GBT 36957-2018标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GBT 36957-2018 信息安全技术 灾难恢复服务要求5.3.2数据备份系统要求
服务提供方提供的数据备份系统要求如下: a) 按照服务需求方各应用系统的数据容量要求进行备份存储的容量配置,备份容量应满足服务 需求方的应用程序、业务数据、验证数据等方面的容量要求; b) 备份介质可采用磁盘阵列、虚拟带库、物理带库等; C 按照服务需求方生产系统的灾难恢复指标和等级要求提供备份软件或工具; d) 建议采用虚拟化存储的方式提供备份存储,对于无法进行存储虚拟化的应用系统,其备用存储 系统可采用传统物理存储方式提供,但应提供统一的资源管理平台对虚拟存储和物理存储进 行管理。
5.3.3备用处理系统要求
服务提供方提供的备用处理系统应满足以下要求: a) 按照服务需求方应用系统的灾难恢复指标和等级提供备用处理资源; 系统运行环境和软件版本等方面与服务需求方的生产系统完全兼容QCYESF 0002-2015 北京二商富月食品有限公司 熟制面米制品,以确保灾难恢复系统具 备接管生产系统运行的能力; 按照服务需求方的生产处理系统的配置要求进行对等或降配配置,其性能和容量不低于生产 处理系统的60%; d) 建议采用虚拟机的方式进行部署,对于无法进行虚拟化的应用系统,其备用处理系统可采用传 统物理机方式提供,但应提供统一的资源管理平台对虚拟机和物理机进行管理。
5.3.4备用网络系统要
服务提供方提供的备用网络系统应满足以下要求: a) 按照服务需求方的生产网络架构、设备配置、安全策略进行备用网络和安全系统配置; b 按照服务需求方的生产网络架构进行网络区域划分和边界安全策略设计; c) 采用光纤、专线等方式实现灾难恢复中心与服务需求方生产中心之间的高速互连,以满足数据 备份、应用切换和统一监控管理要求; d) 按照部署的应用系统外联交易要求配置灾难恢复中心的外联线路,并能实现与服务需求方生 产中心外联线路进行自动切换; e) 建议采用虚拟化的方式提供备份网络,对于无法进行虚拟化或有安全等级保护要求的应用系 统,其备用网络系统可采用传统物理网络方式提供,但应提供统一的资源管理平台对虚拟网络 和物理网络进行管理
5.3.5灾难恢复服务工具要求
服务提供方提供的灾难恢复服务工具应满足以下要求: a) 具备对服务需求方的灾难恢复资源进行监控能力,监控范围包括对备用处理资源、存储资源和 网络资源等: b) 具备对服务需求方生产系统到灾难恢复系统的数据备份过程进行监控能力,实时反映数据备 份容量、故障、性能等; c) 具备对服务需求方灾难恢复系统的日常管理能力,包括基准管理、数据验证管理、系统切换与 回切管理、预案管理、演练管理等; d) 具备对服务需求方应急与灾难恢复管理能力,包括应急流程、诊断、处置等; e) 对于提供云灾备的服务提供方,应提供统一的服务门户,并依据服务需求方应用系统的灾难恢 复服务要求进行资源的分配、启动、调整、变更和回收。
5.4灾难恢复服务团队要求
GB/T369572018
服务提供方的服务团队人员应具备灾难恢复服务经验和专业知识,包括: a)从事灾难恢复中心服务的人员,应经过应急与灾难恢复相关培训,熟悉与基础设施相关的应急 与灾难恢复操作流程; b)从事灾难恢复咨询服务的人员应具备信息安全的基本理论,并对灾难恢复的相关政策、法规和 标准有深入地了解,熟悉应用系统的运行特点; C) 从事灾难恢复系统主机和存储服务的人员应具备主机系统、存储系统和数据备份系统的专业 知识和技能,并经过应急与灾难恢复相关培训,熟悉与信息系统相关的应急与灾难恢复操作 流程; d) 从事灾难恢复网络与安全服务的人员应具备网络与安全系统的专业知识和技能,并经过应急 与灾难恢复相关培训,熟悉与网络与安全相关的应急与灾难恢复操作流程; e) 从事灾难恢复系统数据库服务的人员应具备数据库系统专业知识和技能,并经过应急与灾难 恢复相关培训,熟悉与数据库系统相关的应急与灾难恢复操作流程; f) 从事灾难恢复系统运维服务的人员应具备信息系统运维的专业知识和技能,并经过灾难恢复 运维管理制度与流程培训,熟悉灾难恢复日常运维和应急管理的操作流程; 从事灾难恢复系统应用软件服务的人员应具备应用软件的维护能力,并经过应急与灾难恢复 相关培训,熟悉与应用软件相关的应急与灾难恢复操作流程
5.4.2组织架构和编制要求
服务提供方所组建的服务团队应包括服务团队负责人、基础设施服务团队、系统技术支持团队、网 络与安全技术支持团队、运维管理团队和运维操作团队等专业服务团队,关键服务岗位应配备主备岗。 各专业服务团队应建立规范的服务流程和制度、良好的沟通协调机制、清晰的责任机制,确保服务 的规范性、安全性、有效性
6灾难恢复服务过程要求
6.1灾难恢复服务过程概述
灾难恢复的服务过程包括灾难恢复规划设计、建设实施和运行维护,灾难恢复服务提供方应满足服 务需求方在上述服务过程中的灾难恢复服务要求
6.2.1规划设计服务内容
灾难恢复规划设计 、灾难恢复中 析、灾难恢复目标与策略制定服务
6.2.2需求分析服务过程要求
服务提供方在业务影响分析服务过程中应提供以下服务: a)服务提供方应基于服务需求方的业务现状,并参照国家标准和相关行业监管要求,开展业务
响分析服务工作; b 服务提供方应通过对服务需求方业务部门的调研访谈,了解和识别信息系统的业务功能、关联 关系,并采用定量或定性的方法分析业务中断对服务需求方造成的财务和非财务影响,确定信 息系统灾难恢复指标(恢复时间目标RTO、恢复点目标RPO)、灾难恢复优先级别和灾难恢复 资源需求。
6.2.2.2风险评估服务过程要求
6.2.3灾难恢复资源获取方式分析服务过程要求
服务提供方在灾难恢复资源获取方式分析服务过程中应提供以下服务: a 服务提供方应基于服务需求方的灾难恢复需求,并参照国家标准和相关行业监管要求,结合服 务需求方的资源配置现状及灾难恢复资源投入情况,对资源获取方式进行分析: b 服务提供方应从财务分析、保障能力、效率分析、实践经验、人员要求、技术和资源要求等方面 建立分析模型,提出资源获取方式建议 C 灾难恢复资源获取方式分析应包括对数据备份系统、备用数据处理系统、备用网络系统、备用 基础设施、专业技术支持能力、运行维护管理能力和灾难恢复预案等资源进行分析。
6.2.4灾难恢复中心选址分析服务过程要求
服务提供方在灾难恢复中心选址分析服务过程中应提供以下服务: a 服务提供方应综合分析灾难恢复中心所在城市及区域的自然环境条件、地方配套条件、区域经 济环境、专业支持保障能力、政策环境和成本等各方面因素建立选址分析模型和指标体系; b 服务提供方应基于服务需求方的资源,本着满足需求、立足发展、绿色节能的原则进行灾难恢 复中心的选址分析,
6.2.5灾难恢复且标与策略制定服务过程要求
灾难恢复目标与策略的制定是依据国家标准,参考相关行业的成熟经验,以及风险分析和业务影响 个析的结论,确定各灾难恢复范围、应用系统的灾难恢复等级,并依据应用系统的灾难恢复等级确定灾 恢复技术策略和资源配置策略,为灾难恢复技术方案提供设计依据。灾难恢复目标与策略制定的服 务过程要求如下: a)服务提供方应从信息系统的重要性、关联性、中断后的业务替代能力等方面确定信息系统灾难 恢复范围; b) 服务提供方应按照GB/T20988一2007的要求,通过与服务需求方管理层及相关业务部门进 行充分沟通,结合应用系统的灾难恢复指标,确定灾难恢复范围内各应用系统的灾难恢复 等级; c) 服务提供方应按照GB/T20988一2007中对不同灾难恢复等级的资源要求,确定各应用系统
灾难恢复技术策略和资源配置策略
6.2.6灾难恢复方案设计服务过程要求
6.2.6.1灾难恢复方案设计服务的内容
GB/T369572018
灾难恢复方案设计是依据灾难恢复目标和策略的要求,确定灾难恢复建设和运维过程中技术架构、 资源配置及管理方案,灾难恢复方案设计服务过程包括灾难恢复技术方案、灾难恢复建设实施方案和灾 维恢复运行维护方案等服务过程
2.6.2灾难恢复技术方案设计服务过程要求
服务提供方在灾难恢复技术方案设计服务过程中应提供以下服务: 依据灾难恢复目标和策略要求,服务提供方应结合服务需求方生产系统的技术架构进行灾难 恢复技术架构规划; b) 服务提供方应站在第三方的立场上,对业界各类灾难恢复技术进行客观评价,并结合服务需求 方的灾难恢复技术架构进行灾难恢复技术的适应性分析,为确定灾难恢复技术方案提供依据; c) 服务提供方应接照灾难恢复技术架构和所选择的技术产品,对灾难恢复技术方案进行详细设 计,其内容应包括数据复制、备份和恢复方案、网络与安全方案、服务器(虚拟机)部署方案、存 储设备(存储池)配置方案、应用部署与切换方案; d) 服务提供方应依据灾难恢复技术方案的要求,确定灾难恢复资源配置,包括备用处理资源、存 储资源、网络资源、安全资源等设备的配置,各类软件的型号、配置及版本、灾难恢复中心基础 设施的资源配置等
2.6.3灾难恢复建设实施方案设计服务过程要
服务提供方在灾难恢复建设实施方案设计服务过程中应提供以下服务: a 按照服务需求方项目的整体实施规划,服务提供方应制定详细的实施计划,实施计划需明确项 目实施的各项工作目标、内容、起始时间、各阶段交付物、实施的人员及需要服务需求方提供的 资源; b 服务提供方应依据灾难恢复技术方案的要求,组织相关产品的厂商和服务商编写详细的实施 方案,实施方案应列出每项实施的内容、步骤和方法; C 服务提供方应按照项目实施的要求,起草项目实施文档模板,以确保实施的标准化与规范化
6.2.6.4灾难恢复运行维护方案设计服务过程要求
服务提供方在灾难恢复运行维护方案设计服务过程中应提供以下服务: a)服务提供方应按照服务需求方灾难恢复系统的特点,进行运行维护方案的设计; 运行维护方案的内容应包括运维组织管理架构设计、运维管理制度和流程体系设计、运维管理 文档模板设计等; 为确保运行维护方案具备可操作性,服务提供方应在设计过程中与服务需求方的相关部门进 行充分地沟通,了广解服务需求方的运维要求,并在文档开发的每个关键环节都应征求服务需求 方的意见
6.2.7灾难恢复成本效益评估服务过程要求
灾难恢复成本效益评估服务是通过灾难恢复的成本和效益进行科学、客观评估分析,为服务需求 灾难恢复预算、资源配置及资源获取方式等方面提供依据,灾难恢复成本效益评估服务过程要
a) 服务提供方应识别灾难恢复的各类成本,并对灾难恢复的经济效益和社会效益进行综合评估, 确定成本效益最佳的资源配置方案和资源获取方式; b) 服务提供方应明确成本效益评估的目标、范围、数据采集和分析方法、成本效益管理方法; C 服务提供方应全面识别灾难恢复的规划成本、设计成本、实施成本、运维成本、废弃成本等多项 成本,并按照生命周期方法进行成本计算; 服务提供方应通过科学的经济效益来源分类方法获取可量化的直接经济效益和间接经济效益 数据; e) 服务提供方应通过科学的社会效益分类方法进行社会经济效益、政治效益和社会满足度评价; f) 服务提供方应依据成本效益评估的结果,确定服务需求方对灾难恢复系统管理的策略,包括投 资计划、资源配置方式和资源获取方式等
6.3灾难恢复系统建设实施服务过程要求
6.31灾难恢复系统建设实施服务内容
6.3.2灾难恢复系统部署实施服务过程要求
灾难恢复系统的部署实施应依据灾难恢复系统实施和运维方案的要求,结合产品和解决方案的特 点进行实施工作,其工作内容包括生产系统的改造实施、灾难恢复系统的安装调试、设备的网络连接、软 件的安装部署、实施前后的系统测试、实施文档开发等,灾难恢复系统部署实施服务过程要求: a) 服务提供方应在确保服务需求方生产系统和数据安全的情况下进行实施工作,避免对生产系 统运行造成影响; b) 服务提供方应严格按照实施方案的要求进行实施操作和实施文档编写,确保实施的规范性; c) 服务提供方应做好灾备实施的准备工作,包括场地环境的确认、设备上架安装、关键技术测试 数据备份、系统上电自检等; d) 服务提供方应在实施过程中避免造成服务需求方系统中断和数据丢失、损坏; 服务提供方应制定实施过程中的应急处置和回退计划; f) 服务提供方应加强在实施过程中的项目培训和知识转移
6.3.3系统验证服务过程要求
灾难恢复系统的验证是对灾难恢复系统部署实施的结果进行验证,验证服务的内容包括生产中心 与灾难恢复中心的数据一致性和完整性验证、灾难恢复系统的数据可用性验证、灾难恢复系统的可用性 验证、灾难恢复系统的切换与回切验证、外部服务需求方端对灾难恢复系统的访问性能等,灾难恢复系 统验证服务过程要求如下: a)服务提供方应制定详细的验证测试方案,明确测试验证的目标、范围、工作内容、验证环境要 求、验证人员、验证方法和步骤等; b)月 服务提供方应建立独立的系统测试环境,并与生产运行环境及开发环境相隔离,以避免系统验 证对服务需求方生产系统正常运行的影响; c) 服务提供方应按照应用系统运行的特点提供多种测试方式,包括单系统测试、应用组测试、集 成测试; d) 服务提供方应组织相关设备与产品厂商进行系统验证,并详细、如实记录和统计测试过程和结
GB/T369572018
果数据; e) 服务提供方应在系统验证测试中出现的问题应协调相关厂商及时解决,对于未达到预期的测 试结果,应组织相关厂商找出问题的根源并及时解决,同时对于已解决的问题应再次进行测试 验证,直至验证结果达到预期
6.3.4灾难恢复预案开发服务过程要求
6.3.5灾难恢复演练服务过程要求
服务提供方在完成灾难恢复系统部署和预案开发后,应进行灾难恢复首次演练,以避免灾难恢复系 统的技术缺陷,并验证预案的有效性和可操作性,灾难恢复演练服务过程要求如下: a)服务提供方应依据灾难恢复预案的内容,制定详细的演练方案,包括演练场景、范围、内容、计 划、流程、方法、演练控制表、演练结果验证标准、文档模板系统等; b 服务提供方应对参与演练的人员进行演练培训,明确演练内容、时间要求及各方的职责; C 服务提供方应在演练过程中担任主持人,并控制整个演练的过程; 服务提供方应对演练过程进行详细记录; e) 演练结束后,服务提供方应依据演练过程记录,对演练过程进行回顾,并对结果进行评估;如通 过演练发现预案存在问题,应向服务需求方提交预案修订申请,得到服务需求方认可后,依据 演练结果对预案进行修订和完善,并更新预案版本
6.4灾难恢复运行维护服务过程要求
6.4.1灾难恢复运行维护服务内容
6.4.2日常运行维护服务过程要习
6.4.2日常运行维护服务过程要求
6.4.2.1日常运行维护服务内容
日常运行维护服务包括灾难恢复系统的物理巡检服务、健康检查服务、监控服务、灾难恢复信息系 充资产管理服务、基准管理服务、数据验证服务、系统验证服务、桌面演练服务、模拟切换演练服务、真实 切换演练服务和预案维护服务
.4.2.2灾难恢复系统的物理巡检服务过程要求
物理巡检服务是检查承载灾难恢复系统运行的物理设备状态,包括各类指示灯、告警灯等,发现
备异常立即通知服务需求方,并协调设备厂商及时解决。物理巡检服务过程要求如下: a) 服务提供方应按照既定的巡检频率,在明确巡检范围和工作内容的前提下对物理设备进行 巡检; b 服务提供方应建立巡检排班制度,确保各时段均有巡检人员; 巡检人员应按标准的巡检表做好巡检记录; d 针对巡检中发现的问题,服务提供方应及时如实通知服务需求方
6.4.2.3灾难恢复系统健康检查服务过程要求
为及时发现灾难恢复系统的系统错误,应定期对灾难恢复系统进行健康检查,确保系统的性能和容 量满足灾难恢复系统的运行要求。系统健康检查的服务过程要求如下: a) 服务提供方应按照既定的频率定期对系统进行健康检查; 在服务需求方的授权下,服务提供方应按照服务需求方分配的系统管理员账号登录系统进行 健康检查; C) 服务提供方应针对不同的系统制定标准的系统检查表,并在检查过程中应做好记录,检查结束 后应向服务需求方提交系统检查报告; d) 对于检查过程中发现的系统潜在问题,针对不同的系统及时通知服务需求方,并协助厂商解决 间题,避免故障的发生和扩散。
6.4.2.4系统监控服务过程要求
6.4.2.5信息系统资产管理服务过程要求
建立生产中心与灾难恢复中心统一的资产配置库,确保资产标识的规范性和唯一性、资产维护的有 效性和资产变更的及时性,信息技术资产管理服务过程要求如下: a)服务提供方应协助服务需求方梳理灾难恢复中心的信息技术资产,建立资产配置库; b)服务提供方应及时响应生产中的资产变更,同步更新灾难恢复中心的资产配置; c)服务提供方应协助服务需求方进行资产登记和资产整理
6.4.2.6基准管理服务过程要求
为确保灾难恢复系统能够在灾难发生时接管生产系统运行,应建立生产中心与灾难恢复中心的资 源配置基准,并进行维护,确保两端基准的一致性和完整性。基准管理服务过程要求如下: 服务提供方应依据信息系统的类型和用途,配合用户梳理各类信息系统的软硬件配置信息,并 建立标准规范的基准文件; b) 服务提供方应协助服务需求方建立基准维护策略,定期进行基准核对,保证灾难恢复系统与生 产系统的基准的一致性; 服务提供方应如实、准确、完整地基准变更记录,详细记录变更内容; d 服务提供方应定期向服务需求方提交基准信息核对文档,并进行版本控制。
6.4.2.7数据验证服务过程要求
GB/T369572018
为确保生产系统与灾难恢复系统业务数据的一致性、完整性和可用性,应定期进行数据验证工作。 数据验证服务过程要求如下: a)服务提供方应依据数据复制/备份技术要求,制定数据验证方案,包括数据验证策略、验证工 具、验证周期和验证标准; b)服务提供方应协助服务需求方搭建数据验证环境,并检查数据备份环境和链路
6.4.2.8系统验证服务过程要求
为确保灾难恢复系统能接管生产系统运行,应定期进行系统验证工作。系统验证服务过程要求 如下: 服务提供方应制定详细的系统验证方案,明确验证范围、验证计划、验证环境、验证方法和验证 标准等; b) 服务提供方应协助服务需求方搭建系统验证环境,并检查灾难恢复系统运行的软硬件环境和 系统切换链路
6.4.2.9桌面演练服务过程要求
为确保服务需求方的相关人员了解灾难恢复预案的内容和职责,应通过桌面推演的方式对预案中 的灾难恢复流程进行培训和演练。桌面演练服务过程要求如下: a 服务提供方应基于灾难恢复预案,编写桌面演练文档,包括:桌面演练方案、演练培训材料、演 练流程控制表、演练流程及责任机制、演练职责说明等; b 服务提供方应委派灾难恢复方面的专家作为桌面推演的主持人,控制演练的流程,指导演练工 作开展: c 服务提供方应委派专人对桌面演练过程进行全程记录,并进行分析和评估; d) 服务提供方应结合演练过程中存在的问题,形成桌面演练总结报告及预案修订意见。
6.4.2.10模拟切换演练服务过程要求
为确保信息系统切换技术满足灾难恢复预案要求和应用系统的灾难恢复指标,应通过模拟切换演 练的方式对预案中的灾难恢复技术进行验证。模拟切换演练服务过程要求如下: a) 服务提供方应基于灾难恢复预案,制定详细的模拟切换演练方案,包括切换步骤、系统切换技 术、数据复制技术、业务验证方式等; b) 服务提供方应协助服务需求方准备演练数据,并在演练结束后删除演练数据; 服务提供方应依据服务需求方业务部门的业务验证案例及相关要求,进行业务验证; d) 服务提供方应委派专人主持演练,并对切换演练过程中进行详细记录,对演练结果进行分析和 评估。
6.4.2.11真实切换演练服务过程要求
在桌面演练和模拟切换演练的基础上,基于特定的灾难场景,按照场景预案中的流程要求,进行真 实切换演练,真实切换演练时将服务需求方的部分或全部应用系统切换到灾难恢复中心运行一段时间: 验证灾难恢复系统是否可以接替生产系统运行,然后再将灾难恢复系统回切到生产系统,并退回到切换 前的状态。真实切换演练服务过程要求如下: a 服务提供方应基于灾难恢复预案,编制真实切换演练文档,包括演练的场景分析、灾备环境分 析、演练计划、演练流程、演练组织管理、演练技术方案、演练操作手册等; b 服务提供方应在真实切换演练前对参演人员进行动员和培训,确保演练人员明确各自职责和 整个演练流程
服务提供方应协助服务需求方对灾难恢复系统的运行状态和资源进行确认,保证灾难恢复系 统能继续支撑业务系统运行; 服务提供方应委派专人主持演练,并对切换演练过程中进行详细记录,对演练结果进行分析和 评估。
6.4.2.12预索维护服务过程要求
针对澳练友预柔 用生命周期管理方法进行预案维护工作,预案维护服务过程要求如下 a 服务提供方应协助服务需求方建立灾难恢复预案管理制度和流程,对预案的开发、版本控制 修订、审批、颁发、归档、废止、销毁进行全过程规范化管理: 预案文档进行分类管理
6.4.3.1应急与灾难恢复服务内容
6.4.3.3灾难恢复启动服务过程要求
服务提供方在灾难恢复后动服务过程中应提供以下服务: a) 服务提供方应提供灾难恢复中心数据验证和系统验证服务: b) 服务提供方应通知服务需求方协调相关业务部门进行业务数据备份,避免操作过程中造成业 务数据丢失或损坏; c) 服务提供方应对各类灾备技术等进行验证,避免灾难恢复过程出现技术缺陷; d) 服务提供方应检查灾难恢复中心的广域网线路连通性和端口流量; e) 对于检查和验证过程中发现的问题应及时上报; f) 启动灾难恢复程序
6.4.3.4灾难恢复切换实施服务过程要求
服务提供方在灾难恢复系统切换实施服务过程中应提供以下服务: a)服务提供方应按照恢复预案或实施方案中的流程和步骤实施灾难恢复操作; b)服务提供方应委派专人实施灾难恢复,确保实施过程中的故障得到及时解决
GB/T369572018
当灾难恢复启动失败,并需要回退流程时,服务提供方应先组织业务部门进行回退的业务验 证,确保业务已回退到系统实施前的状态,再进行系统回退操作,回退操作完成后编写系统回 退实施总结报告,详细描述系统回退手段和回退结果; 灾难恢复完成后,服务提供方应编写灾难恢复实施报告,详细记录实施的过程、处理手段和操 作结果。
灾难恢复系统回切与生产系统重续运行服务过
服务提供方在灾难恢复系统回切与生产系统重续运行服务过程中应提供以下服务: a) 服务提供方应在灾难恢复数据与生产数据一致的前提下,组织相关厂商完成系统回切工作; b) 服务提供方应验证系统回切后的数据一致性和完整性; 服务提供方应启动生产系统,并重新建立数据复制/备份环境; d) 在验证生产中心运行正常后,服务提供方应按照灾难恢复实施预案及策略要求,将系统回切至 生产中心。
6.4.3.6灾难恢复工作总结服务过程要求
服务提供方在灾难恢复工作总结服务过程中应提供以下服务: a)服务提供方应整理并归档灾难恢复过程记录,客观、务实地编写灾难恢复总结报告 b)服务提供方应提出预案修订意见,完善预案的内容,并进行预案版本更新
6.4.4灾难恢复能力持续改进服务过程要求
求方提供灾难恢复服务能力评估,并能依据服务需求方的信息系统和信息技术架构变化进行定期评估 以确保服务需求方的灾难恢复系统得以持续改进,灾难恢复能力持续改进服务过程要求如下 服务提供方应每年对服务需求方的灾难恢复系统进行能力评估,找出技术和管理的脆弱点,并 提出改进建议; b) 服务提供方应按照生命周期法对灾难恢复系统规划设计、建设实施和运行维护各个阶段进行 评估,发现问题,并提出解决方案; C 服务提供方应建立规范标准的评估模型和指标体系,并依据信息系统的灾难恢复需求建立评 估基线,对现有灾难恢复系统进行差距评估; d) 服务提供方应针对灾难恢复系统存在的问题,并依据间题发生时对服务需求方信息系统造成 的潜在影响(影响范围和影响程度),确定解决问题的紧迫性和时效性
7灾难恢复服务项目组织管理要求
7.1项目组织管理内容
灾难恢复服务项目组织管理包括质量管理、管理配置、风险管理、项目规划、项目监控、系统工程支 持环境管理、技能与知识提升服务、保密要求、与供应商协调等
7.2项目质量管理要求
7.2.1项目质量管理内容
为确保灾难恢复服务满足服务需求方信息系统的灾难恢复需求,服务提供方应加强对服务各阶 质量审核和控制,项目质量管理的内容包括服务交付物的质量审核、服务过程的质量监督和质量问 份析与纠正。
7.2.2服务交付物的质量审核
服务提供方的质量审核人员应对服务过程中向服务需求方提供的所有交付物进行质量审核,使其 满足服务需求方的服务要求,服务交付物质量审核要求如下: a)审核规划设计阶段的系统调研及需求分析文档,以确保文档能真实反映服务需求方的系统现 状和灾难恢复要求; b) 审核规划设计阶段的系统规划和设计方案,避免方案存在技术缺陷,确保方案满足服务需求方 的信息系统灾难恢复指标,并具备可实施性和可操作性; c) 审核规划设计阶段的实施和运维方案,避免方案存在技术和管理缺陷,确保实施和运维方案符 合系统规划设计要求; d) 审核建设实施阶段的各类文档,检查建设实施管理的规范性和实施目标的可达性; 审核运行维护阶段的各类文档,检查运行 维护管理的规范性和运维目标的可达性
7.2.3服务过程的质量监督
服务提供方的质量审核人员应依据服务内容和服务计划的要求,通过内部评审的方式在服务各阶 段里程碑交付前对该阶段的服务过程进行回顾和审核,服务过程的质量监督要求如下: a 对服务计划的合理性进行评估,及时调整影响服务计划和服务资源,确保服务能按计划完成; b) 对服务流程的可操作性进行审核,及时调整和优化服务流程,确保服务的交付能做到规范管 理、责任到人; 对服务各阶段的技术实施方法进行审核,及时调整和优化实施方案,提高服务交付质量
7.2.4质量问题分析与
服务提供 位上报 服务需求方的主管人员,共同对质量问题进行分析评估,并提出纠正和改进措施,避免问题的扩散。服 务质量问题的分析与纠正要求如下: a)对质量问题进行分析,找出导出质量问题的根源和责任人; b) 制定质量问题纠正和改进方案,并进行内部评审,以降低改进方案实施的风险; L、所需的资源和实施且标
7.3项目的管理配置要求
7.3.1项目管理配置内容
为确保灾难恢复服务资源满足服务需求方信息系统灾难恢复的资源需求,服务提供方应加强对服 务资源配置的管理,项目管理配置的内容包括建立服务资源配置基线、服务资源配置基线维护和服务配 置管控。
7.3.2服务资源配置基线要求
服务提供方的项目经理应依据灾难恢复服务的内容确定服务资源的配置基线,配置基线应明确满 足服务质量和服务水平要求的资源配置,包括灾难恢复中心场地、灾难恢复系统、服务团队和服务工具 等。服务资源配置基线要求如下: a)服务资源配置基线应为满足灾难恢复服务质量和服务水平要求的量化配置单元的组合,配置 单元应为满足某项服务要求的完整、独立的资源配置; b)每个配置单元应依据该项服务需求进行合理配置,既要满足服务要求,也要避免资源浪费; c)配置单元应包括确保服务质量和服务水平要求的场地资源、系统资源和人力资源
7.3.3服务资源配置基线维护要求
GB/T369572018
服务提供方的项目经理应制定专人维护服务资源配置基线,依据服务需求的变化,对基线内的配置 单元进行增加或删除,以保证配置基线不断适应服务需求的变化。服务资源配置基线维护要求如下: a)月 服务提供方应与服务需求方共同协商确定服务资源配置基线,明确基线中各配置单元的配 置项; b) 服务提供方应依据服务需求的变化通过增加或删除基线内的配置单元进行配置基线的修改和 完善,使其适应服务需求的变化; 服务提供方应定期跟踪和监视配置基线对服务需求的满足程度,并及时调整配置基线: d)服务提供方应根据配置基级 确保其满足服务需求
7.3.4服务资源配置管控要求
服务提供方的项目经理应定期组织评估配置基线修改方案实施的可行性和风险,缩小服务配置修 改对服务质量和服务水平造成的影响。服务资源配置管控要求如下: a) 服务提供方应依据服务需求的变化向服务需求方提供配置基线修改建议,明确基线修改方案 和服务资源配置调整的可行性和风险,得到服务需求方认可后方可进行配置调整; b) 配置调整实施过程中应严格控制调整实施对现有服务质量、进度和服务水平的影响; 配置调整实施后需经过服务需求方确认后方可确定新的配置基线
7.4项目风险管理要求
4.1项目风险管理内容
为控制灾难恢复服务项目风险,服务提供方应对持续6个月以上的服务项目进行风险评估,并提出 管控建议,以降低服务项目风险,项目风险管理的内容包括风险识别与评估、制定和实施风险管控计划 和跟踪风险管控实施效果,
7.4.2风险识别与评估要求
服务提供方应充分识别项目服务风险,并对风险发生对服务需求方造成的影响进行充分评估,以便 到定有效的风险防范措施。风险识别与评估要求如下: a 服务提供方应从技术风险和管理风险两个角度识别服务项目风险,其中技术风险包括所采用 的技术和工具对原有环境的影响、技术可行性和成熟性、技术实施的难度、技术实施对现有系 统造成的潜在影响等;管理风险包括其他参与方的协调配合、服务团队的技能、服务团队的稳 定性对项目计划和服务质量的影响等: b) 服务提供方应对项目风险造成的影响范围和程度进行充分评估,并进行风险等级划分,以便制 定差异化的风险管控措施; c) 服务提供方应依据技术脆弱性和管理脆弱性发生的频率,结合脆弱性发生对项目影响的范围 和程度确定风险等级
7.4.3风险管控计划要求
服务提供方应依据风险等级要求,制定差异化的管控计划,确保风险处置按计划执行。风险管控计 刻要求如下: 风险管控计划应明确各类风险处置的及时性和紧迫性GB/T 18910.62-2019 液晶显示器件 第6-2部分:液晶显示模块测试方法 反射型,以控制风险影响程度和范围,风险处置 的紧迫程度从高到低应包括立即处置、在不影响系统正常运行的情况下处置、密切观察暂不处 置等; b) 风险管控计划应明确各类风险的处置策略和技术方案,并对技术方案的可行性进行评估
风险管控计划应明确各类风险处置所需的资源,包括场地资源、设备资源、软件资源和人力 资源; d 风险管控计划应得到服务需求方认可后方可实施
7.4.4风险管控跟踪要求
服务提供方应实时跟踪风险处置策略执行的效果,并定期评估风险处置方案实施后的残余风险,及 时采取有效措施控制风险的蔓延。风险管控跟踪要求如下: a)服务提供方应在风险处置方案实施后评估风险处置是否达到预期效果,对于未到达预期效果 的处置方案应及时修改和调整; b 服务提供方应对风险处置方案实施后的残余风险进行评估,及时采取有效措施控制风险蔓延 包括风险规避和风险转移;
7.5.2项目计划管理要求
服务提供方应按照服务需求方的服务要求和工作内容制定项目计划,落实项目计划、任务分配、所 需的关键资源及费用等。项目计划管理要求如下: a 服务提供方应为服务需求方制定详细的项目计划管理方案,明确服务目标和范围、项目计划、 关键资源、质量标准、测试验收及费用预算等; b) 项目计划应明确项目的阶段划分,并制定各阶段的时间计划和里程碑; 服务提供方应明确项目各阶段的服务目标、范围、工作任务、责任机制和交付物,并与时间计划 相对应; d) 服务提供方应按照项目的时间计划要求,明确服务所需的资源的到位时间、期限和组织管理 方式;
7.5.3项目技术规划要求
服务提供方应接照项目计划管理方案的要求制定项目技术规划方案,明确项目各阶段的关键技术、 实施方法和流程。项目技术规划要求如下: a) 服务提供方应为服务需求方制定详细的项目技术规划方案,明确项目各阶段的技术架构、产品 与解决方案,以及实施方法和步骤等; b) 项目技术规划方案应通过服务需求方组织的专家评审后方可实施; C) 针对技术规划方案中的关键技术,服务提供方应组织产品和解决方案厂商进行技术测试QNFZ 0001S-2014 怒江方正植物生化有限责任公司 代用茶,确保 实施过程中无技术缺陷; d) 服务提供方应对服务需求方进行技术实施方案培训,包括技术指标、实施与测试的方法和步 骤等。