1 范圍

      本標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)所應(yīng)遵循的基本原則，明確了信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)組織服務(wù)能力的評(píng)估機(jī)制。

      本標(biāo)準(zhǔn)適用于信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)的需求方、提供方和評(píng)估方。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 29246-2017 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯

      GB/T 30271-2013 信息安全技術(shù) 信息安全服務(wù)能力評(píng)估準(zhǔn)則

      GB/T 36957-2018 信息安全技術(shù) 災(zāi)難恢復(fù)服務(wù)要求

      ISO/IEC 21827：2008 信息技術(shù) 安全技術(shù) 系統(tǒng)安全工程能力成熟度模型?（Information tech-nology-Security techniques-Systems Security Engineering-Capability Maturity Model?)(SSE-CMM?)

3 術(shù)語(yǔ)和定義

      GB/T 25069-2010、GB/T 20988-2007、GB/T 30271-2013、GB/T 29246-2017、GB/T 36957-2018和ISO/IEC 21827：2008界定的以及下列術(shù)語(yǔ)和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T 36957-2018、GB/T 29246-2017和GB/T 30271-2013中的一些術(shù)語(yǔ)和定義。

3.1

      災(zāi)難恢復(fù)服務(wù) disaster recovery services

      為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行的狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)而進(jìn)行的分析、設(shè)計(jì)、實(shí)施、運(yùn)行、維護(hù)及組織管理等活動(dòng)和流程。

      ［GB/T 36957-2018，定義3.2］

3.2

      災(zāi)難恢復(fù)服務(wù)提供方 provider of disaster recovery services

      具有專業(yè)的災(zāi)難恢復(fù)服務(wù)團(tuán)隊(duì)和資源，并能提供災(zāi)難恢復(fù)服務(wù)的組織或部門，簡(jiǎn)稱服務(wù)提供方。

      ［GB/T 36957-2018，定義3.4］

3.3

      災(zāi)難恢復(fù)服務(wù)需求方 customer of disaster recovery services

      需要通過(guò)第三方專業(yè)服務(wù)和資源實(shí)現(xiàn)災(zāi)難恢復(fù)的組織或部門，簡(jiǎn)稱服務(wù)需求方。

      ［GB/T 36957-2018，定義3.3］

3.4

      災(zāi)難恢復(fù)服務(wù)能力 disaster recovery service capability

      災(zāi)難恢復(fù)服務(wù)提供方實(shí)施系統(tǒng)容錯(cuò)、災(zāi)難恢復(fù)和容災(zāi)過(guò)程達(dá)到信息系統(tǒng)各項(xiàng)業(yè)務(wù)可持續(xù)運(yùn)行，并使客戶保持滿意的有關(guān)各項(xiàng)活動(dòng)的總和。

      注：災(zāi)難恢復(fù)服務(wù)能力闡述的是災(zāi)難恢復(fù)服務(wù)提供方的總體服務(wù)能力，區(qū)別于GB/T 20988-2007中災(zāi)難恢復(fù)能力闡述的是針對(duì)信息系統(tǒng)進(jìn)行災(zāi)難恢復(fù)服務(wù)所能達(dá)到災(zāi)難恢復(fù)等級(jí)，兩者闡述的對(duì)象不同。

3.5

      災(zāi)難恢復(fù)服務(wù)能力成熟度 disaster recovery service capability maturity

      對(duì)災(zāi)難恢復(fù)服務(wù)方服務(wù)能力的綜合評(píng)價(jià)，反映了災(zāi)難恢復(fù)服務(wù)方的災(zāi)難恢復(fù)服務(wù)在資源配置、項(xiàng)目組織管理和專業(yè)技術(shù)水平等方面的成熟程度，標(biāo)志著災(zāi)難恢復(fù)服務(wù)方提供給客戶的災(zāi)難恢復(fù)服務(wù)專業(yè)水平和質(zhì)量保證程度。

3.6

      風(fēng)險(xiǎn)分析 risk analysis

      理解風(fēng)險(xiǎn)本質(zhì)和確定風(fēng)險(xiǎn)等級(jí)的過(guò)程。

      注1：風(fēng)險(xiǎn)分析提供風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)處置決策的基礎(chǔ)。

      注2：風(fēng)險(xiǎn)分析包括風(fēng)險(xiǎn)估算。

      ［GB/T 29246-2017，定義2.70］

3.7

      可用性 availability

      已授權(quán)實(shí)體一旦需要，信息系統(tǒng)災(zāi)難恢復(fù)組織就可提供相應(yīng)服務(wù)，保證信息系統(tǒng)訪問(wèn)和使用數(shù)據(jù)和資源的特性。

      注：本標(biāo)準(zhǔn)中鑒于災(zāi)難恢復(fù)服務(wù)的特殊性，對(duì)可用性做了適用于災(zāi)難恢復(fù)服務(wù)的專有定義。

3.8

      可靠性 reliability

      與預(yù)期行為和結(jié)果相一致的特性。

      ［GB/T 29246-2017，定義2.62］

3.9

      能力 capability

      組織、體系或過(guò)程實(shí)現(xiàn)產(chǎn)品并使其滿足要求的本領(lǐng)。

3.10

      過(guò)程域 process are

      ss area;PA

      一組相關(guān)系統(tǒng)工程過(guò)程的性質(zhì)，當(dāng)這些性質(zhì)全部實(shí)施后則能夠達(dá)到過(guò)程域定義的目的。

      [GB/T 302730271-201，定義3.1.1］

3.11

      基本實(shí)踐 base practices；BP

      系統(tǒng)工程過(guò)程中應(yīng)存在的性質(zhì)，只有當(dāng)所有這些性質(zhì)完全實(shí)現(xiàn)后，才可說(shuō)滿足了這個(gè)過(guò)程域的要求。

      注：一個(gè)過(guò)程域由基本實(shí)踐（BP）組成。

      ［GB/T 30271-2013，定義3.1.2］

3.12

      通用實(shí)踐 generic practices；GP

      在評(píng)估中用于確定任何過(guò)程的能力。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      BIA：業(yè)務(wù)影響分析（Business Impact Analysis）

      BCM：業(yè)務(wù)連續(xù)性管理（Business Continuity Management）

      BP：基本實(shí)施（Base Practices）

      DRP：災(zāi)難恢復(fù)規(guī)劃（Disaster Recovery Planning）

      DRS-CMM：災(zāi)難恢復(fù)服務(wù)能力成熟度模型（Disaster Recovery Service-Capability Maturity Mod-el)

      GP：通用實(shí)施（Generic Practices）

      PA：過(guò)程域（(Process A Process Area)

      RPO ：恢復(fù)點(diǎn)目標(biāo)（Recovery Point Objective）

      RTO：恢復(fù)時(shí)間目標(biāo)（Recovery Time Objective）

      SSE-CMM ：系統(tǒng)安全工程能力成熟度模型?（Systems Security Engineering-Capability Maturity Model?)

      SPICE：軟件過(guò)程改進(jìn)和能力測(cè)定（Software Process Improvement And Capability Determination)

      SW-CMM：軟件能力成熟度模型（Software-Capability Maturity Model）

5 災(zāi)難恢復(fù)服務(wù)能力成熟度模型概述

5.1 災(zāi)難恢復(fù)服務(wù)生命周期概述

      災(zāi)難恢復(fù)服務(wù)能力成熟度模型是依據(jù)災(zāi)難恢復(fù)服務(wù)生命周期，災(zāi)難恢復(fù)服務(wù)提供方向?yàn)?zāi)難恢復(fù)服務(wù)需求方提供包括災(zāi)難恢復(fù)系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施和安全運(yùn)維管理，以及生產(chǎn)系統(tǒng)的災(zāi)后重建和回退等服務(wù)為主線，對(duì)能提供單個(gè)、多個(gè)過(guò)程域以及整個(gè)生命周期災(zāi)難服務(wù)的提供方整個(gè)組織的服務(wù)能力等級(jí)的評(píng)估模型。災(zāi)難恢復(fù)服務(wù)生命周期框架流程圖參見圖1。

      信息系統(tǒng)災(zāi)難恢復(fù)服務(wù)過(guò)程除了實(shí)現(xiàn)信息系統(tǒng)的災(zāi)難恢復(fù)目標(biāo)和策略外，還需進(jìn)行災(zāi)難恢復(fù)服務(wù)過(guò)程的信息安全考慮，包括對(duì)災(zāi)難恢復(fù)系統(tǒng)進(jìn)行信息安全的需求分析、安全設(shè)計(jì)與實(shí)現(xiàn)，對(duì)災(zāi)難恢復(fù)服務(wù)過(guò)程的項(xiàng)目與組織過(guò)程的信息安全管理等。

      目前災(zāi)難恢復(fù)服務(wù)的形式呈現(xiàn)多樣化，本標(biāo)準(zhǔn)意在闡述從災(zāi)難恢復(fù)系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施和安全運(yùn)維管理等全生命周期各階段的災(zāi)難恢復(fù)服務(wù)過(guò)程為主線，對(duì)能提供單個(gè)、多個(gè)過(guò)程域以及整個(gè)生命周期災(zāi)難恢復(fù)服務(wù)的提供方從其服務(wù)過(guò)程中的資源配置、技術(shù)服務(wù)過(guò)程和項(xiàng)目與組織過(guò)程等服務(wù)能力要素對(duì)災(zāi)難服務(wù)提供方的服務(wù)能力成熟度進(jìn)行等級(jí)評(píng)估。對(duì)于在具體災(zāi)難恢復(fù)服務(wù)的過(guò)程中不是針對(duì)整個(gè)生命周期進(jìn)行服務(wù)的情況，可以對(duì)具體的服務(wù)過(guò)程域進(jìn)行災(zāi)難恢復(fù)服務(wù)的能力等級(jí)進(jìn)行評(píng)估。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。