自律规范-中国电源产业网-新能源与电源官方网站
  • 广告
  • 广告

灾备行业又一国家标准将正式实施

2018-06-26   

中国电源产业网

导语:《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》是中国网络安全审查技术与认证中心、中国信息安全测评中心等数十个单位起草的,从灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目管理三个方面规定了灾难恢复服务的详细要求,下面来解读明确一些概念和定义。

《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》是中国网络安全审查技术与认证中心、中国信息安全测评中心等数十个单位起草的,从灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目管理三个方面规定了灾难恢复服务的详细要求,下面来解读明确一些概念和定义。


image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

一、灾难恢复服务总体要求 

image.png


一、灾难恢复服务包括灾难恢复服务规划设计、建设实施和运行维护等环节,灾难恢复服务提供方可根据服务需求方的要求提供单个或多个环节的灾难恢复服务。服务时应该满足灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目组织管理的要求。

image.png

image.png


1. 资源配置总体要求

灾难恢复服务资源配置包括灾难恢复中心场地资源、灾难恢复系统资源和灾难恢复服务团队,灾难恢复服务资源由服务提供方向服务需求方提供,服务提供方不得转包(合同规定除外),但可以分包,如果分包(或转包),服务提供方应确保分包(或转包)商的服务满足服务需求方的要求。

2. 场地资源配置要求

服务提供方所提供的灾难恢复中心场地环境应在双方约定的服务期限内稳定运行,并能在灾难发生时接管生产系统运行。场地资源应符合安全管理要求的管理控制措施,包括物理安全、数据安全、运行安全、人员安全等安全措施管控,并进行安全审计。场地资源配置要求包括场地位置要求、布局要求、建筑结构要求、电力设施要求、消防设施要求、空调系统要求和综合布线要求。

3. 灾难恢复系统资源配置要求

服务提供方应提供专业的服务设备和设施,或能够协助服务需求方提供灾难恢复服务设备与设施,并确保服务需求方能使用服务设备和设施完成灾难恢复工作。服务的设备和设施应包括但不限于数据备份系统、备用数据处理系统、备用网络系统、灾难恢复服务工具等。

针对采用云灾备服务的服务提供方,应向服务需求方提供统一、界面友好的自服务门户,并将灾难恢复服务资源按照资源池的方式进行统一管理,并可满足应用系统在日常运行、灾难恢复、测试演练、回退等各个阶段对资源的需求。

4. 灾难恢复服务团队组织架构要求

服务提供方所组建的团队应包括服务团队负责人、基础设施服务团队、系统技术支持团队、网络与安全技术支持团队、运维管理团队和运维操作团队等专业服务团队,关键服务岗位应配备主管岗。

各专业服务团队应建立规范的服务流程和制度、良好的沟通协调机制、清晰的责任机制,确保服务的规范性、安全性、有效性。

image.png

image.png


灾难恢复的服务过程包括灾难恢复规划设计、建设实施运行和维护,灾难恢复服务提供方应满足服务需求方在上述服务过程中的灾难恢复服务要求。在服务过程中,要规划设计服务内容、并提供风险评估、灾难恢复中心选址等服务。

四、灾难恢复服务项目组织管理要求

image.png


1. 项目组织管理内容

灾难恢复服务项目组织管理内容包括质量管理、管理配置、风险管理、项目规划、项目监控、系统工程支持环境管理、技能与知识提升服务、保密要求、与供应商协调等。

2. 项目质量管理要求

为确保灾难恢复服务满足服务需求方信息系统的灾难恢复需求,服务提供方应加强对服务各阶段的质量审核和控制,项目质量管理的内容包括服务交付物的质量审核、服务过程的质量监督和质量问题的分析与纠正。

3. 项目风险管理要求

为控制灾难恢复服务项目风险,服务提供方应对持续6个月以上的服务项目进行风险评估,并提出管控建议,以降低服务项目风险,项目风险管理的内容包括风险识别与评估、制定和实施风险管控计划和跟踪风险管控实施效果。

4. 项目监控要求

项目监控是服务提供方按照灾难恢复的服务需求,通过检查、监督的方式,确保项目执行的过程满足项目规划的要求,并对服务过程中发生的严重偏差进行及时修正。项目监控要求包括项目的监督要求、问题分析与修正要求。

4.1 项目监督要求

服务提供方应在项目实施的过程中进行跟踪监督,发现不符合进度要求的问题应及时查明原因,提出解决方案,并向服务需求方汇报。

4.2 问题分析与修正要求

服务提供方应针对项目监督检查结果中的问题,提出修正、调整和优化建议,如需要变更服务计划,则应及时通报服务需求方。

5. 系统工程支持环境管理内容

作为灾难恢复服务的辅助手段,服务提供方可在服务过程中改进系统工程支持环境,以提升服务效率和质量,系统工程支持环境包括计算机、通信、测试工具、软件工具等,加强对系统工程支持环境的管理有助于提升服务提供方的管理能力、技术水平、工作效率和服务安全性。系统工程支持环境管理要求包括系统工程支持环境的确认和系统工程支持环境的获取和维护。

6. 技能与知识提升服务要求

为确保服务需求方能够全面、系统地了解和掌握灾难恢复相关知识,应在灾难恢复项目的规划、实施和运维阶段对服务需求方的管理人员、业务人员和信息技术人员进行有针对性的培训,培训的内容应包括但不限于灾难恢复的基础知识培训、灾难恢复技术培训、灾难恢复实施培训、灾难恢复预案管理培训、灾难恢复运维管理制度培训和灾难恢复演练培训,从事灾难恢复培训的服务提供方应准备全面的培训课程和教材,并安排资深的培训讲师为服务需求方提供培训。

7. 灾难恢复保密要求

服务提供方应履行灾难恢复服务保密职责,并满足服务需求方的保密要求,包括但不限于:

a. 应建立并执行与灾难恢复服务相关的保密管理制度和流程;

b. 参与灾难恢复服务的人员应与灾难恢复服务需求方签订保密协议,并定期对保密协议的执行情况进行监督和检查;

c. 未经服务需求方允许,服务提供方不得向第三方披露与服务协议相关的敏感信息;

d. 未经服务需求方允许,服务提供方不得转卖、转租、转借服务工作环境中的可移动设备、介质、资料。

8. 与供应商协调要求

服务提供方应根据服务需求方的灾难恢复要求,选择安全、可靠、适用的产品(包括用于灾难恢复的硬件、软件和服务)供应商,同时服务提供方还应在服务过程中加强与产品供应商的协调与配合,共同满足服务需求方的灾难恢复服务要求。

《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》在其他标准的基础上,规范了服务提供方和服务需求方之间的关系,也使得灾备服务更加规范更加透明。在未来,灾备行业的服务也将更加多样、更加规范。

来源:东方云

标签:

相关信息

MORE >>
中国电源产业网官方在线QQ咨询:AM 9:00-PM 6:00
广告/企业宣传推广咨询:
活动/展会/项目合作咨询: 市场部
新闻/论文投稿/企业专访: 李先生
媒体合作/推广/友情链接: 市场部

中国电源产业网网友交流群:2223934、7921477、9640496、11647415

中国电源产业网照明设计师交流群:2223986、56251389

中国电源产业设计师QQ群:102869147

X