77．国家网络与信息安全协调小组办公室 关于做好重要信息系统灾难备份工作的通知 （信安通〔2004〕11 号） 一、重要信息系统灾难备份工作的主要目标 灾难备份是指利用技术、管理手段以及相关资源，确保已有的关键数据和关键业务 在灾难发生后，在确定的时间内可以恢复和继续运营的过程。灾难备份防范的灾难包括 地震、水灾等自然灾难以及火灾、战争、恐怖袭击、网络攻击、设备系统故障、人为破 坏等无法预料的突发事件。 重要信息系统灾难备份工作的主要目标是：提高抵御灾难和重大事故的能力，减少 灾难打击和重大事故造成的损失，确保重要信息系统的数据安全和作业持续性，避免引 起社会重要服务功能的严重中断，保障社会经济的稳定。 二、做好重要信息系统灾难备份工作的基本原则 重要信息系统灾难备份建设工作要坚持“统筹规划、资源共享、平战结合”的原则， 充分调动和发挥各方面的积极性，提高抵御灾难破坏能力和灾难恢复能力。 灾难备份建设要统筹规划、合理布局，突出重点，避免重复建设。要从实际需求出 发，组织有关机构和专家针对信息系统的安全威胁、脆弱性、防护措施有效性等进行分 析评估，根据信息系统的重要性、面临的风险大小、业务中断所带来的损失等因素，综 合平衡安全成本和风险，确定灾难备份建设等级，选择合适的灾难备份方案，严防不顾 实际需求，一哄而上。 灾难备份建设要充分利用现有资源，讲求实效，保证重点，提倡资源共享，互 为备份。可以采用自建、联合共建和利用社会化服务等模式。鼓励社会力量参与灾 难备份设施建设，提倡使用社会化灾难备份服务，走专业化服务道路。采用第三方 服务时，要做好相关“敏感数据”的保密工作。 由于灾难备份资源是为小概率事件准备的，平时处于闲置状态，因此要在确保 灾难备份与恢复功能的前提下，按照“平战结合”的原则，充分利用灾难备份设施的 各类资源，将日常运营与应急灾难备份需求结合起来统筹安排，发挥更大效益。 1 三、做好重要信息系统灾难备份工作的若干要求 （一）明确责任，各司其职 重要信息系统灾难备份建设的规划与管理按照“谁主管谁负责，谁运营谁负责”的原 则，由各重要信息系统得主管部门及其运行管理机构负责。 重要信息系统的各主管部门要根据国家信息安全保障工作的要求及本行业特点和 实际情况，制定行业的灾难备份建设政策和规划，对本行业各单位的灾难备份建设进行 指导和管理，确保国家和行业灾难备份政策法规的贯彻落实。 各重要信息系统管理运行机构要明确灾难备份管理和执行部门，负责落实国家 和行业主管部门的灾难备份建设政策和要求，确定本单位的灾难备份建设目标和建 设模式，制定完善的灾难恢复计划，确保在发生灾难和出现重大事故后能够快速恢 复业务系统的运行。灾难恢复计划应包含以下内容：灾难恢复目标、灾难恢复流程、 灾难能恢复队伍及联络清单、灾难恢复所需各类文档和手册等。要对本系统的灾难 备份系统和灾难恢复计划进行定期演练测试，确保灾难备份系统的及时和有效性。 （二）制定灾难备份技术与管理标准规范 重要信息系统的主管部门要抓紧制定本行业的灾难备份管理和建设指南，对灾难备 份建设涉及的各项工作，如灾难那备份中心建设、灾难备份等级标准、灾难备份实施办 法、灾难备份方案和灾难恢复计划的制定、灾难恢复机制的建立、灾难备份中心的信息 安全保障和运营管理等提出规范性要求。 （三）积极开展灾难备份知识的宣传教育和培训工作 各重要信息系统要加强对有关人员的信息系统灾难备份知识培训。要加强对该项工 作的宣传，增强全体人员的灾难应急意识、有备无患意识。 重要信息系统灾难备份是一项关系信息安全的长期任务，是国家信息安全保障体系 的重要组成部分，各有关部门和单位必须高度重视，结合实际制定实施计划，落实有关 工作经费，把这项工作做实、做好，确保国家重要信息系统得安全运行。 二〇〇四年九月二十日 2