信息系统灾难备份与恢复服务专业评价要求
申请组织应满足申请级别和低于申请低级别的对应要求。
1、D1资源服务类(A类)要求
条 款 |
三级要求 |
二级要求 |
一级要求 |
| 1.灾备中心场地资源要求 | a)拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。
b)机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。 c)提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留2个月以上。 d)具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。 e)灾备中心建筑耐火等级达到二级及以上。 |
f)拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地区抗震设防烈度执行,抗震设防类别为乙类及以上。
g)灾备中心建设等级满足国标A级或国际T3以上机房要求。 h)具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。 |
i)拥有至少2个在不同地域且处于不同的风险区域的灾备中心,满足异地灾备场地要求。
j)灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度。 k)灾备中心的所有通道、机房内均设置 CCTV 摄像头和7X24小时监控,并且可以按照客户的要求提供更长的保存期限。 l)灾备中心建筑耐火等级达到一级。 |
| 2.灾备中心基础设施要求 | a)拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等,并定期检查。
b)拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。 c)拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。 d)拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。 e)具备单路高压供电和独立UPS不间断电源保障。 f)采用精密空调系统,并具备恒温恒湿要求。 |
g)建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。
h)具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供应,满足全部负荷连续运行48小时以上。 i)采用精密空调系统,机房温度应达到 22°C±2°C,湿度应达到45%-65%。 |
j)高压电来自两个独立的变电站的双路设计。
k)后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料供应保障协议,保障燃料数量和质量要求,UPS和油机可自动切换。 |
| 3.灾备中心运维管理要求 | a)拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理制度,并有效运行。
b)建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊断和审计,保存相关记录。 c)建立灾备中心与生产中心统一变更流程。 d)定期开展数据验证工作,确保生产与灾备数据的一致性、完整性和可用性。 |
e)灾备中心建立与生产中心统一的运维管理流程,实现两个中心联动运维。
f)灾备中心建立完整的电子化IT资产管理系统,能动态跟踪灾备中心IT资产变更。 g)灾备中心提供统一的客户服务平台,集中受理客户服务请求。 h)妥善保管运维记录,所有文档应满足客户监管机构要求。 i)定期开展灾难恢复模拟切换演练工作,确保发生灾难时,灾备系统能够接替生产系统运行。 |
j)采用运维监控和流程管理工具,实现对多数据中心资源的统一监控和自动化管理。
k)针对特定的灾难场景进行灾难恢复真实切换演练,并能接替生产完成至少2个小时的真实交易,并能在规定时间内进行回切。 l)具备真实切换演练的方案设计、培训、实施管理和应急处置能力。 m)定期维护灾难恢复预案,及时更新和分发预案文档,确保预案体系持续有效。 n)建立灾备中心应急管理体系,确保灾备系统稳定运行。 |
2、D2技术服务类(B类)要求
条 款 |
三级要求 |
二级要求 |
一级要求 |
| 1.方案设计要求 | a)开展灾难恢复系统建设需求调研,并进行需求分析。
b)按照灾难恢复规划和客户的投入能力,制定灾难备份与恢复系统技术方案、实施方案。 |
c)按照不同灾难恢复等级对资源的要求,确定灾备中心基础设施、数据备份系统、备用数据处理系统和备用网络系统等方面的需求,形成调研报告。
d)对业务系统中断后的损失进行分析,制定业务系统的最大可容忍业务中断时间(RTO)、最大可容忍中断时间点(RPO)。 e)依据系统建设要求和技术方案,制定系统测试方案。 |
f)识别客户的信息资产及其脆弱性和威胁,对基础设施和信息系统进行风险评估,制定本地风险控制策略和灾难恢复策略。
g)分析业务系统与应用系统之间的关联关系,确定应用系统灾难恢复指标和恢复优先级别。 |
| 2.系统建设与管理要求 | a)依据灾难备份与恢复实施方案,实施灾难 备份与恢复系统建设。
b)妥善保存灾难备份与恢复系统建设过程记 录文档。 |
c)依据测试方案,组织实施系统测试,并详细记录。
d)制定灾难备份与恢复系统试运行方案,并详细记录试运行过程情况。 |
|
| 3.预案制定与演练要求 | a)制定信息系统灾难恢复预案。
b)开展信息系统灾难恢复桌面推演,并详细记录。 c)结合项目需要,组织开展灾难恢复预案培训。 |
d)制定系统演练方案,明确演练范围、人员、场景、步骤等内容。
e)组织演练培训和动员,明确参演人员角色、职责和具体任务。 f)设计多种演练场景并组织推演,详细记录演练过程。 |
g)制定信息系统灾难恢复预案体系,包括应急预案和恢复预案。
h)基于特定的演练场景,制定详细的切换演练方案。 i)组织完成真实切换演练前的桌面推演和模拟测试工作。 j)详细记录演练过程并进行总结,及时修订应急和恢复预案体系。 |
附件:信息安全服务人员能力要求
信息安全服务人员能力要求
从事信息安全服务的相关人员,应具备技术和管理能力并通过考试,各服务类别的笔试科目及范围如下:
序号 |
灾难备份与恢复方向考试科目和范围 |
|
1. |
信息安全保障人员基本素质
(1)职业素养:深刻理解从事信息安全保障工作必备的职业素养、特殊责任。 (2)知识结构:理解信息安全保障工作所需基础知识结构,深刻理解信息安全保障本质含义。 (3)工作技能:理解从事信息安全保障工作所需的基本技能、信息安全保障工作的特殊困难。 |
|
2. |
信息安全意识教育
(1)信息安全保障概念:了解信息安全发展历程,理解通信保密、网络安全、信息安全、信息安全保障等概念,准确理解信息安全属性,掌握什么时候需要分别考虑信息安全属性。 (2)信息安全形势:了解国内外信息安全形势、最新的典型信息安全问题、应对典型信息安全问题的方法。 (3)信息安全需求识别:了解形势发展的需要,理解社会责任的需求、组织业务保障的需要,了解现实信息技术环境的需求,指导如何提出实际需要,了解法律法规的要求、客户合同的要求、强制标准的要求、风险评估的要求、日常保障的要求、新技术和新措施应用的要求。 |
|
3. |
信息安全法律法规体系
(1)法律法规结构体系:了解我国信息安全法律法规结构、基本分类。 (2)国内外信息安全法律法规建设概况:了解中国、美国及其他国家信息安全相关法律法规建设情况 (3)国内外信息安全标准建设概况:了解国外信息安全标准化相关机构以及相互关系,如ISO、IEC、ITU和国发达家的信息安全标准相关组织机构,如美国、英国等,了解我国信息安全标准相关组织及其关系,如国家标准化管理委员会、全国信息安全标准化技术委员会(TC260)等,了解ISO、IEC和ITU信息安全相关标准建设情况,了解美国特有的信息安全相关标准建设情况,了解我国信息安全相关标准建设情况。 (4)我国信息安全管理概况:了解我国信息安全相关管理机构、管理模式、主要的信息安全管理手段。 (5)典型信息安全法律法规:了解刑法中与信息安全相关的条款,了解《保守国家秘密法》、《商用密码管理条例》,了解我国互联网相关管理规定、信息安全产品相关管理规定。 |
|
4. |
风险管理基础
(1)基本概念:理解风险的定义,风险管理的基本思想。 (2)常见风险评估方法:各类风险评估方法的基本思路、应用场景。 (3)典型风险评估方法:掌握1种风险评估方法。 (4)风险处置方法:了解各种风险处置方法及其应用场景。 (5)风险管理相关标准:了解风险管理相关国际标准、国家标准。 |
|
5. |
灾备服务技术与应用
(1)灾备服务的业界标准与实践:了解国内外灾备相关技术和标准情况、GB/T 20988。 (2)灾备恢复技术:了解数据存储技术、数据复制技术和数据管理技术的原理,了解灾难检测技术、系统迁移技术和系统恢复技术的原理。 (3)灾备服务过程管理:了解灾备服务的全过程、灾备服务准备工作(如组织与规划)的主要方法、灾备服务的资源协调、备份管理机制、恢复测试管理、恢复实施管理、灾备服务的现场保护与取证方法。 (4)灾备工具使用与管理:了解数据存储、数据复制和数据管理典型工具的使用和管理,了解灾难检测、系统迁移和系统恢复典型工具的使用和管理。 (5)灾备实例分析:了解主要行业的典型灾难备份系统管理特性,了解1-2个行业的典型灾难备份系统管理实例。 |
|
6. |
项目管理基础
(1)项目管理基本概念:正确理解项目的本质、管理的本质,掌握项目管理的基本分类,熟练掌握项目管理的生命周期与流程,掌握项目管理相对其他管理的特性。 (2)项目管理的发展历史与现状:了解项目管理的发展过程、国际项目管理发展现状、国际国内项目管理人员认证情况。 (3)九大项目管理知识领域:熟练掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理思想与方法;掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目沟通管理、项目风险管理和项目采购管理工具和实施技巧。 (4)开发类项目管理技巧:掌握开发类项目管理的特点、项目生命周期,正确掌握开发类项目九大管理知识领域特性,掌握并实践完整的开发类项目过程。 (5)集成类项目管理技巧:掌握集成类项目管理的特点、项目生命周期,正确掌握集成类项目九大管理知识领域特性,掌握并实践完整的集成类项目过程。 |
|
7. |
信息安全技术
(1)信息安全技术发展:了解信息安全技术结构及相互关系、最新进展、应用基本方法。 (2)密码学及其应用:了解密码学发展历史、密码学在信息安全中的特殊地位,基本理解密码学的基本原理,基本掌握典型密码算法(对称、非对称、HASH函数)、典型密码算法的作用与应用方法、典型应用中如何采用密码技术,了解密钥管理方法。 (3)网络安全技术:了解网络安全技术的范畴、网络边界划分原则与方法、典型的网络安全问题、典型的网络攻击手段、网络边界防御原理与方法、典型的网络边界防御设备的系统原理与应用方法(网关防御、网络监控、网络交换)、网络通讯安全原理与方法、了解典型的网络通讯安全设备的系统原理与应用方法(访问控制、通讯加密)。 (4)平台安全技术:了解常用系统平台(UNIX、Linux、Windows等)的典型安全问题、常用的应用支撑平台(WEB、数据库等)的典型安全问题、各类安全漏洞的管理标准与方法、典型的对平台攻击手段、主机安全防护的主要手段(安全加固、安全监控、安全审计、主机保护等)的原理与实施方法及其工具、桌面系统的典型安全问题、桌面系统的安全保障方法与工具。 (5)应用安全技术:了解各类常用应用系统(通用应用系统、专业应用系统、特殊业务系统等)的典型安全问题、安全软件开发过程管理与控制、典型的应用安全漏洞、应用软件安全测试方法与工具。 (6)数据安全技术:了解数据安全的范畴、数据生命周期的各阶段安全需求、数据生命周期的各阶段安全保障技术与方法、灾难备份与恢复技术。 (7)物理安全技术:了解信息安全保障中物理安全的范畴、典型的物理安全问题、典型的物理安全防范技术与方法、支持性基础设施的物理安全问题及保护措施。 |
