GB/T 37046-2018信息安全技術(shù)災(zāi)難恢復(fù)服務(wù)能力評(píng)估準(zhǔn)則

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T37046—2018

信息安全技術(shù)

災(zāi)難恢復(fù)服務(wù)能力評(píng)估準(zhǔn)則

Informationsecuritytechniques—

Assessmentcriteriafordisasterrecoveryservicecapability

2018-12-28發(fā)布2019-07-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T37046—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

災(zāi)難恢復(fù)服務(wù)能力成熟度模型概述

5……………………3

災(zāi)難恢復(fù)服務(wù)生命周期概述

5.1………………………3

災(zāi)難恢復(fù)服務(wù)能力構(gòu)成要素

5.2………………………4

災(zāi)難恢復(fù)服務(wù)能力成熟度模型

5.3……………………5

災(zāi)難恢復(fù)服務(wù)能力要素

6…………………6

災(zāi)難恢復(fù)服務(wù)資源配置

6.1……………6

災(zāi)難恢復(fù)服務(wù)場地資源配置能力

6.1.1……………6

災(zāi)難恢復(fù)系統(tǒng)資源配置能力

6.1.2…………………7

災(zāi)難恢復(fù)服務(wù)團(tuán)隊(duì)能力

6.1.3………………………7

災(zāi)難恢復(fù)服務(wù)過程

6.2…………………7

災(zāi)難恢復(fù)服務(wù)過程綜述

6.2.1………………………7

災(zāi)難恢復(fù)需求分析

6.2.2PA01———…………………7

災(zāi)難恢復(fù)資源獲取

6.2.3PA02———…………………8

災(zāi)難備份中心的選擇和建設(shè)

6.2.4PA03———………10

災(zāi)難備份系統(tǒng)技術(shù)規(guī)劃及實(shí)現(xiàn)

6.2.5PA04———……………………11

災(zāi)難備份系統(tǒng)運(yùn)行維護(hù)及技術(shù)支持

6.2.6PA05———………………13

災(zāi)難恢復(fù)預(yù)案的開發(fā)及管理

6.2.7PA06———………13

突發(fā)事件應(yīng)急響應(yīng)及災(zāi)難接管

6.2.8PA07———……………………15

災(zāi)難恢復(fù)能力評(píng)估

6.2.9PA08———…………………16

災(zāi)難恢復(fù)服務(wù)項(xiàng)目過程和組織過程

6.3………………17

災(zāi)難恢復(fù)服務(wù)項(xiàng)目過程與組織過程綜述

6.3.1……………………17

質(zhì)量保證

6.3.2PA09———……………17

管理配置

6.3.3PA10———……………19

管理項(xiàng)目風(fēng)險(xiǎn)

6.3.4PA11———………………………20

項(xiàng)目規(guī)劃

6.3.5PA12———……………21

項(xiàng)目監(jiān)控

6.3.6PA13———……………22

管理系統(tǒng)工程支持環(huán)境

6.3.7PA14———……………23

技能和知識(shí)提升

6.3.8PA15———……………………24

與供應(yīng)商協(xié)調(diào)

6.3.9PA16———………………………25

災(zāi)難恢復(fù)服務(wù)過程能力級(jí)別定義

7………………………26

災(zāi)難恢復(fù)服務(wù)過程能力概述

7.1………………………26

Ⅰ

GB/T37046—2018

能力級(jí)別基本執(zhí)行級(jí)

7.21———………………………27

基本執(zhí)行級(jí)綜述

7.2.1………………27

公共特征執(zhí)行基本實(shí)施

7.2.21.1———……………27

能力級(jí)別計(jì)劃與跟蹤級(jí)

7.32———……………………27

計(jì)劃與跟蹤級(jí)綜述

7.3.1……………27

公共特征規(guī)劃執(zhí)行

7.3.22.1———…………………28

公共特征規(guī)范化執(zhí)行

7.3.32.2———………………29

公共特征驗(yàn)證執(zhí)行

7.3.42.3———…………………30

公共特征跟蹤執(zhí)行

7.3.52.4———…………………30

能力級(jí)別充分定義級(jí)

7.43———………………………31

充分定義級(jí)綜述

7.4.1………………31

公共特征定義標(biāo)準(zhǔn)過程

7.4.23.1———……………31

公共特征執(zhí)行已定義過程

7.4.33.2———…………32

公共特征協(xié)調(diào)實(shí)施

7.4.43.3———…………………33

能力級(jí)別量化控制級(jí)

7.54———………………………34

量化控制級(jí)綜述

7.5.1………………34

公共特征建立可測的質(zhì)量目標(biāo)

7.5.24.1———……………………34

公共特征客觀地管理執(zhí)行

7.5.34.2———…………35

能力級(jí)別持續(xù)改進(jìn)級(jí)

7.65———………………………35

持續(xù)改進(jìn)級(jí)綜述

7.6.1………………35

公共特征改進(jìn)組織能力

7.6.25.1———……………35

公共特征改進(jìn)過程有效性

7.6.35.2———…………36

災(zāi)難恢復(fù)服務(wù)能力評(píng)估

8…………………37

概述

8.1…………………37

災(zāi)難恢復(fù)服務(wù)能力評(píng)估

8.2……………37

本標(biāo)準(zhǔn)附錄的適用性說明

8.3…………38

附錄資料性附錄災(zāi)難恢復(fù)級(jí)別與使用的工具設(shè)備參考表

A()………40

附錄規(guī)范性附錄災(zāi)難恢復(fù)服務(wù)與過程域?qū)?yīng)表

B()…………………42

附錄規(guī)范性附錄災(zāi)難恢復(fù)能力級(jí)別與能力要素的映射表

C()………43

Ⅱ

GB/T37046—2018

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國信息安全測評(píng)中心中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心中國電子技術(shù)標(biāo)準(zhǔn)

:、、

化研究院萬國數(shù)據(jù)服務(wù)有限公司中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司北京華勝天成科技股份有限公司

、、、、

北京市太極華青信息系統(tǒng)有限公司國富瑞數(shù)據(jù)系統(tǒng)有限公司清華大學(xué)中國民航大學(xué)上海信息安全

、、、、

工程技術(shù)研究中心

。

本標(biāo)準(zhǔn)主要起草人孫明亮李斌位華王琰劉作康張曉菲張劍魏立茹程瑜琦許玉娜

:、、、、、、、、、、

王惠蒞關(guān)繼錚閔京華劉洋閆城安新亞李杰魏剛毅劉瑋雷縉葉曉俊陸麗汪濤武勇

、、、、、、、、、、、、、。

Ⅲ

GB/T37046—2018

引言

本標(biāo)準(zhǔn)參照和借鑒信息安全技術(shù)信息安全服務(wù)能力評(píng)估準(zhǔn)則

GB/T30271—2013《》、

信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范信息技術(shù)系統(tǒng)安

GB/T20988—2007《》、GB/T20261—2006《

全工程能力成熟度模型信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模

》、ISO/IEC21827:2008《

型??的有關(guān)內(nèi)容和思想結(jié)合國內(nèi)外實(shí)踐經(jīng)驗(yàn)制定而成

(SSE-CMM)》,。

本標(biāo)準(zhǔn)內(nèi)容是在的框架下對(duì)信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)能力評(píng)估的具體細(xì)化是

GB/T30271—2013,

針對(duì)信息系統(tǒng)災(zāi)難恢復(fù)組織的服務(wù)能力進(jìn)行的評(píng)估框架主要是闡述災(zāi)難恢復(fù)服務(wù)組織的災(zāi)難恢復(fù)服

。

務(wù)能力的評(píng)估方法與模型以及對(duì)災(zāi)難恢復(fù)服務(wù)組織服務(wù)能力評(píng)估分級(jí)的方法及特征描述具體評(píng)估要

,,

求參照本標(biāo)準(zhǔn)在制定過程中對(duì)于災(zāi)難恢復(fù)服務(wù)組織的災(zāi)難恢復(fù)服務(wù)過程能力參

GB/T36957—2018。

考中的信息系統(tǒng)災(zāi)難恢復(fù)技術(shù)過程主要針對(duì)災(zāi)難恢復(fù)服務(wù)組織的服務(wù)能力進(jìn)行

GB/T20988—2007,

評(píng)估方法模型分級(jí)的框架闡述主要闡述災(zāi)難恢復(fù)組織在做災(zāi)難恢復(fù)服務(wù)時(shí)的

、、;GB/T36957—2018

具體要求是對(duì)信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)過程的闡述以及針對(duì)信息系統(tǒng)災(zāi)難恢復(fù)的

;GB/T20988—2007,

能力的闡述核心是信息系統(tǒng)本標(biāo)準(zhǔn)與配套使用

,;GB/T36957—2018。

Ⅳ

GB/T37046—2018

信息安全技術(shù)

災(zāi)難恢復(fù)服務(wù)能力評(píng)估準(zhǔn)則

1范圍

本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)所應(yīng)遵循的基本原則明確了信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)組織服

,

務(wù)能力的評(píng)估機(jī)制

。

本標(biāo)準(zhǔn)適用于信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)的需求方提供方和評(píng)估方

、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

GB/T20988—2007

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017

信息安全技術(shù)信息安全服務(wù)能力評(píng)估準(zhǔn)則

GB/T30271—2013

信息安全技術(shù)災(zāi)難恢復(fù)服務(wù)要求

GB/T36957—2018

信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型?

ISO/IEC21827:2008(Informationtech-