YD/T 3486-2019 标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
YD/T 3486-2019 灾难备份与恢复专业服务能力要求及评估方法.pdf从事灾难备份与恢复服务的组织,应: a)有独立的法人资格; b)有固定的培训场所,良好的培训环境; c)有相应培训设备; d)有持培训资格证书的培训人员。
从事灾难备份与恢复服务的组织,应: a)有独立的法人资格; b)有固定的培训场所,良好的培训环境: c)有相应培训设备; d)有持培训资格证书的培训人员。
7灾难备份与恢复服务能力评估方法
信息系统灾难备份与恢复服务 和能力的标尺。依据服务提供者 围、水平及能力,将服务提供者划分为三个等级,其中一级为最高,三级为最低。在本标准中
于低级别能力GB/T 20418-2011 土方机械 照明、信号和标志灯以及反射器,因此组织在达到高级别之前必须
7.2灾难备份与恢复服务能力三级资质要求
TD/34862019
从事灾难备份与恢复服务的组织,应满足以下资格要求: a)基本资格:详见本标准“4基本资格要求”; b)人员素质要求:从事信息系统灾难备份与恢复服务人员占机构总人数的比例不低于10%,拥 有信息系统安全服务相关资质人员和项目管理资格人员; c)机构负责人应具有2年以上信息技术领域企业管理经历,技术负责人应从事信息系统灾难备份 与恢复技术工作不少于2年,财务负责人应具有初级以上职称; d)从业时间:机构从事信息系统灾难备份与恢复服务2年以上; e)业绩要求:近三年内至少完成4个信息系统灾难备份与恢复服务项目,符合质量要求并通过验 收,而且项目合同总金额不少于200万元人民币,其中至少1个项目金额不少于50万元人民 币。
7.2.2管理能力要求
详见本标准“5基本管理要求”
7.2.3技术能力要求
详见本标准“6.1技术能力要求”。
详见本标准“6.1技术能力要求”。
7.2.4服务能力要求
7.2.4.1方案设计与验证能力
从事灾难备份与恢复服务的组织,应具备以下方案设计与验证能力要求: a)组织调研客户信息,开展需求分析,制定需求分析报告,独立或配合开展风险分析和业务影响 分析。 b)结合风险分析、业务影响分析结果及组织在灾难备份和恢复的投入能力,独立或配合设计灾难 备份与恢复技术方案,其中至少包括恢复时间目标RTO、恢复点自标RPO、实施与维护容灾 策略所需资源配置等。技术方案需要平衡恢复时间需求、成本、难度等因素之间关系。 1 依据灾难备份与恢复技术方案,制定具体灾难备份与恢复项目实施方案,其中至少包括时间进 度、人员配置、实施环境评估、主线任务演进计划、收尾验收标准等要素。 d 组织相关部门验证和确认技术方案和实施方案是否满足灾难备份和恢复策略要求,完整记录验 证过程并保存相关结果。
7.2.4.2系统建设实施与管理能力
事灾难备份与恢复服务的组织,应具备以下系统建设实施与管理能力要求。 依据已确认的灾难备份与恢复技术方案和实施方案,按照时间和质量要求进行系统建设,至少 包括数据备份系统、备用数据处理系统和备用网络系统等。
YDI34862019
7.2.4.3预案制定与演练能力
从事灾难备份与恢复服务的组织,应具备以下预案制定与演练能力要求: a)独立或配合制定、评审、验证和测试灾难备份与恢复预案。 b)建立演练指挥协调程序,包括汇报流程、指挥协调工作方法与机制,保障演练过程顺利进行 c)实施桌面演练,对可能发生的灾难场景进行模拟演练,不涉及系统切换、业务恢复和实际操作; 参演人员根据灾难情景假设,描述应急响应和处理行动;对灾难恢复期间的组织协调、职责分 工及相关工作进行纸面或口头表述。 d)桌面演练完成后组织演练总结,对演练过程进行考评,并保存相关记录。
7.2.4.4教育与培训
从事灾难备份与恢复服务的组织,应具备以下教育与培训能力要求: a)制定保密意识培训计划,定期面向全体员工开展保密意识培训。 组织技术人员参加业务连续性、灾难备份与恢复等专业技术培训,根据自身条件选择内部培训 或参加外部机构培训,培训结束后进行考评。 c)结合项目需要,对外部配合人员和第三方人员进行相关培训。 d)结合灾难备份与恢复预案和演练计划,制定相关培训课程并组织开展培训。
7.3灾难备份与恢复服务能力二级资质要求
从事灾难备份与恢复服务的组织,应满足以下资格要求: a)基本资格:详见本标准“4基本资格要求”。 b)人员素质要求:从事信息系统灾难备份与恢复服务人员占机构总人数的比例不低于30%,拥 有信息系统安全服务相关资质人员和项目管理资格人员。 c)机构负责人应具有3年以上信息技术领域企业管理经历;技术负责人应从事信息系统灾难备份 与恢复技术工作不少于3年;财务负责人应具有初级以上职称。 d)从业时间:从事信息系统灾难备份与恢复服务3年以上。
YD/34862019
e)业绩要求:近三年内至少完成6个信息系统灾难备份与恢复服务项目,符合质量要求并通过验 收,并且项目合同总金额不少于1000万元人民币,其中至少1个项目金额不少于100方元人 民币
7.3.2管理能力要求
灾难备份与恢复服务提供者,应满足以下管理能力要求: a)基本管理能力:详见本标准“5基本管理要求”。 b)参照GB/T19001建立并运行质量管理体系,并通过GB/T19001质量管理体系认证。 c)建立项目风险管理制度,对项目实施过程中存在的安全隐患进行评估,针对已识别的风险,制 定具有可操作的管理措施,并定期进行评审。 d)制定并实施供应商管理制度,明确管理职责,准确识别提供服务、系统构件的供方资质和能力, 与供应商建立有效的沟通机制。
灾难备份与恢复服务提供者,应满足以下管理能力要求: a)基本管理能力:详见本标准“5基本管理要求”。 )参照GB/T19001建立并运行质量管理体系,并通过GB/T19001质量管理体系认证。 建立项目风险管理制度,对项目实施过程中存在的安全隐患进行评估,针对已识别的风险, 定具有可操作的管理措施,并定期进行评审。 制定并实施供应商管理制度,明确管理职责,准确识别提供服务、系统构件的供方资质和能力 与供应商建立有效的沟通机制。
7.3.3服务能力要求
7.3.3.1技术能力
从事灾难备份与恢复服务的组织,应满足以下技术能力要求: a)基本技术能力:详见本标准“6.1技术能力要求”。 b)应具有足够的技术力量根据服务业务的需求,开发信息安全产品或支持性工具的能力。 c)具备实施GB/T20988一2007《信息安全技术信息系统灾难恢复规范》附录A中五级以上(含 五级)数据备份技术和相关工作的能力。
从事灾难备份与恢复服务的组织,应满足以下技术能力要求: a)基本技术能力:详见本标准“6.1技术能力要求”。 b)应具有足够的技术力量根据服务业务的需求,开发信息安全产品或支持性工具的能力。 c)具备实施GB/T20988一2007《信息安全技术信息系统灾难恢复规范》附录A中五级以上(含 五级)数据备份技术和相关工作的能力。
7.3.3.2方案设计与验证能力
详见本标准“7.2.4.1方案设计与验证能力”
详见本标准“7.2.4.1方案设计与验证能力”
7.3.3.3系统建设实施与管理能力
羊见本标准“7.2.4.2系统建设实施与管理能力”。
7.3.3.4预案制定与演练能力
7.3.3.5教育与培训
详见本标准“7.2.4.4教育与培训”
本标准“7.2.4.4教育与
7.3.3.6风险分析能力
从事灾难备份与恢复服务的组织,应具备以下风险分析能力要求: a)开展信息系统风险分析,识别和量化信息系统面临的风险。 b)制定风险评估方案,独立开展风险评估并能够制定风险评估报告。 c)结合风险评估结果,为组织提供有优先级别的灾难防护列表和可操作的风险处置方案
.3.3.7业务影响评价能力
从事灾难备份与恢复服务的组织,应具备以下业务影响评价能力要求: a)分析业务系统流程,明确恢复关键业务流程相关资源。 b)评估关键业务流程终止而导致的业务损失程度,制订业务持续性管理与处理方案。 ) 依据组织的风险处置策略和业务系统灾难损失容忍程度,判定业务冲击承受能力。 d) 综合评价可量化的及无形的损失程度,分析核心业务流程持续所须的RTO、RPO等关键指标 设定关键业务功能恢复优先顺序
7.3.3.8策略制定和方案设计
从事灾难备份与恢复服务的组织,应具备以下策略制定和方案设计能力要求: a)结合业务连续性分析报告和组织在灾难备份和恢复的投入能力,按照灾难恢复资源成本与风险 可能造成的损失平衡的原则,制定灾难备份与恢复短长期及短期策略和目标; b)制定完善的灾难备份与恢复技术方案和实施方案,
7.3.3.9系统运行支持能力
7.3.3.10灾难恢复演练
从事灾难备份与恢复服务的组织,应具备以下灾备恢复演练能力要求: a)灾难备份与恢复演练实施前,明确相关人员的角色,演练过程承担各自的职责 b)依据实际项目需要,规划灾难备份与恢复服务项目演练场景并组织推演、演练过程妥善跟踪记 录; 能够按照灾难备份与恢复方案,实施操作演练和全中断演习,及时检查预定工作的完成情况 发现问题及时进行修正: d)设计不同的场景和假设组织多场景演练,对演练过程进行管理; 演练结束后,对演练过程进行总结,并及时更新预案内容。
从事灾难备份与恢复服务的组织,应具备以下灾备恢复演练能力要求: a)灾难备份与恢复演练实施前,明确相关人员的角色,演练过程承担各自的职责 b)依据实际项目需要,规划灾难备份与恢复服务项目演练场景并组织推演、演练过程妥善跟踪记 录; c) 能够按照灾难备份与恢复方案,实施操作演练和全中断演习,及时检查预定工作的完成情况 发现问题及时进行修正; d)设计不同的场景和假设组织多场景演练,对演练过程进行管理; e) 演练结束后,对演练过程进行总结,并及时更新预案内容。
7.4灾难备份与恢复服务能力一级资质要求
从事灾难备份与恢复服务的组织,应满足以下资格要求: )基本资格:详见本标准“4基本资格要求”。 b)注册资本:产权关系明晰,注册资本不少于2000万元人民币。
YD/T34862019
c)人员素质要求:从事信息系统灾难备份与恢复服务人员占机构总人数的比例不低于60%,拥 有信息系统安全服务相关资质人员和项目管理资格人员。 d)机构负责人应具有5年以上信息技术领域企业管理经历,技术负责人应从事信息系统灾难备份 与恢复技术工作不少于5年,财务负责人应具有初级以上职称。 e) 从业时间:从事信息系统灾难备份与恢复服务5年以上。 业绩要求:近三年内至少完成10个信息系统灾难备份与恢复服务项目,符合质量要求并通过 验收,并且项目合同总金额不少于5000万元人民币,其中至少1个项目金额不少于1000万元 人民币。 g)具备自建或合建数据中心/灾难备份中心。
c)人员素质要求:从事信息系统灾难备份与恢复服务人员占机构总人数的比例不低于60%,拥 有信息系统安全服务相关资质人员和项目管理资格人员。 d)机构负责人应具有5年以上信息技术领域企业管理经历,技术负责人应从事信息系统灾难备份 与恢复技术工作不少于5年,财务负责人应具有初级以上职称。 e) 从业时间:从事信息系统灾难备份与恢复服务5年以上。 业绩要求:近三年内至少完成10个信息系统灾难备份与恢复服务项目,符合质量要求并通过 验收,并且项目合同总金额不少于5000万元人民币,其中至少1个项目金额不少于1000万元 人民币。 g)具备自建或合建数据中心/灾难备份中心。
7.4.2管理能力要求
7.4.3服务能力要求
7.4.3.1技术能力
从事灾难备份与恢复服务的组织,应满足以下技术能力要求: a)基本技术能力:详见本标准"6.1技术能力要求”。 b)应具有足够的技术力量根据服务业务的需求,开发信息安全产品或灾难备份与恢复服务过程支 持性工具的能力。 c)至少提供一个已建设完成的灾难备份与恢复信息系统,经国家(或行业)权威机构或专家组验 证其安全性符合要求。 d)具备实施GB/T20988一2007《信息安全技术信息系统灾难恢复规范》附录A中五级以上(含 五级)数据备份技术和相关集成工作的能力。
YD/T34862019
7.4.3.2方案设计与验证能力
详见本标准“7.2.4.1方案设计与验证能力”。
7.4.3.3系统建设实施与管理能力
.4预索制定与演练能力
7.4.3.5教育与培训
详见本标准“7.2.4.4教育与培训”。
7.4.3.6风险分析能力
7.4.3.7业务影响评价能力
7.4.3.8策略制定和方案设计
7.4.3.9系统运行支持能力
7.4.3.10灾难备份中心运维能力
从事灾难备份与恢复服务的组织,应具备以下灾难备份中心运维能力要求: a)制定灾难备份中心运行维护管理制度,规范灾难备份中心各个岗位的工作职责,制定运维流程 及操作规范; b) 建立层次化运维管理体系,包括运维管理层制度、实施层制度和操作层制度等; c)灾难备份中心的安全管理策略、流程和方法应贯穿灾难备份中心运行维护管理制度的各个方面
7.4.3.11系统建设与管理能力
从事灾难备份与恢复服务的组织,应具备以下系统建设与管理的能力要求: a)制定数据备份系统建设与管理要求,确保灾难备份中心与生产中心数据实现可验证的一致性和 完整性。 b)制定备用处理系统建设与管理要求。为满足机构业务持续性运行要求,灾难备份应用系统应在 系统运行环境和软件版本等方面与生产系统完全兼容。在备用数据处理系统建设时,应进行灾 难备份中心子系统运行能力的测试验证和灾难备份系统切换与恢复验证,以确保灾难备份系统 平台的有效性和可操作性,保证灾难备份系统具备接管生产系统运行的能力。
YD/T34862019
c)制定备用网络系统建设与管理要求。备用网络系统的建设与实施应按照灾难备份系统规划方案 的要求,对灾难备份中心内部网络、生产中心与灾难备份中心之间的互连网络、灾难备份中心 与上级机构之间的网络、灾难备份中心与分支机构之间的网络平台进行实施,搭建灾难备份系 统切换和恢复所需要的网络支择环境。 d)制定灾难恢复指挥和管理系统的建设与管理要求。灾难备份中心往往与生产中心应拥有相对独 立的运行管理团队和一致的运行管理流程。 e)建立灾难恢复指挥系统,保证灾难恢复过程的效率和操作水平。
7.4.3.12基础设施运维管理能力
骤等。灾难恢复预案至少包含灾难备份中心基础设施恢复预案、灾难备份网络切换恢复预案、 信息系统切换恢复预案和业务恢复预案等。 d)定期检查和核对应急预案和灾难恢复预案中的变化情况,及时更新和分发预案文档,确保预案 持续有效。 e)依据故障情况不同,制定具有针对性的灾难备份与恢复预案。
7.4.3.14灾难恢复演
灾难恢复演练控制点要求见表1。从事灾难备份与恢复服务的组织,应具备以下灾难恢复演练能力 求: a)灾难恢复演练实施前应得到高层管理者授权,明确演练目标和范围,组建演练实施团队,制定 全面的演练计划,演练过程各部门应落实演练策略,确保演练结果真实可信。 b)基于系统验证实际需求,适当选择桌面演练、模拟切换或实际切换演练等形式进行灾难恢复演 练。定期开展实际切换演练,验证灾难备份中心的实际切换与真实生产任务的接管能力。实际 切换演练前,应在人员培训、系统测试、预案验证等方面做好准备,充分评估演练过程可能给 系统运行带来的风险和影响,避免由于演练准备不充分,对生产业务造成重大影响。 c)组织业务、技术和管理人员对演练方案进行评审,评估演练失败或操作失误可能造成的影响, 并制定相应的防范措施。 d)演练方案如果涉及生产中心或业务部门,应获得机构管理层的批准后方可执行。 e)灾难恢复演练前,应对演练场所、演练设备、配置要求等进行核对和检查,并组织相关参演人 员进行培训。 f)演练结束后,应写出书面演练报告,包括演练目标、演练范围、演练实施的组织架构和岗位职 责、演练过程记录,应急处置方案、演练结果等。 g)演练报告至少保存5年以上
表1灾难恢复演练控制点要求
7.4.3.15灾难备份中心与生产中心协作能力
YD/T34862019
a)灾难备份中心与生产中心间建立备份数据传输校验机制,保证双方收发的数据的完整性和一致 性。 b)灾难备份中心与生产中心间应建立统一变更流程,生产中心发生的变更和调整应事先评估可能 对灾难备份中心产生的影响,并同时规划灾难备份中心的变更方案和计划。 c)灾难备份中心与生产中心间应建立比对基准和基准核对流程,生产中心和灾难备份中心应定期 检查核对相关应用、设备的状态和参数是否保持在正确状态,并对发生的差错及时进行纠正。 d)灾难备份中心与生产中心间应协调演练和测试计划,保证对双方的正常工作内容和周期不产生 重大影响。
a)灾难备份中心与生产中心间建立备份数据传输校验机制,保证双方收发的数据的完整性和一致 性。 b) 灾难备份中心与生产中心间应建立统一变更流程,生产中心发生的变更和调整应事先评估可能 对灾难备份中心产生的影响,并同时规划灾难备份中心的变更方案和计划。 c)灾难备份中心与生产中心间应建立比对基准和基准核对流程,生产中心和灾难备份中心应定期 检查核对相关应用、设备的状态和参数是否保持在正确状态,并对发生的差错及时进行纠正。 d)灾难备份中心与生产中心间应协调演练和测试计划,保证对双方的正常工作内容和周期不产生 重大影响。
DB51T 1052-2010 肥料中砷的测定 原子荧光光谱法7.4.3.16服务商管理
从事灾难备份与恢复服务的组织,应具备以下服务商管理能力要求: a)制定服务商管理制度,建立服务质量控制和风险控制措施。建立服务商考核、评价机制,定期 对服务活动和服务水平进行审核和评估,确保获得持续、稳定的外包服务。 b)与服务商签订书面合同,明确双方权利和义务、服务范围、违约赔偿等。 c)通过服务水平协议(SLA)明确服务质量水平目标,作为检验服务的质量标准,包括内容要求、 时间要求、服务可靠性、服务可用性、信息安全控制、服务持续性计划、审计、合规性要求等。 d)针对关键设备和服务,签订紧急供应协议,明确约定范围、内容、服务水平、定价、保密条款 和违约责任等,并定期对服务商的支持能力和服务水平进行测试。 e)对服务商进行安全保密管理,保障业务、管理和客户敏感数据的信息安全。 f)定期执行联合测试及演练,验证服务商的实际响应能力。
7.4.3.17应急与切换
从事灾难备份与恢复服务的组织,应具备以下应急与切换能力要求: a)在灾难切换过程期间,应保证将生产系统从生产中心切换到灾难备份中心,主要包括网络切换、 存储切换、主机切换、数据校验、系统校验、数据追补、业务验证等。 在接替生产运营服务期间,灾难备份与恢复中心应加强技术支持与设施保障的资源和人力,以 接替生产中心的日常工作。
YD/T34862019
JJF 1286-2011 无线信道模拟器校准规范[1]GB/T20988—2007《信息安全技术信息系统灾难恢复规范》 [2]GB/T24405—2009《信息技术安全技术信息技术服务管理》 [31GB/T220802008《信息技术安全技术信息安全管理体系要求》