ICS 35.040 L 80 国 中华人民共和国国家标准 GB/T 37046-2018 信息安全技术 灾难恢复服务能力评估准则 Information security techniquesAssessment criteria for disaster recovery service capability 2018-12-28 发布 2019-07-01 实施 国家市场监督 管理 总局峪非 中国国家标准化管理委员会 0(.. 'I (J GB/T 37046-2018 目次 引言 ………………………………………………………………………………………………............ ill lV 1 范围 － 2 规范性引用文件 － 3 术语和定义 · 4 缩略语 …………………………………………………………………………………………………… 3 5 灾难恢复服务能力成熟度模型概述 · 6 5.1 灾难恢复服务生命周期概述 5. 2 灾难恢复服务能力构成要素 5. 3 灾难恢复服务能力成熟度模型 灾难恢复服务能力要素 ………………………………………………………………………………… 6 6.1 灾难恢复服务资源配置 6.1.1 灾难恢复服务场地资源配置能力 6.1. 2 灾难恢复系统资源配置能力 6.1.3 灾难恢复服务团队能力 6. 2 灾难恢复服务过程 ………………………………………………………………………………… 7 6. 2.1 灾难恢复服务过程综述 6. 2.2 P A Ol 灾难恢复需求分析 ………………·· 6. 2.3 P A 02 灾难恢复资源获取 ……· 6. 2.4 PA03－灾难备份中心的选择和建设 …………………………………….....……………· 6. 2.5 PA04一一灾难备份系统技术规划及实现 …………………………………………………… 11 6. 2.6 PA0 5一一灾难备份系统运行维护及技术支持 ……………………………………………… 13 6. 2.7 PA06－灾难恢复预案的开发及管理 ……………………………………………………… 1 3 6. 2.8 P A 07 6. 2.9 PA08一一灾难恢复能力评估 ………………………………………….....…………………· 16 6. 3 7 ……………………………………........…………………………. 4 突发事件应急响应及灾难接管 ………….....……………………………………· 15 灾难恢复服务项目过程和组织过程 … 6. 3.1 灾难恢复服务项目过程与组织过程综述 …………………………………………………… 17 6. 3.2 PA09一一一质量保证 …………………………………………………………………………… 17 6. 3.3 PAlO－管理配置 …………………………………………………………………………… 19 6. 3.4 P A ll 6. 3. 5 PA12一一项目规划 ……………........…………………......…………·…………………… 21 6. 3.6 PA13一一项目监控 …………………………………………………………………………… 22 6. 3.7 PA14－管理系统工程支持环境 …………………………………………………………… 23 6. 3.8 PA1 5－技能和知识提舟’ …………………………………………………………………… 24 6. 3.9 P A 16 管理项目风险 ……………………………………………………………………… 20 与供应商协调 ………………………………………........………………………· 25 灾难恢复服务过程能力级别定义 ……………………………………………………………………… m 7.1 灾难恢复服务过程能力概述 ……………………………………………………………………… m GB/T 37046-2018 一 ；；：.！ 点i'..i羊 ’1 (1 ~It 一 f, 1 1•,1J.l'. !fif',I阶 J, .. + 4.:！ 事平现tt在险’E .. 叫‘ 也l 1,t ,r;;;-1曲趣的咽 m r ,, !u lM’惯例 ： ，」 ~f t 吃..：. H P.' :!..t'i i 一 .n事i1H！ 饱 --?- . ----, －一 一 一 7.4 Al踪’－. 1, 且 I 司t Utt.tr .. . .. 2： “ J 悦和 ：.！.！ ’盟 旦 回且，；＿ IJ ·. 一 I t\ ff h品＆惯例 公民”“ t; 耐 :!,'; ~ ’· }, a ~ 也 ...~号 "t• t;», !11 “ 恤‘ ., ~ 噎且 理E 寄！ Z到 ’唱E, ?: 1:· ,I( ;.,t ”运。 -. ι * ~ .·., ,. ...‘ l'C." i:i '-":: 唱F ~ 由出 ’F ~ - ~ 」 - -. ’旷 U田！- 1l; ’串 Cl 也ι ~咛. 』 £ Eι 拿t tt 唱， ，缸 ’E 以 .Y 二－ 击Z ‘矗 ’瞠 唱， 4帚 ：岖 二，E 鸣’ .. “俨 - .. = 火 尊~（［勘奇 ，i !'ft.( 图 4 c: a『 ’” "* ，、． · ‘ 确 t; 二． 'e! ~ 司F 1.:: -:: 唱鼻 量！ 苦〈 ·雪 古＝ -『 f:l （＞＇ 1( 1;' 牛＇（ .i 吆 ~ ~ - .. « !!. ~．噜. ,< ,『. -. ’E ;t t; .. - > ι 豆 『 :::;,- S目 ’E主f1 !t' 二a ;:t t: '!!!' -.叫， ?· ,, - - τ＝ 五h 2哥 ，气 f ·咱 哥？ .r 哩且 叶 ~ 回斗 ’E t: . -.,,. 隅 1且 ,- 龟 ·'量是 ·习6 员 百E ~ it'. ι ‘· ’‘；噎哇 …旨 哇 主」二 ：证，，钱 v • .ft fl 1 .1 拟 fl.lfif;li!r；峻 过程域与公共特征关系汇总表 域维由过程域（PA ）和资源配置组成 。 灾难恢复服务的过程域（ PA ）包括 ：灾难恢复服务技术过程 域、项目与组织过程域 。 过程域自 基本实施 (BP）构成，每个过程域的基本实施 (BP ）是构成该过程域的 基本要素 ， 是该完成该过程活动的基本单元 。 对于不同级别的能力维，灾难恢复服务过程域的各个基本 实施 <BP）都是必须的 。 对应于各个灾难恢复服务过程域 ， 资源配置是完成灾难恢复服务活动的基本条件 。 但针对不 同 能 力级别和不同的信息系统灾难恢复级别，可能需要特定的资源配置条件（参见附录 A） 。 灾难恢复服务能力要素 6 灾难恢复服务资源配置 6. 1 6. 1. 1 灾难恢复服务场地资源配置能力 灾难恢复场地是指由服务提供方所提供灾难恢复所帘的场地环境，包括灾难恢复工作设施、辅助设 施、生活设施及其他配套设施的建设实施能力，以确保服务提供方能灾难恢复服务 。 此外，灾难恢复服 务场地 还满足国家相关规范，同时需要具备符合安 全管理要求的管理控制措施，包括物理安全、运行安 全、人员安全等安全管控措施，并进行安全审计 。 灾难恢复场地资源配置能力要求见 GB/ T 36957-20 1 8 的 5 . 2 。 6 GB/T 37046-2018 灾难恢复系统资源配置能力 6. 1.2 灾难恢复系统是指由 服务提供方应提供的 用 于向服务需求 方提供灾难恢复服务的设备 、 设施及工 具等 ， 以提升 信息系统灾 难恢复能力和服务质量 ，为 信息系统的快速恢复提供技术保障 。 服务的设备 和 设施 应包括但不 限于数据备 份系统 、 备用数据处理系统 、 备 用 网络系统 、 灾 难恢复服务工具等 。 灾 难恢复系统资源配置能 力 要 求 见 GB/ T 36957 20 1 8 的 5 . 3 。 灾难恢复服务团队能力 6. 1.3 灾难恢复服务团 队 的能力主要体现在服务提供方的灾难恢复服务人员的服务 范 围 、 团队编 制、 岗位 职责 、 团 队管理 、理论知识、专业技能和服务经验等 。 灾难恢复 服务团 队能力要 求 见 G B/ T 36957 20 1 8 的 5.4 。 灾难恢复服务过程 6.2 灾难恢复服务过程综述 6.2.1 灾难恢复服务 过程包括灾难恢复规划 设计服务 、建设实施服务和安全运维管理 服务三个服务阶段， 其中 ： 灾难恢复 规划设计服务包括灾难恢复需求分 析 （ PAO l ） 、 灾 难恢复资惊获取 方式（ PA02 ）、灾难 a) 备份中心选择和 建设（ PA03 ） 、灾难备份系统技术规划 及实现（ PA0 4- BP.04.01 ~ 03); 灾难 恢复建设实施服务包括灾难备份系统技术规 划 及实现（ P A04- BP. 04 . 03 ～ 04 ）、灾难恢复 b) 预案的开发及管理（ P A06) ; 灾难恢复安全运维管理服 务包括灾难恢复系统运行维护及技术支持（ PA0 5 ）、突发事 件应急响 c) 应及灾难接管（ PA07 ）、灾难恢复能力评估（ PA08 ） 。 6.2.2 PA01 一一灾难恢复需求分析 6.2.2.1 灾难恢复需求分析综述 灾难恢复需求分 析 能力要求见 GB/ T GB/ T 36957 6.2.2.2. 1 20 1 8 的 6 . 2 . 2 、 6 . 2 . 5 ， 其 中风险分析（ BP. 01. 01 ）见 20 1 8 的 6 . 2. 2 . 2 ， 业 务影响分析 CBP. 0 1. 0 2 ） 见 GB/ T 标与策 略制定 CBP. 0 1. 03 ）见 GB/ T 6.2.2.2 36957 36957 36957 20 1 8 的 6 . 2 . 2 . 1 ，灾难恢复目 20 1 8 的 6 . 2 . 5 。 BP.01.0 1 一一凤险分析 描述 标识信息系统 的 资产价 值，识别信息 系统丽临的自然的和人 为的威胁，识别信