QSY 1332-2010 信息系统灾难恢复管理规范

信息系统灾难恢复规范在当今数字化时代，信息系统对于企业、组织乃至整个社会的正常运转都起着至关重要的作用。

然而，各种自然灾害、人为失误、恶意攻击等因素都可能导致信息系统的瘫痪，给业务带来巨大的损失。

为了应对这种情况，制定信息系统灾难恢复规范就显得尤为重要。

信息系统灾难恢复规范的首要目标是确保在灾难发生后，信息系统能够尽快恢复正常运行，减少业务中断的时间和损失。

这一规范涵盖了从预防灾难到恢复系统的全过程，包括风险评估、备份策略、恢复计划、测试与演练等多个方面。

风险评估是信息系统灾难恢复规范的基础。

通过对可能面临的各类灾难进行全面的分析和评估，包括火灾、水灾、地震、电力故障、网络攻击等，确定每种灾难发生的可能性和可能造成的影响。

这有助于企业或组织了解自身的脆弱点，有针对性地制定防范措施。

备份策略是保障信息系统数据安全的关键环节。

数据是信息系统的核心资产，因此必须定期进行备份。

备份的方式可以包括本地备份和异地备份。

本地备份通常速度较快，但在灾难发生时可能会同时受损；异地备份则可以提高数据的安全性，但可能会存在一定的传输延迟。

此外，还需要根据数据的重要性和更新频率，确定合理的备份周期和保留策略。

恢复计划是信息系统灾难恢复规范的核心内容。

它详细描述了在灾难发生后，如何逐步恢复信息系统的运行。

恢复计划应包括恢复的优先级、人员分工、资源调配、技术方案等。

例如，对于关键业务系统，应优先进行恢复；同时，明确各个部门和人员在恢复过程中的职责，确保协同工作的高效性。

测试与演练是检验信息系统灾难恢复规范有效性的重要手段。

只有通过实际的测试和演练，才能发现恢复计划中存在的问题和不足之处，并及时进行改进。

测试和演练可以模拟不同类型和规模的灾难场景，检验系统的恢复能力和人员的应对能力。

在制定信息系统灾难恢复规范时，还需要考虑成本与效益的平衡。

过度的投入可能会增加企业的负担，但投入不足又可能导致恢复效果不理想。

因此，需要根据企业的实际情况和风险承受能力，制定合理的预算和资源配置方案。

中国*股份有限公司
信息系统灾难恢复管理办法
第一章总则
第一条为进一步规范公司信息系统灾难恢复工作，提高防范灾难风险的能力，降低或消除因重要信息系统发生运营中断所造成的影响，根据国家有关法律、法规等规范性文件，结合《中国*集团信息系统灾难恢复管理细则》有关文件要求，制定本办法。

第二章组织机构
第二条公司总裁室是公司信息系统灾难恢复管理工作的最高领导机构，负责公司信息系统灾难恢复管理工作的领导、指挥和统筹部署，决定灾备工作的重大事项。

第三条信息技术部负责汇总、审定各业务主管部门拟定的重要业务系统的灾难恢复策略和恢复目标，参与全面的灾难恢复演练和审阅灾难恢复演练报告，参与重大灾难发生时的恢复工作和接收灾难恢复报告。

第四条信息技术部作为信息系统的运行维护部门，参。

信息系统容灾备份与恢复制度1.目的：为了加强我院信息系统数据备份与恢复的管理，避免信息数据丢失，特制定本管理制度根据《中华人民共和国计算机信息系统安全保护条例》和国家有关法律规定，结合我院实际情况，特制定本规定。

2.范围：适用于信息科3.职责：3.1.信息科对信息系统安全保护工作有监督、检查、指导、查处危害信息系统安全的违规行为。

3.2.我院信息系统数据的备份工作由信息科统一管理，负责全院信息系统数据的备份工作。

4.具体要求4.1.提高数据备份的自动化运行管理水平，做好信息系统数据容灾备份，减少人的操作与干预，或制定严格的管理规范，避免误操作。

4.2.信息系统数据的备份包括定期备份和临时备份两种，定期备份是指按照规定的日期定期对数据进行备份；临时备份指在特殊情况（如软件升级、设备更换、感染病毒等）下，临时对信息数据进行备份。

4.3.信息系统数据根据系统情况和备份内容，可以采取以下备份方式：4.3.1 完全备份：对备份的内容进行整体备份；4.3.2 增量备份：仅对备份相对于上一次备份后新增加和修改过的数据；4.4.根据各种数据的重要程度及其容量进行分级分类，确定备份方式、备份周期和保留周期；4.4.1 A级：出现故障可停机时间小于12小时，如HIS、PASS、体检系统等；备份机制完全备份每周备份1次，数据保留二周，增量备份每天4小时备份1次，数据保留一周；4.4.2 B级：出现故障可停机时间12小时-48小时，如移动护理、掌上佳音、排队叫号系统等；备份机制完全备份每周备份1次，数据保留二周，增量备份每天备份1次，数据保留一周；4.4.3 C级：出现故障停机时间48小时以上，如饭卡系统、停车系统等；备份机制完全备份每周备份1次，数据保留二周，增量备份每周备份1次，数据保留二周；4.5.为保证所备份的内容可再现系统运行环境，数据备份内容应包括网络系统的所有关键数据。

具体指计算机和网络设备的操作系统、应用软件、系统数据和应用数据。

灾备与数据恢复管理制度一、前言为了确保企业信息系统在灾难事件发生后能够快速、高效地恢复运行，最大限度地保护企业紧要数据和业务连续性，订立本《灾备与数据恢复管理制度》。

二、灾备与数据恢复管理的目标和原则2.1 目标确保企业信息系统在任何自然祸害、人为事故或其他紧急情况下能够快速有效地恢复，保障企业的基本运营和服务本领。

2.2 原则1.防备为主，灾备与数据恢复管理应以防备灾难和事故的发生为重要目标，防患于未然。

2.安全第一，保障数据和系统的安全性是灾备与数据恢复管理的首要任务。

3.应用敏捷，订立的灾备与数据恢复方案应具备敏捷性，能够适应不同的祸害情况和恢复需求。

4.完整性和时效性，恢复后的数据和系统应能够完整无误地恢复到灾难发生前的状态，并在合理的时间范围内实现恢复。

三、责任与组织架构3.1 责任1.综合部门负责订立灾备与数据恢复管理制度，并监督全公司的执行情况。

2.技术部门负责订立具体的灾备与数据恢复方案，并监督实施过程中的技术支持。

3.各部门负责自身数据备份和数据恢复的具体实施，确保备份数据的完整性和可用性。

3.2 组织架构1.设置灾备与数据恢复管理委员会，由综合部门和技术部门负责人构成，负责订立灾备与数据恢复管理的政策和决策。

2.组织灾备与数据恢复演练，定期检查各部门的备份和恢复情况。

四、灾备与数据恢复方案4.1 灾备方案1.依据企业的实际情况，订立严密的灾备方案，包含对关键业务系统、网络设备、服务器和数据库等关键资源的备份和恢复措施。

2.灾备方案应当包含完整的备份策略、备份周期、备份介质的选择和管理、备份数据的存储和保密等内容。

3.灾备方案应定期进行评估和优化，以确保其与企业发展的全都性。

4.2 数据恢复方案1.针对各类数据的紧要性和恢复需求，订立相应的数据恢复方案，确保关键数据能够在事故发生后快速恢复。

2.数据恢复方案应包含数据的备份策略、备份存储介质的选择和管理、数据恢复流程的订立和实施等内容。

数据灾难恢复管理制度一、概述随着信息化的快速发展，数据已成为企业最重要的资产之一。

然而，数据也面临着各种风险，如病毒攻击、系统故障、自然灾害等。

一旦发生数据灾难，往往会给企业带来巨大的损失。

因此，建立健全的数据灾难恢复管理制度，对企业来说至关重要。

数据灾难恢复管理制度是指企业为了保障数据安全，在面临各种灾难情况下能够迅速、有效地恢复数据，防止数据丢失的一套完整的管理制度。

该制度的建立不仅可以减少数据灾难的发生概率，还可以最大限度地减少数据灾难带来的损失。

本文将为大家详细介绍数据灾难恢复管理制度的内容、建立和执行。

二、建立数据灾难恢复管理制度的必要性1. 数据是企业的核心资产。

在信息化时代，企业的许多关键业务都离不开数据。

一旦数据丢失，将会给企业带来严重的经济损失和商誉影响。

2. 数据灾难的风险不断增加。

随着网络攻击和自然灾害的频繁发生，数据丢失的风险也在不断增加。

3. 法律法规的要求。

一些国家和地区的法律法规规定企业应当保障数据的安全，建立健全的数据灾难恢复管理制度。

4. 市场竞争的压力。

企业在市场竞争中，需要更快速、更可靠地恢复数据，以确保业务的持续运营。

5. 客户信任的重建。

一旦客户的数据丢失，会对客户造成严重的影响，企业需要通过快速恢复数据来重建客户的信任。

综上所述，建立数据灾难恢复管理制度是企业的迫切需求，有利于保障企业的数据安全，降低数据灾难的风险。

三、数据灾难恢复管理制度的内容1. 数据备份策略企业应该根据数据的重要程度和业务需求，制定合理的数据备份策略。

备份的频率、地点、手段等应该经过充分的考虑，并严格执行。

备份策略应该涵盖全面的业务数据和系统数据，确保在发生灾难时能够迅速恢复数据。

2. 数据灾难恢复方案企业应该制订详细的数据灾难恢复方案，包括数据恢复流程、责任人、应急联系人等。

不同的数据灾难情况需要采取不同的恢复方案，企业应该提前做好准备，确保能够在短时间内恢复数据。

3. 数据灾难演练定期进行数据灾难演练，检验数据备份和恢复方案的有效性。

中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知（2008年2月4日银发[2008]48号）中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，清算总中心，国家外汇管理局，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行，中国银联股份有限公司，中国外汇交易中心，中国金融电子化公司：《银行业信息系统灾难恢复管理规范》行业标准已经全国金融标准化技术委员会审查通过，现予以发布，并就有关事项通知如下：一、标准的编号和名称JR/T0044-2008，《银行业信息系统灾难恢复管理规范》。

二、该标准自发布之日起实施。

附件：银行业信息系统灾难恢复管理规范ICSAll JR备案号：中华人民共和国金融行业标准JR/T0044-2008银行业信息系统灾难恢复管理规范Management Specification of Information System Disaster Recovery for Banks2008-02-04发布2008-02-04实施中国人民银行发布目录前言引言1范围2规范性引用文件3术语和定义4银行业信息系统灾难恢复综述4.1灾难恢复工作内容4.2灾难恢复的周期性工作4.3机构间合作5组织机构设立和职责5.1组织机构设立5.2组织机构的组成和职责6灾难恢复需求分析6.1风险分析6.2业务影响分析6.3确定灾难恢复需求7灾难恢复策略制定7.1成本风险分析和策略的确定7.2灾难恢复能力等级7.3灾难备份中心的布局7.4资源、服务的获取和保障8灾难备份中心的建设8.1基础设施建设8.2灾难备份系统建设8.3项目监理9灾难备份中心的运行维护管理9.1管理制度建设9.2运行维护工作内容9.3运行维护的资源保障10灾难恢复预案的制定、演练与管理10.1灾难恢复预案的制定10.2灾难恢复预案的演练10.3灾难恢复预案的管理11应急响应和灾难恢复11.1应急响应11.2灾难恢复11.3重建与回退12监督管理12.1审计12.2备案附录A (资料性附录)应急响应和灾难恢复工作要点附录B (资料性附录)RTO/RPO与灾难恢复能力等级的关系前言本标准是对银行业信息系统灾难恢复管理要求的描述。

信息系统数据备份恢复管理规范第一章总则第一条本制度所指的数据主要是指经XXXXXX信息主管部门认定需要进行备份的以计算机系统可读取的电子数据格式存在的应用数据和系统(运行)数据。

备份数据则是指已经备份的上述数据。

备份数据的级别与其所属系统的最高级别一致。

当备份数据的保密性十分重要的前提下，备份数据应通过加密方法进行有效保护。

第二条本制度所指的备份介质是指用于存放备份数据的存储载体，包括磁带、磁盘、光盘等。

第三条XXXXXX负责数据备份工作的相关部门是信息安全管理部门，运行维护部承担如下数据备份工作的职责：(一)数据备份工作的职责包括：1.向信息安全管理部门提出其主管业务相关数据的机密性、完整性和可用性需求；2、定期向信息管理部门提出针对备份数据存储环境的机密性、完整性和可用性的测试需求，并接收、审核信息管理部门提交的测试结果；3、接收、审核信息管理部门提交的针对备份数据、备份介质和备份介质存储环境的机密性、完整性和可用性的测试结果。

（二）信息管理部门是指负责数据备份实施工作的部门,是数据备份系统的主管部门。

其对数据备份工作的职责包括：1.负责根据数据备份策略的制定原则和业务主管部门针对其主管业务相关数据提出的机密性、完整性和可用性需求，制定数据备份需求；2、接收、分析并实施业务主管部门提交的数据备份需求；3、接收、分析并实施业务主管部门提交的针对备份数据、备份介质和备份介质存储环境和库房的机密性、完整性和可用性的测试需求；4、定期（至少每年一次）对备份介质的可用性和和备份介质存储环境的保密性进行测试；5、提出数据备份系统的预算，负责数据备份系统的总体规划、建设、运行和维护工作；6、负责备份介质的保管、使用、借用、移交、销毁、交接和管理等工作；7、本地异地备份介质存储环境和库房的日常运作和管理。

第二章数据备份策略的制定原则第四条二级和三级信息系统数据备份策略的制定原则如下：（一）每日对变更的业务数据进行备份，备份介质存放在本地库房，保存期限最少为一个月。

信息系统备份恢复管理制度一、背景介绍随着信息技术的发展，信息系统在企业中扮演着至关重要的角色。

然而，各种因素可能导致信息系统中数据的丢失或损坏，从而带来严重的经济损失和业务中断。

为了保障信息系统的稳定运行和数据安全，制定一套完善的备份和恢复管理制度势在必行。

二、目的和范围本制度的目的是确保信息系统的数据能够在发生故障或灾难时快速、可靠地进行备份和恢复。

适用范围包括所有使用信息系统的部门和人员。

三、备份管理1. 确定备份策略：根据信息系统的重要性和数据的敏感性，制定不同级别的备份策略，并确保备份频率和存储介质的可行性。

2. 确认备份内容：明确需要备份的数据内容，包括数据库、应用程序、设置文件等，不同数据按照不同的策略进行备份。

3. 确保备份安全：备份数据应存储在安全可靠的设备中，同时进行加密和防护措施以防止数据泄露或篡改。

4. 定期检查备份完整性：定期验证备份数据的完整性和可用性，并做好备份日志的记录。

四、恢复管理1. 制定恢复策略：根据不同故障场景制定恢复策略和步骤，确保能够迅速恢复信息系统中的数据和功能。

2. 测试恢复方案：定期测试恢复方案的有效性，包括数据恢复时间、数据完整性和业务连续性等。

3. 恢复操作权限控制：限制只有经过授权的人员才能执行恢复操作，以防止误操作和未经授权的数据访问。

五、灾难恢复1. 制定灾难恢复计划：针对自然灾害、系统故障等严重情况，制定灾难恢复计划，明确各方责任和应对步骤。

2. 数据备份与迁移：将备份数据存储在离散的地理位置，并定期迁移备份数据，确保即使发生灾难也能够恢复业务。

3. 灾难恢复演练：定期组织灾难恢复演练，检验灾难恢复计划的有效性和各方人员的应对能力。

六、责任与监督1. 管理部门负责制定和监督备份恢复管理制度的执行情况，定期评估制度的有效性并提出改进建议。

2. 各部门负责按照备份恢复管理制度的规定执行备份和恢复操作，并配合相关部门进行监督和检查。

3. 内部审计部门定期对备份恢复管理制度的执行情况进行审计，发现问题及时提出整改措施。

数据备份与灾难恢复计划管理规章制度一、背景介绍随着信息技术的迅猛发展和广泛应用，各类组织对数据的重要性意识日益增强。

数据备份与灾难恢复计划是保障数据安全性和业务连续性的重要措施。

为了规范数据备份与灾难恢复计划的管理，确保其有效运行，本文将制定数据备份与灾难恢复计划管理规章制度，以指导组织内部相关人员的工作。

二、管理目标数据备份与灾难恢复计划管理的目标是确保数据备份的及时性、完整性和可靠性，以及在遭受灾难性事件时能够迅速恢复业务运行。

通过建立规章制度，明确工作职责、流程和要求，提高数据备份与灾难恢复计划的管理水平和有效性。

三、管理原则1. 统一规划：建立统一的数据备份与灾难恢复计划管理框架，统筹整合组织内各相关部门和人员的职责和资源，确保管理的一致性和高效性。

2. 安全保密：对数据备份与灾难恢复计划的相关资料和信息进行严格保密，确保数据安全性和防止泄露。

3. 定期演练：定期组织数据备份与灾难恢复演练，及时检验和验证计划的可行性和有效性，发现并解决问题。

4. 持续改进：不断总结经验，根据实际情况进行计划的调整和完善，提高管理水平和应对能力。

四、管理流程1. 数据备份管理流程（1）明确备份策略：根据数据的重要性和敏感性，制定备份策略并明确数据备份的频率、范围和方式。

（2）选择备份工具和设备：根据备份策略选择适合的备份工具和设备，确保备份的可靠性和高效性。

（3）设定备份计划：制定备份计划，包括备份时间、备份目标和备份存储位置等，并建立备份任务。

（4）执行备份任务：按照备份计划执行备份任务，确保数据的及时性和完整性。

（5）验证备份数据：定期验证备份数据的可用性和完整性，发现问题及时进行修复和调整。

2. 灾难恢复计划管理流程（1）风险评估：对组织内部可能遭受到的各类灾难风险进行评估，确定灾难等级和影响范围，为后续制定恢复计划提供依据。

（2）恢复方案制定：根据风险评估结果，制定针对不同灾难情况的恢复方案，并明确责任人和应急联系方式。

信息系统灾难恢复规范（GB/T 20988-2007，2007年11月1日开始正式实施）目次前言III1 范围12 规范性引用文件13 术语和定义14 灾难恢复概述24.1 灾难恢复的工作范围24.2 灾难恢复的组织机构34.3 灾难恢复规划的管理34.4 灾难恢复的外部协作44.5 灾难恢复的审计和备案45 灾难恢复需求的确定45.1 风险分析45.2 业务影响分析45.3 确定灾难恢复目标46 灾难恢复策略的制定46.1 灾难恢复策略制定的过程46.2 灾难恢复资源的获取方式56.3 灾难恢复资源的要求57 灾难恢复策略的实现67.1 灾难备份系统技术方案的实现67.2 灾难备份中心的选择和建设77.3 技术支持能力的实现77.4 运行维护管理能力的实现77.5 灾难恢复预案的实现78 灾难恢复预案的制定、落实和管理78.1 灾难恢复预案的制定78.2 灾难恢复预案的教育、培训和演练88.3 灾难恢复预案的管理8附录 A （规范性附录）灾难恢复的等级划分9 A.1 第1级基本支持9A.2 第2级备用场地支持9A.3 第3级电子传输和部分设备支持9A.4 第4级电子传输及完整设备支持10A.5 第5级实时数据传输及完整设备支持11A.6 第6级数据零丢失和远程集群支持11A.7 灾难恢复等级评定原则12A.8 灾难备份中心的等级12附录 B （资料性附录）灾难恢复预案框架13 B.1 目标和范围13B.2 组织和职责13B.3 联络与通讯13B.4 应急响应流程13B.4.1 事件通告13B.4.2 人员疏散13B.4.3 损害评估13B.4.4 灾难宣告13B.5 恢复及重续运行流程13B.5.1 恢复13B.5.2 重续运行13B.6 灾后重建和回退13B.7 预案的保障条件14B.8 预案附录14前言本标准的附录A是规范性附录，附录B是资料性附录。

本标准由xxxxx提出。

本标准由xxxxx归口。

灾备与故障恢复管理制度第一章总则第一条目的和依据为了保障企业信息系统的正常运行，及时应对意外祸害和系统故障，保护企业业务连续性和数据安全，订立本灾备与故障恢复管理制度。

第二条适用范围本制度适用于全部公司部门及员工，在企业灾备与故障恢复管理中进行规范操作。

第三条定义1.灾备（Disaster Recovery，简称DR）：指在祸害或系统故障发生后，采取相应措施和技术手段，保障信息系统的连续可用性和业务连续运行的过程。

2.故障恢复（Fault Recovery）：指在系统发生故障时，通过各种方法快速恢复系统的可用状态和正常运行。

第二章灾备管理第四条灾备策略1.公司应订立灾备策略，包含但不限于备份数据、备份系统、订立应急预案等。

2.灾备策略应依据不同业务系统的特点和紧要性进行分类，订立相应的灾备方案。

第五条灾备设施1.公司应建立灾备设施，包含但不限于灾备数据中心、灾备机房等。

2.灾备设施应处于不同的地理位置，以确保在地震、火灾等祸害发生时不受影响。

3.灾备设施的建设和维护应符合相关标准和规定。

第六条灾备测试1.公司应定期进行灾备测试，测试内容包含但不限于灾难恢复情景模拟、灾备设备检测等。

2.灾备测试应记录测试结果和问题，及时修复存在的问题，确保灾备系统的可靠性和稳定性。

第七条灾备培训1.公司应开展灾备培训，培训内容包含但不限于灾备预案、应急措施、灾备设备操作等。

2.员工应参加相关灾备培训，掌握相应操作技能，提高应对灾备情况的本领。

第三章故障恢复管理第八条故障诊断与定位1.公司应建立故障诊断与定位机制，及时发现和解决系统故障。

2.员工应具备肯定的故障诊断和定位本领，能够快速推断故障原因并采取相应措施进行修复。

第九条故障响应1.公司应建立故障响应机制，设置特地的责任人，负责接收和处理系统故障的报告。

2.故障发生时，责任人应立刻响应，组织相关人员进行故障排查和修复。

第十条故障恢复1.公司应订立系统故障恢复流程和相应的应急预案，确保故障能够在最短时间内得到恢复。

信息系统的灾难恢复规范信息系统的灾难恢复工作包括灾难恢复规划和灾难备份中心的日常运维,关键业务功能在灾难备份中心的恢复和重续运行,以及主系统的灾后重建和回退工作,还涉及突发事件发生后的应急响应,灾难恢复是一个周而复始,持续改进的过程,包括以下几个阶段:1、灾难恢复需求的确定2、灾难恢复策略的制定3、灾难恢复策略的实现4、灾难恢复预案的制定、落实和管理。

灾难恢复的组织架构中的人员有管理、业务、技术和行政后勤等人员组成，一般设定灾难恢复领导小组和灾难恢复规划实施小组和灾难恢复日常允许组。

组织可以聘请具有相应资质的外部专家协助灾难恢复实施工作，也可以委托具有相应资质的外部机构承担实施组织，以及日常运行组的部分或全部工作。

灾难恢复领导小组的职责：是信息系统灾难恢复工作的组织领导机构，组长应由组织最高管理层成员担任。

领导小组的职责是领导和决策信息系统灾难恢复重大事宜，主要如下：审核并批准经费预算审核并批准灾难恢复预案批准灾难恢复预案的执行灾难恢复实施组灾难恢复规划实施组的主要职责是负责：灾难恢复的需求分析提出灾难恢复策略和等级灾难恢复策略的实现制定灾难恢复预案组织灾难恢复预案的测试和演练灾难恢复日常运行组灾难恢复日常运行组的主要职责是负责协助灾难恢复系统实施灾难备份中心日常管理灾难备份系统的运行和维护灾难恢复的专业技术支持参与和协助灾难预案的教育、培训和演练维护和管理灾难恢复预案突发时间按发生时的随时控制和损失评估灾难发生后信息系统和业务功能的恢复。

灾难发生后的外部协作。

灾难恢复需求的确定风险分析的主要内容包括：标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性并定量或定性描述可能造成的损失，识别现有的风险防范和控制措施。

通过技术和管理手段，防范或控制信息系统系统的风险。

依据防范或控制风险的可行性和残余的可接受程度，确定对风险的防范和控制措施。

业务影响分析分析业务功能和相关资源配置对组织的各项业务功能及各项业务功能之间相关性进行分析，确定支持各种业务功能的相应信息系统资源及其他资源，明确相关信息的保密性、完整性和可用性要求。

解读《信息系统灾难恢复规范》文/许志峰几年来，我们从一开始探讨要不要和值不值得进行灾备建设，到后来逐渐达成共识：灾备建设是大势所趋。

但是对于如何建设灾备系统，仍然缺乏权威的标准可供借鉴，不得不摸石头过河去探索。

在这个大背景下，中国灾难备份与恢复行业的第一个国家标准《信息系统灾难恢复规范》，于2007年11月1日开始正式实施，它作为各行业进行灾备建设的重要参考性文件，具有重大意义。

一、灾备建设国家标准的诞生上世纪70年代末，美国Sungard公司在费城建立了全世界第一个灾备中心。

三十年来，频繁发生的自然灾难和恐怖袭击一次次的提醒人们，作为业务支撑系统的重要组成部分，灾备系统已经成为数据中心不可或缺的部分，全球的灾难备份行业也因此得到了迅猛发展。

而在国内，最早在2003年，中央办公厅和国务院办公厅联合下发了《国家信息化领导小组关于加强信息安全保障工作的意见》，第一次提到了重要信息系统需要具备灾难恢复能力。

2005年4月，国务院信息化办公室联合银行、电力、民航、铁路、证券等八大重点行业，制定发布了《重要信息系统灾难恢复指南》，对国内各行业的灾难备份与恢复工作的开展提供了指导。

通过两年的试行以及广泛征求意见，《重要信息系统灾难恢复指南》经修改完善后正式升级成为国家标准GB/T 20988-2007《信息系统灾难恢复规范》（以下简称《规范》），并于2007年11月1日开始正式实施。

这是中国灾难备份与恢复行业的第一个国家标准，是各行业进行灾备建设的重要参考性文件，具有重大意义。

二、《信息系统灾难恢复规范》解读1.核心内容《规范》规定了信息系统灾难恢复应遵循的基本要求，适用于信息系统灾难恢复的规划、审批、实施和运维。

主要包括以下几部分内容：1)灾难恢复行业相应的术语和定义；2)灾难恢复概述（包括灾难恢复的工作范围、灾难恢复的组织机构、灾难恢复规划的管理、灾难恢复的外部协作、灾难恢复的审计和备案）；3)灾难恢复需求的确定（包括风险分析、业务影响分析、确定灾难恢复目标）；4)灾难恢复策略的制定（包括灾难恢复策略制定的要素、灾难恢复资源的获取方式、灾难恢复资源的要求）；5)灾难恢复策略的实现（包括灾难备份系统技术方案的实现、灾难备份中心的选择和建设、专业技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现）。

可编辑修改精选全文完整版数据备份与灾难恢复管理制度1.0 目的为了规范公司重要数据备份清单的建立、备份的职责、备份的检查、以及系统受到破坏后的恢复工作，合理防范计算机及信息系统使用过程中的风险，特制定本制度。

2.0 适用范围本制度适用于深圳市泰丰科技有限公司。

3.0 定义灾难恢复，指自然或人为灾害后，重新启用信息系统的数据、硬件及软件设备，恢复正常商业运作的过程。

灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做出评估、防范，特别是对关键性业务数据、流程予以及时记录、备份、保护。

数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。

4.0 关键控制点4.1 在与重要硬件设备或软件系统供应商签订的采购合同中，应有相关备份与灾害恢复的技术支持条款。

4.2 各部门应建立相应的重要信息备份清单，在此基础上形成公司重要信息备份清单，并定期更新。

5.0 规范和要求5.1 职责5.1.1电脑部是公司信息备份的归口管理部门，负责公司所有重要信息备份的管理和协调。

5.1.2 各部门负责人是确定本部门重要备份数据的责任人，部门负责人应定期向电脑部提供本部门重要数据的备份或最新的备份数据清单。

5.2 备份清单建立和维护5.2.1 各部门人员将需要备份的数据清单填到《部门数据备份清单》中，然后提交到电脑部，并确保每天下班前存放到电脑部指定的网络存储位置。

电脑部汇总各部门上报的《部门数据备份清单》，并核对网络上的存储数据，形成《公司数据备份清单》。

5.2.2 下列数据应包含在《公司数据备份清单》中：⏹信息系统（包括：ERP系统、工资系统、考勤系统、安保系统、饭卡系统等）；⏹邮件系统；⏹OA系统；⏹软件系统开发的相关代码和文档；⏹重要网络设备的配置数据和文档；⏹其他重要的数据。

5.2.3 备份方式：电脑部负责根据数据的重要性及保存期限等情况，为各类数据设定适当的备份方式。

信息安全技术信息系统灾难恢复规范Information security technology-Disaster recovery specifications for information systems目次前言 (II)引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 灾难恢复概述 (3)4.1 灾难恢复的工作范围 (3)4.2 灾难恢复的组织机构 (3)4.3 灾难恢复规划的管理 (4)4.4 灾难恢复的外部协作 (4)4.5 灾难恢复的审计和备案 (4)5 灾难恢复需求的确定 (4)5.1 风险分析 (4)5.2 业务影响分析 (4)5.3 确定灾难恢复目标 (5)6 灾难恢复策略的制定 (5)6.1 灾难恢复策略制定的要素 (5)6.2 灾难恢复资源的获取方式 (5)6.3 灾难恢复资源的要求 (6)7 灾难恢复策略的实现 (7)7.1 灾难备份系统技术方案的实现 (7)7.2 灾难备份中心的选择和建设 (7)7.3 专业技术支持能力的实现 (7)7.4 运行维护管理能力的实现 (7)7.5 灾难恢复预案的实现 (8)附录A （规范性附录）灾难恢复能力等级划分 (10)附录B （资料性附录）灾难恢复预案框架 (14)附录C （资料性附录）某行业RTO/RPO与灾难恢复能力等级的关系示例 (16)信息系统灾难恢复规范1 范围本标准规定了信息系统灾难恢复应遵循的基本要求。

本标准适用于信息系统灾难恢复的规划、审批、实施和管理。

2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8-2001 信息技术词汇第8部分：安全GB/T 20984 信息安全技术信息安全风险评估规范3 术语和定义GB/T 5271.8-2001确立的以及下列术语和定义适用于本标准。