信息系统灾难备份与恢复服务资质认证自表.docx
《信息系统灾难备份与恢复服务资质认证自表.docx》由会员分享,可在线阅读,更多相关《信息系统灾难备份与恢复服务资质认证自表.docx(28页珍藏版)》请在冰点文库上搜索。
信息系统灾难备份与恢复服务资质认证自表
信息系统灾难备份与恢复服务资质认证自评估表
组织名称
申报级别
□资源服务类A类□技术服务类B类
评估时间
评估部门/人员
序号
要点
条款
需提供证明材料
自评估结论
证明材料清单
符合
不符合
1.
技术服务要求
建立信息系统灾难备份与恢复服务流程。
按照相关标准建立信息系统灾难备份与恢复服务流程,流程图中应包括每个阶段对应的职责、输入输出等。
2.
制定信息系统灾难备份与恢复服务规范并按照规范实施。
信息系统灾难备份与恢复服务规范。
3.
资源服务类(A类)要求-灾备中心场地资源要求
拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。
介绍所属各个灾备中心的分布与建设情况,包括但不限于灾备中心地理位置、物理环境、建设与完工时间、基础建设、信息系统建设、主要承担业务等情况;提供灾备中心选址情况说明、灾备中心抗震等级、自然环境安全风险防控等。
4.
仅二级/一级要求:
拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地区抗震设防烈度执行,抗震设防类别为乙类及以上。
5.
仅一级要求:
拥有至少2个在不同地域且处于不同的风险区域的灾备中心,满足异地灾备场地要求。
6.
三级/二级/一级分别要求:
用于和可用于灾备中心IT运行区的高架地板面积不低于1000/2000/5000平米。
灾备中心详细地址、产权关系,提供灾备中心IT运行区的高架地板建筑和使用面积等。
7.
机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。
介绍灾备中心机房门禁管理制度和访问控制程序。
8.
提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留2个月以上。
灾备中心配备监控设备、监控影像数据保存要求。
9.
具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。
灾备中心功能区与公共区域防火预警措施和管理制度,提供园区内防火设备设施清单、区域布防情况。
10.
灾备中心建筑耐火等级达到二级及以上。
灾备中心建筑耐火等级证明材料。
11.
仅一级要求:
灾备中心建筑耐火等级达到一级。
12.
仅二级/一级要求:
灾备中心建设等级满足国标A级或国际T3以上机房要求。
提供灾备中心机房建设情况;提供灾备中心机房环境达到相应要求的证明材料。
13.
仅一级要求:
灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度。
14.
仅二级/一级要求:
具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。
灾备中心机房气体灭火消防系统设施配置情况。
15.
仅一级要求:
用于灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同。
提供灾备中心的土地使用证或长期租赁合同。
16.
仅一级要求:
至少采用园区保安、机房门卫、前台三重审核的外部保安措施。
灾备中心园区各个区域保安措施和安全管理方案。
17.
仅一级要求:
灾备中心的所有通道、机房内均设置CCTV摄像头和7X24小时监控,并且可以按照客户的要求提供更长的保存期限。
灾备中心监控区域分布、人员值守情况,视频数据保存管理要求。
18.
资源服务类(A类)要求-灾备中心基础设施要求
拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等,并定期检查。
介绍灾备中心供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等基础保障设施的配备情况,提供基础保障设施检查和巡检制度和措施。
19.
拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。
介绍灾备中心灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等配套设施配备情况。
20.
拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。
介绍灾备中心保障日常运维所配备生活设施情况,包括但不限于人员宿舍、食堂、活动室等。
21.
拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。
介绍灾备中心数据机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等运行工作环境情况。
22.
具备单路高压供电和独立UPS不间断电源保障。
灾备中心外部供电系统及UPS电源供电模式,提供灾备中心UPS电源供电设备清单。
23.
采用精密空调系统,并具备恒温恒湿要求。
介绍灾备中心机房制冷设备、设施配备情况;提供空调系统在温湿度方面的具体参数。
24.
仅二级/一级要求:
采用精密空调系统,机房温度应达到22°C±2°C,湿度应达到45%-65%。
25.
仅二级/一级要求:
建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。
灾备中心基础设施巡检、监控、检查、维护、性能和容量管理制度,应急与故障演练制度和流程,包括但不限于灾备中心运维整体规划、运维管理层制度、实施层制度和操作层制度等。
26.
仅二级/一级要求:
具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供应,满足全部负荷连续运行48小时以上。
灾备中心双路高压及双路UPS供电设计方案,介绍UPS供电能力。
27.
仅一级要求:
高压电来自两个独立的变电站的双路设计。
提供灾备中心高压电路设计方案,达到双路供电要求。
28.
仅一级要求:
后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料供应保障协议,保障燃料数量和质量要求,UPS和油机可自动切换。
介绍灾备中心发电机组及燃料油库相关情况,提供实际切换记录。
29.
资源服务类(A类)要求-灾备中心运维管理要求
拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理制度,并有效运行。
灾备中心组织架构、岗位职责及运行维护管理团队名单,提供灾备中心机房运行管理制度和信息安全管理制度。
30.
建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊断和审计,保存相关记录。
灾备中心信息系统运行监控平台建设和运行管理情况,包括但不限于监控范围、预警、故障处理等;提供灾备系统故障应急处置预案。
31.
建立信息系统灾难恢复指挥系统,保障灾难恢复效率。
灾备中心灾难恢复指挥系统方案和指挥协调程序,包括但不限于指挥系统组织架构、岗位职责、汇报流程、指挥协调工作方法与管理机制等。
32.
建立灾备中心与生产中心统一变更流程。
灾难备份中心与生产中心间的变更流程,包括但不限于事先评估生产中心的变更和调整对灾难备份中心可能造成的影响,并规划灾难备份中心的变更方案和计划等。
33.
定期开展数据验证工作,确保生产与灾备数据的一致性、完整性和可用性。
灾备中心数据验证程序和相关策略,包括但不限于定期演练、基准核对、子系统验证等,保障在灾难发生时,灾难备份系统及时接替生产系统运行。
34.
仅二级/一级要求:
灾备中心建立与生产中心统一的运维管理流程,实现两个中心联动运维。
介绍两地双中心联动运维管理制度和运行程序。
35.
仅二级/一级要求:
灾备中心建立完整的电子化IT资产管理系统,能动态跟踪灾备中心IT资产变更。
介绍灾备中心资产管理制度和资产管理平台情况,包括但不限于资产清单、资产选型、配置管理、变更管理、资产处置等。
36.
仅二级/一级要求:
灾备中心提供统一的客户服务平台,集中受理客户服务请求。
介绍灾备中心客户服务台情况,包括但不限于提供服务热线、岗位职责、人员配置、服务时效、工作接口等。
37.
仅二级/一级要求:
妥善保管运维记录,所有文档应满足客户监管机构要求。
灾备中心设备运行维护管理流程图、主要设备操作手册、设备运维过程记录模板、运维管理平台或业务系统等。
38.
仅一级要求:
采用运维监控和流程管理工具,实现对多数据中心资源的统一监控和自动化管理。
39.
仅二级/一级要求:
定期开展灾难恢复模拟切换演练工作,确保发生灾难时,灾备系统能够接替生产系统运行。
提供灾备中心灾难恢复演练程序和步骤,包括但不限于演练前动员、演练培训、演练范围、参演人员角色及职责分配、演练场景设计、演练报告与总结等。
40.
仅一级要求:
针对特定的灾难场景进行灾难恢复真实切换演练,并能接替生产完成至少2个小时的真实交易,并能在规定时间内进行回切。
多场景演练的方案和演练记录,具备实际切换和回切能力,同时针对实际切换演练要制定完善的方案、进行全面培训和各种事件的应急处置预案,确保演练不对系统运行造成影响。
41.
仅一级要求:
具备真实切换演练的方案设计、培训、实施管理和应急处置能力。
42.
仅一级要求:
定期维护灾难恢复预案,及时更新和分发预案文档,确保预案体系持续有效。
信息系统灾难恢复预案体系,包括应急预案和恢复预案,提供预案维护过程记录,包括日常修订和每次演练后的修订与完善。
43.
仅一级要求:
建立灾备中心应急管理体系,确保灾备系统稳定运行。
提供灾备中心应急管理制度、应急处置预案,包括但不限于服务台、应急处置时间、应急响应团队、沟通协调机制、资源调配等。
44.
技术服务类(B类)要求-方案设计要求
开展灾难恢复系统建设需求调研,并进行需求分析。
提供项目需求分析报告,包括但不限于分析客户业务系统运行环境与背景、分析客户在灾备系统建设方面的投入能力,进行安全风险分析等。
45.
仅二级/一级要求:
按照不同灾难恢复等级对资源的要求,确定灾备中心基础设施、数据备份系统、备用数据处理系统和备用网络系统等方面的需求,形成调研报告。
46.
按照灾难恢复规划和客户的投入能力,制定灾难备份与恢复系统技术方案、实施方案。
提供灾备系统建设技术方案和实施方案,技术方案包括但不限于系统架构、产品选型、设备功能、性能指标、参数配置等;实施方案包括但不限于时间进度、人员配置、实施环境评估、主线任务演进计划、收尾验收标准。
47.
仅二级/一级要求:
对业务系统中断后的损失进行分析,制定业务系统的最大可容忍业务中断时间(RTO)、最大可容忍中断时间点(RPO)。
灾备系统建设技术方案中应明确RTO、RPO等参数。
48.
仅二级/一级要求:
依据系统建设要求和技术方案,制定系统测试方案。
灾备系统测试方案,通过测试验证数据备份、数据恢复、网络通信等功能达到相关要求,测试方案包括但不限于测试功能模块、性能指标、测试步骤、测试方法等。
49.
仅一级要求:
识别客户的信息资产及其脆弱性和威胁,对基础设施和信息系统进行风险评估,制定本地风险控制策略和灾难恢复策略。
识别生产中心的各种外界威胁和内部存在的脆弱性,进行全面的风险评估与分析,结合业务运行要求,进行业务连续性分析,制定针对业务恢复指标和优先顺序。
50.
仅一级要求:
分析业务系统与应用系统之间的关联关系,确定应用系统灾难恢复指标和恢复优先级别。
51.
技术服务类(B类)要求-系统建设与管理要求
依据灾难备份与恢复实施方案,实施灾难备份与恢复系统建设。
灾备系统建设实施过程记录,包括但不限于项目时间进度计划、人员安排、质量要求、施工日志、项目周/日报等。
52.
妥善保存灾难备份与恢复系统建设过程记录文档。
53.
仅二级/一级要求:
依据测试方案,组织实施系统测试,并详细记录。
灾备系统测试记录和测试报告,包括但不限于灾备系统功能、性能和安全性测试情况。
54.
仅二级/一级要求:
制定灾难备份与恢复系统试运行方案,并详细记录试运行过程情况。
灾备系统试运行方案,包括但不限于运行时限、试运行过程记录、故障处理方案、试运行性过程演练情况。
55.
仅一级要求:
建立系统运行维护管理制度,实时监控灾难备份中心运行状况,及时响应和处理异常情况,分析异常产生的原因,并依据流程升级和上报。
基础设施运行管理制度,包括但不限于设备清单、运行状况监测、事件处理策略、问题上报流程等。
56.
仅一级要求:
建立存储介质和数据管理制度,规范数据传输和复制过程,定期检查和验证存储介质和数据。
存储介质及数据管理制度,包括但不限于建立存储介质目录、容量管理、验证与评估策略、数据存储规范、介质销毁等。
57.
技术服务类(B类)要求-预案制定与演练要求
制定信息系统灾难恢复预案。
灾难恢复预案,包括但不限于对基础设施、网络系统、应用系统等进行的响应和恢复过程。
58.
开展信息系统灾难恢复桌面推演,并详细记录。
灾难恢复演练记录,详细记录演练过程并进行演练总结。
59.
结合项目需要,组织开展灾难恢复预案培训。
60.
仅二级/一级要求:
制定系统演练方案,明确演练范围、人员、场景、步骤等内容。
灾备系统演练方案,包括桌面演练、模拟切换演练。
61.
仅二级/一级要求:
组织演练培训和动员,明确参演人员角色、职责和具体任务。
提供演练前动员培训过程记录、参演人员角色、职责分工、演练场景设计、演练步骤等。
62.
仅二级/一级要求:
设计多种演练场景并组织推演,详细记录演练过程。
63.
技术服务类(B类)要求-预案制定与演练要求
仅一级要求:
制定信息系统灾难恢复预案体系,包括应急预案和恢复预案。
灾难恢复预案体系,包括应急预案和恢复预案,应急预案包括但不限于应急组织管理,紧急事件发现、报告和处置,损害评估,恢复和审核等;恢复预案包括但不限于,包括灾难恢复组织管理,灾难宣告,灾难恢复,重续运行,重建、回退处理流程等;结合演练过程及时完善预案体系。
提供应急和恢复预案体系的运行记录。
64.
仅一级要求:
详细记录演练过程并进行总结,及时修订应急和恢复预案体系。
65.
仅一级要求:
基于特定的演练场景,制定详细的切换演练方案。
针对特定场景的实际切换演练方案,并定期开展实际切换演练,验证灾难备份中心实际切换与真实生产任务的接管能力。
提供切换演练方案。
66.
仅一级要求:
组织完成真实切换演练前的桌面推演和模拟测试工作。
在实际切换演练前,在系统测试、人员培训、预案验证等方面做好准备,检查演练场所、演练设备、配置要求等,并对参演人员进行培训。
提供桌面模拟推演和模拟测试的相关记录。
67.
上一年度提出的观察项整改情况(如有)
68.
69.
70.
上一年度提出的不符合项整改情况(如有)
71.
72.
自评估结论:
经自主评估,本单位的信息系统灾难备份与恢复服务满足《信息安全服务规范》级(□A□B)要求,申请第三方审核。
本单位郑重承诺,《信息安全服务资质认证自评估表-公共管理》与本自评估表中所提供全部信息真实可信,且均可提供相应证明材料。
升级会员 