【国家标准(GB)】 信息安全技术 信息系统灾难恢复规范

ICS35.040
中华人民共和国国家标准
GB/T20988--2007
信息安全技术
信息系统灾难恢复规范
InformationsecuritytechnologyDisaster recovery specifications for information systems2007-06-14发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-11-01实施
规范性引用文件
术语和定义
灾难恢复概述
灾难恢复的工作范围
灾难恢复的组织机构
灾难恢复规划的管理
灾难恢复的外部协作
灾难恢复的审计和备案
灾难恢复需求的确定
风险分析
业务影响分析
确定灾难恢复目标
6灾难恢复策略的制定
灾难恢复策略制定的要素
灾难恢复资源的获取方式
6.3灾难恢复资源的要求
7灾难恢复策略的实现
灾难备份系统技术方案的实现
灾难备份中心的选择和建设
专业技术支持能力的实现
7.4运行维护管理能力的实现
7.5灾难恢复预案的实现
附录A（规范性附录）
附录B（资料性附录）
附录C（资料性附录）
灾难恢复能力等级划分
灾难恢复预案框架
某行业RTO/RPO与灾难恢复能力等级的关系示例GB/T20988—2007
本标准的附录A是规范性附录，附录B和附录C是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：中国信息安全产品评测认证中心。GB/T20988—2007
本标准主要起草人：汪琪、熊四皓、张利、刘艳、郭全明、许强、李伟华、李建彬、谈松、刘建明、刘祖泷、江志强、徐强、冷飚、刘山泉、黄伟、于健、刘东红、上官晓丽。GB/T20988—2007
信息安全管理实用规则》、GB/T20984《信息安全技术本标准参照和借鉴GB/T19716《信息技术信息安全风险评估规范》、DRIInternational(国际灾难恢复协会）《ProfessionalPracticesforBusinessContinuityPlanners》和《BusinessContinuityGlossary》、ISACA（信息系统审计与控制协会）《COBITManagementGuidelines》、NIST（美国国家标准和技术学会）《SP-800-34ContingencyPlanningGuideforInformationTechnologySystems》和在1992年SHARE78会议议题M028上提出的远程站点分级等的有关内容和思想，结合国家重要信息系统行业技术发展和实践经验制定而成。信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复点目标（RPO)具有一定的对应关系，各行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标体系。1范围
信息安全技术
信息系统灾难恢复规范
本标准规定了信息系统灾难恢复应遵循的基本要求。本标准适用于信息系统灾难恢复的规划、审批、实施和管理。2规范性引用文件
GB/T20988—2007
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8信息技术词汇第8部分：安全GB/T20984信息安全技术信息安全风险评估规范3术语和定义
GB/T5271.8确立的以及下列术语和定义适用于本标准。3.1
backupcenterfordisasterrecovery灾难备份中心
备用站点alternatesite
用于灾难发生后接替主系统进行数据处理和支持关键业务功能(3.6)运作的场所，可提供灾难备份系统（3.3）、备用的基础设施和专业技术支持及运行维护管理能力，此场所内或周边可提供备用的生活设施。
灾难备份backupfordisasterrecovery为了灾难恢复（3.9)而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程。bzxz.net
backupsystemfordisasterrecovery灾难备份系统
用于灾难恢复(3.9)目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。3.4
业务连续管理
business continuity management为保护组织的利益、声誉、品牌和价值创造活动，找出对组织有潜在影响的威胁，提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理，以及为保证业务连续计划或灾难恢复预案的有效性的培训、演练和检查的全部过程。3.5
业务影响分析
businessimpactanalysis
分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。1
GB/T20988—2007
关键业务功能criticalbusinessfunctions如果中断一定时间，将显著影响组织的正常运作，导致组织的主要职能或服务无法开展。3.7
数据备份策略databackupstrategy为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外存放方式，以保证达到恢复时间目标(3.18)和恢复点目标(3.19)。3.8
灾难disaster
由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心(3.1)运行。3.9
灾难恢复disasterrecovery
为了将信息系统从灾难（3.8)造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态复到可接受状态，而设计的活动和流程3.10
灾难恢复预案/disasterrecoyeryplan定义信息系统灰难恢复过程中所需的任务，行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。3.11
灾难恢复规划disasterrecoyeryplanningDRP
为了减少灾难带来的损失和保证信息系统所支持的关键业务功能（3.6)在灾难发生后能及时恢复和继续运作所做的事前计划和安排。3.12
灾难恢复能力aisasterrecoverycapability在灾难发生后和用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力，3.13
演练exercise
为训练人员和提高灭难恢复能力而根据灾难恢复预案（3.10）进行活动的过程。包括桌面演练、模拟演练、重点演练和完整演练等3.14
场外存放offsitestorage
将存储介质存放到离主中心（3.15)有一定安全距离的物理地点的过程。3.15
主中心primarycenter
主站点primarysite
生产中心productioncenter
主系统所在的数据中心。
主系统primarysystem
生产系统productionsystem
正常情况下支持组织日常运作的信息系统。包括主数据、主数据处理系统和主网络。2
区域性灾难regional disaster
GB/T20988—2007
造成所在地区或有紧密联系的邻近地区的交通、通信、能源及其他关键基础设施受到严重破坏，或大规模人口疏散的事件。
恢复时间目标recoverytimeobjectiveRTO
灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。3.19
recoverypointobjective
恢复点目标
灾难发生后，系统和数据必须恢复到的时间点要求。3.20
resumption
灾难备份中心(3/）替代主中心（3.15)）支持关键业务功能(3.6)重新运作的过程。3.21
return
复原restor
支持业务运作的信息系统从灾难备份中心(3.1)重新回到主中心(3.15)运待的过程。灾难恢复概迷
4.1灾难恢复的正作范围
信息系统的灾难恢复工作，包括灾难恢复规划和灾难备份中心的日常运行、关键业务功能在灾难备份中心的恢复和重续遂行，以及主系统的灾后重建和回退工作还涉及突发事件发生的应急响应。其中，灾难恢复规划是一个周而复始、持续改进的过程，包含以下几个阶段：灾难恢复解求的确定；
灾难恢复策略的制定；
灾难恢复策略的实现；
一灾难恢复预案的制定、落实和管理。4.2灾难恢复的组织机构
4.2.1组织机构的设立
信息系统的使用或管理组织以下简称“组织\)应结合其具体情况建立灾难恢复的组织机构，并明确其职责。其中一些人可负责两或多种职费，些职位可由多人担柱（灾难恢复预案中应明确他们的替代顺序)。
灾难恢复的组织机构由管理、业务、技术和行政后勤等人员组成，一般可设为灾难恢复领导小组、灾难恢复规划实施组和灾难恢复日常运行组。组织可聘请具有相应资质的外部专家协助灾难恢复实施工作，也可委托具有相应资质的外部机构承担实施组以及日常运行组的部分或全部工作。4.2.2组织机构的职责、
4.2.2.1灾难恢复领导小组
灾难恢复领导小组是信息系统灾难恢复工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息系统灾难恢复的重大事宜，主要如下：审核并批准经费预算；
GB/T20988—2007
审核并批准灾难恢复策略；
—审核并批准灾难恢复预案；
批准灾难恢复预案的执行。
4.2.2.2灾难恢复规划实施组
灾难恢复规划实施组的主要职责是负责：灾难恢复的需求分析；
提出灾难恢复策略和等级；
灾难恢复策略的实现；
—制定灾难恢复预案；
一组织灾难恢复预案的测试和演练。4.2.2.3灾难恢复白常运行组
灾难恢复日常运行组的主要职责是负责：一协助灾难恢复系统实施；
—灾难备份中心日常管理；
一灾难备份系统的运行和维护；—灾难恢复的专业技术支持；
一参与和协助灾难恢复预案的教育、培训和演练；维护和管理灾难恢复预案；
一突发事件发生时的损失控制和损害评估：一灾难发生后信息系统和业务功能的恢复；灾难发生后的外部协作。
4.3灾难恢复规划的管理
组织应评估灾难恢复规划过程的风险、筹备所需资源、确定详细任务及时间表、监督和管理规划活动、跟踪和报告任务进展以及进行问题管理和变更管理。4.4灾难恢复的外部协作
组织应与相关管理部门、设备及服务提供商、电信、电力和新闻媒体等保持联络和协作，以确保在灾难发生时能及时通报准确情况和获得适当支持。4.5灾难恢复的审计和备案
灾难恢复的等级评定、灾难恢复预案的制定，应按有关规定进行审计和备案。5灾难恢复需求的确定
5.1风险分析
风险分析的主要内容包括：标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性并定量或定性描述可能造成的损失，识别现有的风险防范和控制措施。通过技术和管理手段，防范或控制信息系统的风险。依据防范或控制风险的可行性和残余风险的可接受程度，确定对风险的防范和控制措施。信息系统风险评估方法可参考GB/T20984。
5.2业务影响分析
5.2.1分析业务功能和相关资源配置对组织的各项业务功能及各项业务功能之间的相关性进行分析，确定支持各种业务功能的相应信息系统资源及其他资源，明确相关信息的保密性、完整性和可用性要求。5.2.2评估中断影响
应采用如下的定量和/或定性的方法，对各种业务功能的中断造成的影响进行评估：4
GB/T20988-2007
一定量分析：以量化方法，评估业务功能的中断可能给组织带来的直接经济损失和间接经济损失；
定性分析：运用归纳与演绎、分析与综合以及抽象与概括等方法，评估业务功能的中断可能给组织带来的非经济损失，包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等5.3确定灾难恢复目标
根据风险分析和业务影响分析的结果，确定灾难恢复目标，包括：关键业务功能及恢复的优先顺序；-灾难恢复时间范围，即RTO和RPO的范围。6灾难恢复策略的制定
6.1灾难恢复策略制定的要素
6.1.1灾难恢复资源要素
支持灾难恢复各个等级所需的资源（以下简称“灾难恢复资源”)可分为如下7个要素：数据备份系统：一般由数据备份的硬件、软件和数据备份介质（以下简称“介质”）组成，如果是依靠电子传输的数据备份系统，还包括数据备份线路和相应的通信设备；一备用数据处理系统：指备用的计算机、外围设备和软件；-—备用网络系统：最终用户用来访问备用数据处理系统的网络，包含备用网络通信设备和备用数据通信线路；
一备用基础设施：灾难恢复所需的、支持灾难备份系统运行的建筑、设备和组织，包括介质的场外存放场所、备用的机房及灾难恢复工作辅助设施，以及容许灾难恢复人员连续停留的生活设施；
专业技术支持能力：对灾难恢复系统的运转提供支撑和综合保障的能力，以实现灾难恢复系统的预期目标。包括硬件、系统软件和应用软件的问题分析和处理能力、网络系统安全运行管理能力、沟通协调能力等；
一运行维护管理能力：包括运行环境管理、系统管理、安全管理和变更管理等；—灾难恢复预案。
6.1.2成本效益分析原则
根据灾难恢复目标，按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则（以下简称“成本风险平衡原则”)确定每项关键业务功能的灾难恢复策略，不同的业务功能可采用不同的灾难恢复策路。
6.1.3灾难恢复策略的组成
灾难恢复策略主要包括：
灾难恢复资源的获取方式
一灾难恢复能力等级（见附录A），或灾难恢复资源各要素的具体要求。6.2灾难恢复资源的获取方式
6.2.1数据备份系统
数据备份系统可由组织自行建设，也可通过租用其他机构的系统而获取。6.2.2备用数据处理系统
可选用以下三种方式之一来获取备用数据处理系统：一事先与厂商签订紧急供货协议；事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库；一利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备。5
GB/T20988—2007
6.2.3备用网络系统
备用网络通信设备可通过6.2.2所述的方式获取；备用数据通信线路可使用自有数据通信线路或租用公用数据通信线路。
6.2.4备用基础设施
可选用以下三种方式获取备用基础设施：由组织所有或运行；
多方共建或通过互惠协议获取；租用商业化灾难备份中心的基础设施，6.2.5专业技术支持能力
可选用以下几种方式获取专业技术支持能力：灾难备份中心设置专职技术支持大员；与厂商签订技术支持或服务合同；由主中心技术支特人员兼任；但对于RTO较短的关键业务功能，应考到灾难发生时交通和通信的不正常造成技术支持人员无法提供有效支持的情况。6.2.6运行维护管理能力
可选用以下对灾难备份中心的运行维护管理模武自行运行和维护
委托其他机构运行和维护。
6.2.7灾难恢复预案
可选用以下方我完成灾难恢复预案的制定、落实和管理由组织独翌莞成；
一聘请具有相应资质的外部专家指导完成：委托具有相应资质的外部机构完成。6.3灾难恢复资源的要求
6.3.1数据备份系统
组织应根据灾难恢复目标，按照成本风险平衡原则，确定数据备份的范围
数据备份的时间间隔；
数据备份的技术及介质；
数据备份线路的速率及相关通信设备的规格和要求。6.3.2备用数据处理系统
组织应根据关键业务功能的灾难恢复对备用数据处理系统的要求和未来发展的需要，按照成本风险平衡原则，确定备用数据处理系统的：数据处理能力；
与主系统的兼容性要求：
平时处于就绪还是运行状态。
6.3.3备用网络系统
组织应根据关键业务功能的灾难恢复对网络容量及切换时间的要求和未来发展的需要，按照成本风险平衡原则，选择备用数据通信的技术和线路带宽，确定网络通信设备的功能和容量，保证灾难恢复时，最终用户能以一定速率连接到备用数据处理系统。6.3.4备用基础设施
组织应根据灾难恢复目标，按照成本风险平衡原则，确定对备用基础设施的要求，包括：与主中心的距离要求；
-场地和环境（如面积、温度、湿度、防火、电力和工作时间等）要求；-运行维护和管理要求。
6.3.5专业技术支持能力
GB/T20988—2007
组织应根据灾难恢复目标，按照成本风险平衡原则，确定灾难备份中心在软件、硬件和网络等方面的技术支持要求，包括技术支持的组织架构、各类技术支持人员的数量和素质等要求。6.3.6运行维护管理能力
组织应根据灾难恢复目标，按照成本风险平衡原则，确定灾难备份中心运行维护管理要求，包括运行维护管理组织架构、人员的数量和素质、运行维护管理制度等要求。6.3.7灾难恢复预案
组织应根据需求分析的结果，按照成本风险平衡原则，明确灾难恢复预案的：整体要求；
制定过程的要求
教育、培训和演练要求，
一管理要求。
7灾难恢复策略的实现
7.1灾难备份系统技术仿案的实现7.1.1技术方案的设计
根据灾难恢复策略制定相应的灾难备份系统技术方案，包含数据备份系统、备用数据处理系统和备用的网络系统。技保劳案中所设计的系统，应：获得同丰系统相当的安全保护，—具有可护展性；
一考虑其对生系统可用性利性能的影响。7.1.2技术方案的验证、确认和系统开发为确保技术方案满足灾难恢复策略的要求，应由组织的相关部门对技术方案进行确认和验证，并记录和保存验证及确认的结果。
按照确认的灾难备份系统技术方案进行开发，实现所要求的数据备份系统、备用数据处理系统和备用网络系统。
7.1.3系统安装和测试
按照经过确认的技术方案灾难恢复规划实施组应制定各阶段的系统安装及测试计划，以及支持不同关键业务功能的系统安装及测试计划，并组织最终用户共同进行测试。确认以下各项功能可正确实现：
-数据备份及数据恢复功能？
一在限定的时间内，利用备份数据正确恢复系统，应用软件及各类数据，并可正确恢复各项关键业务功能；
客户端可与备用数据处理系统通信正常。7.2灾难备份中心的选择和建设
7.2.1选址原则
选择或建设灾难备份中心时，应根据风险分析的结果，避免灾难备份中心与主中心同时遭受同类风险。灾难备份中心包括同城和异地两种类型，以规避不同影响范围的灾难风险。灾难备份中心应具有数据备份和灾难恢复所需的通信、电力等资源，以及方便灾难恢复人员和设备到达的交通条件。
灾难备份中心应根据统筹规划、资源共享、平战结合的原则，合理地布局。7
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。