发布日期:2023-03-27 13:02 浏览次数:
本标准规定了信息系统灾难恢复服务所应遵循的基本原则,明确了信息系统灾难恢复服务组织服务能力的评估机制。
本标准适用于信息系统灾难恢复服务的需求方、提供方和评估方。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
GB/T 25069-2010 信息安全技术 术语
GB/T 29246-2017 信息技术 安全技术 信息安全管理体系 概述和词汇
GB/T 30271-2013 信息安全技术 信息安全服务能力评估准则
GB/T 36957-2018 信息安全技术 灾难恢复服务要求
ISO/IEC 21827:2008 信息技术 安全技术 系统安全工程能力成熟度模型®(Information tech-nology-Security techniques-Systems Security Engineering-Capability Maturity Model®)(SSE-CMM®)
GB/T 25069-2010、GB/T 20988-2007、GB/T 30271-2013、GB/T 29246-2017、GB/T 36957-2018和ISO/IEC 21827:2008界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T 36957-2018、GB/T 29246-2017和GB/T 30271-2013中的一些术语和定义。
3.1
灾难恢复服务 disaster recovery services
为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行的状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而进行的分析、设计、实施、运行、维护及组织管理等活动和流程。
[GB/T 36957-2018,定义3.2]
3.2
灾难恢复服务提供方 provider of disaster recovery services
具有专业的灾难恢复服务团队和资源,并能提供灾难恢复服务的组织或部门,简称服务提供方。
[GB/T 36957-2018,定义3.4]
3.3
灾难恢复服务需求方 customer of disaster recovery services
需要通过第三方专业服务和资源实现灾难恢复的组织或部门,简称服务需求方。
[GB/T 36957-2018,定义3.3]
3.4
灾难恢复服务能力 disaster recovery service capability
灾难恢复服务提供方实施系统容错、灾难恢复和容灾过程达到信息系统各项业务可持续运行,并使客户保持满意的有关各项活动的总和。
注:灾难恢复服务能力阐述的是灾难恢复服务提供方的总体服务能力,区别于GB/T 20988-2007中灾难恢复能力阐述的是针对信息系统进行灾难恢复服务所能达到灾难恢复等级,两者阐述的对象不同。
3.5
灾难恢复服务能力成熟度 disaster recovery service capability maturity
对灾难恢复服务方服务能力的综合评价,反映了灾难恢复服务方的灾难恢复服务在资源配置、项目组织管理和专业技术水平等方面的成熟程度,标志着灾难恢复服务方提供给客户的灾难恢复服务专业水平和质量保证程度。
3.6
风险分析 risk analysis
理解风险本质和确定风险等级的过程。
注1:风险分析提供风险评价和风险处置决策的基础。
注2:风险分析包括风险估算。
[GB/T 29246-2017,定义2.70]
3.7
可用性 availability
已授权实体一旦需要,信息系统灾难恢复组织就可提供相应服务,保证信息系统访问和使用数据和资源的特性。
注:本标准中鉴于灾难恢复服务的特殊性,对可用性做了适用于灾难恢复服务的专有定义。
3.8
可靠性 reliability
与预期行为和结果相一致的特性。
[GB/T 29246-2017,定义2.62]
3.9
能力 capability
组织、体系或过程实现产品并使其满足要求的本领。
3.10
过程域 process are
ss area;PA
一组相关系统工程过程的性质,当这些性质全部实施后则能够达到过程域定义的目的。
[GB/T 302730271-201,定义3.1.1]
3.11
基本实践 base practices;BP
系统工程过程中应存在的性质,只有当所有这些性质完全实现后,才可说满足了这个过程域的要求。
注:一个过程域由基本实践(BP)组成。
[GB/T 30271-2013,定义3.1.2]
3.12
通用实践 generic practices;GP
在评估中用于确定任何过程的能力。
下列缩略语适用于本文件。
BIA:业务影响分析(Business Impact Analysis)
BCM:业务连续性管理(Business Continuity Management)
BP:基本实施(Base Practices)
DRP:灾难恢复规划(Disaster Recovery Planning)
DRS-CMM:灾难恢复服务能力成熟度模型(Disaster Recovery Service-Capability Maturity Mod-el)
GP:通用实施(Generic Practices)
PA:过程域((Process A Process Area)
RPO :恢复点目标(Recovery Point Objective)
RTO:恢复时间目标(Recovery Time Objective)
SSE-CMM :系统安全工程能力成熟度模型®(Systems Security Engineering-Capability Maturity Model®)
SPICE:软件过程改进和能力测定(Software Process Improvement And Capability Determination)
SW-CMM:软件能力成熟度模型(Software-Capability Maturity Model)
5.1 灾难恢复服务生命周期概述
灾难恢复服务能力成熟度模型是依据灾难恢复服务生命周期,灾难恢复服务提供方向灾难恢复服务需求方提供包括灾难恢复系统的规划设计、建设实施和安全运维管理,以及生产系统的灾后重建和回退等服务为主线,对能提供单个、多个过程域以及整个生命周期灾难服务的提供方整个组织的服务能力等级的评估模型。灾难恢复服务生命周期框架流程图参见图1。
信息系统灾难恢复服务过程除了实现信息系统的灾难恢复目标和策略外,还需进行灾难恢复服务过程的信息安全考虑,包括对灾难恢复系统进行信息安全的需求分析、安全设计与实现,对灾难恢复服务过程的项目与组织过程的信息安全管理等。
目前灾难恢复服务的形式呈现多样化,本标准意在阐述从灾难恢复系统的规划设计、建设实施和安全运维管理等全生命周期各阶段的灾难恢复服务过程为主线,对能提供单个、多个过程域以及整个生命周期灾难恢复服务的提供方从其服务过程中的资源配置、技术服务过程和项目与组织过程等服务能力要素对灾难服务提供方的服务能力成熟度进行等级评估。对于在具体灾难恢复服务的过程中不是针对整个生命周期进行服务的情况,可以对具体的服务过程域进行灾难恢复服务的能力等级进行评估。
以上为标准部分内容,如需看标准全文,请到相关授权网站购买标准正版。
