GB/T 20988-2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

ICS35.040L80中華人民共和國國家標(biāo)準(zhǔn)GB/T20988—2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范Informationsecuritytechnology-Disasterrecoveryspecificationsforinformationsystems2007-06-14發(fā)布2007-11-01實(shí)施中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國國家標(biāo)準(zhǔn)化管理委員會

GB/T20988-2007三前言引言1范圍2規(guī)范性引用文件3術(shù)語和定義……4灰難恢復(fù)概述4.1災(zāi)難恢復(fù)的工作范圍4.2災(zāi)難恢復(fù)的組織機(jī)構(gòu)4.3災(zāi)難恢復(fù)規(guī)劃的管理4.4災(zāi)難恢復(fù)的外部協(xié)作4.5災(zāi)難恢復(fù)的審計和備案5災(zāi)難恢復(fù)需求的確定5.1風(fēng)險分析·…5.2業(yè)務(wù)影響分析5.3確定災(zāi)難恢復(fù)目標(biāo)6災(zāi)難恢復(fù)策略的制定6.1災(zāi)難恢復(fù)策略制定的要素6.2災(zāi)難恢復(fù)資源的獲取方式6.3災(zāi)難恢復(fù)資源的要求災(zāi)難恢復(fù)策略的實(shí)現(xiàn)7.1災(zāi)難備份系統(tǒng)技術(shù)方案的實(shí)現(xiàn)7.2災(zāi)難備份中心的選擇和建設(shè)7.3專業(yè)技術(shù)支持能力的實(shí)現(xiàn)7.4運(yùn)行維護(hù)管理能力的實(shí)現(xiàn)7.5災(zāi)難恢復(fù)預(yù)案的實(shí)現(xiàn)·附錄A（規(guī)范性附錄）災(zāi)難恢復(fù)能力等級劃分附錄B（資料性附錄)災(zāi)難恢復(fù)預(yù)案框架附錄C（資料性附錄）某行業(yè)RTO/RPO與災(zāi)難恢復(fù)能力等級的關(guān)系示例

GB/T20988一2007前本標(biāo)準(zhǔn)的附錄A是規(guī)范性附錄.附錄B和附錄C是資料性附錄。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本標(biāo)準(zhǔn)起草單位：中國信息安全產(chǎn)品評測認(rèn)證中心。本標(biāo)準(zhǔn)主要起草人：汪琪、熊四、張利、劉艷、鄲全明、許強(qiáng)、李偉華、李建彬、談松、劉建明、劉祖沈、江志強(qiáng)、徐強(qiáng)、冷愿、劉山泉、黃偉、于健、劉東紅、上官曉麗

GB/T20988—2007本標(biāo)準(zhǔn)參照和借鑒GB/T19716《信息技術(shù)信息安全管理實(shí)用規(guī)則》、GB/T20984《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、DRIInternational（國際災(zāi)難恢復(fù)協(xié)會）ProfessionalPracticesforBusinessContinuityPlanners》和《BusinessContinuityGlossary)、ISACA(信息系統(tǒng)審計與控制協(xié)會）《COBITManagementGuidelines)、NIST(美國國家標(biāo)準(zhǔn)和技術(shù)學(xué)會)<SP800-34ContingencyPlanningGuideforInformationTechnologySystems和在1992年SHARE78會議議題M028上提出的遠(yuǎn)程站點(diǎn)分級等的有關(guān)內(nèi)容和思想，結(jié)合國家重要信息系統(tǒng)行業(yè)技術(shù)發(fā)展和實(shí)踐經(jīng)驗(yàn)制定而成，信息系統(tǒng)災(zāi)難恢復(fù)能力等級與恢復(fù)時間目標(biāo)（RTO)和恢復(fù)點(diǎn)目標(biāo)（RPO)具有一定的對應(yīng)關(guān)系,各行業(yè)可根據(jù)行業(yè)特點(diǎn)和信息技術(shù)的應(yīng)用情況制定相應(yīng)的災(zāi)難恢復(fù)能力等級要求和指標(biāo)體系。

GB/T20988—2007信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的基本要求本標(biāo)準(zhǔn)適用于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實(shí)施和管理2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)，然而,鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T5271.8信息技術(shù)詞匯第8部分：安全GB/T20984信信息安全技術(shù)信息安全風(fēng)險評估規(guī)范術(shù)語和定義GB/T5271.8確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。災(zāi)難備份中心bbackupcenterfordisasterrecovery備用站點(diǎn)alternatesite用于災(zāi)難發(fā)生后接替主系統(tǒng)進(jìn)行數(shù)據(jù)處理和支持關(guān)鍵業(yè)務(wù)功能(3.6)運(yùn)作的場所，可提供災(zāi)難備份系統(tǒng)(3.3)、備用的基礎(chǔ)設(shè)施和專業(yè)技術(shù)支持及運(yùn)行維護(hù)管理能力,此場所內(nèi)或周邊可提供備用的生活設(shè)施3.2文難備份backupfordisasterrecovery為了災(zāi)難恢復(fù)(3.9)而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、專業(yè)技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份的過程3.3災(zāi)難備份系統(tǒng)Sbackupsystemfordisasterrecovery用于災(zāi)難恢復(fù)(3.9)目的，由數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用的網(wǎng)絡(luò)系統(tǒng)組成的信息系統(tǒng)3.4業(yè)務(wù)連續(xù)管理businesscontinuitymanagementBCM為保護(hù)組織的利益、聲譽(yù)、品牌和價值創(chuàng)造活動.找出對組織有潛在影響的威脅.提供建設(shè)組織有效反應(yīng)恢復(fù)能力的框架的整體管理過程。包括組織在面臨災(zāi)難時對恢復(fù)或連續(xù)性的管理，以及為保證業(yè)務(wù)