北京华胜天成科技股份有限公司、 北京市太极华青信息系统有限公司、國瑞数据系统有限公司、清华六学、屮-民航大学、上海信息安全 工程技术研究屮心。 本标准主要起草人:孙明亮、李斌、位华、王琰、刘作康、张晓羋、张剑、魏立茹、程瑜琦、许玉娜 王惠莅、关继铮、闵京华、刘洋、闫城、安新亚、李杰、魏刚毅、刘玮、雷缙、叶晓俊、陆丽、汪涛、武勇 GB/T37046-2018 本标准参照和借鉴GB/T30271—2013《信息安全技术信息安全服务能力评信准则》、 GiB/T20988—200〖《信息安全技术信息系统灾难恢复规范》、GB/T20261—2006《信息技术系统安 仝工程能力成熟度模型》、ISO/IEC21827:2008《信息技术安全技术系统安全工程能力成熟度模 型( SSE-CMM)》的有关内容和思想,结合国内外实践经验制定而成。 本标准内容是在GB/T30271—2013的框架下对信息系统灾难恢复服务能力评估的具体细化,是 针对信息系统灾难恢复组织的服务能力进行的评估框架。主要是阐述灾难恢复服务组织的灾难恢复服 务能力的评佔方法与模型,以及对灾难恢复服务组织服务能力评佔分级的方法及特征描述,其体评佔要 求参照GB/T36957—2018。本标准在制定过程中对于灾难恢复服务组织的灾难恢复服务过程能丿参 考GB/T20988—207中的信息系统灾难恢复技术过程,主要针对灾难恢复服务组织的服务能力进行 评估方法、模型、分级的框架阐述;GB/T36957—2018主要阐述灾难恢复组织在做灾难恢复服务时的 具体要求;GB/T20988—2007是对信息系统灾难恢复服务过程的阐述,以及针对信息系统灾难恢复的 能力的阐述,核心是信息系统;本标淮与GB/T36957-2018配套使用。 GB/37046-2018 信息安全技术 灾难恢复服务能力评估准则 1范围 夲标准规定了信息系统灾难恢复服务所应遵循的基本原则.明确了信息系统灾难恢复服务组织服 务能力的评估机制 本标准适用于信息系统灾难恢复服务的需求方、提供方和评估方。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于木文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20988-207信息安全技术信息系统灾难恢复规范 GB/T25069—2010信息安全技术术语 GBT29246-2017信息技术安全技术信息安全管理体系概述和词汇 GB/T30271—2013信息安全技术信息安全服务能力评估准则 GB/T36957—2018信息安全技术灾难恢复服务要求 ISO/IEC21827:2008信息技术安仝技术系统安仝工程能力成熟度模型( Information tech nology Security techniques Systems Security Engineering Capability Maturity Model)(SSe CMMO 3术语和定义 GB/T25069—2010、GBT209882007、GB/T30271-2013、GB/T29246—2017 GB/T36957—2018和ISO/IEC21827:2008界定的以及下列术语和定义适用于本文件。为了便于使 用,以下重复列出了GB/T36957—2018、GB/"I29246-2017和GB/"I30271-2013中的一些术语和 定义 灾难恢复服务 disaster recovery services 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态、并将其攴持的业务功能 从灾难造戍的不正常状态恢复到可接受状态而进行的分析、设计、实施、运行、维护及组织管理笔活动和 流程。 GB/T36957-2018.定义3.2] 3.2 灾难恢复服务提供方 provider of disaster recovery services 具有专业的灾难恢复服务团队和资源,并能提供灾难恢复服务的组织或部门.简称服务提供方。 GB/"I36957-2018,定义3.4] GB/T37046-2018 3.3 灾难恢复服务需求方 customer of disaster recovery services 需要通过第三方专业服务和资源实现灾难恢复的组织或部门,简称服务需求方 GB/T36957-2018,定义3.3 3.4 灾难恢复服务能力 disaster recovery service capabilit 灾难恢复服务提供方实施系统容错、灾难恢复和容灾过程达到信息系统各项业务可持续运行,并使 客户保持满意的有关各项活动的总和。 注:灾难恢复服务能力阐述的是灾难恢复服务提供方的总体服务能力,区别于GB/T20988-2007中灾难恢复能力 阐述的是针对信息系统进行灾难恢复服务所能达到灾难恢复等级,两者阐述的对象不同。 3,5 灾难恢复服务能力成熟度 disaster recovery service capability maturit 对灾难恢复服务方服务能力的淙合评价,反映了灾难恢复服务方的灾难恢复服务在资源配置、项目 组织管理和专业技术水平等方面的成熟程度,标志着灾难恢复服务方是供给客户的灾难恢复服务专业 水平和质量保证程度 3.6 风险分析 risk analysis 理解风险本质和确定风险等级的过程。 注1:凤险分析提供风险评价和风险处置决策的基础。 注2:凤险分析包括风险估算。 GB/T29246-2017,定义2.70 3.7 可用性 availability 已授权实体一旦需要,信息系统灾难恢复组织就可提供相应服务,保证信息系统访问和使用数据和 资源的特性。 注:本标准中鉴于灾难恢复服务的特殊性,对可用性做了适用于灾难恢复服箐的专有定义 3.8 可靠性 reliability 与预期行为和结果相一致的特性。 LGB/T29246-2017,定义2.62 3.9 能力 capability 组织、体系或过程实现产品并使其满足要求的本领 3.10 过程域 process area;PA 组柞关系统工程过程的性质,当这些性质全部实施后则能够达到过程域定义的目的 GB/T302712013,定义3.1.1] 3.11 基本实践 base practices;BP 系统工程过程中应存在的性质,只有当所有这些性质宄全实现后,才叮说满足了这个过程域的 要求。 注:一个过程域由基本实践(BP)组成 GB/37046-2018 GB/T30271-2013.定义3.1.2] 通用实践 generic practices;GP 在评估中用于确定任何过程的能力。 4缩略语 下列缩略语适用于本文件。 BlA:业务影响分析( Business Impact Analysis) BCM:业务连续性管理( Business Continuity management) BP:基本实施( Base practices) D)P:灾难恢复规划( Disaster Recovery planning DRS-CMM:灾难恢复服务能力成熟度模型( Disaster Recovery Service Capability Maturity Mod GFP:通用实施( Generic practices PA:过程域( Process area) RPO:恢复点目标( Recovery point objective RTO:恢复时间日标( Recovery Time Objective SSE-CMM:系统安全工程能力成熟度模型( Systems Security Engineering-Capability Maturity Mcdel@) SPICE:软件过程改进和能力测定( Software Process Improvement And Capability Dctermination SW-CMM:软件能力成熟度模型( Software-Capability Maturity Model) 5灾难恢复服务能力成熟度模型概述 5.1灾难恢复服务生命周期概述 灾难恢复服务能力成熟度模型是依据灾难恢复服务生命周期,灾难恢复服务提供方向灾难恢复服 务需求方提供包括灾难恢复系统的规划设计、建设实施和安全运维管理,以及生产系统的灾后重建和回 退等服务为主线,对能提供单个、多个过程域以及整个生命周期灾难服务的提供方整个组织的服务能力 等级的评估模型。灾难恢复服务生命周期框架流程图参见图1。 信息系统灾难恢复服务过程除了实现信息系统的灾难恢复目标和策略外,还需进行灾难恢复服务 过程的信息安全考虑,包括对灾难恢复系统进行信息安全的需求分析、安全设计与实现,对灾难恢复服 务过程的项目与组织过程的信息安全管理等 前灾难恢复服务的形式呈现多样化,本标准意在阐述从灾难恢复系统的规划设计、建设实施和安 全运维管理等全生命周期各阶段的灾难恢复服务过程为主线,对能提供单个、多个过程域以及整个生命 周期灾难恢复服务的提供方从其服务过程中的资源配置、技术服务过程和项目与组织过程等服务能力 要素对灾难服务提供方的服务能力成熟度进行等级评估。对于在具体灾难恢复服务的过程中不是针对 整个生命周期进行服务的情况,可以对具体的服务过程域进行灾难恢复服务的能力等级进行评估。 GB/T37046-2018 规划设 建设实施 安全运维 管理 ●灾难恢复 ●灾难恢复 ●灾难备份 系统运行 维护及技 需求分析 系统实现 ●灾难恢复 灾难备份 ●灾难恢复 资源获取 中心选择 ●灾难备份 预案的开 ●灾难备份 发及管理 中心规划 中心建设 ●突发事件 应急响应 及灾难接管 有效性分析 安全管控 持续改进 图1灾难恢复服务生命周期示意图 5.2灾难恢复服务能力构成要素 信息系统灾难恢复服务能力包括信息系统灾难恢复规划设计、灾难恢复系统实施、灾难恢复运行维 护管理等方面能力,以求达到对信息系统灾难恢复目标的实现,同讨还包括信息系统灾难恢复组织过程 及项目实施过程管理能力等方面。这些服务能力也是信息系统灾难恢复服务的基本活动,这些活动能 力的建设与评佔需信息系统灾难恢复服务的需求方、服务提供方和评佔方配置相应的人力、设备、环境 等资源和服务过程的管理才能构成完整的灾难恢复服务能力 灾难恢复服务过程 组织过程 灾难恢复服务 项目过程和 灾难怏复服务资源配置 图2灾难恢复服务能力构成要素 因此,信息系统灾难恢复服务能力应由以下要素构成,如图2所示: a)灾难恢复服务资源配置 在资源配置方面包括信息系统灾难恢复服务人员的专业技术能力和知识面、实施信息系统灾 难恢复服务所需的工具设备、设施和环境 b)灾难恢复服务过程 根据信息系统灾难恢复要求,针对灾难恢复服务的几个阶段分解岀信息系统灾难恢复服多的 八个技术过程域,分别是灾难恢复需求分析、灾难恢复资源获取、灾难备份中心的选择和建设 灾难备份系统技术规划及实现、灾难备份系统运行维护及技术支持、灾难恢复预窒的丌发及管

...展开详情
试读 52P GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf
立即下载 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • 签到新秀

关注 私信
上传资源赚钱or赚积分
最新推荐
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf 50积分/C币 立即下载
1/52
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第1页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第2页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第3页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第4页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第5页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第6页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第7页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第8页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第9页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第10页
GB∕T 37046-2018 信息安全技术 灾难恢复服务能力评估准则.pdf第11页

试读结束, 可继续读5页

50积分/C币 立即下载