1、ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則1. 適用范圍 . . .2. 標準 . 3.術(shù)語與定義.3.1 信息系統(tǒng)3.2 信息系統(tǒng)備份與恢復服務備份和恢復服務提供者.3.33.4備份中心 恢復演練3.5 生產(chǎn)中心.3.6 業(yè)務影響分析.3.7 服務級別協(xié)議. 服務提供者基本要求.4.1 基本資格要求.4.2 基本管理要求.4.3 基本技術(shù)要求. 5.信息系統(tǒng)備份與恢復服務資質(zhì)分級評價要_5.1 信息系統(tǒng)備份與恢復服務三級資質(zhì)要求"I5.1.1 資格要求 5.1.2 管理能力要求 5.1.3 技術(shù)能力要求.I5.1.4 服務過程要求. 675.1.4.1

2、 4 . 1 方案設計與驗證能力. 爾 5.1.4.2 系統(tǒng)建設實施與管理能力 筆 暴i:=:_=:=85.2 信息系統(tǒng)備份與恢復服務資質(zhì)要求.IE5.2.1 資格要求&85.2.2 目±里&刀要；35.2.3 技術(shù)能力要求 81|9 5.2.4 服務過程要求 5.2.4.1 風險分析能力5.2.4.2 業(yè)務影響分析能力.M9 9 95.2.4.3 策略制定和方案設計能力105.2.4.4 系統(tǒng)運行支持能力105.2.4.5 外部組織協(xié)作能力105.2.4.6恢復演練能力115.3 信息系統(tǒng)備份與恢復服務一級資質(zhì)要求 115.3.1 資格要求115.3.2 管理能力要

3、求125.3.3 技術(shù)能力要求125.3.4 服務過程要求13備份中心運維能力13備份系統(tǒng)建設能力145.3.4.15.3.4.25.3.4.3 基礎設施運維能力145.3.4.4 預案開發(fā)與維護能力155.3.4.5恢復演練能力155.3.4.6 應急與切換能力16中國認證中心第 1 頁彳目息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則ISCCC-SV-004:20125.3.4.7 服務商管理能力.服務資質(zhì)認證模式與流程.6.1 服務資質(zhì)認證模式.6.2 服務資質(zhì)認證流程.6.2.1 提交帽6.2.2 文檔審核6.2.3 現(xiàn)場審核6.2.4 認證決定6.2.4.1 認證決定 6.2.4.2 對認證決

4、定的申訴. 6 .2.5 證后監(jiān)督 6.2.6 再認證 20206.2.7 7 變更 6.2.8 8 認證時限 7.認證管理. 2020202020217.1 認證 7.2 認證有效期 的管理7.2.1 暫停認證7.2.2 撤銷認證7.2.3 注銷認證. 附錄 A:各級資質(zhì)要求對照表.中國認證中心第 2 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則1.適用范圍信息系統(tǒng)備份與恢復服務資質(zhì)認證是依據(jù)認證認可及國際、國內(nèi)相關(guān)技術(shù)標準和規(guī)范，對信息系統(tǒng)備份與恢復服務提供者（以下簡稱服務提供者）的資質(zhì)進行評價的評定活動。本規(guī)則提出了服務提供者應具備的資格要求、技術(shù)要求、管理

5、要求、服務過程要求，以及實施信息系統(tǒng)備份與恢復服務資質(zhì)認證的程序與管理要求。本規(guī)則適用于對服務提供者服務能力進行評價，可以作為信息系統(tǒng)所有者選擇服務提供者的依據(jù)，可以作為有關(guān)部門管理服務提供者的參考依據(jù)，也可以為服務提供者提升服務能力規(guī)范服務過程提供參考。2.標準下列文件中的條款通過本規(guī)則的而成規(guī)則的條款是標注日期的文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本規(guī)則，然而，鼓勵根據(jù)本規(guī)則達成協(xié)議的各方研究可使用這些文件的最新版本。凡是不標法日期的文件，其最新版本適用于本規(guī)則。評價服務提供者的服務資 mit 所的標準包括:GB/T 20988-2007技術(shù)：信息系統(tǒng)恢復規(guī)范YD

6、/T 1621-2007網(wǎng)絡與服務資質(zhì)評價準則4&服務資質(zhì)認證技術(shù)規(guī)范纏：CNCA/CTS 0052-20073. 術(shù)語與定義 GB/T 20988-2007技術(shù)信息系統(tǒng)恢復規(guī)范中的術(shù)語均適用于本規(guī)則。二3.1 信息系統(tǒng)備份與恢復服務Si將信息系統(tǒng)的數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡系統(tǒng)、基礎設施、專業(yè)技術(shù)支持能力和運行管理能力進彳 f 備份，并在發(fā)生時，將信息系統(tǒng)從造成的故障或癱瘓狀態(tài)恢復到可正常-V -AOMC,運行狀態(tài)、將其支持的業(yè)務功能從造成的不正常狀態(tài)恢復到可接受狀態(tài)，而設計和提供的活動。3.2 信息系統(tǒng)備份和恢復服務提供者具有一定的組織架構(gòu)和有效的管理體系，能夠提供信息系統(tǒng)備份和恢復

7、服務的組織或部門。3.3備份中心為滿足機構(gòu)關(guān)鍵業(yè)務運營連續(xù)性的要求，利用數(shù)據(jù)中心場地和環(huán)境支撐機構(gòu)備份系統(tǒng)運行，抵御導致生產(chǎn)系統(tǒng)全部或部分不可用的，用以接替生產(chǎn)中心部分或全部職能，對機構(gòu)重要信息進行集中管理和處理的場所。按照風險防范職能及與生產(chǎn)中心距離，備中國認證中心第 3 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則份中心分為同城備份中心和異地備份中心。3.4恢復演練為驗證備份系統(tǒng)的有效性， 確保備份系統(tǒng)能在生產(chǎn)系統(tǒng)不可用時接替生產(chǎn)系統(tǒng)運行， 依據(jù)恢復預案和預定程序， 檢驗備份系統(tǒng)接替生產(chǎn)系統(tǒng)能力的過程， 分為桌面演練、模擬切換演實際切換演練。3.5 生產(chǎn)中心利

8、用數(shù)據(jù)中心場地和環(huán)境支撐機構(gòu)生產(chǎn)系統(tǒng)運行， 對機構(gòu)重要信息進行集中管理和處理的場所。3.6 業(yè)務影響分析分析業(yè)務功能及其相關(guān)信息系統(tǒng)、評估特定對各種業(yè)務功能影響的過程。3.7 服務級別協(xié)議由服務供應者與用戶簽訂的法律文件， 其： 諾服務提供者向用戶提供約定質(zhì)量的服務，用戶向服務提供者支付相應費用。4. 服務提供者基本要求 服務提供者基本要求是從事信息系統(tǒng)備份與恢復服務應滿足的基礎條件， 分別從資格、管理和技術(shù)三個方面對服務提供者提出具體要求。4.1 基本資格要求(1)具有中民境內(nèi)的法人資格及合法經(jīng)營資格。(2)近兩年內(nèi)財務狀況良好，_|:g 會計師事務所核實，財務數(shù)據(jù)真實。(3) 擁有專門從事

9、信息系統(tǒng)備份和恢復服務的部門或團隊。零泰.(4) 擁有固定的辦公場所。,(5)遵守現(xiàn)"W彳W去律和的相關(guān)規(guī)定。.V .4.2 基本管理要求(1)組織管理： 具有職責明確、崗位設置合理的組織架構(gòu)和管理體系。(2)文檔管理： 制定文檔管理制度， 采取可控的技術(shù)和管理措施確保項目文檔安全， 包括紙質(zhì)和電子文檔。(3)管理： 擁有安全的工作環(huán)境， 制定管理制度， 明確崗位和職責； 與員工簽訂責任書并定期進行教育， 明確安全義務和需要承擔的責任，定期檢查落實情況。中國認證中心第 4 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(4)管理:建立培訓與管理程序,制定備

10、份與恢復服務技能培訓計劃，定期對相關(guān)進行培訓、 指導與， 保證員工持續(xù)滿足崗位職責要求。(5)項目管理：制定備份與恢復服務項目管理制度。結(jié)合實際情況制定項目計劃，安全管理項目資金， 合理界定項目范圍， 明確項目管理， 項目實施要協(xié)調(diào)和指導項目中存在的問題，保證項目成果在驗收過程中移交。( 6 ) 質(zhì)量管理：建立質(zhì)量管理制度，制定 備份與恢復服務項目實施計劃和監(jiān)督檢查 計劃， 統(tǒng)一項目過程文檔和輸出， 保證項目質(zhì)量的一致性。4.3 基本技術(shù)要求(1)制定信息系統(tǒng)備份與恢復服務工作流程和操作規(guī)范胃。( 2 ) 熟悉風險分析和業(yè)務影響分析過程，能夠制定業(yè)務連續(xù)性計劃。 (3)能夠開展信息系統(tǒng)備份及恢

11、復演練 y;技術(shù)擁有桌面演練經(jīng)歷為(4)具備信息系統(tǒng)備份與恢復項目 了實施和管理的能力。(5)具備實施 GB/T 20988-2007技術(shù)信息系統(tǒng)4恢復規(guī)范附錄 A 中四級以上（含四級）數(shù)據(jù)備份技術(shù)和相關(guān)服務的能力。4 fc 靈恢復過程的 ( 6 ) 熟悉信息系統(tǒng)備份及 和主 品。 (7)研究和跟蹤備份與 j 灰復服務相關(guān)技術(shù)f 時示準，熟悉備份與恢復服務相關(guān)信息和發(fā)展趨勢。5.信息系統(tǒng)備份與恢復服務資質(zhì)分級評價要求i信息系統(tǒng) ！i'Sat備份與恢復服務級別是衡量服務提供者資格和能力的標尺。 依據(jù)服務提供i.圭，胃葛者的服務范圍和能力， 將服務提供者劃分為三個等級， 其中一級最高， 三

12、級最低。 在本規(guī)則中， 高級別服務資質(zhì)要求涵蓋了低級別服務資質(zhì)要求的所有內(nèi)容。5.1 信息系統(tǒng)備份與恢復服務三級資質(zhì)要求5.1.1 資格要求(1)基本資格要求：詳見 4.1。(2) 不少于 200 萬元， 產(chǎn)權(quán)關(guān)系明晰。(3)機構(gòu)總數(shù) 30 名以上，從事信息系統(tǒng)備份與恢復服務10 名以上，其中本科以上學歷占機構(gòu)總?cè)藬?shù)的比例不低于 60%。(4)擁有信息系統(tǒng)備份與恢復服務相關(guān)資質(zhì)至少 2 名，如 CBCP、CISSP、CISP-DRP 等；擁有項目管理資格至少 2 名。中國認證中心第 5 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(5) 機構(gòu)信息 擁有 2 年以上

13、領域企業(yè)管理經(jīng)歷， 技術(shù)擁有 2 年以上系統(tǒng)備份與恢復技術(shù)工作經(jīng)歷， 財務應具有初級以上。( 6 ) 機構(gòu)從事信息系統(tǒng) 備份與恢復服務 2 年以上。 (7)近三年內(nèi)至少完成 4 個信息系統(tǒng)備份與恢復服務項目，符合質(zhì)量要求并通過驗收， 金額 備份與恢復服務項目合同總金額不少于 200 萬元 ，其中至少 1 個項目 +少于 50 萬元。5.1.2 管理能力要求詳見4.2。5.1.3 技術(shù)能力要求詳見4.3。5.1.4 服務過程要求纖5.1.4.1 方案設計與驗證要求(1)組織調(diào)研，開展需求分析，爾定需求分析報舍( 2 )或配合開展風險分析和業(yè)務影響分析。 (3)結(jié)合風險分析、業(yè)務影響分析結(jié)果和客

14、f 在備份和恢復方面的投入能力，奮或配合設計備份與恢復技術(shù)方案。鶴(4) 依據(jù)備份. 與恢復技術(shù)方案， 制定m備份與恢復項目實施方案。詹國(5)組織相關(guān)部門及驗證和確認技術(shù)方案和實施方案是否滿足備份和恢復需求， 完整保存相關(guān)記 3驗證點必備可選1)組織開恢復需求分析，制定需求分析報告。V2) 開展風險分析和業(yè)務影響分析。V3) 設計備份與恢復技術(shù)方案。V4) 依據(jù)設計方案，制定備份與恢復實施方案。 V5) 組織技術(shù)方案和實施方案評審工作。V中國認證中心第 6 頁方案設計與驗證點ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則5.1.4.2 系統(tǒng)建設實施與管理要求(1)依

15、據(jù)已評審確認備份與恢復技術(shù)方案和實施方案，按照時間和質(zhì)量要求進行系統(tǒng)建設，包括數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)和備用網(wǎng)絡系統(tǒng)等。(2)對于新建份與恢復系統(tǒng)，建設實施過程應重點關(guān)注信息系統(tǒng)的功能、性能和安全性等方面要求。對于備份與恢復系統(tǒng)改造，還應考慮改造前技術(shù)測試驗證及在實施失敗后的回退措施。技術(shù)測試驗證需要考慮新舊系統(tǒng)的兼容問題，包括網(wǎng)絡兼容、系統(tǒng)兼容、應用，并建立程序檢查所有升級或設備更改時的兼容性。(3)依據(jù)技術(shù)方案具體指標要求，制定測試計劃，通過測試驗 i 正數(shù)據(jù)備份、數(shù)據(jù)恢復、網(wǎng)絡通信等功能達到相關(guān)要求。(4)制定工程實施管理措施， 監(jiān)管和保障備份與恢復系統(tǒng)建設過程。表2.系統(tǒng)建設實施

16、月Hgfl5.1.4.3預案制定與演練要求(1)或15 合制定、驗證#評審彳系統(tǒng)備份與恢復預案。(2)建_練指揮協(xié)調(diào)程序，包括匯報流程、指揮協(xié)調(diào)工作方法與機制等。%(3織實施桌面演練，模擬可能發(fā)生的場景，演練過程不涉及系統(tǒng)切換、業(yè)務恢復禾 F 賣際操作，參演根據(jù)情景假設，描述應急響應和處理行動，對恢復期丨 J,1間的組織職責分工及相關(guān)工作進行紙面或口頭表述。I(4)演練結(jié)束運組織總結(jié)， 對演練過程及相關(guān)進行考評， 保存總結(jié)與考評。表3.預案制定與演練點中國認證中心第 7 頁預案制定與演練必備可選1)制定、驗證并評審備份與恢復預案。V2)建立演練協(xié)調(diào)程序， 保障演練過程。V3)組織實施桌面演練。

17、V4)總結(jié)演練過程， 保存相關(guān)。V系統(tǒng)建設實施與管理一«:SaW- XH,-,. 可選1)依據(jù)技術(shù)方案和實施方案相關(guān)要求進行系統(tǒng)建設。V2)對于新建系統(tǒng)，關(guān)注功能、性能和安全性等要素；對于改造統(tǒng)，還應進行技術(shù)驗證，并考慮新舊系統(tǒng)兼容性義_。V3)依據(jù)技術(shù)方案，制定測 i劃并進試。.-V4)制定工程實施監(jiān)管措施。_VISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則5.1.4.4 教育與培訓要求(1)制定意識培訓計劃， 定期面向全體員工開展意識培訓。(2)組織技術(shù)參加業(yè)務連續(xù)性、備份與恢復等專業(yè)技術(shù)培訓， 根據(jù)自身條件選擇內(nèi)部培訓或參加外部機構(gòu)培訓，培訓后進行考評

18、。(3)結(jié)合項目需要， 組織外部配合和第進行培訓。(4)結(jié)合恢復預案和演練計劃， 制定相關(guān)培訓課程， 并組織參加培訓。表4.教育與培訓點5.2信息系統(tǒng)備份與恢復服務資質(zhì)要；5.2.1 資格要求丨(1)基本資格要求：詳見 4.1(2)不少于 1000 萬元，產(chǎn)權(quán)關(guān)系明 If。(3)機構(gòu)總數(shù) 100 名以上，從事信息系統(tǒng)備份與恢復服務20 名以上，其中本科以上學歷占機構(gòu)總?cè)藬?shù)的比例不低于 60%。( 4 ) 擁有信息系統(tǒng)lit備份與恢復服務相關(guān)資質(zhì)至少 6 名 ，如 CBCP 、C ISSP、.破參CISP-DRP 等擁有項目管理資格至少 4 名。(5)1-機構(gòu)擁有 3 年以上鐳息技術(shù)領域企業(yè)管理

19、經(jīng)歷，技術(shù)擁有 3 年以上信息蒙系統(tǒng)備份與恢復技術(shù)工作經(jīng)歷，財務應具有初級以上。(6)機構(gòu)從事信息系統(tǒng)%；：備份與恢復服務 3 年以上。(1)近三年內(nèi)至少完成 6 個信息系統(tǒng)備份與恢復服務項目， 符合質(zhì)量要求并通過驗收，備份與恢復服務項目合同總金額不少于 1000 萬元， 其中至少 1 個項目金額不少于 100 萬元。5.2.2 管理能力要求(1)基本管理能力： 詳見 4.2。(2)參照 GB/T 19001-2008質(zhì)量管理體系要求，制定質(zhì)量管理手冊，運行質(zhì)量管理體系，并通過質(zhì)量管理體系認證兩年以上。教育與培雕細必備可選1)制定意識培訓計劃，定期開展意識培訓。V2)對技術(shù)提供業(yè)務連續(xù)性、備份

20、與恢復專業(yè)培訓。一二V3)組織外部配合和第開展技術(shù)培訓。k4)結(jié)合恢復預案和演練計劃， 組織演練培 i.中國認證中心第 8 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(3)建立項目風險管理制度，對項目實施過程中存在的安全隱患進行評估分析，已識別的項目風險，制定可操作的管理措施。(4)制定供應商管理制度，明確管理職責，識別提供服務、系統(tǒng)構(gòu)件的供方資質(zhì)和能力，并與供應商建立有效的機制。(5)明確業(yè)務部門和 IT 服務部門職責，共識的服務級別需求，簽訂服務級別協(xié)議。(6)制定滿意度表， 定期對客戶進行滿意度， 匯總分析結(jié)果， 及時服務過程中存在的問題。5.2.3 技術(shù)

21、能力要求(1)基本技術(shù)能力：詳見 4.3。(2)具備實施 GB/T 20988-2007技術(shù)信息系統(tǒng)恢復規(guī)范附錄A 中五級以上（ 含五級） 數(shù)據(jù)備份技術(shù)和相關(guān)集處 1W 乍的能力。 %5.2.4 服務過程要求除滿足三級服務過程要求外級服務過程還應達到以下要求:泰. 零丨5.2.4.1 風險分析要求( 1 ) 開展信息系統(tǒng)風險，識別和量化信息系統(tǒng) 的風險。 m(2)制定風險分析方案，開展風險分析， 并制定風險分析報告。.至.M(3)結(jié)合風險分析結(jié)果，為組織提供有優(yōu)先級別的防護列表和可操作的風險處置方案。b.攀5.2.4.2業(yè)務影響分析要求(1)分析業(yè)務系統(tǒng)流程， 明確恢復關(guān)鍵業(yè)務流程所需。(2)

22、分析關(guān)鍵業(yè)務中斷可能導致的業(yè)務損失程度， 制訂業(yè)務持續(xù)性計劃方案。(3)依據(jù)組織風險處置策略和業(yè)務系統(tǒng)損失程度，判定業(yè)務沖擊承受能力。(4)綜合評價財務影響和非財務影響，分析業(yè)務系統(tǒng)持續(xù)所需的恢復時間目標(RTO)、恢復點目標（RPO)等關(guān)鍵指標，設定關(guān)鍵業(yè)務功能恢復優(yōu)先順序。中國認證中心第 9 頁風»析 點必備可選1)開展信|_風險分析， 識別和量化信息系統(tǒng)風險。V2) 制定風險分開展風險分析， 制定風險分析報告V3)制定有優(yōu)先級別的防護列表和可操作的風險處置方案。VISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則表6.業(yè)務影響分析點5.2.4.3策略制定和

23、方案設計要求(1)結(jié)合業(yè)務連續(xù)性分析報告和組織在險可能造成的損失平衡的原則，制定備份和恢復的投方 r 按照成本與風備份與恢復短長期及短期策略和目 fe。(2)制定備份與恢復技術(shù)方案和實施方案。基于需#析的 RTO、KP()，制定夢配置，數(shù)據(jù)技術(shù)、備用網(wǎng)絡、備用主機等 IT 解決方纟統(tǒng)切換容災策略所需".餘4t.m=丨間關(guān)系。實施方案至少包f策略等。技術(shù)方案應平衡恢復時間需求、成本、難度等因括：時間進度、配置、實施環(huán)境評估、主線任務演進計劃、收尾驗收標準等要素。%表7.策略制定和方案設計點，5.2.4.4 系統(tǒng)運行支持要求糕(1) 對備份與恢復系行管理和運行維護，妥善保管相關(guān)。(2_突

24、|：發(fā)生時，能夠及時進行損失和損失評估。(3)M 發(fā)生后,I 照相關(guān)要求恢復信息系統(tǒng)和業(yè)務功能。備份與恢復系統(tǒng)運行狀況，保存相關(guān)。(4)定期表8.系統(tǒng)運行支持點5.2.4.5外部組織協(xié)作要求第 10 頁中國認證中心系統(tǒng)運行支持 點必備可選1)對備份與恢復系統(tǒng)進行管理和運行維護。V2)在突發(fā)發(fā)生時，進行損失和損失評估。V3)在發(fā)生后，及時恢復信息系統(tǒng)和業(yè)務功能。V4)定期評審備份與恢復系統(tǒng)運行狀況。V策略制定和方案設計 點1必備可選1)制定備份弓恢復策略及目標。V2)制定備份與恢復技；方案和實施方,V業(yè)務影響分析 點必備可選1)明確恢復關(guān)鍵業(yè)務流程所需。V2)制定業(yè)務持續(xù)性計劃方案。V3)依據(jù)風

25、險處置策略和業(yè)務系統(tǒng)損失程度，判定業(yè)務沖擊承受能力。V4)分析業(yè)務流程持續(xù)所需 RTO、RPO 等關(guān)鍵指標，明確鍵業(yè)務功能恢復優(yōu)先順序。VISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(1)與設備及服務商、通信、電力及其他相關(guān)管理部門（如氣象、消防、防疫、等）保持聯(lián)絡和協(xié)作，確保在發(fā)生時及時通報準確信息并獲得支持。(2)依據(jù)項目和工作需要，與外部支持簽訂服務級別協(xié)議。(3)定期評審外部支持設置的物理和邏輯安全措施。表9.外部組織協(xié)作點5.2.4.6恢復演練要求(1)在備份與恢復演練前組織動員會，明確參演及職責。(2)制定信息系統(tǒng)備份與恢復演練方1 明確演練范圍、人1|

26、場景驟等內(nèi)容。( 3 )備份與恢復服務項目演 練并_組并織組推織演推，演演，矣演 練過程跟蹤。備份與恢復演練方案，實；全全中中斷斷演撞3,檢查預定工作的完成f(4)依據(jù)情況，發(fā)現(xiàn)問題及時修正。(5) 設計不同場景和假 if /組織多場景演練。I(6) 演練結(jié)束后及時進行總結(jié)，并更新預案內(nèi)容。.表10.恢復演練點5.3信息系統(tǒng)備份與恢復服務一級資質(zhì)要求5.3.1 資格要求(1)基本資格要求： 詳見 4.1。(2)不少于2000 萬元，產(chǎn)權(quán)關(guān)系明晰。(3)機構(gòu)總數(shù) 200 名以上，從事信息系統(tǒng)備份與恢復服務40 名以上，其中本科以上學歷占機構(gòu)總?cè)藬?shù)的比例不低于60%。中國認證中心第 11 頁恢復演

27、練點必備可選1)演#實會，明 lit 參演職責。V2)制定信息系統(tǒng)備份與恢復演練實施方案。V3)_推，演練過程跟蹤。V4)實施操卩全中斷演習,及時檢查預定工作完成情況， 發(fā)現(xiàn)問題及時修-V5)多種場景和假丨$環(huán)境下組織演練。V6)總結(jié)演練過程， 更新預案內(nèi)容。V外部組織協(xié)作力點必備可選1)聯(lián)絡相關(guān)部門，確保在發(fā)生時及時獲得支持。V2)與外部支持簽訂服務級別協(xié)議。爿V3)定期評審外部支持設置的安全措施。APISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(4)擁有信息系統(tǒng)備份與恢復服務相關(guān)資質(zhì)至少 10 名，如 CBCP、CISSP、CISP-DRP 等，其中 CBCP

28、不少于 5 名；擁有項目管理資格至少 6 名。(5)機構(gòu)擁有 5 年以上領域企業(yè)管理經(jīng)歷，技術(shù)擁有 5 年以上信息系統(tǒng)備份與恢復技術(shù)工作經(jīng)歷，財務應有中級以上或會計師資格。(6)機構(gòu)從事信息系統(tǒng)備份與恢復服務 5 年以上。(7)近三年內(nèi)至少完成 10 個信息系統(tǒng)備份與恢復服務項目，符合質(zhì)量要求并通過驗收，備份與恢復服務項目合同總金額不少于5000 萬元，其中至少1 個項目金額不少于1000 萬元。(8)擁有兩個以上不同區(qū)域的自建或租賃數(shù)據(jù)中心/備賢中心。5.3.2 管理能力要求(1) 基本管理能力（詳見第 4.2 節(jié)）。(2) 擁有基于權(quán)限、分級、分類的文檔管,_統(tǒng)，妥善管理，和運行等文檔。(

29、 3) 參照 GB/ T 19001-2008質(zhì)量管理體系要求 制定質(zhì)量管理手冊，運行質(zhì)量管理體f3±. i.系，并通過質(zhì)量管理體系認證三年以上。(4)建立項目風險管理制度和風險防控體系 ill項目實施過程中存在的安全隱患進行評±(3 盡估分析，已識別的項目風險，制定具有可操作的管理措施。無制度及相關(guān)表單，定期對客戶進行滿意度身(5)制定客戶滿意度，匯總整理并制趙度分析報告龜22080-2008 J：( 6) 參照 GB/ T安全技術(shù)管理體系要求標準建立信息安全管理體系，并通過."管理體系認證。一服務管理標準建立(7) 參照GB/ T 24糾5-2009理體系。服

30、務管5.3.3 技術(shù)能力要求(1)基本技術(shù)能力（詳見第 4.3 節(jié)要求）。(2)依據(jù)項目需要，開發(fā)和制定切換手冊。(3)擁有足夠的技術(shù)力量，開發(fā)備份與恢復服務過程支持性工具的能力。(4)具備實施 GB/T 20988-2007技術(shù)信息系統(tǒng)恢復規(guī)范附錄 A 中五級以上（含五級）數(shù)據(jù)備份技術(shù)和相關(guān)服務的能力，并提供相關(guān)證明材料。中國認證中心第 12 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(5)至少已完成兩個備份與恢復信息系統(tǒng)建設項目， 通過或權(quán)威第機構(gòu)的評審。5.3.4 服務過程要求除滿足服務過程要求外，一級服務過程還應滿足以下要求：5.3.4.1備份中心運維要

31、求(1)建立備份中心運維管理制度和工作流程。(2)建立備份中心完整的組織架構(gòu)和相對的運行管理團隊。(3)制定備份中心日常與操作管理制度,包括運維整體、運維管理層制度、實施層制度和操作層制度等。(4)定期檢查電力設施、通信設施、交通設活設施的功能和性能，保 if發(fā)生時能夠及時備份和恢復。(5)建立備份中心信息系統(tǒng)運行胃臺， 及時發(fā)現(xiàn)備份系統(tǒng)運行的故障并進行故障、診斷和審計， 保存相關(guān)記(6)建立跟蹤、問題排查和變更管理機制， 確保及時解決， 避免。一恢復指揮系統(tǒng)， 保障AI:恢復效率。(7)建立信息系統(tǒng).(8)備份中心與生;t 靡心間建立統(tǒng)一變更流程,事先評估生產(chǎn)中心的變更和調(diào)整對備份中心可能造

32、成的影響 k 并備份中心的變更方案和計劃。曹jM(9)建立備份系統(tǒng)定期評審與驗證機制，包括定期演練、基準核對、子系統(tǒng)驗證等,確保在發(fā)生時，備份系統(tǒng)能夠及時接替生產(chǎn)系統(tǒng)運行。中國認證中心第 13 頁備»心運維 點必備可選1)制定客扮中心運維管理制度和工作流程。V2)建立備份中織架構(gòu)及運行管理團隊。V3)制定備份中心日常與操作管理制度。V4)定期檢查電力設施、通信設施、交通設活設施等。V5)建立備份中心信息系統(tǒng)運行平臺。V6)建立跟蹤、問題排查和變更管理機制。V7)建立恢復指揮系統(tǒng)。V8)建立備份中心與生產(chǎn)中心間的統(tǒng)一變更流程。V9)建立備份系統(tǒng)的定期審核與驗證機制。VISCCC-SV-

33、004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則5.3.4.2備份系統(tǒng)建設要求(1)制定數(shù)據(jù)備份系統(tǒng)建設與管理要求和數(shù)據(jù)/備份技術(shù)方案，確保備份中心與生產(chǎn)中心數(shù)據(jù)實現(xiàn)可驗證的一致性和完整性。(2)制定備用處理系統(tǒng)建設與管理要求。為滿足機構(gòu)業(yè)務持續(xù)性運行要求，備份應用系統(tǒng)應在系統(tǒng)運行環(huán)境和軟件版本等方面與生產(chǎn)系統(tǒng)完全兼容, 在備用數(shù)據(jù)處理系統(tǒng) 建設時， 應進行備份中心子系統(tǒng)進行備份系統(tǒng)切換與恢復驗證， 確保備份系統(tǒng)平臺的有效性和可操作性，保證 備份系統(tǒng)具備接管生產(chǎn)系統(tǒng)運行的能力。 (3)制定備用網(wǎng)絡系統(tǒng)建設與管理要求。按照備份系統(tǒng)恢復要求 I 對災備系統(tǒng)網(wǎng)絡平臺進行整體、設計及實施， 搭建

34、能夠滿足備份系統(tǒng)切換和恢復所需要的網(wǎng)絡支撐環(huán)境。方案包括備份中心內(nèi)部網(wǎng)絡、生產(chǎn)中心與備份中心之間的互連網(wǎng)絡、備份中心與總部表或12分.構(gòu)備之份間_的建網(wǎng)設備份中！ ； 外聯(lián)機構(gòu)之間的網(wǎng)5.3.4絡.等3基。礎設施運維要求等人負責 備份中心園區(qū)、 、機房的安全 (1)建_全防護管理制度和規(guī)¥防護和管理。(2) ) 定期維護 %(3) ) 實時 產(chǎn)畫備份中心基礎設施，確保設備運行持續(xù)滿足設計和建設指標。 備份中心基礎設施運行狀況，及時響應和處理異常情況，分析異常 生的 ， >依據(jù)流程升級和上報。 *(4)定期檢查評估基礎設施容量，升級改造需按照建設流程和相關(guān)標準進行評估和審核， 并

35、保存相關(guān)。( 5 ) 建立介介質(zhì)和數(shù)據(jù)管理制度，規(guī)范數(shù)據(jù)傳輸和 過程，定期檢查和驗證 質(zhì)和數(shù)據(jù)。中國信息安備份系制點必備可選1)制定數(shù)據(jù)備份系統(tǒng)建設與求據(jù)V2)制定備用處理系統(tǒng)建設理要求。.V3)備用網(wǎng)絡系統(tǒng)建設與管理：I；*:.如:V第 14 頁全認證中心ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則表13.基礎設施運維點5.3.4.4預案開發(fā)與維護要求1(1)建立恢復預案體系， 規(guī)范恢復預案的開發(fā)、維護機制和流程， 預案體系包括應急預案和恢復預案。(2)應急預案是在緊急狀況下， 對基礎設施、網(wǎng)絡系統(tǒng)#>應用系統(tǒng)等進行的響應和處置-.r發(fā)現(xiàn)、報告和處置，損害評

36、估，恢復和審核等。過程， 包括應急組織管理， 緊急(3)恢復預案是在情況下進行恢復的過程,包括恢復組織管理,宣告， 恢復， 重續(xù)運行， 重善建)回退處理流程等。.：恢復 預案包含備份中心基礎設1,.W哥.:tW施恢復預案、備份網(wǎng)絡切換恢復預案、J 言息系統(tǒng)切換恢復預案和業(yè)務恢復預案等。(4)定期檢查應急預案和恢復預案的變更情況， 及時更新和分發(fā)預案文檔， 確保預案體系持續(xù)有效。j£:.等.(5)依據(jù)故障情況不同， 制定具有.預案開發(fā)與維護性的備份與恢復預案。點''mssmssssfsfssssss! 5:s!as:5.3.4.5恢復演練要求(1)基于恢復切換及系統(tǒng)驗證

37、需求， 適當選擇桌面、模擬切換或?qū)嶋H切換演練， 定期開展實際切換演練，驗證備份中心實際切換與真實生產(chǎn)任務的接管能力。(2)評估演練過程可能給系統(tǒng)運行帶來的風險， 評估演練失敗或操作可能造成的影響，制定相應防范措施。中國認證中心第 15 頁預茱升友點必備可選1)建立恢復預系廠包括應急預案和恢復預案。V2)建立和維護應急預案。V3)建立和維護恢復預案。V4)定期檢查和核對恢復預案中的變更情況。V5)制定具有性的備份與恢復預案。V基礎設施運維點必備可選1)建立備份中心安全防護管理制度。V2)定期維護備份中心基礎設施， 確保持續(xù)滿足設計和建設標。V3)實時備份中心的基礎設施運行使用情況， 對異常情及時

38、響應。V4)定期檢查評估基礎設施容量。V5)建立介質(zhì)和數(shù)據(jù)管理制度。VISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(3)實際切換演練前，需在系統(tǒng)測試、培訓、預案驗證等方面做好準備，檢查演練場所、演練設備、配置要求等，并對參演進行培訓。(4)演練結(jié)束后，制定演練報告，包括演練目標、演練范圍、演練組織架構(gòu)和崗位職責、演練過程、應急處置方案、演練結(jié)果等。演練報告至少保存 5 年以上。表15.恢復演練點5.3.4.6應急與切換要求.時， 提供.至膠(1)制定應急響應流程，組建應急響應服務團隊， 在和接替生產(chǎn)運營過程中的協(xié)調(diào)和技術(shù)支 %、宣告#服務。羞.54：.:m:一(2)

39、具備支撐業(yè)務系統(tǒng)在災遭備份中心進行應急和切換所需的恢復。I表16.應急與切_制點纖_Mim_5.3.4.7服務商管理要求F(1)制定服務商管理制度，建立服務質(zhì)量和風險措施。建立服務商、評價%W機制，定期對服務活動和服務級別進行審核和評估，確保獲得持續(xù)、穩(wěn)定的外包服務。(2)與服務商簽訂有合同，明確雙方權(quán)利和義務、服務范圍、違約賠償?shù)取?3)通過服務級別協(xié)議明確服務質(zhì)量水平目標，作為檢驗服務的質(zhì)量標準。(4)關(guān)鍵設備和服務，簽訂緊急供應協(xié)議，明確約定范圍、內(nèi)容、服務級別、條款等，并定期對服務商的支持能力和服務級別進試。(5)對服務商進行安全管理，保障業(yè)務、管理和客戶敏感數(shù)據(jù)。(6)定期執(zhí)行測試及

40、演練，驗證服務商的實際響應能力。中國認證中心第 16 頁_應急_點必備可選1)制定應急響應組建菔務團隊。二V2)提供恢復能夠支撐備份中心應急與切換。V恢復演練點必備可選1)結(jié)合實際需要，適當選擇桌面演練、模擬切換演實際切換演練等不同形式，定期實際切換演練。V.考2) 評估演練過程可能給系統(tǒng)運行帶來的風險和影響 ，制 定范措施。V3)實際切換演練前，在培訓、系統(tǒng)測試、預案驗證等方#做備。丨4)演練結(jié)束制定正式演練報告， 演練報告保管 5 年以上.fri.i1U .-1JISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則表17.服務商管理點6.服務資質(zhì)認證模式與流程6.1 服

41、務資質(zhì)認證模式現(xiàn)場檢查+特定服務檢查+獲證后監(jiān)督現(xiàn)場檢查是在文檔審核通過后， 審核組到申請方的地址或業(yè)務量較集中的辦公地址進行的標準符合性驗證活動。特定服務檢查是審核組對申請方的服務團隊進行的特定服務過程演示或到客戶現(xiàn)場服務過程的檢查活從而判定該申請 f 的服務能力。獲證后監(jiān)督%m的三年有效期內(nèi)認證機構(gòu)對獲證方=“1.".是確保獲證獲證后能夠持續(xù)滿足標準的要求， 在iI進行一或兩次現(xiàn)場監(jiān)督審核。特殊情況發(fā)生， 認證機構(gòu)可增加監(jiān)督審核頻次。忖抓 I 目 tTL漢土，A6.2 服務資質(zhì)認證流程6.2.1 提交申請申請方自愿向翁認證機構(gòu)提交信息系統(tǒng)備份與恢復服務資質(zhì)認證申請。申請方應提交艦

42、的文件至少包括：X.itr.正申請書。(1)(2)&資格證明材料。及監(jiān)管體系已建立的證明材料。(3)( 4 ) 機構(gòu)與信統(tǒng)備份與恢復服務簽訂的勞動合同及協(xié)議復印件。(5)與素質(zhì)證明材料。(6)公司組織結(jié)構(gòu)證明材料。(7)辦公場所證明材料。(8)文檔管理、項目管理、風險管理等管理制度。(9)備份與恢復服務流程。(10)備份與恢復服務規(guī)范性文件。(11)項目案例及業(yè)績證明材料等。中國認證中心第 17 頁服務商管理點必備可選1)制定服務商管理制度，建立質(zhì)量和風險措施。V2)與服務商簽訂正式合同。V3)與服務商簽訂服務級別協(xié)議。V4)關(guān)鍵設備和服務， 簽訂緊急供應協(xié)議。V5)對服務商進行安全管

43、理。V6)定期執(zhí)行測試及演練， 驗證服務商的實際響應能力。VIISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則(12) 支持性工具研發(fā)證明材料（一、(13) )質(zhì)量管理體系文件（一、）。）。( 14)管理體系文件（一級）。(15)服務管理體系文件（ 一級）。6.2.2 文檔審核認證機構(gòu)應根據(jù)認證依據(jù)、程序等要求，及時對申請方提交的申請文件和資料進行審核并保存審核，以確保：(1) 認證要求規(guī)定明確并得到理解。(2) 認證機構(gòu)和申請方之間在理解上的差異得到解決。(3) 對于申請的認證范圍、工作場所和任何特殊要求,認證機構(gòu)均有能力開展 pa 服務。6.2.3 現(xiàn)場審核認證機構(gòu)

44、應組成審核組，依據(jù)相關(guān)標準和_要求，對申請的內(nèi)容主要包括：現(xiàn)場審核?，F(xiàn)場審核(1)通過檢查、觀察、訪談,Jt 申請方的信息系統(tǒng)備份與恢復服務技術(shù)能力進行驗m"1,1 卜。(2)通過檢查、觀察、訪 16 對申請方的信息系統(tǒng).m:jTr備份與恢復服務管理能力進行驗( 3 ) 觀察服務模擬演示或 .-現(xiàn)場服務。 類認證評價及認證決定是由認證決定委員會執(zhí)行。認證決定委員會至少由 3 名以上（含 3名）奇數(shù)認證決定.V .組成_6.2.4.1 認證決,認證決定依據(jù)認證標準、信息系統(tǒng)備份與恢復服務資質(zhì)認證程序與實施規(guī)則的要求及相關(guān)標準，結(jié)合審核過程中收集的信息（對于存在不符合項的情況，必須通過并

45、由審核組驗證通過），對審核結(jié)果進行綜合評價，做出“通過認證”或“不通過認證”的決 定。必要時，認證決定委員會應對申請方滿足認證依據(jù)的情況進行風險評估，以做出是否授予認證的決定。對于符合認證要求的申請方，認證機構(gòu)應頒發(fā)認證并在相關(guān)上予以公告。對于不符合認證要求的申請方，認證機構(gòu)應以的形式明示其不能獲得認證的。6.2.4.2 對認證決定的申訴中國認證中心第 18 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則申請方如對認證決定結(jié)果有異議，可在 10 個工作日內(nèi)向認證機構(gòu)申訴，認證機構(gòu)自收到申訴之日起， 應在一內(nèi)進行處理， 并將處理結(jié)果通知申請方。6.2.5 證后監(jiān)督6.

46、2.5.1 證后監(jiān)督頻次和方式認證機構(gòu)應根據(jù)信息系統(tǒng)備份與恢復服務的特點以及所承擔的認證風險，合理確定監(jiān)督審核的時間間隔和方式 。監(jiān)督審核的方式可采用文檔審核或與現(xiàn)場審核相結(jié)合的方式。 一般情況下，每年度（不超過 12）進行一次監(jiān)督審核，由項目管理提前兩通知獲證方。監(jiān)督審核的方式可采用文檔審核與現(xiàn)場審核相結(jié)合的方戎 備份與恢復服務發(fā)生事故! 當服務提供者的信息系統(tǒng)，或組織結(jié)構(gòu)、等方面發(fā)生 變更時，認證機構(gòu)視情況可增加現(xiàn)場監(jiān)督審核的頻次。 6.2.5.2 監(jiān)督審核應包括， 但不限于以：( 1 ) 新實施的服務案例。 ( 2 )情況。 (3) 涉及變化的范圍（ 例如 ： 員變化、 實驗 環(huán) 境變化

47、、 項目管理、 質(zhì)量管理體系變化 ）。i:i s . . : . .參( 4 ) 上次審核提出的不符食項所采取糾正/ 預防措施，觀察項的實施情況。 6.2.5.3 監(jiān)督結(jié)果評價對于監(jiān)督審核的服務提供者， 認證機構(gòu)應做出保持其認證的決定； 否則， 應暫.sm¥停、撤銷其認證。6.2.5.4 信息通報制度為確保服務提供者的信息安余服務能力持續(xù)有效， 服務提供者應建立信息通報制度，A及時向認證現(xiàn)_報以下信息( 1 ) 有關(guān)組織機構(gòu)變化信息。 ( 2 ) 消費者投訴等信息。 ( 3 ) 其他重要信息。 6.2.5.5 信息分析認證機構(gòu)應對上述信息進行分析， 視情況采取相應措施， 包括增加監(jiān)督審核頻次、 暫停或撤銷認證。6.2.6 再認證在認證有效期滿的前三內(nèi)， 服務提供者可申請再認證。再認證程序與初次認證程序相同。中國認證中心第 19 頁ISCCC-SV-004:2012信息系統(tǒng)備份與恢復服務資質(zhì)認證實施規(guī)則6.2.7變更(1)如果變更只涉及到地址、資金或法定代表人的變更，申請方須遞交變更申請， 經(jīng)審核批準后， 認證機構(gòu)僅對更新并收回原。(2)服務提供者的組織機構(gòu)發(fā)生調(diào)整、變動較大、擬變更業(yè)務范圍時，應向認證機構(gòu)提出變更申請， 并提交相關(guān)材料。認證機構(gòu)策劃并實施適宜的審核活動， 并按照要求做出認證決定。審核活