灾备行业又一国家标准将正式实施
2018-06-26
中国电源产业网
导语:《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》是中国网络安全审查技术与认证中心、中国信息安全测评中心等数十个单位起草的,从灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目管理三个方面规定了灾难恢复服务的详细要求,下面来解读明确一些概念和定义。
《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》是中国网络安全审查技术与认证中心、中国信息安全测评中心等数十个单位起草的,从灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目管理三个方面规定了灾难恢复服务的详细要求,下面来解读明确一些概念和定义。
一、灾难恢复服务总体要求
一、灾难恢复服务包括灾难恢复服务规划设计、建设实施和运行维护等环节,灾难恢复服务提供方可根据服务需求方的要求提供单个或多个环节的灾难恢复服务。服务时应该满足灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目组织管理的要求。
1. 资源配置总体要求
灾难恢复服务资源配置包括灾难恢复中心场地资源、灾难恢复系统资源和灾难恢复服务团队,灾难恢复服务资源由服务提供方向服务需求方提供,服务提供方不得转包(合同规定除外),但可以分包,如果分包(或转包),服务提供方应确保分包(或转包)商的服务满足服务需求方的要求。
2. 场地资源配置要求
服务提供方所提供的灾难恢复中心场地环境应在双方约定的服务期限内稳定运行,并能在灾难发生时接管生产系统运行。场地资源应符合安全管理要求的管理控制措施,包括物理安全、数据安全、运行安全、人员安全等安全措施管控,并进行安全审计。场地资源配置要求包括场地位置要求、布局要求、建筑结构要求、电力设施要求、消防设施要求、空调系统要求和综合布线要求。
3. 灾难恢复系统资源配置要求
服务提供方应提供专业的服务设备和设施,或能够协助服务需求方提供灾难恢复服务设备与设施,并确保服务需求方能使用服务设备和设施完成灾难恢复工作。服务的设备和设施应包括但不限于数据备份系统、备用数据处理系统、备用网络系统、灾难恢复服务工具等。
针对采用云灾备服务的服务提供方,应向服务需求方提供统一、界面友好的自服务门户,并将灾难恢复服务资源按照资源池的方式进行统一管理,并可满足应用系统在日常运行、灾难恢复、测试演练、回退等各个阶段对资源的需求。
4. 灾难恢复服务团队组织架构要求
服务提供方所组建的团队应包括服务团队负责人、基础设施服务团队、系统技术支持团队、网络与安全技术支持团队、运维管理团队和运维操作团队等专业服务团队,关键服务岗位应配备主管岗。
各专业服务团队应建立规范的服务流程和制度、良好的沟通协调机制、清晰的责任机制,确保服务的规范性、安全性、有效性。
灾难恢复的服务过程包括灾难恢复规划设计、建设实施运行和维护,灾难恢复服务提供方应满足服务需求方在上述服务过程中的灾难恢复服务要求。在服务过程中,要规划设计服务内容、并提供风险评估、灾难恢复中心选址等服务。
四、灾难恢复服务项目组织管理要求
1. 项目组织管理内容
灾难恢复服务项目组织管理内容包括质量管理、管理配置、风险管理、项目规划、项目监控、系统工程支持环境管理、技能与知识提升服务、保密要求、与供应商协调等。
2. 项目质量管理要求
为确保灾难恢复服务满足服务需求方信息系统的灾难恢复需求,服务提供方应加强对服务各阶段的质量审核和控制,项目质量管理的内容包括服务交付物的质量审核、服务过程的质量监督和质量问题的分析与纠正。
3. 项目风险管理要求
为控制灾难恢复服务项目风险,服务提供方应对持续6个月以上的服务项目进行风险评估,并提出管控建议,以降低服务项目风险,项目风险管理的内容包括风险识别与评估、制定和实施风险管控计划和跟踪风险管控实施效果。
4. 项目监控要求
项目监控是服务提供方按照灾难恢复的服务需求,通过检查、监督的方式,确保项目执行的过程满足项目规划的要求,并对服务过程中发生的严重偏差进行及时修正。项目监控要求包括项目的监督要求、问题分析与修正要求。
4.1 项目监督要求
服务提供方应在项目实施的过程中进行跟踪监督,发现不符合进度要求的问题应及时查明原因,提出解决方案,并向服务需求方汇报。
4.2 问题分析与修正要求
服务提供方应针对项目监督检查结果中的问题,提出修正、调整和优化建议,如需要变更服务计划,则应及时通报服务需求方。
5. 系统工程支持环境管理内容
作为灾难恢复服务的辅助手段,服务提供方可在服务过程中改进系统工程支持环境,以提升服务效率和质量,系统工程支持环境包括计算机、通信、测试工具、软件工具等,加强对系统工程支持环境的管理有助于提升服务提供方的管理能力、技术水平、工作效率和服务安全性。系统工程支持环境管理要求包括系统工程支持环境的确认和系统工程支持环境的获取和维护。
6. 技能与知识提升服务要求
为确保服务需求方能够全面、系统地了解和掌握灾难恢复相关知识,应在灾难恢复项目的规划、实施和运维阶段对服务需求方的管理人员、业务人员和信息技术人员进行有针对性的培训,培训的内容应包括但不限于灾难恢复的基础知识培训、灾难恢复技术培训、灾难恢复实施培训、灾难恢复预案管理培训、灾难恢复运维管理制度培训和灾难恢复演练培训,从事灾难恢复培训的服务提供方应准备全面的培训课程和教材,并安排资深的培训讲师为服务需求方提供培训。
7. 灾难恢复保密要求
服务提供方应履行灾难恢复服务保密职责,并满足服务需求方的保密要求,包括但不限于:
a. 应建立并执行与灾难恢复服务相关的保密管理制度和流程;
b. 参与灾难恢复服务的人员应与灾难恢复服务需求方签订保密协议,并定期对保密协议的执行情况进行监督和检查;
c. 未经服务需求方允许,服务提供方不得向第三方披露与服务协议相关的敏感信息;
d. 未经服务需求方允许,服务提供方不得转卖、转租、转借服务工作环境中的可移动设备、介质、资料。
8. 与供应商协调要求
服务提供方应根据服务需求方的灾难恢复要求,选择安全、可靠、适用的产品(包括用于灾难恢复的硬件、软件和服务)供应商,同时服务提供方还应在服务过程中加强与产品供应商的协调与配合,共同满足服务需求方的灾难恢复服务要求。
《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》在其他标准的基础上,规范了服务提供方和服务需求方之间的关系,也使得灾备服务更加规范更加透明。在未来,灾备行业的服务也将更加多样、更加规范。
编辑:中国电源产业网
来源:《电源工业》编辑部
标签:
相关信息
MORE >>-
国家发改委署名文章:加快制修订社会信用建设法
党的十八大以来,习近平总书记高瞻远瞩、统揽全局,立足我国市场由大到强转变的关键历史阶段,对建设全国统一大市场问题作出一系列重要论述,深刻阐明了为什么要建设、怎样建设、建成什么样的全国统一大市场等重大理论和实践问题,为纵深推进全国统一大市场建设提供了根本遵循。
-
促进实体经济发展和社会信用体系建设 | 关于进一步降低征信服务收费标准的通知
为贯彻落实党中央、国务院决策部署,进一步降低企业经营成本,优化营商环境,促进实体经济发展和社会信用体系建设,近日国家发展改革委印发《关于进一步降低征信服务收费标准的通知》,征信服务收费标准大幅下调。
-
国新办发布会|介绍健全社会信用体系有关情况
信用修复是社会信用体系的一项重要制度安排,也是经营主体和人民群众十分关注的一个问题。建立信用修复制度是为了给予失信主体改过自新的机会,推动其主动履行法定义务、纠正失信行为,提升全社会诚信意识。近年来,国家出台了多项制度和措施,提升企业信用修复效能。但是也要看到,修复规则不统一、部门之间协同不到位、第三方机构与政府部门信息不同步等问题还比较突出。针对这些问题,《意见》作出了明确部署。
-
2024年京津冀晋大学生诚信辩论大赛圆满收官
2024年京津冀晋大学生诚信辩论大赛决赛于线上开展,经过半决赛的激烈角逐,河北大学和北京邮电大学成功挺进决赛,共同角逐总冠军荣誉!
-
我国第三家持牌个人征信机构获批
我国征信业发展实践探索过程中,坚持“政府+市场”双轮驱动发展战略,个人征信机构是我国征信体系的重要组成部分,发挥着越来越重要的作用。
-
《政策资讯》北京市各区政策汇集9.01-9.30
查询北京市各区政府最新发布的支持中小企业的相关政策,了解更多与信用相关的资讯。
-
电源工业期刊 -
中国电源公众号
版权所有 © 中国•电源产业网 • 中国电源行业官网站长统计
中国电源产业网-新能源与电源官方网站 ©
中国电源产业网网友交流群:2223934、7921477、9640496、11647415