《信息安全技術(shù) 災(zāi)難恢復(fù)中心建設(shè)與運維管理規(guī)范》編制說明

一、任務(wù)來源

近年來，相關(guān)國際組織和各國的法律及監(jiān)管部門頒布了不同層次的法規(guī)、規(guī)章、指引、

白皮書等各種形式的材料，對歸口的行業(yè)和領(lǐng)域的災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性業(yè)務(wù)提供操作指

南和監(jiān)管條款。

國家對災(zāi)難恢復(fù)相關(guān)工作非常重視，先后出臺了相關(guān)的國家和行業(yè)政策文件和標準規(guī)

范，主要有：《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》、《關(guān)于做好重要信

息系統(tǒng)災(zāi)難備份工作的通知》、《關(guān)于印發(fā)“重要信息系統(tǒng)災(zāi)難恢復(fù)指南”的通知》、GB/T

20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》、JR/T0044-2008《銀行業(yè)信息系

統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》、《保險業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理指引》、《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指

引》等。其中，GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》描繪了組織災(zāi)

難恢復(fù)建設(shè)及管理體系，提出體系建立的基本要求，系統(tǒng)中各重要組成部分有待細化。為

了深入規(guī)范體系，明確建設(shè)要求，形成業(yè)務(wù)連續(xù)性管理及災(zāi)難恢復(fù)國標簇。災(zāi)難恢復(fù)中心

是災(zāi)難恢復(fù)的核心內(nèi)容，因此，首要制定災(zāi)難恢復(fù)中心建設(shè)與運維管理規(guī)范。

《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》由萬國長安承擔，由工信部、國家發(fā)改委、主要行業(yè)及萬

國數(shù)據(jù)和萬國長安的領(lǐng)導(dǎo)和專家組成《規(guī)范》工作組。

二、編制原則

為確保災(zāi)難恢復(fù)中心建設(shè)與管理的有效性，災(zāi)難恢復(fù)中心的建設(shè)與管理應(yīng)遵循以下原

則：

預(yù)防為主原則：災(zāi)難恢復(fù)中心不能解決或消除所有生產(chǎn)中心面臨的風險，在災(zāi)難恢復(fù)

中心的規(guī)劃階段應(yīng)充分認識生產(chǎn)中心在使用和管理過程中所面臨的風險并提出風險處置策

略，明確在災(zāi)難恢復(fù)中心需要解決或處置的災(zāi)難事件風險場景，這些風險往往無法通過單

一生產(chǎn)中心處置或處置成本極高，其他風險應(yīng)根據(jù)成本效益原則采取必要的措施降低風險

發(fā)生的可能性，最大限度地減少可能造成的損害。在災(zāi)難恢復(fù)中心選址時，應(yīng)避免與生產(chǎn)

中心同處一個風險區(qū)域和環(huán)境，以達到風險分散的目的。

資源共享原則：災(zāi)難恢復(fù)中心的資源是在災(zāi)難發(fā)生時為機構(gòu)從事災(zāi)難恢復(fù)活動所提供

的專用資源。在未發(fā)生災(zāi)難時，其資源一般處于閑置或就緒狀態(tài)，為最大限度地降低災(zāi)難

恢復(fù)中心的總體擁有成本，提高災(zāi)難恢復(fù)資源建設(shè)的投入費效比，建議在保證業(yè)務(wù)、數(shù)據(jù)

安全的前提下可利用災(zāi)難恢復(fù)中心的閑置資源或利用第三方機構(gòu)的資源實現(xiàn)機構(gòu)之間和機

構(gòu)內(nèi)部功能區(qū)之間的資源共享。

持續(xù)保障原則：在災(zāi)難恢復(fù)中心的建設(shè)和管理過程中，應(yīng)充分考慮與生產(chǎn)中心的業(yè)務(wù)

和數(shù)據(jù)處理能力保持一致，以保證災(zāi)難恢復(fù)中心具有接管生產(chǎn)中心關(guān)鍵信息系統(tǒng)運行的能

力。同時機構(gòu)還應(yīng)建立一整套長效保障機制以確保災(zāi)難恢復(fù)中心資源的完整性和長期有效

性。

1

安全保障原則：應(yīng)加強災(zāi)難恢復(fù)中心的安全保障工作，使災(zāi)難恢復(fù)中心與生產(chǎn)中心具

備同等的安全保障機制，以確保災(zāi)難恢復(fù)中心的信息安全和信息系統(tǒng)的運行安全，實現(xiàn)災(zāi)

難發(fā)生時災(zāi)難恢復(fù)中心對生產(chǎn)中心的平穩(wěn)接替。

災(zāi)難恢復(fù)中心運維管理體系建設(shè)應(yīng)遵循以下原則：

安全性原則：災(zāi)難恢復(fù)中心的安全管理的等級和要求應(yīng)與生產(chǎn)中心保持一致，災(zāi)難備

份中心存儲的網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等安全等級不可因使用模式和狀態(tài)的不同降低安全要求。

關(guān)聯(lián)性原則：災(zāi)難恢復(fù)中心運維管理體系應(yīng)與生產(chǎn)中心運維管理體系相關(guān)聯(lián)，在人員

崗位構(gòu)成、日常管理流程和應(yīng)急恢復(fù)期管理流程的銜接、應(yīng)用和數(shù)據(jù)的備份恢復(fù)操作、數(shù)

據(jù)有效性測試、演練組織、數(shù)據(jù)安全管理要求等方面都應(yīng)與生產(chǎn)中心相關(guān)聯(lián)；

規(guī)范性原則：災(zāi)難恢復(fù)中心運行維護管理體系的建設(shè)應(yīng)遵循國家和機構(gòu)所述行業(yè)監(jiān)管

要求，并引入國際標準和最佳實踐，確保災(zāi)難恢復(fù)中心運維管理體系的規(guī)范性；

流程化與制度化原則：機構(gòu)應(yīng)按照災(zāi)難恢復(fù)中心運維管理要求，建立具有完善的、可

行的運維管理流程和制度，以規(guī)范運維人員的工作行為，提高運維管理的質(zhì)量、效率和水

平；

可用性與有效性原則：災(zāi)難恢復(fù)中心運維管理應(yīng)通過全面測試和定期的驗證機制，確

保資源的可用性和有效性。

三、主要工作過程

(一)標準制定的主要工作過程如下：

12009年，向國資委申請國標起草立項，并提交《信息安全國家標準項目申請書(DR)》

與《推薦性國標項目建議書(DR)》；

22010年，國標正式立項，并提交《信息安全專項項目任務(wù)書》；

32011年3月，國標起草項目組成立，并廣泛收集資料，分析國內(nèi)、外相關(guān)標準，

包括國家標準、行業(yè)標準及國際標準；

42011年4月，經(jīng)國標起草組內(nèi)部討論，形成國標框架，并由項目組成員分頭起草，

包括GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》內(nèi)部討論稿V0.1；

52011年5月，工作組內(nèi)部討論稿形成，為GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》內(nèi)

部討論稿V0.4；

62011年6月，召開工作組專家初步評議，根據(jù)各領(lǐng)域?qū)＜乙庖娦薷?，形成草案?/p>

稿，形成GB《災(zāi)難備份中心建設(shè)和管理規(guī)范》草案V0.5；

72011年9月，召開第二次工作組專家評議，形成草案終稿，GB《災(zāi)難備份中心建

設(shè)和管理規(guī)范》草案V0.6。

82011年10月，召開國標專家評審會，形成征求意見稿GB《災(zāi)難備份中心建設(shè)和

管理規(guī)范》V0.7（征求意見稿）。

2

92011年12月，召開WG7國標專家投票會，經(jīng)內(nèi)部討論達成一致意見，國標題目

修改為《災(zāi)難恢復(fù)中心建設(shè)與運維管理規(guī)范》。

(二)標準征求意見的落實情況如下：

1第一次與第二次工作組會議，工作組專家出席35人次，共提出意見68條，其中62

條意見接納，其余意見未接受。

2第三次專家評審會議，共出席專家10人，共提出意見36條。其中31條意見接納，

其余意見未接受。

3共匯集反饋意見104條，其中93條意見為采納或部分采納，其余意見未采納，具

體參見意見匯總處理表。

四、標準的主要內(nèi)容及確定內(nèi)容的依據(jù)

《規(guī)范》主要包括以下內(nèi)容：

1第三部分術(shù)語和定義：對規(guī)范涉及的常用術(shù)語進行了定義。

2第四部分災(zāi)難恢復(fù)中心建設(shè)與運維管理概述：對災(zāi)難恢復(fù)中心建設(shè)與運維管理

進行了框架行的描述和定義：

災(zāi)難恢復(fù)中心建設(shè)與運維管理原則

災(zāi)難恢復(fù)中心建設(shè)與運維管理的生命周期模型

災(zāi)難恢復(fù)中心建設(shè)與運維管理的內(nèi)容

災(zāi)難恢復(fù)中心組織機構(gòu)及崗位的設(shè)立

3第五章災(zāi)難恢復(fù)中心劃：

分析與規(guī)劃工作要點

災(zāi)難恢復(fù)中心需求分析

災(zāi)難恢復(fù)中心的規(guī)劃

4第六章災(zāi)難恢復(fù)中心的建設(shè)管理。本章從在災(zāi)難恢復(fù)中心建設(shè)與資源獲角度，包

括按照災(zāi)難恢復(fù)中心的規(guī)劃設(shè)計方案，進行災(zāi)難恢復(fù)中心的機房基礎(chǔ)設(shè)施建設(shè)、

配套生活設(shè)施建設(shè)、人力資源建設(shè)、管理體系建設(shè)和信息系統(tǒng)運行平臺建設(shè)。

災(zāi)難恢復(fù)中心建設(shè)管理的主要內(nèi)容

災(zāi)難恢復(fù)中心基礎(chǔ)設(shè)施建設(shè)管理

災(zāi)難恢復(fù)系統(tǒng)的建設(shè)管理

預(yù)案體系建設(shè)管理

5第七章災(zāi)難恢復(fù)中心交付管理：應(yīng)依據(jù)設(shè)計方案對相關(guān)建設(shè)項目進行測試、驗

3

證，并形成運行規(guī)范和操作手冊，通過培訓(xùn)、演練、試運行等方式使得使用方和

運行維護團隊能夠自主使用和維護災(zāi)難恢復(fù)中心，包括：

災(zāi)難恢復(fù)中心基礎(chǔ)設(shè)施的驗收和移交

災(zāi)難恢復(fù)系統(tǒng)的有效性驗證

災(zāi)難恢復(fù)預(yù)案的驗證

災(zāi)難恢復(fù)中心與生產(chǎn)中心的協(xié)作管理

6第八章災(zāi)難恢復(fù)中心運行維護管理，在完成移交后，災(zāi)難恢復(fù)中心使用和運行

維護團隊應(yīng)完成包括基礎(chǔ)運維和災(zāi)難恢復(fù)專業(yè)服務(wù)在內(nèi)的各項工作，保證災(zāi)難恢

復(fù)中心能夠安全、持久、有效運行，包括：

災(zāi)難恢復(fù)中心運行維護管理原則

災(zāi)難恢復(fù)中心運行維護管理的組織

災(zāi)難恢復(fù)中心運行維護管理制度

災(zāi)難恢復(fù)中心運行維護管理內(nèi)容和要求

災(zāi)難恢復(fù)中心管理的審核與驗證

五、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標準的關(guān)系

在本《標準》的編寫過程中，借鑒了以下國內(nèi)標準的內(nèi)容，包括：

1GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》。2007年7月，國務(wù)

院信息化工作辦公室領(lǐng)導(dǎo)編制的《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》正式升級成為國家標準《信

息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988-2007），這是中國災(zāi)難備份與恢復(fù)行業(yè)的第一個國家標

準，并于2007年11月1日開始正式實施?！缎畔⑾到y(tǒng)災(zāi)難恢復(fù)規(guī)范》規(guī)定了信息系統(tǒng)災(zāi)難

恢復(fù)應(yīng)遵循的基本要求，適用于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實施和管理。

《規(guī)范》中參考并延續(xù)了其中的術(shù)語定義，以及災(zāi)難備份中心建設(shè)與管理的方法論。

2GB/T20984-2007《信息安全技術(shù)信息安全風險評估指南》。本標準提出了風險評

估的基本概念、要素關(guān)系、分析原理、實施流程和評估方法，以及風險評估在信息系統(tǒng)生

命周期不同階段的實施要點和工作形式。本標準適用于規(guī)范組織開展的風險評估工作。

3《規(guī)范》中在數(shù)據(jù)中心規(guī)劃策略制定章節(jié)中，借鑒了這個標準的風險評估思路與

要求。

4GB50174-2008《電子信息系統(tǒng)機房設(shè)計規(guī)范》，為加強電子信息系統(tǒng)機房的工程

設(shè)計質(zhì)量，住房和城鄉(xiāng)建設(shè)部發(fā)布了國家標準GB50174《電子信息系統(tǒng)機房設(shè)計規(guī)范》，于

2009年6月1日起正式實施，規(guī)范為新建、改建和擴建建筑物中的電子信息系統(tǒng)機房提供

了設(shè)計標準。

《規(guī)范》數(shù)據(jù)中心基礎(chǔ)環(huán)境規(guī)劃與建設(shè)內(nèi)容借鑒并吸取了《電子信息系統(tǒng)機房設(shè)計規(guī)

4

范》的要求與標準。

六、有關(guān)問題的說明

《規(guī)范》是對做好災(zāi)難恢復(fù)中心建設(shè)與運維管理工作的具體規(guī)范和指導(dǎo)，為災(zāi)難恢復(fù)

中心建設(shè)與運維管理提供指導(dǎo)性的流程和方法。要使《規(guī)范》能在全國范圍內(nèi)得到貫徹，

首先要使《規(guī)范》的具體內(nèi)容能為數(shù)據(jù)中心設(shè)計人員、建設(shè)人員、管理人員和測評人員。

這就需要對不同類型的人