GB/T 20988-2007信息安全技术　信息系统灾难恢复规范.pdf

ICS 35.040 L80 中华人民共和国国家标准 GB/T 20988—2007 信息安全技术 信息系统灾难恢复规范 Information security technology -Disaster recovery specifications for information systems 2007-06-14 发布 2007-11-01 实施 国家质量监督检验检疫总局 发布 GB/T 20988—2007 目 次 前 言 II 引 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 灾难恢复概述 3 4.1 灾难恢复的工作范围 3 4.2 灾难恢复的组织机构 3 4.3 灾难恢复规划的管理 4 4.4 灾难恢复的外部协作 4 4.5 灾难恢复的审计和备案 4 5 灾难恢复需求的确定 4 5.1 风险分析 4 5.2 业务影响分析 4 5.3 确定灾难恢复目标 4 6 灾难恢复策略的制定 5 6.1 灾难恢复策略制定的要素 5 6.2 灾难恢复资源的获取方式 5 6.3 灾难恢复资源的要求 6 7 灾难恢复策略的实现 7 7.1 灾难备份系统技术方案的实现 7 7.2 灾难备份中心的选择和建设 7 7.3 专业技术支持能力的实现 7 7.4 运行维护管理能力的实现 7 7.5 灾难恢复预案的实现 8 附 录 A （规范性附录）灾难恢复能力等级划分 9 附 录 B （资料性附录）灾难恢复预案框架 13 附 录 C （资料性附录）某行业RTO/RPO 与灾难恢复能力等级的关系示例 15 I GB/T 20988—2007 前 言 本标准的附录A是规范性附录，附录B和附录C是资料性附录。 本标准由全国信息安全标准化技术委员会提出并归口。 本标准起草单位：中国信息安全产品测评认证中心。 本标准主要起草人：汪琪、熊四皓、张利、刘艳、郭全明、许强、李伟华、李建彬、谈松、刘建明、 刘祖泷、江志强、徐强、冷飚、刘山泉、黄伟、于健、刘东红、上官晓丽。 II GB/T 20988—2007 引 言 本标准参照和借鉴GB/T 19716-2005 《信息技术信息安全管理实用规则》、GB/T XXX 《信息安全 风险评估指南》、DRI International( 国际灾难恢复协会) 《Professional Practices for Business Continuity Planners》和《Business Continuity Glossary》、ISACA(信息系统审计与控制协会）《COBIT Management Guidelines》、NIST(美国国家标准和技术学会) 《SP 800-34 Contingency Planning Guid