GB 中华人民共和国国家标准

　　GB/T20988-2007

　　信息安全技术

　　信息系统灾难恢复规范

　　Informationsecuritytechnology

　　Disasterrecoveryspecificationsforinformationsystems

　　2007-06-14发布

　　2007-11-01实施

　　中华人民共和国国家质量监督检验检疫总局

　　中国国家标准化管理委员会发布

　　

　　全面的数据和资料；
 
　　——易用性：预案应运用易于理解的语言和图表，并适合在紧急情况下使用；
 
　　——明确性：预案应采用清晰的结构，对资源进行清楚的描述，工作内容和步骤应具体，每项工作应
 
　　有明确的责任人；
 
　　——有效性：预案应尽可能满足灾难发生时进行恢复的实际需要，并保持与实际系统和人员组织的同
 
　　步更新；
 
　　——兼容性：灾难恢复预案应与其他应急预案体系有机结合。
 
　　在灾难恢复预案制定原则的指导下，其制定过程如下：
 
　　——起草：参照附录
 
　　B灾难恢复预案框架，按照风险分析和业务影响分析所确定的灾难恢复内容，根
 
　　据灾难恢复能力等级的要求，结合组织其他相关的应急预案，撰写出灾难恢复预案的初稿；
 
　　——评审：组织应对灾难恢复预案初稿的完整性、易用性、明确性、有效性和兼容性进行严格的评审。
 
　　评审应有相应的流程保证；
 
　　——测试：应预先制定测试计划，在计划中说明测试的案例。测试应包含基本单元测试、关联测试和
 
　　整体测试。测试的整个过程应有详细的记录，并形成测试报告；
 
　　——完善：根据评审和测试结果，纠正在初稿评审过程和测试中发现的问题和缺陷，形成预案的审批
 
　　稿；
 
　　——审核和批准：由灾难恢复领导小组对审批稿进行审核和批准，确定为预案的执行稿。
 
　　7.5.2灾难恢复预案的教育、培训和演练
 
　　为了使相关人员了解信息系统灾难恢复的目标和流程，熟悉灾难恢复的操作规程，组织应按以下要求，
 
　　组织灾难恢复预案的教育、培训和演练：
 
　　——在灾难恢复规划的初期就应开始灾难恢复观念的宣传教育工作；
 
　　——预先对培训需求进行评估，包括培训的频次和范围，开发和落实相应的培训/教育课程，保证课程
 
　　内容与预案的要求相一致，事后保留培训的记录；
 
　　——预先制定演练计划，在计划中说明演练的场景；
 
　　——演练的整个过程应有详细的记录，并形成报告；
 
　　——每年应至少完成一次有最终用户参与的完整演练。
 
　　7.5.3灾难恢复预案的管理
 
　　经过审核和批准的灾难恢复预案，应按照以下原则进行保存和分发：
 
　　——由专人负责；
 
　　——具有多份拷贝在不同的地点保存；
 
　　——分发给参与灾难恢复工作的所有人员；
 
　　——在每次修订后所有拷贝统一更新，并保留一套，以备查阅；
 
　　——旧版本应按有关规定销毁。
 
　　为了保证灾难恢复预案的有效性，应从以下方面对灾难恢复预案进行严格的维护和变更管理：
 
　　——业务流程的变化、信息系统的变更、人员的变更都应在灾难恢复预案中及时反映；
 
　　——预案在测试、演练和灾难发生后实际执行时，其过程均应有详细的记录，并应对测试、演练和执
 
　　行的效果进行评估，同时对预案进行相应的修订；
 
　　——灾难恢复预案应定期评审和修订，至少每年一次。
 
　　附录
 
　　A（规范性附录）灾难恢复能力等级划分
 
　　A.1第
 
　　1级基本支持
 
　　第
 
　　1级灾难恢复能力应具有技术和管理支持，如表
 
　　A.1所示。
 
　　表
 
　　A.1第
 
　　1级——基本支持
 
　　要素要求
 
　　数据备份系统
 
　　a)完全数据备份至少每周一次；
 
　　b)备份介质场外存放。