国家标准《信息安全技术 灾难恢复服务能力评估准则》征求意见稿
责编:mhshi |2017-09-01 14:52:16各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 灾难恢复服务能力评估准则》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2017年10月9日前反馈给信安标委秘书处。
联系人:许玉娜 xuyuna@cesi.cn 010-64102731
全国信息安全标准化技术委员会秘书处
2017年8月25日
标准文件:信息安全技术灾难恢复服务能力评估准则
编制标准:
国家标准《信息安全技术 灾难恢复服务能力评估准则》(征求意见稿)编制说明
一、工作简况
2011年12月,全国信息安全标准化技术委员会(SAC/TC260)下达了制定《信息安全灾难恢复服务资质规范》国家标准的专项项目任务书。项目的承担单位是中国信息安全测评中心。2011年12月,中国信息安全测评中心启动了该项目,开始编制《信息安全灾难恢复服务资质规范》标准文档。本标准主要由中国信息安全测评中心起草,参加单位有:中国信息安全认证中心、中国电子技术标准化研究院、万国数据服务有限公司、中电长城网际系统应用有限公司、北京华胜天成科技股份有限公司、北京市太极华青信息系统有限公司、国富瑞数据系统有限公司、安永(中国)企业咨询有限公司、清华大学软件学院、中国民航大学、中国人民解放军61786部队信息安全研究中心、国网电科院国电通公司。
本标准主要起草人:孙明亮、李斌、位华、王琰、刘作康、张晓菲、张剑、魏立茹、杨建军、许玉娜、关继铮、闵京华、刘洋、闫城、安新亚、李杰、魏刚毅、刘炜、陆丽、雷缙、叶晓俊、汪涛、武勇、张春光。
为了推动信息安全灾难恢复服务工作的进展,中国信息安全测评中心工作人员在中心内部立项开始进行有关信息安全灾难恢复服务评估标准和方法的研究工作。
2011年12月,经全国信息安全标准化委员会专家评审通过,《信息安全灾难恢复服务资质规范》标准编制项目正式立项。标准编制任务下达后,中国信息安全测评中心组织相关技术人员立即成立了标准编制小组,正式启动《信息安全灾难恢复服务资质规范》编制工作。在本中心《信息安全灾难恢复服务能力评估准则》文本的基础上,于2012年3月形成《信息安全灾难恢复服务资质规范(初稿)》第一稿。
2012年3月19日,全国信安标委WG7组在北京组织召开了信息系统灾难恢复服务资质有关标准工作会议。会议主要就中国信息安全认证中心承担的2010年度国家标准制定项目《信息系统灾难备份与恢复服务要求与评估方法》和中国信息安全测评中心承担的2011年度国家标准制定项目《灾难恢复服务资质规范》内容重复和冲突等问题进行了协商讨论。在会上,标准编制小组就标准的编制情况进行了介绍。WG7组提出了该标准的后续工作意见。
2012年4月6日,为进一步研究信息安全服务标准体系框架,梳理现有信息安全服务相关标准,WG7于在北京召开“信息安全服务标准研讨会”,会上该标准编制小组介绍了标准编制情况和标准的定位问题,提出了该标准与已经编制的国家标准《信息安全服务能力评估准则》之间的关联关系。
2012年6月,安标委秘书处电话通知该标准编制小组,告知该项目的标准名称中含有“资质”不合适,需要进行标准名称的适当修改。标准编制小组经过讨论后把标准名称修改为《信息安全灾难恢复服务能力评估准则》,并电话告知WG7组秘书处。
2012年6月29日,标准编制小组根据标准名称的变化,进行了由标准主要编制人员参与的第一次会议,讨论标准名称变化后的编制思路变化和标准内容框架的变化,形成了《信息安全灾难恢复服务能力评估准则》新的编制思路,并安排后续标准编制计划,并于2012年10月完成了《信息安全灾难恢复服务能力评估准则》(初稿)。
2012年10月24日,标准编制小组进行了第二次内部讨论会,对《信息安全灾难恢复服务能力评估准则》(初稿)进行了标准框架和内容的讨论,基本确定了编制标准的内容框架。
2013年4月,标准编制小组根据确定的标准内容框架对标准完成了标准的编制,形成了《信息安全灾难恢复服务能力评估准则》(内部稿)。
2013年4月24日,标准编制小组召开第一次内部专家评审会,对《信息安全灾难恢复服务能力评估准则》(内部稿)进行内部讨论和评审。会议邀请了包括了万国数据、北京太极华清、清华大学、国富瑞、华胜天成、总参五十一所等在内的业界灾难恢复技术专家和信息安全专家参加会议,提出了标准编制的意见和建议。根据专家评审意见,标准名称改为《信息系统灾难恢复服务能力评估准则》。
2013年6月,编制小组根据第一次内部专家评审会的意见对标准进行了修改,形成了《信息系统灾难恢复服务能力评估准则》(内部修改稿)。
2013年6月4日,标准编制小组邀请上述专家召开了第二次内部专家评审会,对《信息安全灾难恢复服务能力评估准则》(内部稿修改稿)进行内部评审。与会专家共提出了四十多条意见和建议。
2013年7月,标准编制小组根据第二次内部专家评审会的意见,对《信息安全灾难恢复服务能力评估准则》(内部稿修改稿)进行了修改和完善,形成了《信息系统灾难恢复服务能力评估准则》(草案)。
2013年9月,WG7组召开了标准编制项目检查工作会。与会专家针对本标准草案提出了一些修改意见和建议。至2014年6月,标准编制小组根据第二次内部专家评审和安标委编制项目检查工作会上的意见,进一步完善和修改了《信息系统灾难恢复服务能力评估准则》(草案)。
2015年12月,标准编制小组邀请内外部专家召开了第三次专家评审会,对《信息安全灾难恢复服务能力评估准则》(内部稿修改稿)进行内部评审,形成了10条修改意见。
2016年10月,课题组参加全国信息安全标准化技术委员会第二次会议周,课题组成员与现场专家对《信息安全灾难恢复服务能力评估准则》标准文稿进行仔细阅读,提出了修改意见,并确定标准名称为《灾难恢复服务能力评估准则》。
2016年11月,课题组召开了《灾难恢复服务能力评估准则》(内部修改稿)内部专家评审会。课题组全体成员和专家仔细阅读标准文稿,提出了修改意见,课题组根据修改意见对标准进行更新,提交全国信息安全标准化技术委员会。
2016年12月,课题组召开了《灾难恢复服务能力评估准则》(内部修改稿)内部专家评审会。课题组全体成员和专家仔细阅读标准文稿,提出了修改意见。
2017年1月16日认证中心课题组来中心进行两个标准编写工作共同推进的协调,两个课题组得到共同的结论。
2017年4月参加信安标委武汉会议周,鉴于与中国信息安全认证中心起草的《信息安全技术 信息系统灾难恢复服务要求》协调工作不够彻底,未上会公开讨论,两标准编写组继续协调。
2017年5月至7月本标准负责人与《信息安全技术 信息系统灾难恢复服务要求》标准编写组进行多次协调两标准的融合工作。
2017年7月5日,《信息安全技术 灾难恢复服务能力评估准则》与《信息安全技术 信息系统灾难恢复服务要求》两标准组在信安标委参加协调会议,汇报两标准的推进工作,在会专家给予有力的建议,两标准编写组接受专家意见,继续按专家意见进行修改工作。
2017年7月13日、14日信安标委WG7组在北京组织标准会议,《灾难恢复服务能力评估准则》与《信息系统灾难恢复服务要求》同时上会汇报,专家们给予修改意见,两标准推进到征求意见阶段。
本标准为中国信息安全测评中心(以下简称“国测”)牵头起草,在具体编写工作里国测负责整个标准的架构、定位、能力成熟度模型建立,评估准则涉及的能力要素构建;中国信息安全认证中心在本标准主要负责《信息系统灾难恢复服务能力要求》与本标准的融合和定位的为题,其他各单位主要发挥各自在灾难恢复服务领域的最有实践的提供,结合各自组织的业务实际对本标准中具体服务模块中具体内容的落地。
二、标准编制原则和确定主要内容的论据及解决的主要问题
本标准编制原则有4个,参考多个国内、外的标准方法论结合中国灾难恢复服务的实际情况为标准编写提供了大量的依据,本标准编写的目的主要是为规范我国灾难恢复行业的服务行为,为灾难恢复服务能力的评判提供一个科学的理论方法。
1、标准编制原则如下。
- a) 规范性:严格按照国家标准编制流程进行标准的编制工作,力求达到编制的标准思路清晰、逻辑合理、文本规范、内容完整。
- b) 可操作性和实用性:利用多年的实践经验,结合行业现状进行标准的编制,力求标准在具体执行中操作性和实用性强。
c)协调一致性:广泛征求业界专家的意见,同时充分考虑相关标准的关联关系,力求达到编制标准的不同使用方的协调一致和标准之间的协调统一。
- d) 科学性与先进性:借助于国际上在信息安全保障、灾难恢复技术和能力成熟度等方面的科学方法及思路,进行标准文本的设计和编写。
2、标准主要内容的理论依据及解决的问题如下。
- a) 参考经典的灾备建设与管理周期模型,借鉴PDCA理论,制定灾难恢复服务框架,模型如下:
图一 灾难恢复服务框架示意图
b)参考安全工程能力成熟度模型SSE-CMM和服务过程能力成熟度模型CMM,形成了灾难恢复能力成熟度模型(DRP-CMM),所形成的对信息系统灾难恢复服务能力成熟度进行度量的模型。其主要由由能力维和域维构成。信息系统灾难恢复服务能力级别五级之分;域维由过程域(PA)构成和资源配置要求组成。模型图如下:
图二 灾难恢复服务能力示意图
图三 灾难恢复服务能力成熟度模型
图四 灾难恢复服务能力构成要素
三、主要试验[或验证]情况分析
中国信息安全测评中心利用《灾难恢复服务能力评估准则》为指导方法开展的灾难恢复服务能力的资质测评工作已经有10年之久,资质审核覆盖了目前我国决定多数的灾难恢复组织,充分的实践了本标准的科学性,普遍得到行业内对本标准中能力成熟度模型的认可。
四、知识产权情况说明
无。
五、产业化情况、推广应用论证和预期达到的经济效果
信息安全测评中心依据中央编办赋予的业务职能,自2002年起开展信息安全服务资质业务。从2007年开始运作信息安全灾难恢复服务资质业务,至今已经基本覆盖了我国从事灾难恢复服务的组织,利用灾难恢复能力评估准则中阐述的能力成熟度模型客观的评价了组织在灾难恢复领域各类型服务的能力,获得灾难恢复服务企业的普遍认同,为国家各行业对灾难恢复服务的采购提供了有力依据,为灾难恢复服务的提供方提供科学的评价自身能力水平的方法,对于规范灾难恢复服务行业起到了强有力的指导作用,避免了采购不科学引起灾难恢复所造成的不可估量的经济损失、政治影响。
六、采用国际标准和国外先进标准情况
采用的国际标准主要为:ISO/IEC 21827:2008 信息技术 安全技术 系统安全工程能力成熟度模型®(Information technology — Security techniques —Systems Security Engineering – Capability Maturity Model®)(SSE-CMM®),主要参考SSE-CMM中能力成熟度的思路,结合我国灾难恢复服务的实际情况进行构造灾难恢复服务能力成熟度模型。
[采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,国内外关键指标对比分析或与测试的国外样品、样机的相关数据对比情况]
七、与现行相关法律、法规、规章及相关标准的协调性
本标准的编制遵循国家《关于做好重要信息系统灾难备份工作的通知》等相关政策,以GB/T 30271-2013 《信息安全技术 信息安全服务能力评估准则》为上级标准,本标准中的灾难恢复服务是信息安全服务一部分,是GB/T 30271标准的在灾难恢复服务领域的扩展与承接;同时参考GB/T 20988-2007《信息安全技术 信息系统灾难恢复规范》、GB/T 20261-2006 《信息技术 系统安全工程能力成熟度模型》、GB/T 30285-2013《信息安全技术_灾难恢复中心建设与运维管理规范》中相关内容,借鉴了上述系列标准中的成熟因素,支撑灾难恢复服务能力评估准则的编写工作。
八、重大分歧意见的处理经过和依据
本标准的制定过程中最大的分歧意见就是与GB/TAAAAA-AAAA《信息安全技术 信息系统灾难恢复服务能力要求》标准的定位问题。经过将近两年的协商,两个标准定位清楚,本标准主要定位在描述灾难恢复服务框架、能力成熟度模型及评价方法上,GB/TAAAAA-AAAA《信息安全技术 信息系统灾难恢复服务能力要求》在本标准的灾难恢复服务框架下,提灾难恢复服务的具体要求。
本标准主要根据灾难恢复服务过程对灾难恢复服务提供方提供的灾难恢复服务能力提出评估的模型框架及方法论,从域维灾难恢复服务能力的三个能力要素和能力维的公共特征的矩阵关系阐述对于灾难恢复服务能力级别的定义。本标准依据灾难灰度服务的全生命周期划为三个大阶段,又在三个阶段的基础上划分为八个过程域,针对每个过程域分解为若干基本实践(基本实践下的具体实施要求没有展开说明),具体服务提供商可以依据具体服务的形式针对具体过程域进行组合;《信息系统灾难恢复服务要求》针对不同形式的灾难恢复服务提出具体要求。本标准意在阐述灾难恢复服务能力评估的模型及方法论,《信息系统灾难恢复服务能力要求》意在针对具体灾难恢复服务的具体形式提出具体要求,两标准出发点相同(规范灾难恢复服务),定位不同;本标准在过程域(PA)层面与《信息系统灾难恢复服务要求》的具体服务形式的子阶段进行一一映射,两标准在术语层面完全统一,可以相互支撑调用。在标准具体的应用中,根据用户角色的不同,两标准的分工不同。灾难恢复服务提供方根据提供的具体形式的灾难恢复服务,了解服务的基线要求可参考《信息系统灾难恢复服务要求》;当想对自身提供的服务能力进行自评估时,可针对服务内容与本标准的过程域进行对应,参考本标准服务能力评估模型及方法论进行能力等级的自评估。灾难恢复需求方有具体的灾难恢复需求时,想了解需求的灾难恢复服务的基线要求时可参考《信息系统灾难恢复服务要求》;当想选择灾难恢复服务提供方时,可根据具体的灾难恢复需求,参考本标准的能力评估方法对供方进行评估和供应商选择。灾难恢复服务的评估方,当对服务的提供方进行基线的评估能否进行灾难恢复服务时可参考《信息系统灾难恢复服务要求》;当要评估灾难恢复服务提供方的具体形式的灾难恢复能力的等级或者比较各服务提供方的具体形式灾难恢复服务能力的优势时可参考本标准。
九、标准性质的建议
建议本标准为推荐性标准。
十、贯彻标准的要求和措施建议
贯彻本标准时组织一定要对自身的角色定义,是服务需求方、服务提供方或者第三方测评机构,针对组织的需求利用本标准的方法论开展工作;技术上冲理解本标准中的灾难恢复服务框架、灾难恢复服务能力成熟度模型的应用,这样才能对不同组织的不同形式的灾难服务做出客观的评价。
十一、替代或废止现行相关标准的建议
无。
十二、其它应予说明的事项
无。
标准《信息安全技术 灾难恢复服务能力评估准则》编制工作组
2017-08-03