YD/T 3486-2019 标准规范下载简介
YD/T 3486-2019 灾难备份与恢复专业服务能力要求及评估方法.pdf简介:
"YD/T 3486-2019 灾难备份与恢复专业服务能力要求及评估方法"是一份由中华人民共和国工业和信息化部发布的技术标准。这份标准主要针对灾难备份与恢复(Disaster Recovery and Business Continuity, DRBC)的专业服务能力提出了详细的要求和评估方法。DRBC是指企业在面临自然灾害、技术故障或其他突发事件时,能够快速恢复其关键业务功能的能力,以减少业务中断和数据丢失。
该标准可能涵盖了备份策略的制定、备份系统的运行、恢复流程的执行、风险评估、应急响应能力、员工培训等多个方面,旨在帮助企业提高灾难恢复的效率和效果,确保业务连续性。评估方法可能包括了文档审查、现场考察、能力测试、模拟演练等多种形式,以全面评估组织在灾难备份与恢复服务中的实际操作与管理能力。
总的来说,这份标准为企业提供了一套可供参考和遵循的指南,以提升其在灾难备份与恢复领域的专业服务水平,应对日益复杂的业务环境和风险。
YD/T 3486-2019 灾难备份与恢复专业服务能力要求及评估方法.pdf部分内容预览:
YD/T34862019
定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定 来复标内恢复信息系统支持的关键业务功能。
依据信息系统灾难备份与恢复服务提供者的服务资质、服务水平和服务能力将对信息系统灾难备份 与恢复服务提供组织分为三个等级DB61∕T 1085-2017 半刚性基层沥青路面透层施工技术规范,其中一级为最高,三级为最低。高等级能力要求涵盖了低等级要求 的所有方面。级别的递增是通过增加新的能力要求条款或在原有条款上进行增强来实现的。 信息系统灾难备份与恢复服务水平按照满足金字塔或纺锤形结构的认证体系兼顾考察组织的管理 能力和技术能力
灾难备份与恢复服务提供者应满足: a)具有中华人民共和国境内独立法人资格,具有相关部门颁发的基本合法营业资格; b)必须获得国家相关部门颁发的从事灾难备份与恢复服务的资格证书: c)拥有专门从事信息系统灾难备份和恢复服务的部门或团队: d)从事涉密(国家秘密)信息系统灾难备份与恢复服务的组织必须获得国家安全主管部门的批准: e)采用商密信息产品进行灾难备份与恢复系统集成的组织必须获得国家安全主管部门的批准; f)必须遵守国家现行法律、法规的规定。
灾难备份与恢复服务提供者应满足: a)组织管理:具有职责明确、岗位设置合理的组织结构和管理体系。 b)文档管理:制定并实施完善的文档管理制度,采取可控的技术和管理措施确保文档信息安全 包括纸质文档和电子版文档。 C 保密管理:拥有安全保密的工作环境,制定完善的保密管理制度,明确保密岗位和保密职贵; 公司与相关人员签订《保密责任书》并定期进行保密教育与培训,明确安全保密义务和需要承 担的法律责任,定期检查落实情况。 d)人员管理:建立人员培训与考核管理程序,保证员工持续满足岗位职责要求,制定灾难备份与 恢复服务技能培训计划,定期对相关人员进行培训、指导与考核。如果项目中需要第三方人员 参与,组织应负责对其进行管理。
灾难备份与恢复服务提供者应满足: a)组织管理:具有职责明确、岗位设置合理的组织结构和管理体系。 b)文档管理:制定并实施完善的文档管理制度,采取可控的技术和管理措施确保文档信息安全 包括纸质文档和电子版文档。 C 保密管理:拥有安全保密的工作环境,制定完善的保密管理制度,明确保密岗位和保密职贵 公司与相关人员签订《保密责任书》并定期进行保密教育与培训,明确安全保密义务和需要承 担的法律责任,定期检查落实情况。 d)人员管理:建立人员培训与考核管理程序,保证员工持续满足岗位职责要求,制定灾难备份与 恢复服务技能培训计划,定期对相关人员进行培训、指导与考核。如果项目中需要第三方人员 参与,组织应负责对其进行管理。
YDT34862019
项目管理:制定并实施适用于灾难备份与恢复服务的项目管理制度。项目计划应结合实际情况, 合理控制资金支出,明确技术路线。项目启动需合理界定范围,明确实施团队;项目实施者要 保证协调和指导项目中存在的各种技术和组织问题;项目验收应保证成果能成功移交。 质量管理:建立质量管理制度,按照持续改进的要求,制定灾难备份与恢复服务项目实施计划 和监督检查计划,通过使用格式统一、要求一致的相关文档,保证服务项目质量的一致性,
3.2人员构成与素质要
从事灾难备份与恢复服务的组织,大员构成与素质应满足: a)从事灾难备份与恢复服务服务的组织应具有充足的人力资源和合理的人员结构; b)所有与灾难备份与恢复服务服务有关的管理和销售人员等应具有基本的灾难备份知识; c)应有一批相对稳定的技术队伍,并且技术人员应获得有效的资质或从业证书; d)技术骨干人员应系统地掌握灾难备份与恢复服务基础理论和核心技术,并有足够的专业工作经 验。
6.3设备、设施与环境
从事灾难备份与恢复服务的组织,应:
从事灾难备份与恢复服务的组织,应: a)具有固定的工作场所,良好的工作环境 b)具有先进的开发、测试或模拟环境; c)具有先进的开发、生产和测试设备:
YD/T34862019
YD/T 34862019
YD/T 34862019
d)具有实施相关服务的必需的开发、生产和测试工具。
从事灾难备份与恢复服务的组织,应: a)有足够的注册资金和充足的流动资金; b)建立与所承担的业务范围和工程规模相适应的服务体系; c)有足够的人员从事直接与灾难备份服务相关的活动。
从事灾难备份与恢复服务的组织,应具有与申请资质相符的从业经历,主要考查: a)从业时间; b 工程或项目规模: c)工程或项目数量; d)工程或项目质量; e)合作项目参与程度; f)完成结果评价。
从事灾难备份与恢复服务的组织,应: a)提供信息系统灾难备份系统建设服务的组织,其建设的信息系统灾难备份系统工程应符合 GB/T20282一2006《信息安全技术信息系统安全工程管理要求》。 b)提供信息系统安全咨询培训服务的组织,其协助建设的信息系统灾难备份系统工程应符合经裁 剪的GB/T20282一2006《信息安全技术信息系统安全工程管理要求》;裁剪原则应与业务范 围和控制环节相一致。
从事灾难备份与恢复服务的组织,应: a)提供信息系统灾难备份系统建设服务的组织,其建设的信息系统灾难备份系统工程应符合 GB/T20282一2006《信息安全技术信息系统安全工程管理要求》。 b)提供信息系统安全咨询培训服务的组织,其协助建设的信息系统灾难备份系统工程应符合经裁 剪的GB/T20282一2006《信息安全技术信息系统安全工程管理要求》;裁剪原则应与业务范 围和控制环节相一致。
从事灾难备份与恢复服务的组织,应: a)有独立的法人资格; b)有固定的培训场所,良好的培训环境; c)有相应培训设备; d)有持培训资格证书的培训人员。
从事灾难备份与恢复服务的组织,应: a)有独立的法人资格; b)有固定的培训场所,良好的培训环境: c)有相应培训设备; d)有持培训资格证书的培训人员。
7灾难备份与恢复服务能力评估方法
信息系统灾难备份与恢复服务 和能力的标尺。依据服务提供者 围、水平及能力,将服务提供者划分为三个等级,其中一级为最高,三级为最低。在本标准中
于低级别能力,因此组织在达到高级别之前必须
7.2灾难备份与恢复服务能力三级资质要求
TD/34862019
从事灾难备份与恢复服务的组织,应满足以下资格要求: a)基本资格:详见本标准“4基本资格要求”; b)人员素质要求:从事信息系统灾难备份与恢复服务人员占机构总人数的比例不低于10%,拥 有信息系统安全服务相关资质人员和项目管理资格人员; c)机构负责人应具有2年以上信息技术领域企业管理经历,技术负责人应从事信息系统灾难备份 与恢复技术工作不少于2年,财务负责人应具有初级以上职称; d)从业时间:机构从事信息系统灾难备份与恢复服务2年以上; e)业绩要求:近三年内至少完成4个信息系统灾难备份与恢复服务项目,符合质量要求并通过验 收,而且项目合同总金额不少于200万元人民币,其中至少1个项目金额不少于50万元人民 币。
7.2.2管理能力要求
详见本标准“5基本管理要求”
7.2.3技术能力要求
详见本标准“6.1技术能力要求”。
详见本标准“6.1技术能力要求”。
7.2.4服务能力要求
7.2.4.1方案设计与验证能力
从事灾难备份与恢复服务的组织,应具备以下方案设计与验证能力要求: a)组织调研客户信息,开展需求分析,制定需求分析报告,独立或配合开展风险分析和业务影响 分析。 b)结合风险分析、业务影响分析结果及组织在灾难备份和恢复的投入能力,独立或配合设计灾难 备份与恢复技术方案,其中至少包括恢复时间目标RTO、恢复点自标RPO、实施与维护容灾 策略所需资源配置等。技术方案需要平衡恢复时间需求、成本、难度等因素之间关系。 1 依据灾难备份与恢复技术方案,制定具体灾难备份与恢复项目实施方案,其中至少包括时间进 度、人员配置、实施环境评估、主线任务演进计划、收尾验收标准等要素。 d 组织相关部门验证和确认技术方案和实施方案是否满足灾难备份和恢复策略要求,完整记录验 证过程并保存相关结果。
7.2.4.2系统建设实施与管理能力
事灾难备份与恢复服务的组织,应具备以下系统建设实施与管理能力要求。 依据已确认的灾难备份与恢复技术方案和实施方案,按照时间和质量要求进行系统建设《低压直流电源 第3部分:电磁兼容性(EMC) GB/T 21560.3-2008》,至少 包括数据备份系统、备用数据处理系统和备用网络系统等。
YDI34862019
7.2.4.3预案制定与演练能力
从事灾难备份与恢复服务的组织,应具备以下预案制定与演练能力要求: a)独立或配合制定、评审、验证和测试灾难备份与恢复预案。 b)建立演练指挥协调程序,包括汇报流程、指挥协调工作方法与机制,保障演练过程顺利进行 c)实施桌面演练,对可能发生的灾难场景进行模拟演练,不涉及系统切换、业务恢复和实际操作; 参演人员根据灾难情景假设,描述应急响应和处理行动;对灾难恢复期间的组织协调、职责分 工及相关工作进行纸面或口头表述。 d)桌面演练完成后组织演练总结,对演练过程进行考评,并保存相关记录。
7.2.4.4教育与培训
从事灾难备份与恢复服务的组织,应具备以下教育与培训能力要求: a)制定保密意识培训计划,定期面向全体员工开展保密意识培训。 组织技术人员参加业务连续性、灾难备份与恢复等专业技术培训,根据自身条件选择内部培训 或参加外部机构培训GB∕T 9846.6-2004 胶合板 第6部分 普通胶合板标志、标签和包装,培训结束后进行考评。 c)结合项目需要,对外部配合人员和第三方人员进行相关培训。 d)结合灾难备份与恢复预案和演练计划,制定相关培训课程并组织开展培训。
7.3灾难备份与恢复服务能力二级资质要求
从事灾难备份与恢复服务的组织,应满足以下资格要求: a)基本资格:详见本标准“4基本资格要求”。 b)人员素质要求:从事信息系统灾难备份与恢复服务人员占机构总人数的比例不低于30%,拥 有信息系统安全服务相关资质人员和项目管理资格人员。 c)机构负责人应具有3年以上信息技术领域企业管理经历;技术负责人应从事信息系统灾难备份 与恢复技术工作不少于3年;财务负责人应具有初级以上职称。 d)从业时间:从事信息系统灾难备份与恢复服务3年以上。