南宫NG·28

还有6天,灾备行业又一国家标准将正式实施

时间:2019-06-26 栏目:

由中国网络安全审查技术与认证中心、中国信息安全测评中心等数十个单位起草的《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》从灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目管理三个方面规定了灾难恢复服务的详细要求。今天,我们就这些要求进行详细的解读。在解读之前,我们先明确一些概念和定义。

一、灾难恢复服务总体要求

灾难恢复服务包括灾难恢复服务规划设计、建设实施和运行维护等环节,灾难恢复服务提供方可根据服务需求方的要求提供单个或多个环节的灾难恢复服务。服务时应该满足灾难恢复服务资源配置、灾难恢复服务过程和灾难恢复服务项目组织管理的要求。

二、灾难恢复服务资源配置要求

1. 资源配置总体要求

灾难恢复服务资源配置包括灾难恢复中心场地资源、灾难恢复系统资源和灾难恢复服务团队,灾难恢复服务资源由服务提供方向服务需求方提供,服务提供方不得转包(合同规定除外),但可以分包,如果分包(或转包),服务提供方应确保分包(或转包)商的服务满足服务需求方的要求。

2. 场地资源配置要求

服务提供方所提供的灾难恢复中心场地环境应在双方约定的服务期限内稳定运行,并能在灾难发生时接管生产系统运行。场地资源应符合安全管理要求的管理控制措施,包括物理安全、南宫NG·28安全、运行安全、人员安全等安全措施管控,并进行安全审计。场地资源配置要求包括场地位置要求、布局要求、建筑结构要求、电力设施要求、消防设施要求、空调系统要求和综合布线要求。

3. 灾难恢复系统资源配置要求

服务提供方应提供专业的服务设备和设施,或能够协助服务需求方提供灾难恢复服务设备与设施,并确保服务需求方能使用服务设备和设施完成灾难恢复工作。服务的设备和设施应包括但不限于南宫NG·28备份系统、备用南宫NG·28处理系统、备用网络系统、灾难恢复服务工具等。

针对采用云灾备服务的服务提供方,应向服务需求方提供统一、界面友好的自服务门户,并将灾难恢复服务资源按照资源池的方式进行统一管理,并可满足应用系统在日常运行、灾难恢复、测试演练、回退等各个阶段对资源的需求。

4. 灾难恢复服务团队组织架构要求

服务提供方所组建的团队应包括服务团队负责人、基础设施服务团队、系统技术支持团队、网络与安全技术支持团队、运维管理团队和运维操作团队等专业服务团队,关键服务岗位应配备主管岗。

各专业服务团队应建立规范的服务流程和制度、良好的沟通协调机制、清晰的责任机制,确保服务的规范性、安全性、有效性。

三、灾难恢复服务过程要求

灾难恢复的服务过程包括灾难恢复规划设计、建设实施运行和维护,灾难恢复服务提供方应满足服务需求方在上述服务过程中的灾难恢复服务要求。在服务过程中,要规划设计服务内容、并提供风险评估、灾难恢复中心选址等服务。

四、灾难恢复服务项目组织管理要求

1. 项目组织管理内容

灾难恢复服务项目组织管理内容包括质量管理、管理配置、风险管理、项目规划、项目监控、系统工程支持环境管理、技能与知识提升服务、保密要求、与供应商协调等。

2. 项目质量管理要求

为确保灾难恢复服务满足服务需求方信息系统的灾难恢复需求,服务提供方应加强对服务各阶段的质量审核和控制,项目质量管理的内容包括服务交付物的质量审核、服务过程的质量监督和质量问题的分析与纠正。

3. 项目风险管理要求

为控制灾难恢复服务项目风险,服务提供方应对持续6个月以上的服务项目进行风险评估,并提出管控建议,以降低服务项目风险,项目风险管理的内容包括风险识别与评估、制定和实施风险管控计划和跟踪风险管控实施效果。

4. 项目监控要求

项目监控是服务提供方按照灾难恢复的服务需求,通过检查、监督的方式,确保项目执行的过程满足项目规划的要求,并对服务过程中发生的严重偏差进行及时修正。项目监控要求包括项目的监督要求、问题分析与修正要求。

4.1 项目监督要求

服务提供方应在项目实施的过程中进行跟踪监督,发现不符合进度要求的问题应及时查明原因,提出解决方案,并向服务需求方汇报。

4.2 问题分析与修正要求

服务提供方应针对项目监督检查结果中的问题,提出修正、调整和优化建议,如需要变更服务计划,则应及时通报服务需求方。

5. 系统工程支持环境管理内容

作为灾难恢复服务的辅助手段,服务提供方可在服务过程中改进系统工程支持环境,以提升服务效率和质量,系统工程支持环境包括计算机、通信、测试工具、软件工具等,加强对系统工程支持环境的管理有助于提升服务提供方的管理能力、技术水平、工作效率和服务安全性。系统工程支持环境管理要求包括系统工程支持环境的确认和系统工程支持环境的获取和维护。

6. 技能与知识提升服务要求

为确保服务需求方能够全面、系统地了解和掌握灾难恢复相关知识,应在灾难恢复项目的规划、实施和运维阶段对服务需求方的管理人员、业务人员和信息技术人员进行有针对性的培训,培训的内容应包括但不限于灾难恢复的基础知识培训、灾难恢复技术培训、灾难恢复实施培训、灾难恢复预案管理培训、灾难恢复运维管理制度培训和灾难恢复演练培训,从事灾难恢复培训的服务提供方应准备全面的培训课程和教材,并安排资深的培训讲师为服务需求方提供培训。

7. 灾难恢复保密要求

服务提供方应履行灾难恢复服务保密职责,并满足服务需求方的保密要求,包括但不限于:

a. 应建立并执行与灾难恢复服务相关的保密管理制度和流程;

b. 参与灾难恢复服务的人员应与灾难恢复服务需求方签订保密协议,并定期对保密协议的执行情况进行监督和检查;

c. 未经服务需求方允许,服务提供方不得向第三方披露与服务协议相关的敏感信息;

d. 未经服务需求方允许,服务提供方不得转卖、转租、转借服务工作环境中的可移动设备、介质、资料。

8. 与供应商协调要求

服务提供方应根据服务需求方的灾难恢复要求,选择安全、可靠、适用的产品(包括用于灾难恢复的硬件、软件和服务)供应商,同时服务提供方还应在服务过程中加强与产品供应商的协调与配合,共同满足服务需求方的灾难恢复服务要求。

《信息安全技术 灾难恢复服务要求(GB/T 36957-2018)》在其他标准的基础上,规范了服务提供方和服务需求方之间的关系,也使得灾备服务更加规范更加透明。在未来,灾备行业的服务也将更加多样、更加规范。

及时响应,快速服务,为您保驾续航

立即注册

请先完成图形验证

验  证  码:

请先完成图形验证

验  证  码:

隐私声明
当您在本网站进行合作伙伴注册登记,本网站将收集您的相关信息,并保存记录。本网站收集的个人信息包括但不限于:姓名、地址、公司、所在地区、电话号码以及电子邮件地址等。您主动提供的信息越多及越准确,我们就能够更好地为您提供有关服务。
咨询·购买
友情链接: