信息安全灾难备份与恢复服务资质一级评价要求

Date10 8月 2019

信息系统灾难备份与恢复服务分为两类，即提供灾难备份与恢复资源服务为资源服务类（A类），
提供灾难备份与恢复系统设计、实施为技术服务类（B类），其专业评价要求分别如下：
D1资源服务类（A类）要求

D1.3信息安全灾难备份与恢复服务资质一级评价要求
组织申报一级资质，除满足二级要求外，还应满足以下要求：
D1.3.1灾备中心场地资源要求
a) 拥有至少2个在不同地域且处于不同的风险区域的灾备中心，满足异地灾备场地要求。
b) 用于灾备中心的场地应自有产权，或者签署有剩余期限不少于5年的长期租赁合同。
c) 用于和可用于灾备中心IT运行区的高架地板面积不低于5000平米。
d) 灾备中心应符合环保要求，采用高效新风换气系统，机房内正压，确保机房洁净度。
e) 至少采用园区保安、机房门卫、前台三重审核的外部保安措施。
f) 灾备中心的所有通道、机房内均设置 CCTV 摄像头和7X24小时监控，并且可以按照客户的
要求提供更长的保存期限。
g) 灾备中心建筑耐火等级达到一级。
D1.3.2灾备中心基础设施要求
a) 高压电来自两个独立的变电站的双路设计。
b) 后备发电机组具有不停机补充燃料的能力，并且与燃料供应商签署燃料供应保障协议，保
障燃料数量和质量要求，UPS和油机可自动切换。
D1.3.3灾备中心运维管理要求
a) 采用运维监控和流程管理工具，实现对多数据中心资源的统一监控和自动化管理。
b) 针对特定的灾难场景进行灾难恢复真实切换演练，并能接替生产完成至少2个小时的真实交
易，并能在规定时间内进行回切。
c) 具备真实切换演练的方案设计、培训、实施管理和应急处置能力。
d) 定期维护灾难恢复预案，及时更新和分发预案文档，确保预案体系持续有效。
e) 建立灾备中心应急管理体系，确保灾备系统稳定运行。
D2技术服务类（B类）要求
D2.1 三级要求
D2.1.1方案设计要求
a) 开展灾难恢复系统建设需求调研，并进行需求分析。
b) 按照灾难恢复规划和客户的投入能力，制定灾难备份与恢复系统技术方案、实施方案。
D2.1.2系统建设与管理要求
a) 依据灾难备份与恢复实施方案，实施灾难备份与恢复系统建设。
b) 妥善保存灾难备份与恢复系统建设过程记录文档。
D2.1.3预案制定与演练要求
a) 制定信息系统灾难恢复预案。
b) 开展信息系统灾难恢复桌面推演，并详细记录。
c) 结合项目需要，组织开展灾难恢复预案培训。
D2.2 二级要求
组织申报二级资质，除满足三级要求外，还应满足以下要求：
D2.2.1方案设计要求
a) 按照不同灾难恢复等级对资源的要求，确定灾备中心基础设施、数据备份系统、备用数据
处理系统和备用网络系统等方面的需求，形成调研报告。
b) 对业务系统中断后的损失进行分析，制定业务系统的最大可容忍业务中断时间（RTO）、最
大可容忍中断时间点（RPO）。
c) 依据系统建设要求和技术方案，制定系统测试方案。
D2.2.2系统建设与管理要求
a) 依据测试方案，组织实施系统测试，并详细记录。
b) 制定灾难备份与恢复系统试运行方案，并详细记录试运行过程情况。
D2.2.3预案制定与演练要求
a) 制定系统演练方案，明确演练范围、人员、场景、步骤等内容。
b) 组织演练培训和动员，明确参演人员角色、职责和具体任务。
c) 设计多种演练场景并组织推演，详细记录演练过程。
D2.3一级要求
组织申报一级资质，除满足二级要求外，还应满足以下要求：
D2.3.1方案设计要求
a) 识别客户的信息资产及其脆弱性和威胁，对基础设施和信息系统进行风险评估，制定本地
风险控制策略和灾难恢复策略。
b) 分析业务系统与应用系统之间的关联关系，确定应用系统灾难恢复指标和恢复优先级别。
D2.3.2预案制定与演练要求
a) 制定信息系统灾难恢复预案体系，包括应急预案和恢复预案。
b) 基于特定的演练场景，制定详细的切换演练方案。
c) 组织完成真实切换演练前的桌面推演和模拟测试工作。
d) 详细记录演练过程并进行总结，及时修订应急和恢复预案体系。