信息系统灾难备份与恢复服务资质认证自评估表填写指南.pdf-道客多多

资源描述

1、ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 1 页共 18 页信息系统灾难备份与恢复服务资质认证自评估表填写指南填写要求： 1.当条款对应的需提供证明材料为制度或项目文档时，在“证明材料清单栏目”填写文档的完整名称。例如信息系统灾难恢复实施流程图、 XX 数据中心生产运营管理规范、 XX 数据中心建设方案、 XX 系统灾难恢复演练方案等，并概括地介绍制度或项目文档各章节的主要内容。 2.当条款对应的需提供证明材料为记录文档时，在“证明材料清单栏目”填写记录的完整名称。例如精密空调维护记录、新风系统

2、维护记录、发电机组维护记录、 XX 灾备系统试运行记录等，并概括地介绍记录文档的主要内容。 3.当条款对应的需提供证明材料为某制度或文档的某章节内容时，在“证明材料清单栏目”填写文档的完整名称及对应的章节编号。例如XX 公司灾备中心应急预案和恢复预案第 X章应急组织机构和职责、 XX 系统灾难恢复演练方案第 X章参演人员分工等，并对相关内容进行总结概括。 4.所有出现在“证明材料清单”栏目中的文档，都需提供相应的电子版文档或纸质文档的扫描件作为证明材料，并按照条款的序号建立文件夹整理归档，建立文件夹的格式为“序号-条款的考核内容” ，例如“1-信息系统灾难恢复实施流程” 、 “

3、6-灾备中心面积证明材料” 、 “14- 气体灭火系统” 、 “58-桌面推演方案及记录”等。以下给出了一份填写样例，供申请组织进行参考。填报组织应按照填写样例的细粒度，进行相关信息的填报。当申请三级服务资质时，仅填写自评估表中与三级相关的条款（具体分两种情况：1、标明适用于三级的；2、未标明属于哪个级别的）；申请二级服务资质时，除填写标明适用于二级的条款之外，还应填写所有属于三级要求的条款；申请一级服务资质时，填写全部条款。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 2 页共 18 页组织名称 XX 公

4、司（全称）申报级别资源服务类 A类/X 级技术服务类 B类/X 级评估时间 XX 年 X 月 X 日-X 月 X日评估部门/人员 XX 部/XX 序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 1. 技术服务要求建立信息系统灾难备份与恢复服务流程。按照相关标准建立信息系统灾难备份与恢复服务流程，流程图中应包括每个阶段对应的职责、输入输出等。制定信息系统灾难恢复实施流程图，分别给出系统调研、需求分析、方案设计、测试验证、应急预案制定、演练（桌面演练、常态化演练、模拟切换演练、实际切换演练）、运行维护、验收等阶段的工作内容。 2

5、. 制定信息系统灾难备份与恢复服务规范并按照规范实施。信息系统灾难备份与恢复服务规范。制定信息系统灾难恢复规范，第 4 章灾备恢复概述明确了灾难恢复的工作范围、灾难恢复的组织机构、灾难恢复规划的管理、灾难恢复的外部协作、灾难恢复的审计和备案；第 5 章灾难恢复需求的确定明确了风险分析、业务影响分析、确定灾难恢复目标；第 6 章灾难恢复策略的制定明确了灾难恢复策略制定的要素、灾难恢复资源的获取方式、灾难恢复资源的要求；第 7 章灾难恢复策略的实现明确了灾难备份系统技术方案的实现、灾难备份中心的选择和建设、专业技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现

6、等内容。 3. 资源服务类（A类）要求-灾备拥有至少1个可用于灾备中心的场地，位置避免处于地质沉降地带，交通便利、抗震等级按照国家规定的该地区抗介绍所属各个灾备中心的分布与建设情况，包括但不限于灾备中心地理位置、物理环境、建设与完工时间、灾备中心所处地理位置无强地震、洪水、内涝、飓风等灾难的相关历史记录，且水文、地质、气象等自然条件良好，附近无有害气体源以及腐蚀性物品存放，周围 100 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 3 页共 18 页序号要点条款需提供证明材料自评估结论

7、证明材料清单符合不符合中心场地资源要求震设防烈度执行，抗震设防类别为丙类及以上。基础建设、信息系统建设、主要承担业务等情况；提供灾备中心选址情况说明、灾备中心抗震等级、自然环境安全风险防控等。米范围内无加油站、易燃易爆物等。数据中心的抗震设防等级 X级，属 X类。 4. 仅二级/一级要求：拥有至少2个在不同地域的可用于灾备中心的场地资源，抗震设防烈度按照国家规定的该地区抗震设防烈度执行，抗震设防类别为乙类及以上。场地资源情况： 1.北京 XX 云计算数据中心，数据中心的抗震设防等级 X 级，属 X类； 2.上海 XX 云计算数据中心，数据中心的抗震

8、设防等级 X 级，属 X类。提供XXX 数据中心建设方案，作为抗震设防等级的设计证明。 5. 仅一级要求：拥有至少2个在不同地域且处于不同的风险区域的灾备中心，满足异地灾备场地要求。场地资源情况： 1.北京 XX 云计算数据中心，数据中心的抗震设防等级 X 级，属 X类； 2.上海 XX 云计算数据中心，数据中心的抗震设防等级 X 级，属 X类。提供XXX 数据中心建设方案，作为抗震设防等级的设计证明。 6. 三级/二级/一级分别要求：用于和可用于灾备中心IT运行区的高架地板面积不低于1000/2000/5000平米。灾备中心详细地址、产权关系，提供灾备中心IT运

9、行区的高架地板建筑和使用面积等。场地资源情况： XX 云计算数据中心坐落于上海市 XX 路 XX 号。提供 “XX 房屋租赁合同” ，出租方为“XX 有限公司” ，承租方为“XX 网络有限公司” 。建筑面积 XX 平米，机房区域使用面积 XX 平米。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 4 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合提供XXX 数据中心建设方案，作为机房面积的设计证明。 7. 机房设置724小时门禁系统，所有进入机房的外部

10、人员均需获得授权。介绍灾备中心机房门禁管理制度和访问控制程序。提供XX 数据中心生产运营管理规范，在“第五章第二节门禁管理” 中有 “门禁卡的管理” 、 “门禁监控系统” 、 “门禁钥匙” 、 “视频监控系统”等，所有进入机房的外部人员均需获得授权。 8. 提供724小时闭路电视监控，其中公共区域的监控数据保留1个月以上，机房区域的监控数据保留2个月以上。灾备中心配备监控设备、监控影像数据保存要求。提供XX 数据中心生产运营管理规范，在“第五章第二节门禁管理” 中有“门禁监控数据应做好数据备份，视频监控备份时间应保证 6 个月”要求，监控影像数据存放在 XX

11、视频服务器上，容量是 XX，XX 时间备份一次。 9. 具备较高灵敏度的烟雾探测系统和消防系统，可实现分区灭火和定点报警。灾备中心功能区与公共区域防火预警措施和管理制度，提供园区内防火设备设施清单、区域布防情况。提供 XX 灾备中心功能区与公共区域防火预警措施，使用 XX 灭火系统，具备烟雾探测系统和消防系统；提供 XX 消防工程检测有限公司出具的气体灭火系统检测记录表。 10. 灾备中心建筑耐火等级达到二级及以上。灾备中心建筑耐火等级证明材料。提供XX 机房验收交付报告，在报告中的“十二、消防系统”中确定了“耐火等级为一级，机房墙壁耐火时间为 2 小时，楼板

12、耐火时间为 2 小时，门耐火时间为 1.5 （甲级防火门）小时。 ” 提供XXX 数据中心建设方案，作为灾备中心建筑耐火等级的证明材料。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 5 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 11. 仅一级要求：灾备中心建筑耐火等级达到一级。提供XX 机房验收交付报告，在报告中的“十二、消防系统”中确定了“耐火等级为一级，机房墙壁耐火时间为 2 小时，楼板耐火时间为 2 小时，门耐火时间为 1.5 （甲级防火门

13、）小时。 ” 提供XXX 数据中心建设方案，作为灾备中心建筑耐火等级的证明材料。 12. 仅二级/一级要求：灾备中心建设等级满足国标A级或国际T3以上机房要求。提供灾备中心机房建设情况；提供灾备中心机房环境达到相应要求的证明材料。提供中国电信数据中心星级认证材料；提供国家 A类机房标准要求的审对结果。 13. 仅一级要求：灾备中心应符合环保要求，采用高效新风换气系统，机房内正压，确保机房洁净度。提供 XX 灾备中心场地基础设施介绍，在 2.2.3章节中，有关于新风换气系统的说明“新风系统设计采用高效冷热预处理新风系统，大大减轻了数据中心空调末端的负担。对新风进

14、行温湿度、洁净度处理后才进入数据中心机房。数据中心机房形成正压，有效确保数据中心机房洁净度” 。提供XXX 数据中心建设方案，作为相关证明材料。 14. 仅二级/一级要求：具备气体灭火的消防系统，并具备早期报警系统/温感和烟感系统两级报警。灾备中心机房气体灭火消防系统设施配置情况。提供XX 数据中心消防探点图，展示了温感和烟感系统的布局，具备有两级报警系统。提供 XX 消防工程检测有限公司出具的气体灭火系统检测记录表。 15. 仅一级要求：用于灾备中心的场地应自有产权，或者签署有剩余期限不少于5 年的长期租赁合同。提供灾备中心的土地使用证或长期租赁合同。提供

15、土地使用证明、 XX 灾备中心方案设计说明，在第二章中，说明该数据中心为 XX 单位自有产权，设计使用年限为 50 年。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 6 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 16. 仅一级要求：至少采用园区保安、机房门卫、前台三重审核的外部保安措施。灾备中心园区各个区域保安措施和安全管理方案。提供XX 数据中心安全区域管理指引，将数据中心工作的环境划分成四个不同的安全区域，并分别对之制定不同的管控要求

16、。在四个区域采用四种安保设施，园区，机房和前台均需要进行人员审核。 17. 仅一级要求：灾备中心的所有通道、机房内均设置 CCTV 摄像头和7X24小时监控，并且可以按照客户的要求提供更长的保存期限。灾备中心监控区域分布、人员值守情况，视频数据保存管理要求。提供XX 门禁安防及消防系统管理指引，第 5.2 章节规定：数据中心园区、各功能区域进出门、走道及机柜前后通道应安装视频监控设备，做到监控无死角。数据保存期不低于 6 个月，并且可以根据客户需求提供更长的保存期限。 18. 资源服务类（A类）要求-灾备中心基础设施要求拥有灾备中心基础保障设施，包括但不限于

17、供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等，并定期检查。介绍灾备中心供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等基础保障设施的配备情况，提供基础保障设施检查和巡检制度和措施。提供 XX 灾备机房验收交付报告，在报告中覆盖有 “电力供应” ， “空调系统” ， “安防保卫” ， “设备运输”等基础保障设施的配备情况验收。如“电力供应”中有“具备一类市电两路引入” 、 “具备 3 台发电机机组” 、 “具备 3 个燃油库” “具备 3 套 2+1UPS系统”等。提供“塔式 UPS 电源维护记录” 、 “低压配电系统维护记录” 、 “普通分

18、体空调维护记录” 、 “精密空调维护记录” 、 “新风系统维护记录” 、 “发电机组维护记录” 。 19. 拥有灾备中心基础配套设施，包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。介绍灾备中心灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等配套设施配备情况。提供XXX 数据中心建设方案，作为灾备中心基础配套设施建设的相关证明材料。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 7 页共 18 页序号要点

19、条款需提供证明材料自评估结论证明材料清单符合不符合 20. 拥有灾备中心基础生活设施，包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。介绍灾备中心保障日常运维所配备生活设施情况，包括但不限于人员宿舍、食堂、活动室等。提供XXX 数据中心建设方案，作为灾备中心基础生活设施建设的相关证明材料。 21. 拥有灾备中心运行所需工作环境，包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。介绍灾备中心数据机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等运行工作环境情况。提供XXX 数据中心建设方案，作为

20、灾备中心工作环境建设的相关证明材料。 22. 具备单路高压供电和独立UPS不间断电源保障。灾备中心外部供电系统及UPS电源供电模式，提供灾备中心UPS电源供电设备清单。灾备中心外部供电系统及 UPS 电源供电情况： XX 机房具备一类市电两路引入，由 XX 变电站 10 千伏引入，XX 大厦的一路来源于 XX，另一路来源于 XX。具备 X套 2+1UPS系统，按 XX 冗余模式进行部署， UPS 电池电量的储备能力 X 分钟，UPS 电池设计使用寿命 5 年。单机架供电为 X路 UPS 电源输入，分别从 X套 UPS 系统引入，X架电源列头柜引入。 23. 采用精密空调系

21、统，并具备恒温恒湿要求。介绍灾备中心机房制冷设备、设施配备情况；提供空调系统在温湿度方面的具体参数。提供XX 灾备机房验收交付报告， “机房所需供冷量为 X 千瓦，配备总可供冷量为 X 千瓦，风冷空调末端采用 XX 品牌，室外机为模块化结构，分别与室内末端匹配。每个机房按 4+1 配备空调，一层 X台，整个 IDC 机房共 X台。 24. 仅二级/一级要求：采用精密空调系统，机房温度应达到 22C2C，湿度应达到 45%-65%。提供 XX 机房配备的温度和湿度监控平台生成的温湿度监控记录，作为符合性证明材料。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复

22、服务资质认证自评估表填写指南中国信息安全认证中心制第 8 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 25. 仅二级/一级要求：建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。灾备中心基础设施巡检、监控、检查、维护、性能和容量管理制度，应急与故障演练制度和流程，包括但不限于灾备中心运维整体规划、运维管理层制度、实施层制度和操作层制度等。提供XX 数据中心生产运营管理规范，对数据中心的生产安全、环境安全和消防安全做了相关规定。在“第四章设备维护管理” 中

23、的 “第一节日常规定” 中有 “ 设备在使用中，必须进行日常的设备巡检及实时的告警监控，查看设备的运行状态是否正常。 ” ； “按照设备的使用周期进行安排设备的维护检测，并做好相应的记录”等。提供“塔式 UPS 电源维护记录” 、 “低压配电系统维护记录” 、 “普通分体空调维护记录表” 、 “精密空调维护记录表” 、 “新风系统维护记录” 、 “发电机组维护记录” 。提供XX 灾备中心应急演练预案，有“数据中心防台风、雷暴灾害预案” 、 “防火应急预案” 、 “防震应急预案” 、 “防汛防台应急预案” 、 “设备爆炸应急预案” 、 “断电应急演练”等，提供针对每种预案的

24、演习计划、演练记录。 26. 仅二级/一级要求：具备双路高压供电和双路UPS供电，拥有后备发电机组，并能在UPS后备时间内提供电力供应，满足全部负荷连续运行48小时以上。灾备中心双路高压及双路UPS供电设计方案，介绍UPS供电能力。灾备中心外部供电系统及 UPS 电源供电情况： XX 机房具备一类市电两路引入，由 XX 变电站 10 千伏引入，XX 大厦的一路来源于 XX，另一路来源于 XX。具备 X套 2+1UPS系统，按 XX 冗余模式进行部署， UPS 电池电量的储备能力 X 分钟，UPS 电池设计使用寿命 5 年。单机架供电为 X路 UPS 电源输入，分别从 X套

25、 UPS 系统引入，X架电源列头柜引入。具备 X 台发电机机组，单台功率为 XX 千瓦，定义功率 XXKV A；油机采用了 XX 品牌，型号为 XX。油机冗余ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 9 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合方式为 N+1。油机采用自动启动方式，加载启动时间（满载）X分钟。 27. 仅一级要求：高压电来自两个独立的变电站的双路设计。提供灾备中心高压电路设计方案，达到双路供电要求。提供XX 灾备中心场地基础设施

26、介绍，在 X章节中有详细说明：数据中心 X路市电接入，总装机容量达到 XX，每个模块的供电容量可达 XX。 28. 仅一级要求：后备发电机组具有不停机补充燃料的能力，并且与燃料供应商签署燃料供应保障协议，保障燃料数量和质量要求，UPS和油机可自动切换。介绍灾备中心发电机组及燃料油库相关情况，提供实际切换记录。提供XX 灾备中心燃料供应合同。 29. 资源服务类（A类）要求-灾备中心运维管理要求拥有灾备中心运维组织架构和运行管理团队，建立灾备中心机房运行管理和信息安全管理制度，并有效运行。灾备中心组织架构、岗位职责及运行维护管理团队名单，提供灾备中心机

27、房运行管理制度和信息安全管理制度。提供 XX灾备机房运维团队组织架构图，共分为 XX、 XX、 XX、XX 等职能部门，部门的岗位职责为 XX。提供XX 数据中心生产运营管理规范，包括运营管理总则、运营管理分工、人员管理工作、设备维护管理、机房安全管理、故障管理、运营质量管理、运营文档管理、IDC 作业计划等章节。 30. 建立灾备中心信息系统运行监控平台，及时发现灾备系统运行的故障并进行故障定位、诊断和审计，保存相关记录。灾备中心信息系统运行监控平台建设和运行管理情况，包括但不限于监控范围、预警、故障处理等；提供灾备系统故障应急处置预案。 XX 灾备机房运维团

28、队使用的 XX 监控平台，能够实时监控所运维信息系统的各类性能和可用性参数，对故障和异常情况能够即时通过 XX 方式，告知运维人员。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 10 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 31. 建立信息系统灾难恢复指挥系统，保障灾难恢复效率。灾备中心灾难恢复指挥系统方案和指挥协调程序，包括但不限于指挥系统组织架构、岗位职责、汇报流程、指挥协调工作方法与管理机制等。提供XX 数据中心防台风、雷暴灾害预案

29、、 XX 数据中心防火应急预案、 XX 数据中心防震应急预案、 XX 数据中心防汛防台应急预案等预案；提供 XX 机房应急演练记录（包括断电、防汛、交换机演练、配电柜、消防等）。 32. 建立灾备中心与生产中心统一变更流程。灾难备份中心与生产中心间的变更流程，包括但不限于事先评估生产中心的变更和调整对灾难备份中心可能造成的影响，并规划灾难备份中心的变更方案和计划等。提供XX 数据中心运维实施项目和需求变更管理制度第三章运维实施需求变更管理规则，对运维的变更流程进行了规定，具体内容如下： 33. 定期开展数据验证工作，确保生产与灾备数据的一致性、完整性和可用性。

30、灾备中心数据验证程序和相关策略，包括但不限于定期演练、基准核对、子系统验证等，保障在灾难发生时，灾难备份系统及时接替生产系统运行。提供“XX 数据迁移与云备份服务项目” （应用容灾）和 “XX 数据容灾备份服务项目采购及实施项目” （数据容灾）的XX 项目数据 MD5 校验报告。 34. 仅二级/一级要求：灾备中心建立与生产中心统一的运维管理流程，实现两个中心联动运维。介绍两地双中心联动运维管理制度和运行程序。提供XX 两地双中心联动运维管理制度，制度主要章节如下： 35. 仅二级/一级要求：灾备中心建立完整的电子化IT资产管理系统，能动态跟踪灾备中心IT资产

31、变更。介绍灾备中心资产管理制度和资产管理平台情况，包括但不限于资产清单、资产选型、配置管理、变更管理、资产处置等。 XX 数据中心采用 XX 资产管理系统，系统的主要功能介绍如下： ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 11 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 36. 仅二级/一级要求：灾备中心提供统一的客户服务平台，集中受理客户服务请求。介绍灾备中心客户服务台情况，包括但不限于提供服务热线、岗位职责、人员配置、服务时效、工作

32、接口等。客户服务热线：400 XXXX XXX 提供XX 公司服务台管理制度，制度主要章节如下： 37. 仅二级/一级要求：妥善保管运维记录，所有文档应满足客户监管机构要求。灾备中心设备运行维护管理流程图、主要设备操作手册、设备运维过程记录模板、运维管理平台或业务系统等。提供“塔式 UPS 电源维护记录” 、 “低压配电系统维护记录” 、 “普通分体空调维护记录表” 、 “精密空调维护记录表” 、 “新风系统维护记录” 、 “发电机组维护记录”等。 38. 仅一级要求：采用运维监控和流程管理工具，实现对多数据中心资源的统一监控和自动化管理。 XX 灾备机房运维团队使用

33、的 XX 监控及运维管理平台，平台主要功能包括：能够实时监控所运维信息系统的各类性能和可用性参数，对故障和异常情况能够即时通过 XX 方式，告知运维人员 39. 仅二级/一级要求：定期开展灾难恢复模拟切换演练工作，确保发生灾难时，灾备系统能够接替生产系统运行。提供灾备中心灾难恢复演练程序和步骤，包括但不限于演练前动员、演练培训、演练范围、参演人员角色及职责分配、演练场景设计、演练报告与总结等。提供“XX 数据迁移与云备份服务项目”的项目文档灾备切换演练方案。提供“XX 数据迁移与云备份服务项目”的项目文档灾备切换演练记录。 40. 仅一级要求：针对特定的灾难场景进

34、行灾难恢复真实切换演练，并能接替生产完成至少2个小时的真实交易，并能在规定时间内进行回切。多场景演练的方案和演练记录，具备实际切换和回切能力，同时针对实际切换演练要制定完善的方案、进行全面培训和各种事件的应急处置预案，确保演练不对系统运行造成影响。提供“XX 数据迁移与云备份服务项目”的项目文档灾备切换演练方案。提供“XX 数据迁移与云备份服务项目”的项目文档灾备切换演练记录，其中 XX 章节的内容能作为“灾备系统接替生产系统完成至少 2 个小时的真实交易”的证明。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息

35、安全认证中心制第 12 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 41. 仅一级要求：具备真实切换演练的方案设计、培训、实施管理和应急处置能力。提供XX 项目演练方案，其中“7 切换验证演练”中提供切换演练的具体方案；提供演练总结报告， “3.2 切换演练验证结果”中有具体的实际切换演练截图证明。 42. 仅一级要求：定期维护灾难恢复预案，及时更新和分发预案文档，确保预案体系持续有效。信息系统灾难恢复预案体系，包括应急预案和恢复预案，提供预案维护过程记录，包括日常修订和每次演练后的修订与完善。提供 X

36、X 公司集中式信息系统灾备中心应急预案和恢复预案的修订和维护记录。 43. 仅一级要求：建立灾备中心应急管理体系，确保灾备系统稳定运行。提供灾备中心应急管理制度、应急处置预案，包括但不限于服务台、应急处置时间、应急响应团队、沟通协调机制、资源调配等。提供 XX 公司集中式信息系统灾备中心应急预案和恢复预案， “第 2 章应急组织机构和职责”包含了应急组织管理的相关内容， “第 3 章应急响应”中包含了“初始响应，通知通报，人员召集，灾难恢复决策，灾难恢复”等灾难恢复处理过程， “第 4 章灾备数据恢复技术步骤”中包含了灾难恢复重续运行，重建、回退处理等流程。

37、44. 技术服务类（B 类）要求-方案设计要求开展灾难恢复系统建设需求调研，并进行需求分析。提供项目需求分析报告，包括但不限于分析客户业务系统运行环境与背景、分析客户在灾备系统建设方面的投入能力，进行安全风险分析等。提供XX 项目需求说明书，在“二、生产中心 XX 系统基础环境调研分析”中对业务系统的应用现状、物理架构、系统应用做了分析，其中在物理架构中涵盖了安全性风险分析。 45. 仅二级/一级要求：按照不同灾难恢复等级对资源的要求，确定灾备中心基础设施、数据备份系统、备用数据处理系提供XX 项目可行性研究报告，在 XX 章节中明确了对灾备中心基础设施、数

38、据备份系统、备用数据处理系统和备用网络系统等方面的总体需求。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 13 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合统和备用网络系统等方面的需求，形成调研报告。 46. 按照灾难恢复规划和客户的投入能力，制定灾难备份与恢复系统技术方案、实施方案。提供灾备系统建设技术方案和实施方案，技术方案包括但不限于系统架构、产品选型、设备功能、性能指标、参数配置等；实施方案包括但不限于时间进度、人员配置、实施环境评

39、估、主线任务演进计划、收尾验收标准。提供XX 公司应用级灾备建设概要设计、 XX 公司应用级灾备建设详细设计，对各个关键业务所需要的产品和设备进行了整体功能设计，在 XX 章节涉及了关键设备的性能指标和参数配置要求。提供XX 系统部署方案，在 XX 章节对时间进度、人员配置、实施环境评估、主线任务演进计划、收尾验收标准进行了要求。 47. 仅二级/一级要求：对业务系统中断后的损失进行分析，制定业务系统的最大可容忍业务中断时间（RTO）、最大可容忍中断时间点（RPO）。灾备系统建设技术方案中应明确 RTO、RPO等参数。提供XX 灾备系统建设技术方案，在 X

40、X 章节中，明确 RTO、RPO等参数分别为 48. 仅二级/一级要求：依据系统建设要求和技术方案，制定系统测试方案。灾备系统测试方案，通过测试验证数据备份、数据恢复、网络通信等功能达到相关要求,测试方案包括但不限于测试功能模块、性能指标、测试步骤、测试方法等。提供XX 系统测试方案，在 XX 章节中介绍了测试功能模块、性能指标、测试步骤、测试方法等内容。 49. 仅一级要求：识别客户的信息资产及其脆弱性和威胁，对基础设施和信息系统进行风险评估，制定本地风险控制策略和灾难恢复策略。识别生产中心的各种外界威胁和内部存在的脆弱性，进行全面的风险评估与分析，结合业务运

41、行要求，进行业务连续性分析，制定针对业务恢复提供XX 公司信息系统风险分析报告，XX 章节中对重要资产、各种外界威胁和脆弱性做了风险分析，并在 XX 章节中给予了风险应对方案，其中在 XX 章节中对灾难性的风险做了分析，并在 XX 章节中提供了灾难恢复ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 14 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合指标和优先顺序。策略。 50. 仅一级要求：分析业务系统与应用系统之间的关联关系，确定应用系统灾难恢复指

42、标和恢复优先级别。提供XX 系统详细设计方案， “四、XX 灾备建设需求分析” 中的 “1 恢复范围分析” ， “2 应用关联分析” ， “3 核心组件分析”中，对 XX 系统内部的关键业务功能做了关联性分析，提取核心组件，并对核心组件的关联性影响作了分析，最后确定了系统恢复的优先顺序为 51. 技术服务类（B 类）要求-系统建设与管理要求依据灾难备份与恢复实施方案，实施灾难备份与恢复系统建设。灾备系统建设实施过程记录，包括但不限于项目时间进度计划、人员安排、质量要求、施工日志、项目周/ 日报等。提供XX 灾备系统部署方案，体现了项目建设的整个实施过程，其中

43、包括“一、生产端应用改造要求” ， “二、灾备中心接管区数据库资源池架构详细设计” ， “三、灾备中心接管区应用服务器资源池架构详细设计” ， “四、灾备中心 SAN 存储设计 ” ， “五、灾备中心备份详细设计 ” ， “六、灾备网络设计” ， “七、 DNS 域名规划” ， “八、 NTP 服务器方案” ， “九、灾备数据复制设计” ， “十、灾备中心云资源调度平台详细设计” ， “十一、灾备中心 XX 系统应用部署设计” ， “十二、负载均衡部署设计 ”等。 52. 妥善保存灾难备份与恢复系统建设过程记录文档。提供XX 灾备系统实施工作日志、 XX 灾备系统实施周报。

44、 53. 仅二级/一级要求：依据测试方案，组织实施系统测试，并详细记录。灾备系统测试记录和测试报告，包括但不限于灾备系统功能、性能和安全性测试情况。提供XX 灾备系统测试方案，在 XX 章节中介绍了测试功能模块、性能指标、测试步骤、测试方法等内容。提供XX 灾备系统测试记录。 ISCCC-QOG-0411-B/0 信息系统灾难备份与恢复服务资质认证自评估表填写指南中国信息安全认证中心制第 15 页共 18 页序号要点条款需提供证明材料自评估结论证明材料清单符合不符合 54. 仅二级/一级要求：制定灾难备份与恢复系统试运行方案，并详细记录试运

45、行过程情况。灾备系统试运行方案，包括但不限于运行时限、试运行过程记录、故障处理方案、试运行性过程演练情况。提供XX 灾备系统试运行方案。提供XX 灾备系统试运行记录。 55. 仅一级要求：建立系统运行维护管理制度，实时监控灾难备份中心运行状况，及时响应和处理异常情况，分析异常产生的原因，并依据流程升级和上报。基础设施运行管理制度，包括但不限于设备清单、运行状况监测、事件处理策略、问题上报流程等。提供XX 灾备中心基础设施运行管理制度，在 XX 章节体现了运行状况监测、事件处理策略、问题上报流程等内容。 56. 仅一级要求：建立存储介质和数据管理制度，规范数

46、据传输和复制过程，定期检查和验证存储介质和数据。存储介质及数据管理制度，包括但不限于建立存储介质目录、容量管理、验证与评估策略、数据存储规范、介质销毁等。提供XX 灾备中心存储介质及数据管理制度，在 XX 章节体现了建立存储介质目录、容量管理、验证与评估策略、数据存储规范、介质销毁等内容。 57. 技术服务类（B 类）要求-预案制定与演练要求制定信息系统灾难恢复预案。灾难恢复预案，包括但不限于对基础设施、网络系统、应用系统等进行的响应和恢复过程。提供XX 系统应急预案及快速恢复方案，主要章节内容包括 58. 开展信息系统灾难恢复桌面推演，并详细记录。灾难恢复演练记录，详细记录演练过程并进行演练总结。提供XX 系统灾难恢复演练记录，对 XX、XX、XX 等演练过程进行了记录。 59. 结合项目需要，组织开展灾难恢复预案培训。提供XX 灾备演练培训人员签到表。 60. 仅二级/一级要求：制定系统演练方案，明确演练范围、人员、场景、步骤等内容。灾备系统演练方案，包括桌面演练、模拟切换演练。提供XX 系统灾难恢复演练方案，主要章节内容包括

展开阅读全文