GB_T 20988-2007 信息安全技术 信息系统灾难恢复规范.docVIP

ICS35.040

L80

中华人民共和国国家标准GB/T20988—2007

信息安全技术

信息系统灾难恢复规范

Informationsecuritytechnology—

Disasterrecoveryspecificationsforinformationsystems

2007-06-14发布

2007-11-01实施

中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会

I

GB/T20988—2007

目次

前言 Ⅲ

引言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4灾难恢复概述 3

4.1灾难恢复的工作范围 3

4.2灾难恢复的组织机构 3

4.3灾难恢复规划的管理 4

4.4灾难恢复的外部协作 4

4.5灾难恢复的审计和备案 4

5灾难恢复需求的确定 4

5.1风险分析 4

5.2业务影响分析 4

5.3确定灾难恢复目标 5

6灾难恢复策略的制定 5

6.1灾难恢复策略制定的要素 5

6.2灾难恢复资源的获取方式 5

6.3灾难恢复资源的要求 6

7灾难恢复策略的实现 7

7.1灾难备份系统技术方案的实现 7

7.2灾难备份中心的选择和建设 7

7.3专业技术支持能力的实现 8

7.4运行维护管理能力的实现 8

7.5灾难恢复预案的实现 8

附录A(规范性附录)灾难恢复能力等级划分 10

附录B(资料性附录)灾难恢复预案框架 14

附录C(资料性附录)某行业RTO/RPO与灾难恢复能力等级的关系示例 16

Ⅲ

GB/T20988—2007

前言

本标准的附录A是规范性附录，附录B和附录C是资料性附录。

本标准由全国信息安全标准化技术委员会提出并归口。

本标准起草单位：中国信息安全产品评测认证中心。

本标准主要起草人：汪琪、熊四皓、张利、刘艳、郭全明、许强、李伟华、李建彬、谈松、刘建明、刘祖泷、

江志强、徐强、冷飚、刘山泉、黄伟、于健、刘东红、上官晓丽。

GB/T20988—2007

引言

本标准参照和借鉴GB/T19716《信息技术信息安全管理实用规则》、GB/T20984《信息安全技术

信息安全风险评估规范》、DRIInternational(国际灾难恢复协会)《ProfessionalPracticesforBusiness

ContinuityPlanners》和《BusinessContinuityGlossary》、ISACA(信息系统审计与控制协会)《COBITManagementGuidelines》、NIST(美国国家标准和技术学会)《SP800-34ContingencyPlanningGuideforInformationTechnologySystems》和在1992年SHARE78会议议题M028上提出的远程站点分级

等的有关内容和思想，结合国家重要信息系统行业技术发展和实践经验制定而成。

信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复点目标(RPO)具有一定的对应关系，各

行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标体系。

IN

1

GB/T20988—2007

信息安全技术

信息系统灾难恢复规范

1范围

本标准规定了信息系统灾难恢复应遵循的基本要求。

本标准适用于信息系统灾难恢复的规划、审批、实施和管理。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分：安全

GB/T20984信息安全技术信息安全风险评估规范

3术语和定义

GB/T5271.8确立的以及下列术语和定义适用于本标准。

3