信息系统灾难恢复能力指标体系-中国通信标准化协会.DOCVIP

行业标准项目建议书 建议项目名称 (中文) 信息系统灾难恢复能力评估指标体系 建议项目名称 (英文) Evaluation Index of Information System Disaster Recovery Capability 制定或修订 eq \o\ac(□,√)制定 □修订 被修订标准号 采用程度 □IDT □MOD □NEQ 采标号 国际标准名称 (中文) 国际标准名称 (英文) 采用快速程序 □FTP 快速程序代码 □B □C ICS分类号 35.040 中国标准分类号 L80 牵头单位 北京邮电大学 计划起止时间 2013.6-2014.12 参加单位 中科院计算所、清华大学、工业和信息化部电信研究院 目的、意义或必要性 随着灾难防御意识的逐步深入，世界各国政府、组织、机构和企业都投入巨资进行包括信息系统安全保障、安全事件应急响应、系统灾难恢复及系统安全评估等内容的信息系统灾难防御体系研究和建设。因此，建立完整、有效和规范的灾难恢复评估模型、方法和相应的评估工具，在未经历灾难的情况下客观地评估信息系统的灾难恢复能力，并据此建立更好的信息系统灾难恢复体系是保障国家信息安全的一项重要内容，也是信息化发展建设不可或缺的步骤。然而，目前国内外对信息系统的灾难恢复能力评估和评测的研究仍在起步阶段，缺乏成熟的评估理论、方法和相应工具。 信息系统灾难恢复能力评估的核心问题是建立一套科学、全面、合理的评估指标体系，建立能够反映复杂系统的一系列指标所组成的相互联系、相互补充、相互依存的指标体系。因此，本项目面向信息系统，以国家标准《信息系统灾难恢复规范》(GB／T20988.2007)为基础，研究建立完整、有效和规范的灾难恢复能力评估指标体系，一方面针对企业信息系统灾难防御能力缺口，提供精确客观的评估报告，为企业从策略、管理及技术的角度改进整体灾难防御能力提供可靠指导；另一方面也可以为国家在信息系统灾难恢复能力评估方面制定标准，为我国灾备系统建设提供指导和依据。 范围和主要 技术内容 本标准研究建立一套科学、全面、合理的信息系统灾难恢复能力评估指标体系，从灾难恢复的管理与灾难恢复的技术实施两方面构建灾难恢复能力评估的指标集，覆盖灾难恢复能力的各个领域。 本标准适用于信息系统灾难恢复的评估和建设，用于评估信息系统的灾难防御能力。 本标准的主要内容有： 信息系统灾难恢复能力评估指标设计原则：评估指标应涵盖灾难恢复的各个领域，始终把握住确保业务的连续性这一灾难恢复体系的最终目标，系统的包容影响信息系统灾难恢复的各方面指标；指标的选择和界定要依据相关标准进行，确保指标体系的选择有合理稳定的基础，应参照目前已有的国际标准，保证相应的权威性；层次性和独立性原则，将评估指标体系的整体目标分解为多层、多项具体指标进行评估。各层次之间、层次内各项指标之间既要相互依存、相互联系，以构成有机的整体目标体系，又要相互独立，使各项指标的考核、评估可以独立地进行，并做出相应的判断。 指标体系结构：采用AHP法分析信息系统各类关系复杂的安全要素，再对每一个方面细分，得出AHP递阶层次结构图，将灾难恢复能力归结到各个安全要素上。其次，利用AHP算法，得出各安全要素在整个系统中所占的权重。然后，分别考察，对各要素进行评估。最后，根据权重综合得出信息系统总体的评估结果。指标结构如下表所示： 二级 三级指标域 指标路径 四级指标域 灾难 恢复 管理 灾难恢复策略管理 备-管-策-文 灾难恢复策略文档 备-管-策-DRP DRP及应急计划 备-管-策-审 灾难恢复策略的审查和修改 灾难恢复组织管理 备-管-组-内 组织内部灾难恢复管理 备-管-组-外 与其他组织间灾难恢复协调管理 灾难恢复人员管理 备-管-人-结 人员结构分工 备-管-人-训 人员培训 机构信息资产管理 备-管-资-资 信息资产分类及备份记录 灾难 恢复 技术 高可用技术实施 备-技-高-系 系统冗余 备-技-高-设 设备冗余 存储、备份技术实施 备-技-备-存 存储介质 备-技-备-策 备份策略 备-技-备-频 备份方式及频率 备-技-备-技 备份技术 复制技术实施 备-技-复-方 复制方式 备-技-复-层 复制层次 故障检测及切换技术 备-技-故-检 故障检测 备-技-故-换 切换管理 数据传输实施 备-技-数-车 卡车数据传输 备-技-数-电 电子链路数据传输 备份中心实施 备-技-备-备 备份中心实施 软环境 威胁 人员资产风险 险-软-人-领 信息化领导小组风险 险-软-人-中 信息中心风险 险-软-人-分 分公司/研究人员风险 管理制度风险 险-软-制-制 信息化规章管理制度 硬环境 威胁 机房风险 险-硬-房-中 公司信息中心机房风险 险-硬-房-分 分公司/研究院机房风险 公用