國家標準《信息安全技術 災難恢復服務能力評估準則》征求意見稿
責編:mhshi |2017-09-01 14:52:16各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《信息安全技術 災難恢復服務能力評估準則》征求意見稿。為確保標準質量,信安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2017年10月9日前反饋給信安標委秘書處。
聯系人:許玉娜???xuyuna@cesi.cn?? 010-64102731
全國信息安全標準化技術委員會秘書處
2017年8月25日
標準文件:信息安全技術災難恢復服務能力評估準則
編制標準:
國家標準《信息安全技術 ?災難恢復服務能力評估準則》(征求意見稿)編制說明
一、工作簡況
2011年12月,全國信息安全標準化技術委員會(SAC/TC260)下達了制定《信息安全災難恢復服務資質規范》國家標準的專項項目任務書。項目的承擔單位是中國信息安全測評中心。2011年12月,中國信息安全測評中心啟動了該項目,開始編制《信息安全災難恢復服務資質規范》標準文檔。本標準主要由中國信息安全測評中心起草,參加單位有:中國信息安全認證中心、中國電子技術標準化研究院、萬國數據服務有限公司、中電長城網際系統應用有限公司、北京華勝天成科技股份有限公司、北京市太極華青信息系統有限公司、國富瑞數據系統有限公司、安永(中國)企業咨詢有限公司、清華大學軟件學院、中國民航大學、中國人民解放軍61786部隊信息安全研究中心、國網電科院國電通公司。
本標準主要起草人:孫明亮、李斌、位華、王琰、劉作康、張曉菲、張劍、魏立茹、楊建軍、許玉娜、關繼錚、閔京華、劉洋、閆城、安新亞、李杰、魏剛毅、劉煒、陸麗、雷縉、葉曉俊、汪濤、武勇、張春光。
為了推動信息安全災難恢復服務工作的進展,中國信息安全測評中心工作人員在中心內部立項開始進行有關信息安全災難恢復服務評估標準和方法的研究工作。
2011年12月,經全國信息安全標準化委員會專家評審通過,《信息安全災難恢復服務資質規范》標準編制項目正式立項。標準編制任務下達后,中國信息安全測評中心組織相關技術人員立即成立了標準編制小組,正式啟動《信息安全災難恢復服務資質規范》編制工作。在本中心《信息安全災難恢復服務能力評估準則》文本的基礎上,于2012年3月形成《信息安全災難恢復服務資質規范(初稿)》第一稿。
2012年3月19日,全國信安標委WG7組在北京組織召開了信息系統災難恢復服務資質有關標準工作會議。會議主要就中國信息安全認證中心承擔的2010年度國家標準制定項目《信息系統災難備份與恢復服務要求與評估方法》和中國信息安全測評中心承擔的2011年度國家標準制定項目《災難恢復服務資質規范》內容重復和沖突等問題進行了協商討論。在會上,標準編制小組就標準的編制情況進行了介紹。WG7組提出了該標準的后續工作意見。
2012年4月6日,為進一步研究信息安全服務標準體系框架,梳理現有信息安全服務相關標準,WG7于在北京召開“信息安全服務標準研討會”,會上該標準編制小組介紹了標準編制情況和標準的定位問題,提出了該標準與已經編制的國家標準《信息安全服務能力評估準則》之間的關聯關系。
2012年6月,安標委秘書處電話通知該標準編制小組,告知該項目的標準名稱中含有“資質”不合適,需要進行標準名稱的適當修改。標準編制小組經過討論后把標準名稱修改為《信息安全災難恢復服務能力評估準則》,并電話告知WG7組秘書處。
2012年6月29日,標準編制小組根據標準名稱的變化,進行了由標準主要編制人員參與的第一次會議,討論標準名稱變化后的編制思路變化和標準內容框架的變化,形成了《信息安全災難恢復服務能力評估準則》新的編制思路,并安排后續標準編制計劃,并于2012年10月完成了《信息安全災難恢復服務能力評估準則》(初稿)。
2012年10月24日,標準編制小組進行了第二次內部討論會,對《信息安全災難恢復服務能力評估準則》(初稿)進行了標準框架和內容的討論,基本確定了編制標準的內容框架。
2013年4月,標準編制小組根據確定的標準內容框架對標準完成了標準的編制,形成了《信息安全災難恢復服務能力評估準則》(內部稿)。
2013年4月24日,標準編制小組召開第一次內部專家評審會,對《信息安全災難恢復服務能力評估準則》(內部稿)進行內部討論和評審。會議邀請了包括了萬國數據、北京太極華清、清華大學、國富瑞、華勝天成、總參五十一所等在內的業界災難恢復技術專家和信息安全專家參加會議,提出了標準編制的意見和建議。根據專家評審意見,標準名稱改為《信息系統災難恢復服務能力評估準則》。
2013年6月,編制小組根據第一次內部專家評審會的意見對標準進行了修改,形成了《信息系統災難恢復服務能力評估準則》(內部修改稿)。
2013年6月4日,標準編制小組邀請上述專家召開了第二次內部專家評審會,對《信息安全災難恢復服務能力評估準則》(內部稿修改稿)進行內部評審。與會專家共提出了四十多條意見和建議。
2013年7月,標準編制小組根據第二次內部專家評審會的意見,對《信息安全災難恢復服務能力評估準則》(內部稿修改稿)進行了修改和完善,形成了《信息系統災難恢復服務能力評估準則》(草案)。
2013年9月,WG7組召開了標準編制項目檢查工作會。與會專家針對本標準草案提出了一些修改意見和建議。至2014年6月,標準編制小組根據第二次內部專家評審和安標委編制項目檢查工作會上的意見,進一步完善和修改了《信息系統災難恢復服務能力評估準則》(草案)。
2015年12月,標準編制小組邀請內外部專家召開了第三次專家評審會,對《信息安全災難恢復服務能力評估準則》(內部稿修改稿)進行內部評審,形成了10條修改意見。
2016年10月,課題組參加全國信息安全標準化技術委員會第二次會議周,課題組成員與現場專家對《信息安全災難恢復服務能力評估準則》標準文稿進行仔細閱讀,提出了修改意見,并確定標準名稱為《災難恢復服務能力評估準則》。
2016年11月,課題組召開了《災難恢復服務能力評估準則》(內部修改稿)內部專家評審會。課題組全體成員和專家仔細閱讀標準文稿,提出了修改意見,課題組根據修改意見對標準進行更新,提交全國信息安全標準化技術委員會。
2016年12月,課題組召開了《災難恢復服務能力評估準則》(內部修改稿)內部專家評審會。課題組全體成員和專家仔細閱讀標準文稿,提出了修改意見。
2017年1月16日認證中心課題組來中心進行兩個標準編寫工作共同推進的協調,兩個課題組得到共同的結論。
2017年4月參加信安標委武漢會議周,鑒于與中國信息安全認證中心起草的《信息安全技術 ?信息系統災難恢復服務要求》協調工作不夠徹底,未上會公開討論,兩標準編寫組繼續協調。
2017年5月至7月本標準負責人與《信息安全技術 信息系統災難恢復服務要求》標準編寫組進行多次協調兩標準的融合工作。
2017年7月5日,《信息安全技術 ?災難恢復服務能力評估準則》與《信息安全技術 信息系統災難恢復服務要求》兩標準組在信安標委參加協調會議,匯報兩標準的推進工作,在會專家給予有力的建議,兩標準編寫組接受專家意見,繼續按專家意見進行修改工作。
2017年7月13日、14日信安標委WG7組在北京組織標準會議,《災難恢復服務能力評估準則》與《信息系統災難恢復服務要求》同時上會匯報,專家們給予修改意見,兩標準推進到征求意見階段。
本標準為中國信息安全測評中心(以下簡稱“國測”)牽頭起草,在具體編寫工作里國測負責整個標準的架構、定位、能力成熟度模型建立,評估準則涉及的能力要素構建;中國信息安全認證中心在本標準主要負責《信息系統災難恢復服務能力要求》與本標準的融合和定位的為題,其他各單位主要發揮各自在災難恢復服務領域的最有實踐的提供,結合各自組織的業務實際對本標準中具體服務模塊中具體內容的落地。
二、標準編制原則和確定主要內容的論據及解決的主要問題
本標準編制原則有4個,參考多個國內、外的標準方法論結合中國災難恢復服務的實際情況為標準編寫提供了大量的依據,本標準編寫的目的主要是為規范我國災難恢復行業的服務行為,為災難恢復服務能力的評判提供一個科學的理論方法。
1、標準編制原則如下。
- a) ?規范性:嚴格按照國家標準編制流程進行標準的編制工作,力求達到編制的標準思路清晰、邏輯合理、文本規范、內容完整。
- b) ?可操作性和實用性:利用多年的實踐經驗,結合行業現狀進行標準的編制,力求標準在具體執行中操作性和實用性強。
c)協調一致性:廣泛征求業界專家的意見,同時充分考慮相關標準的關聯關系,力求達到編制標準的不同使用方的協調一致和標準之間的協調統一。
- d) ?科學性與先進性:借助于國際上在信息安全保障、災難恢復技術和能力成熟度等方面的科學方法及思路,進行標準文本的設計和編寫。
2、標準主要內容的理論依據及解決的問題如下。
- a) ?參考經典的災備建設與管理周期模型,借鑒PDCA理論,制定災難恢復服務框架,模型如下:
圖一 ?災難恢復服務框架示意圖
b)參考安全工程能力成熟度模型SSE-CMM和服務過程能力成熟度模型CMM,形成了災難恢復能力成熟度模型(DRP-CMM),所形成的對信息系統災難恢復服務能力成熟度進行度量的模型。其主要由由能力維和域維構成。信息系統災難恢復服務能力級別五級之分;域維由過程域(PA)構成和資源配置要求組成。模型圖如下:
圖二 ?災難恢復服務能力示意圖
圖三 ?災難恢復服務能力成熟度模型
圖四 ?災難恢復服務能力構成要素
三、主要試驗[或驗證]情況分析
中國信息安全測評中心利用《災難恢復服務能力評估準則》為指導方法開展的災難恢復服務能力的資質測評工作已經有10年之久,資質審核覆蓋了目前我國決定多數的災難恢復組織,充分的實踐了本標準的科學性,普遍得到行業內對本標準中能力成熟度模型的認可。
四、知識產權情況說明
無。
五、產業化情況、推廣應用論證和預期達到的經濟效果
信息安全測評中心依據中央編辦賦予的業務職能,自2002年起開展信息安全服務資質業務。從2007年開始運作信息安全災難恢復服務資質業務,至今已經基本覆蓋了我國從事災難恢復服務的組織,利用災難恢復能力評估準則中闡述的能力成熟度模型客觀的評價了組織在災難恢復領域各類型服務的能力,獲得災難恢復服務企業的普遍認同,為國家各行業對災難恢復服務的采購提供了有力依據,為災難恢復服務的提供方提供科學的評價自身能力水平的方法,對于規范災難恢復服務行業起到了強有力的指導作用,避免了采購不科學引起災難恢復所造成的不可估量的經濟損失、政治影響。
六、采用國際標準和國外先進標準情況
采用的國際標準主要為:ISO/IEC 21827:2008 信息技術 安全技術 系統安全工程能力成熟度模型?(Information technology — Security techniques —Systems Security Engineering – Capability Maturity Model?)(SSE-CMM?),主要參考SSE-CMM中能力成熟度的思路,結合我國災難恢復服務的實際情況進行構造災難恢復服務能力成熟度模型。
[采用國際標準和國外先進標準的程度,以及與國際、國外同類標準水平的對比情況,國內外關鍵指標對比分析或與測試的國外樣品、樣機的相關數據對比情況]
七、與現行相關法律、法規、規章及相關標準的協調性
本標準的編制遵循國家《關于做好重要信息系統災難備份工作的通知》等相關政策,以GB/T 30271-2013 《信息安全技術 信息安全服務能力評估準則》為上級標準,本標準中的災難恢復服務是信息安全服務一部分,是GB/T 30271標準的在災難恢復服務領域的擴展與承接;同時參考GB/T 20988-2007《信息安全技術 信息系統災難恢復規范》、GB/T 20261-2006 《信息技術 系統安全工程能力成熟度模型》、GB/T 30285-2013《信息安全技術_災難恢復中心建設與運維管理規范》中相關內容,借鑒了上述系列標準中的成熟因素,支撐災難恢復服務能力評估準則的編寫工作。
八、重大分歧意見的處理經過和依據
本標準的制定過程中最大的分歧意見就是與GB/TAAAAA-AAAA《信息安全技術 ?信息系統災難恢復服務能力要求》標準的定位問題。經過將近兩年的協商,兩個標準定位清楚,本標準主要定位在描述災難恢復服務框架、能力成熟度模型及評價方法上,GB/TAAAAA-AAAA《信息安全技術 ?信息系統災難恢復服務能力要求》在本標準的災難恢復服務框架下,提災難恢復服務的具體要求。
本標準主要根據災難恢復服務過程對災難恢復服務提供方提供的災難恢復服務能力提出評估的模型框架及方法論,從域維災難恢復服務能力的三個能力要素和能力維的公共特征的矩陣關系闡述對于災難恢復服務能力級別的定義。本標準依據災難灰度服務的全生命周期劃為三個大階段,又在三個階段的基礎上劃分為八個過程域,針對每個過程域分解為若干基本實踐(基本實踐下的具體實施要求沒有展開說明),具體服務提供商可以依據具體服務的形式針對具體過程域進行組合;《信息系統災難恢復服務要求》針對不同形式的災難恢復服務提出具體要求。本標準意在闡述災難恢復服務能力評估的模型及方法論,《信息系統災難恢復服務能力要求》意在針對具體災難恢復服務的具體形式提出具體要求,兩標準出發點相同(規范災難恢復服務),定位不同;本標準在過程域(PA)層面與《信息系統災難恢復服務要求》的具體服務形式的子階段進行一一映射,兩標準在術語層面完全統一,可以相互支撐調用。在標準具體的應用中,根據用戶角色的不同,兩標準的分工不同。災難恢復服務提供方根據提供的具體形式的災難恢復服務,了解服務的基線要求可參考《信息系統災難恢復服務要求》;當想對自身提供的服務能力進行自評估時,可針對服務內容與本標準的過程域進行對應,參考本標準服務能力評估模型及方法論進行能力等級的自評估。災難恢復需求方有具體的災難恢復需求時,想了解需求的災難恢復服務的基線要求時可參考《信息系統災難恢復服務要求》;當想選擇災難恢復服務提供方時,可根據具體的災難恢復需求,參考本標準的能力評估方法對供方進行評估和供應商選擇。災難恢復服務的評估方,當對服務的提供方進行基線的評估能否進行災難恢復服務時可參考《信息系統災難恢復服務要求》;當要評估災難恢復服務提供方的具體形式的災難恢復能力的等級或者比較各服務提供方的具體形式災難恢復服務能力的優勢時可參考本標準。
九、標準性質的建議
建議本標準為推薦性標準。
十、貫徹標準的要求和措施建議
貫徹本標準時組織一定要對自身的角色定義,是服務需求方、服務提供方或者第三方測評機構,針對組織的需求利用本標準的方法論開展工作;技術上沖理解本標準中的災難恢復服務框架、災難恢復服務能力成熟度模型的應用,這樣才能對不同組織的不同形式的災難服務做出客觀的評價。
十一、替代或廢止現行相關標準的建議
無。
十二、其它應予說明的事項
無。
標準《信息安全技術 ?災難恢復服務能力評估準則》編制工作組
2017-08-03