GB 中华人民共和国国家标准

　　GB/T20988-2007

　　信息安全技术

　　信息系统灾难恢复规范

　　Informationsecuritytechnology

　　Disasterrecoveryspecificationsforinformationsystems

　　2007-06-14发布

　　2007-11-01实施

　　中华人民共和国国家质量监督检验检疫总局

　　中国国家标准化管理委员会发布

　　

 
　　6.2.1数据备份系统
 
　　数据备份系统可由组织自行建设，也可通过租用其他机构的系统而获取。
 
　　6.2.2备用数据处理系统
 
　　可选用以下三种方式之一来获取备用数据处理系统：
 
　　——事先与厂商签订紧急供货协议；
 
　　——事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库；
 
　　——利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备。
 
　　6.2.3备用网络系统
 
　　备用网络通信设备可通过
 
　　6.2.2所述的方式获取；备用数据通信线路可使用自有数据通信线路或租用
 
　　公用数据通信线路。
 
　　6.2.4备用基础设施
 
　　可选用以下三种方式获取备用基础设施：
 
　　——由组织所有或运行；
 
　　——多方共建或通过互惠协议获取；
 
　　——租用商业化灾难备份中心的基础设施。
 
　　6.2.5专业技术支持能力
 
　　可选用以下几种方式获取专业技术支持能力：
 
　　——灾难备份中心设置专职技术支持人员；
 
　　——与厂商签订技术支持或服务合同；
 
　　——由主中心技术支持人员兼任；但对于
 
　　RTO较短的关键业务功能，应考虑到灾难发生时交通和通
 
　　信的不正常，造成技术支持人员无法提供有效支持的情况。
 
　　6.2.6运行维护管理能力
 
　　可选用以下对灾难备份中心的运行维护管理模式：
 
　　——自行运行和维护；
 
　　——委托其他机构运行和维护。
 
　　6.2.7灾难恢复预案
 
　　可选用以下方式，完成灾难恢复预案的制定、落实和管理：
 
　　——由组织独立完成；
 
　　——聘请具有相应资质的外部专家指导完成；
 
　　——委托具有相应资质的外部机构完成。
 
　　6.3灾难恢复资源的要求
 
　　6.3.1数据备份系统
 
　　组织应根据灾难恢复目标，按照成本风险平衡原则，确定：
 
　　——数据备份的范围；
 
　　——数据备份的时间间隔；
 
　　——数据备份的技术及介质；
 
　　——数据备份线路的速率及相关通信设备的规格和要求。
 
　　6.3.2备用数据处理系统
 
　　组织应根据关键业务功能的灾难恢复对备用数据处理系统的要求和未来发展的需要，按照成本风险平
 
　　衡原则，确定备用数据处理系统的：
 
　　——数据处理能力；
 
　　——与主系统的兼容性要求；
 
　　——平时处于就绪还是运行状态。
 
　　6.3.3备用网络系统
 
　　组织应根据关键业务功能的灾难恢复对网络容量及切换时间的要求和未来发展的需要，按照成本风险
 
　　平衡原则，选择备用数据通信的技术和线路带宽，确定网络通信设备的功能和容量，保证灾难恢复时，最
 
　　终用户能以一定速率连接到备用数据处理系统。
 
　　6.3.4备用基础设施
 
　　组织应根据灾难恢复目标，按照成本风险平衡原则，确定对备用基础设施的要求，包括：
 
　　——与主中心的距离要求；
 
　　——场地和环境（如面积、温度、湿度、防火、电力和工作时间等）要求；
 
　　——运行维护和管理要求。
 
　　6.3.5专业技术支持能力
 
　　组织应根据灾难恢复目标，按照成本风险平衡原则，确定灾难备份中心在软件、硬件和网络等方面的
 
　　技术支持要求，包括技术支持的组织架构、各类技术支持人员的数量和素质等要求。