信息安全技术灾难恢复能力评估准则-编制说明-全国信息安全.docVIP

国家标准《信息安全技术 灾难恢复服务能力评估准则》（征求意见稿）编制说明 一、工作简况 2011年12月，全国信息安全标准化技术委员会（SAC/TC260）《》 为了推动信息安全灾难恢复服务工作的进展，中国信息安全测评中心工作人员在中心内部立项开始进行有关信息安全灾难恢复服务评估标准和方法的研究工作。 2011年12月，经全国信息安全标准化委员会专家评审通过，《信息安全灾难恢复服务资质规范》标准编制项目正式立项。标准编制任务下达后，中国信息安全测评中心组织相关技术人员立即成立了标准编制小组，正式启动《信息安全灾难恢复服务资质规范》编制工作。在本中心《信息安全灾难恢复服务能力评估准则》文本的基础上，于2012年3月形成《信息安全灾难恢复服务资质规范（初稿）》第一稿。 2012年3月19日，全国信安标委WG7组在北京组织召开了信息系统灾难恢复服务资质有关标准工作会议。会议主要就中国信息安全认证中心承担的2010年度国家标准制定项目《信息系统灾难备份与恢复服务要求与评估方法》和中国信息安全测评中心承担的2011年度国家标准制定项目《灾难恢复服务资质规范》内容重复和冲突等问题进行了协商讨论。在会上，标准编制小组就标准的编制情况进行了介绍。WG7组提出了该标准的后续工作意见。 2012年4月6日，为进一步研究信息安全服务标准体系框架，梳理现有信息安全服务相关标准，WG7于在北京召开“信息安全服务标准研讨会”，会上该标准编制小组介绍了标准编制情况和标准的定位问题，提出了该标准与已经编制的国家标准《信息安全服务能力评估准则》之间的关联关系。 2012年6月，安标委秘书处电话通知该标准编制小组，告知该项目的标准名称中含有“资质”不合适，需要进行标准名称的适当修改。标准编制小组经过讨论后把标准名称修改为《信息安全灾难恢复服务能力评估准则》，并电话告知WG7组秘书处。 2012年6月29日，标准编制小组根据标准名称的变化，进行了由标准主要编制人员参与的第一次会议，讨论标准名称变化后的编制思路变化和标准内容框架的变化，形成了《信息安全灾难恢复服务能力评估准则》新的编制思路，并安排后续标准编制计划，并于2012年10月完成了《信息安全灾难恢复服务能力评估准则》（初稿）。 2012年10月24日，标准编制小组进行了第二次内部讨论会，对《信息安全灾难恢复服务能力评估准则》（初稿）进行了标准框架和内容的讨论，基本确定了编制标准的内容框架。 2013年4月，标准编制小组根据确定的标准内容框架对标准完成了标准的编制，形成了《信息安全灾难恢复服务能力评估准则》（内部稿）。 2013年4月24日，标准编制小组召开第一次内部专家评审会，对《信息安全灾难恢复服务能力评估准则》（内部稿）进行内部讨论和评审。会议邀请了包括了万国数据、北京太极华清、清华大学、国富瑞、华胜天成、总参五十一所等在内的业界灾难恢复技术专家和信息安全专家参加会议，提出了标准编制的意见和建议。根据专家评审意见，标准名称改为《信息系统灾难恢复服务能力评估准则》。 2013年6月，编制小组根据第一次内部专家评审会的意见对标准进行了修改，形成了《信息系统灾难恢复服务能力评估准则》（内部修改稿）。 2013年6月4日，标准编制小组邀请上述专家召开了第二次内部专家评审会，对《信息安全灾难恢复服务能力评估准则》（内部稿修改稿）进行内部评审。与会专家共提出了四十多条意见和建议。 2013年7月，标准编制小组根据第二次内部专家评审会的意见，对《信息安全灾难恢复服务能力评估准则》（内部稿修改稿）进行了修改和完善，形成了《信息系统灾难恢复服务能力评估准则》（草案）。 2013年月，G7组召开了标准项目工作会与会本标准草案提出了一些意见和建议。014年6月，标准编制小组根据第二次内部专家评审和安标委编制检查上的意见，进一步完善和修改了 图一 灾难恢复服务框架示意图 b）参考安全工程能力成熟度模型SSE-CMM和服务过程能力成熟度模型CMM,形成了灾难恢复能力成熟度模型（DRP-CMM），所形成的对信息系统灾难恢复服务能力成熟度进行度量的模型。其主要由由能力维和域维构成。信息系统灾难恢复服务能力级别五级之分；域维由过程域(PA)构成和资源配置要求组成。模型图如下： 图二 灾难恢复服务能力示意图 图三 灾难恢复服务能力成熟度模型 图四 灾难恢复服务能力构成要素 三、主要试验[或验证]情况分析 中国信息安全测评中心利用《灾难恢复服务能力评估准则》为指导方法开展的灾难恢复服务能力的资质测评工作已经有10年之久，资质审核覆盖了目前我国决定多数的灾难恢复组织，充分的实践了本标准的科学性，普遍得到行业内对本标准中能力成熟度模型的认可。 四、知识产权情况说明 无。 五、产业化情况、推广应用论证和预期达到的经济效果 信息安