網(wǎng)絡(luò)安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 編制說(shuō)明

1一、工作簡(jiǎn)況劃，《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》由中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)承撐國(guó)內(nèi)法律法規(guī)和行業(yè)發(fā)展要求，因此對(duì)標(biāo)準(zhǔn)G2選擇20余家參編單位，并召開(kāi)項(xiàng)目啟動(dòng)會(huì)，對(duì)各參編單位的任務(wù)進(jìn)行分工，并對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行進(jìn)一步修改完善。同期征求責(zé)任專家意見(jiàn)，并進(jìn)行了修改。10責(zé)任專家、責(zé)任編輯等的專家評(píng)審會(huì)，會(huì)后編制組依據(jù)專家組的意見(jiàn)進(jìn)行了3輪的文本修改和完善工作。2024年1月向全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書了國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（征求意見(jiàn)稿）專家評(píng)審按照本標(biāo)準(zhǔn)實(shí)現(xiàn)的災(zāi)難恢復(fù)中心建設(shè)和運(yùn)行、信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范，實(shí)根據(jù)我國(guó)國(guó)情、實(shí)際運(yùn)用環(huán)境和國(guó)家有關(guān)政策編制本標(biāo)準(zhǔn)，使其在指導(dǎo)災(zāi)3本標(biāo)準(zhǔn)給出了信息系統(tǒng)災(zāi)難恢復(fù)工作原則，提出了信息系統(tǒng)災(zāi)難恢復(fù)生命—GB/T20984—2022信息安c）本標(biāo)準(zhǔn)使用重新起草法修改《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988—2007）、《信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)定》20988—2007）、《信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)定》（GB/T4《信息安全技術(shù)災(zāi)難恢復(fù)中心建設(shè)與運(yùn)維管理規(guī)定》（GB/T30285—2013），息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988—2007）、《信息安全技術(shù)災(zāi)難恢復(fù)中心—2013相比，整體結(jié)構(gòu)與內(nèi)容進(jìn)行了重新整合，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，c)在術(shù)語(yǔ)與定義中參照GB/T25069—2022對(duì)本標(biāo)準(zhǔn)中的術(shù)語(yǔ)與定義進(jìn)行5k)本文件更新了GB/T20988—2007中附錄A災(zāi)難恢復(fù)能力等級(jí)架，增加了附錄C某行業(yè)信息系統(tǒng)需求分類示例、附錄D云技術(shù)災(zāi)難恢復(fù)服務(wù)系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、實(shí)施、安全建設(shè)和運(yùn)行管理等工作。?！鼻把?規(guī)范性引用文件3術(shù)語(yǔ)和定義4災(zāi)難恢復(fù)概述4.1災(zāi)難恢復(fù)的工作范圍4.2災(zāi)難恢復(fù)的組織機(jī)構(gòu)4.3災(zāi)難恢復(fù)規(guī)劃的管理4.4災(zāi)難恢復(fù)的外部協(xié)作4.5災(zāi)難恢復(fù)的審計(jì)和備案5災(zāi)難恢復(fù)需求的確定5.1風(fēng)險(xiǎn)分析5.2業(yè)務(wù)影響分析5.3確定災(zāi)難恢復(fù)目標(biāo)6災(zāi)難恢復(fù)策略制定6.1災(zāi)難恢復(fù)策略制定的要素6.2災(zāi)難恢復(fù)資源的獲取方式6.3災(zāi)難恢復(fù)資源的要求7災(zāi)難恢復(fù)策略的實(shí)現(xiàn)7.1災(zāi)難備份系統(tǒng)技術(shù)方案的實(shí)現(xiàn)7.2災(zāi)難備份中心的選擇和建設(shè)7.3專業(yè)技術(shù)支持能力的實(shí)現(xiàn)7.4運(yùn)行維護(hù)管理能力的實(shí)現(xiàn)7.5災(zāi)難恢復(fù)預(yù)案的實(shí)現(xiàn)附錄A（規(guī)范性附錄）災(zāi)難恢復(fù)能力等級(jí)的劃分附錄B（資料性附錄）災(zāi)難恢復(fù)預(yù)案框架附錄C（資料性附錄）某行業(yè)RTO/RPO與災(zāi)難恢復(fù)能力等級(jí)的關(guān)系示例6前言2規(guī)范性引用文件3術(shù)語(yǔ)和定義4災(zāi)難恢復(fù)概述4.1災(zāi)難恢復(fù)目標(biāo)4.2災(zāi)難恢復(fù)生命周期和工作范圍5災(zāi)難恢復(fù)的組織機(jī)構(gòu)設(shè)置5.1組織機(jī)構(gòu)的設(shè)立5.2組織機(jī)構(gòu)的職責(zé)6災(zāi)難恢復(fù)規(guī)劃設(shè)計(jì)6.1災(zāi)難恢復(fù)需求的確定6.2災(zāi)難恢復(fù)策略的制定6.3災(zāi)難恢復(fù)技術(shù)方案設(shè)計(jì)6.4災(zāi)難恢復(fù)中心的基礎(chǔ)設(shè)施6.5災(zāi)難恢復(fù)技術(shù)方案的驗(yàn)證、確認(rèn)和系統(tǒng)開(kāi)發(fā)7災(zāi)難恢復(fù)系統(tǒng)建設(shè)實(shí)施7.1災(zāi)難恢復(fù)系統(tǒng)實(shí)現(xiàn)7.2災(zāi)難恢復(fù)中心建設(shè)8災(zāi)難恢復(fù)系統(tǒng)的安全建設(shè)8.1網(wǎng)絡(luò)安全等級(jí)保護(hù)8.2安全管理制度8.3安全管理架構(gòu)8.4安全管理人員8.5安全通信網(wǎng)絡(luò)8.6安全計(jì)算環(huán)境8.7安全建設(shè)管理8.8安全運(yùn)維管理8.9供應(yīng)鏈安全8.10數(shù)據(jù)安全9災(zāi)難恢復(fù)系統(tǒng)運(yùn)行管理9.1災(zāi)難恢復(fù)預(yù)案開(kāi)發(fā)及管理9.2災(zāi)難恢復(fù)系統(tǒng)運(yùn)行維護(hù)9.3應(yīng)急事件響應(yīng)及災(zāi)難接管79.4重建和回退9.5災(zāi)難恢復(fù)審計(jì)10測(cè)試評(píng)價(jià)方法10.1評(píng)價(jià)指標(biāo)10.2評(píng)價(jià)對(duì)象和內(nèi)容10.3評(píng)價(jià)方式與方法10.4評(píng)價(jià)有效性附錄A（規(guī)范性）災(zāi)難恢復(fù)能力等級(jí)劃分附錄B（資料性）某行業(yè)RTO/RPO與災(zāi)難恢復(fù)能力等級(jí)的關(guān)系示例附錄C（資料性）某行業(yè)信息系統(tǒng)需求分類示例附錄D（資料性）云技術(shù)災(zāi)難恢復(fù)服務(wù)示例附錄E（資料性）災(zāi)難恢復(fù)預(yù)案框架參考文獻(xiàn)三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益2.在進(jìn)行參編單位遴選時(shí)，特意選擇可以參與試點(diǎn)的單位，在召開(kāi)啟動(dòng)會(huì)標(biāo)準(zhǔn)用于災(zāi)難恢復(fù)全生命周期，以預(yù)防由于災(zāi)難恢復(fù)過(guò)程中導(dǎo)致的各種損8四、與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者與測(cè)試的國(guó)外樣品、樣ISO31000RiskManagementGISO/IEC13335InfISO/IEC27005InformationTecNISTSpecialPublication800-30RiskMaISO31000RiskManagementGISO/IEC13335InfISO/IEC27005Informat