GB/T 37046-2018信息安全技術(shù)災(zāi)難恢復(fù)服務(wù)能力評估準則

ICS35040

L80.

中華人民共和國國家標準

GB/T37046—2018

信息安全技術(shù)

災(zāi)難恢復(fù)服務(wù)能力評估準則

Informationsecuritytechniques—

Assessmentcriteriafordisasterrecoveryservicecapability

2018-12-28發(fā)布2019-07-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T37046—2018

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

災(zāi)難恢復(fù)服務(wù)能力成熟度模型概述

5……………………3

災(zāi)難恢復(fù)服務(wù)生命周期概述

5.1………………………3

災(zāi)難恢復(fù)服務(wù)能力構(gòu)成要素

5.2………………………4

災(zāi)難恢復(fù)服務(wù)能力成熟度模型

5.3……………………5

災(zāi)難恢復(fù)服務(wù)能力要素

6…………………6

災(zāi)難恢復(fù)服務(wù)資源配置

6.1……………6

災(zāi)難恢復(fù)服務(wù)場地資源配置能力

6.1.1……………6

災(zāi)難恢復(fù)系統(tǒng)資源配置能力

6.1.2…………………7

災(zāi)難恢復(fù)服務(wù)團隊能力

6.1.3………………………7

災(zāi)難恢復(fù)服務(wù)過程

6.2…………………7

災(zāi)難恢復(fù)服務(wù)過程綜述

6.2.1………………………7

災(zāi)難恢復(fù)需求分析

6.2.2PA01———…………………7

災(zāi)難恢復(fù)資源獲取

6.2.3PA02———…………………8

災(zāi)難備份中心的選擇和建設(shè)

6.2.4PA03———………10

災(zāi)難備份系統(tǒng)技術(shù)規(guī)劃及實現(xiàn)

6.2.5PA04———……………………11

災(zāi)難備份系統(tǒng)運行維護及技術(shù)支持

6.2.6PA05———………………13

災(zāi)難恢復(fù)預(yù)案的開發(fā)及管理

6.2.7PA06———………13

突發(fā)事件應(yīng)急響應(yīng)及災(zāi)難接管

6.2.8PA07———……………………15

災(zāi)難恢復(fù)能力評估

6.2.9PA08———…………………16

災(zāi)難恢復(fù)服務(wù)項目過程和組織過程

6.3………………17

災(zāi)難恢復(fù)服務(wù)項目過程與組織過程綜述

6.3.1……………………17

質(zhì)量保證

6.3.2PA09———……………17

管理配置

6.3.3PA10———……………19

管理項目風險

6.3.4PA11———………………………20

項目規(guī)劃

6.3.5PA12———……………21

項目監(jiān)控

6.3.6PA13———……………22

管理系統(tǒng)工程支持環(huán)境

6.3.7PA14———……………23

技能和知識提升

6.3.8PA15———……………………24

與供應(yīng)商協(xié)調(diào)

6.3.9PA16———………………………25

災(zāi)難恢復(fù)服務(wù)過程能力級別定義

7………………………26

災(zāi)難恢復(fù)服務(wù)過程能力概述

7.1………………………26

Ⅰ

GB/T37046—2018

能力級別基本執(zhí)行級

7.21———………………………27

基本執(zhí)行級綜述

7.2.1………………27

公共特征執(zhí)行基本實施

7.2.21.1———……………27

能力級別計劃與跟蹤級

7.32———……………………27

計劃與跟蹤級綜述

7.3.1……………27

公共特征規(guī)劃執(zhí)行

7.3.22.1———…………………28

公共特征規(guī)范化執(zhí)行

7.3.32.2———………………29

公共特征驗證執(zhí)行

7.3.42.3———…………………30

公共特征跟蹤執(zhí)行

7.3.52.4———…………………30

能力級別充分定義級

7.43———………………………31

充分定義級綜述

7.4.1………………31

公共特征定義標準過程

7.4.23.1———……………31

公共特征執(zhí)行已定義過程

7.4.33.2———…………32

公共特征協(xié)調(diào)實施

7.4.43.3———…………………33

能力級別量化控制級

7.54———………………………34

量化控制級綜述

7.5.1………………34

公共特征建立可測的質(zhì)量目標

7.5.24.1———……………………34

公共特征客觀地管理執(zhí)行

7.5.34.2———…………35

能力級別持續(xù)改進級

7.65———………………………35

持續(xù)改進級綜述

7.6.1………………35

公共特征改進組織能力

7.6.25.1———……………35

公共特征改進過程有效性

7.6.35.2———…………36

災(zāi)難恢復(fù)服務(wù)能力評估

8…………………37

概述

8.1…………………37

災(zāi)難恢復(fù)服務(wù)能力評估

8.2……………37

本標準附錄的適用性說明

8.3…………38

附錄資料性附錄災(zāi)難恢復(fù)級別與使用的工具設(shè)備參考表

A()………40

附錄規(guī)范性附錄災(zāi)難恢復(fù)服務(wù)與過程域?qū)?yīng)表

B()…………………42

附錄規(guī)范性附錄災(zāi)難恢復(fù)能力級別與能力要素的映射表

C()………43

Ⅱ

GB/T37046—2018

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全測評中心中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心中國電子技術(shù)標準

:、、

化研究院萬國數(shù)據(jù)服務(wù)有限公司中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司北京華勝天成科技股份有限公司

、、、、

北京市太極華青信息系統(tǒng)有限公司國富瑞數(shù)據(jù)系統(tǒng)有限公司清華大學中國民航大學上海信息安全

、、、、

工程技術(shù)研究中心

。

本標準主要起草人孫明亮李斌位華王琰劉作康張曉菲張劍魏立茹程瑜琦許玉娜

:、、、、、、、、、、

王惠蒞關(guān)繼錚閔京華劉洋閆城安新亞李杰魏剛毅劉瑋雷縉葉曉俊陸麗汪濤武勇

、、、、、、、、、、、、、。

Ⅲ

GB/T37046—2018

引言

本標準參照和借鑒信息安全技術(shù)信息安全服務(wù)能力評估準則

GB/T30271—2013《》、

信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范信息技術(shù)系統(tǒng)安

GB/T20988—2007《》、GB/T20261—2006《

全工程能力成熟度模型信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模

》、ISO/IEC21827:2008《

型??的有關(guān)內(nèi)容和思想結(jié)合國內(nèi)外實踐經(jīng)驗制定而成

(SSE-CMM)》,。

本標準內(nèi)容是在的框架下對信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)能力評估的具體細化是

GB/T30271—2013,

針對信息系統(tǒng)災(zāi)難恢復(fù)組織的服務(wù)能力進行的評估框架主要是闡述災(zāi)難恢復(fù)服務(wù)組織的災(zāi)難恢復(fù)服

。

務(wù)能力的評估方法與模型以及對災(zāi)難恢復(fù)服務(wù)組織服務(wù)能力評估分級的方法及特征描述具體評估要

,,

求參照本標準在制定過程中對于災(zāi)難恢復(fù)服務(wù)組織的災(zāi)難恢復(fù)服務(wù)過程能力參

GB/T36957—2018。

考中的信息系統(tǒng)災(zāi)難恢復(fù)技術(shù)過程主要針對災(zāi)難恢復(fù)服務(wù)組織的服務(wù)能力進行

GB/T20988—2007,

評估方法模型分級的框架闡述主要闡述災(zāi)難恢復(fù)組織在做災(zāi)難恢復(fù)服務(wù)時的

、、;GB/T36957—2018

具體要求是對信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)過程的闡述以及針對信息系統(tǒng)災(zāi)難恢復(fù)的

;GB/T20988—2007,

能力的闡述核心是信息系統(tǒng)本標準與配套使用

,;GB/T36957—2018。

Ⅳ

GB/T37046—2018

信息安全技術(shù)

災(zāi)難恢復(fù)服務(wù)能力評估準則

1范圍

本標準規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)所應(yīng)遵循的基本原則明確了信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)組織服

,

務(wù)能力的評估機制

。

本標準適用于信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)的需求方提供方和評估方

、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

GB/T20988—2007

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017

信息安全技術(shù)信息安全服務(wù)能力評估準則

GB/T30271—2013

信息安全技術(shù)災(zāi)難恢復(fù)服務(wù)要求

GB/T36957—2018

信息技術(shù)安全技術(shù)系統(tǒng)安全工程能力成熟度模型?

ISO/IEC21827:2008(Informationtech-