QSY 1332-2010 信息系统灾难恢复管理规范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Q/SY 1332—2010
信息系统灾难恢复管理规范
Specifications for information system disaster management
2010-05-25 发布
2010-08-01 实施 发布
目次
Q/SY 1332—2010
前言 ................................................................. 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 灾难恢复的组织机构 .................................................................. 3 4.1 综述 .............................................................................. 3 4.2 构成及职责 ........................................................................ 3 5 灾难恢复需求分析 .................................................................... 4 5.1 风险分析 .......................................................................... 4 5.2 业务影响分析 ...................................................................... 5 5.3 确定灾难恢复需求 .................................................................. 6 6 灾难恢复策略制定 .................................................................... 7 6.1 灾难恢复能力等级 .................................................................. 7 6.2 灾难备份中心布局 .................................................................. 7 6.3 灾难备份中心建设模式 .............................................................. 7 6.4 对灾难备份中心的要求 .............................................................. 8 7 灾难备份中心运行维护 ................................................................ 8 7.1 运行维护目的 ...................................................................... 8 7.2 运行维护内容 ...................................................................... 8 7.3 运行维护管理信息系统 .............................................................. 8 7.4 灾难恢复预案的演练 ................................................................ 8 8 灾难恢复预案 ........................................................................ 9 8.1 预案的目的 ........................................................................ 9 8.2 预案的制定 ........................................................................ 9 8.3 预案的管理 ........................................................................ 9 9 应急响应和灾难恢复 .................................................................. 9 9.1 应急响应流程 ...................................................................... 9 9.2 灾难恢复流程 ..................................................................... 10 9.3 重建与回退 ....................................................................... 11 10 演练及培训 ........................................................................ 11 10.1 灾难恢复演练 .................................................................... 11 10.2 认知与培训 ...................................................................... 13 附录 A(资料性附件)灾难恢复预案框架 .................................................. 14 参考文献 ............................................................................. 16
1
Q/SY 1332—2010 3.7
关键业务功能 critical business functions 如果中断一定时间,将显著影响业务运作的服务或职能。 [GB/T 20988-2007,定义 3.6] 3.8 信息系统 Information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统。 [GB/Z 20986-2007,定义 2.1] 3.9 生产系统 production system 支持企业日常业务运作的信息系统,包括生产数据、生产数据处理系统、生产数据存储系统和生产 网络系统。 [GB/T 20988-2007,定义 3.16] 3.10 生产中心 production site 生产系统提供运行环境的数据中心,也称为主中心。 [GB/T 20988-2007,定义 3.15] 3.11 灾难备份中心 alternate site 用于灾难发生后,接替生产中心进行数据处理和支持关键业务功能运作的数据中心,包括备用数据 处理中心、备用的工作环境、备用生活设施和技术支持及运行管理人员。 [GB/T 20988-2007,定义 3.1] 3.12 灾难备份 backup for disaster recovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行 备份的过程。 [GB/T 20988-2007,定义 3.2] 3.13 灾难备份系统 backup system for disaster recovery 用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。 [GB/T 20988-2007,定义 3.3] 3.14 数据备份策略 data backup strategy 为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外存 放方式,以保证达到恢复点目标(RPO)和恢复时间目标(RTO)。 [GB/T 20988-2007,定义 3.7] 3.15 灾难恢复预案 disaster recovery plan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件,用于指导相关人员在预定的 灾难恢复目标内恢复信息系统支持的关键业务功能。 [GB/T 20988-2007,定义 3.10] 3.16 业务连续性规划 business continuity planning(BCP) 灾难事故的预防和响应机制,是一系列事先制定的策略和规划,确保组织在面临突发的灾难事故时,
GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
3 术语和定义
ቤተ መጻሕፍቲ ባይዱ下列术语和定义适用于本标准。 3.1
灾难 disaster 由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服 务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。 [GB/T 20988-2007,定义 3.8] 3.2 灾难恢复 disaster recovery(DR) 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾 难造成的不正常状态恢复到可接受状态,而设计的活动和流程。 [GB/T 20988-2007,定义 3.9] 3.3 灾难恢复规划 disaster recover planning(DRP) 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能,在灾难发生后能及时恢复和继续 运作,所做的事前计划和安排。 [GB/T 20988-2007,定义 3.11] 3.4 业务影响分析 business impact analysis(BIA) 分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能影响的过程。 [GB/T 20988-2007,定义 3.5] 3.5 恢复时间目标 recovery time objective(RTO) 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。 [GB/T 20988-2007,定义 3.18] 3.6 恢复点目标 recovery point objective(RPO) 灾难发生后,系统和数据应恢复到的时间点要求。 [GB/T 20988-2007,定义 3.19]
I
Q/SY 1332—2010
前言
本标准是中国石油天然气集团公司信息标准体系管理与服务规范系列标准之一。 本标准的附录 A 为资料性附录。 本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位:中国石油集团东方地球物理勘探有限责任公司。 本标准主要起草人:周晓松、冯梅、王雨、李闻喜、胡革强、辛麒、于普漪、徐刚、颜伟海、李颖 琦、秦侃、魏占玲。
II
信息系统灾难恢复管理规范
Q/SY 1332—2010
1 范围
本标准规定了信息系统灾难恢复系统建设、运行过程中应遵守的基本要求。 本标准适用于中国石油天然气集团公司(以下简称“中国石油”)总部及所属各企事业单位信息系 统灾难恢复的规划、审批、实施和管理。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有 的修改单(不包含勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研 究是否可使用这些文件的最新版本。凡是未注明日期的引用文件,其最新版本适用于本标准。
信息系统灾难恢复管理规范
Specifications for information system disaster management
2010-05-25 发布
2010-08-01 实施 发布
目次
Q/SY 1332—2010
前言 ................................................................. 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 灾难恢复的组织机构 .................................................................. 3 4.1 综述 .............................................................................. 3 4.2 构成及职责 ........................................................................ 3 5 灾难恢复需求分析 .................................................................... 4 5.1 风险分析 .......................................................................... 4 5.2 业务影响分析 ...................................................................... 5 5.3 确定灾难恢复需求 .................................................................. 6 6 灾难恢复策略制定 .................................................................... 7 6.1 灾难恢复能力等级 .................................................................. 7 6.2 灾难备份中心布局 .................................................................. 7 6.3 灾难备份中心建设模式 .............................................................. 7 6.4 对灾难备份中心的要求 .............................................................. 8 7 灾难备份中心运行维护 ................................................................ 8 7.1 运行维护目的 ...................................................................... 8 7.2 运行维护内容 ...................................................................... 8 7.3 运行维护管理信息系统 .............................................................. 8 7.4 灾难恢复预案的演练 ................................................................ 8 8 灾难恢复预案 ........................................................................ 9 8.1 预案的目的 ........................................................................ 9 8.2 预案的制定 ........................................................................ 9 8.3 预案的管理 ........................................................................ 9 9 应急响应和灾难恢复 .................................................................. 9 9.1 应急响应流程 ...................................................................... 9 9.2 灾难恢复流程 ..................................................................... 10 9.3 重建与回退 ....................................................................... 11 10 演练及培训 ........................................................................ 11 10.1 灾难恢复演练 .................................................................... 11 10.2 认知与培训 ...................................................................... 13 附录 A(资料性附件)灾难恢复预案框架 .................................................. 14 参考文献 ............................................................................. 16
1
Q/SY 1332—2010 3.7
关键业务功能 critical business functions 如果中断一定时间,将显著影响业务运作的服务或职能。 [GB/T 20988-2007,定义 3.6] 3.8 信息系统 Information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统。 [GB/Z 20986-2007,定义 2.1] 3.9 生产系统 production system 支持企业日常业务运作的信息系统,包括生产数据、生产数据处理系统、生产数据存储系统和生产 网络系统。 [GB/T 20988-2007,定义 3.16] 3.10 生产中心 production site 生产系统提供运行环境的数据中心,也称为主中心。 [GB/T 20988-2007,定义 3.15] 3.11 灾难备份中心 alternate site 用于灾难发生后,接替生产中心进行数据处理和支持关键业务功能运作的数据中心,包括备用数据 处理中心、备用的工作环境、备用生活设施和技术支持及运行管理人员。 [GB/T 20988-2007,定义 3.1] 3.12 灾难备份 backup for disaster recovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行 备份的过程。 [GB/T 20988-2007,定义 3.2] 3.13 灾难备份系统 backup system for disaster recovery 用于灾难恢复目的,由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。 [GB/T 20988-2007,定义 3.3] 3.14 数据备份策略 data backup strategy 为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外存 放方式,以保证达到恢复点目标(RPO)和恢复时间目标(RTO)。 [GB/T 20988-2007,定义 3.7] 3.15 灾难恢复预案 disaster recovery plan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件,用于指导相关人员在预定的 灾难恢复目标内恢复信息系统支持的关键业务功能。 [GB/T 20988-2007,定义 3.10] 3.16 业务连续性规划 business continuity planning(BCP) 灾难事故的预防和响应机制,是一系列事先制定的策略和规划,确保组织在面临突发的灾难事故时,
GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
3 术语和定义
ቤተ መጻሕፍቲ ባይዱ下列术语和定义适用于本标准。 3.1
灾难 disaster 由于人为或自然的原因,造成信息系统运行严重故障或瘫痪,使信息系统支持的业务功能停顿或服 务水平不可接受、达到特定的时间的突发性事件,通常导致信息系统需要切换到备用场地运行。 [GB/T 20988-2007,定义 3.8] 3.2 灾难恢复 disaster recovery(DR) 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾 难造成的不正常状态恢复到可接受状态,而设计的活动和流程。 [GB/T 20988-2007,定义 3.9] 3.3 灾难恢复规划 disaster recover planning(DRP) 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能,在灾难发生后能及时恢复和继续 运作,所做的事前计划和安排。 [GB/T 20988-2007,定义 3.11] 3.4 业务影响分析 business impact analysis(BIA) 分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能影响的过程。 [GB/T 20988-2007,定义 3.5] 3.5 恢复时间目标 recovery time objective(RTO) 灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。 [GB/T 20988-2007,定义 3.18] 3.6 恢复点目标 recovery point objective(RPO) 灾难发生后,系统和数据应恢复到的时间点要求。 [GB/T 20988-2007,定义 3.19]
I
Q/SY 1332—2010
前言
本标准是中国石油天然气集团公司信息标准体系管理与服务规范系列标准之一。 本标准的附录 A 为资料性附录。 本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位:中国石油集团东方地球物理勘探有限责任公司。 本标准主要起草人:周晓松、冯梅、王雨、李闻喜、胡革强、辛麒、于普漪、徐刚、颜伟海、李颖 琦、秦侃、魏占玲。
II
信息系统灾难恢复管理规范
Q/SY 1332—2010
1 范围
本标准规定了信息系统灾难恢复系统建设、运行过程中应遵守的基本要求。 本标准适用于中国石油天然气集团公司(以下简称“中国石油”)总部及所属各企事业单位信息系 统灾难恢复的规划、审批、实施和管理。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有 的修改单(不包含勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研 究是否可使用这些文件的最新版本。凡是未注明日期的引用文件,其最新版本适用于本标准。