国家信息安全服务资质

1、国家信息安全服务资质灾难恢复服务能力评估准则（试行）©版权2008中国信息全安全测评中心2008年5月1日173 / 177文档可自由编辑打印目录1 范围12 规范性引用文件23 术语、定义和缩略语33.1 术语和定义33.2 缩略语54 概述64.1 信息安全灾难恢复服务介绍64.2 信息安全灾难恢复能力成熟度模型84.3 如何使用标准155 灾难恢复过程域215.1 PA01灾难恢复需求225.2 PA02灾难恢复策略制定265.3 PA03灾难恢复资源获取295.4 PA04灾难恢复资源要求375.5 PA05灾难备份系统技术方案实现455.6 PA06灾难备份中心的选择和建设

2、495.7 PA07技术支持能力的实现525.8 PA08运行维护管理能力的实现545.9 PA09灾难恢复预案的制定565.10 PA10灾难恢复预案的教育、培训和演练595.11 PA11灾难恢复预案的管理616 项目和组织的基本实践过程域646.1 PA12保证质量656.2 PA13管理配置736.3 PA14管理项目风险796.4 PA15监控技术活动866.5 PA16规划技术活动936.6 PA17定义组织的系统工程过程1046.7 PA18改进组织的系统工程过程1096.8 PA19管理产品生产线演进1146.9 PA20管理系统工程支撑环境1206.10 PA21提供现时的技

3、能和知识1286.11 PA22供应商协调1377 信息安全灾难恢复能力级别1437.1 能力级别1 非正式实施1447.2 能力级别2 计划和跟踪1487.3 能力级别3 充分定义1567.4 能力级别4 定量控制1637.5 能力级别5 持续改进168参考文献1731 范围本标准适用于评估机构对提供信息安全灾难恢复服务的组织进行信息安全灾难恢复服务能力的测评。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注

4、明日期的引用文件，其最新版本适用于本标准。GB/T 5271.82001 信息技术 词汇 第8部分：安全GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范3 术语、定义和缩略语3.1 术语和定义过程域 process area（PA）一个过程域（PA）是一组相关系统工程过程的性质，当这些性质全部实施后则能够达到过程域定义的目的。基本实践 base practices（BP）一个过程域由基本实践(BP)组成。这些基本实践是系统工程过程中必须存在的性质，只有当所有这些性质完全实现后，才可说满足了这个过程域的要求。通用实践 generic practices（GP）在评估中用于确定任

5、何过程的能力。恢复时间目标 recovery time objective（RTO）灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。恢复点目标 recovery point objective（RPO）灾难发生后，系统和数据必须恢复到的时间点要求。灾难 disaster 由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行。灾难恢复 disaster recovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状

6、态恢复到可接受状态，而设计的活动和流程。灾难恢复规划 disaster recovery planning （DRP）为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。业务影响分析 business impact analysis（BIA）分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。关键业务功能 critical business functions如果中断一定时间，将显著影响组织运作的服务或职能。主系统primary system生产系统 production system正常情况下支持组织日常运作的信

7、息系统。包括主数据、主数据处理系统和主网络。主中心 primary center主站点 primary site生产中心 production center主系统所在的数据中心。灾难备份 backup for disaster recovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。灾难备份系统backup system for disaster recovery用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统组成的信息系统。灾难备份中心 backup center for disaster recovery备用站点

8、alternate site用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所，可提供灾难备份系统、备用的基础设施和技术支持及运行维护管理能力，此场所内或周边可提供备用的生活设施。数据备份策略 data backup strategy为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时间、技术、介质和场外存放方式，以保证达到恢复时间目标和恢复点目标。灾难恢复预案 disaster recovery plan定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。演练 exercise演习 dr

9、ill为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程。包括桌面演练、模拟演练、重点演练和完全演练等。场外存放 offsite storage将存储介质存放到离主中心有一定安全距离的物理地点的过程。3.2 缩略语BIA：业务影响分析（Business Impact Analysis）BP：基本实践（Base Practices）CMM：能力成熟度模型（Capability Maturity Model）DRP：灾难恢复规划（Disaster Recovery Planning）DRP-CMM：灾难恢复服务能力成熟度模型（Disaster Recovery Planning Capa

10、bility Maturity Model）GP：通用实践（Generic Practices）PA：过程域（Process Area）RTO：恢复时间目标（Recovery Time Objective）RTP：恢复点目标（Recovery Point Objective）SSE-CMM：系统安全工程能力成熟度模型（System Security Engineering Capability Maturity Model）4 概述4.1 信息安全灾难恢复服务介绍信息系统的灾难恢复工作，包括灾难恢复规划和灾难备份中心的日常运行，还包括灾难发生后的应急响应、关键业务功能在灾难备份中心的恢复和重续

11、运行，以及生产系统的灾后重建和回退工作。其中，灾难恢复规划是一个周而复始、持续改进的过程，包含以下几个阶段：l 灾难恢复需求的确定；l 灾难恢复策略的制定；l 灾难恢复策略的实现；l 灾难恢复预案的制定、落实和管理。4.1.1 组织机构单位应结合其日常组织机构的具体情况建立灾难恢复规划组织机构，并明确其职责。其中一些人可负责两种或多种职责，一些职位可由多人担任（灾难恢复预案中应明确他们的替代顺序）。灾难恢复规划的组织机构由管理、业务、技术和行政后勤等人员组成，分为灾难恢复规划领导小组、灾难恢复规划实施组和灾难恢复规划日常运行组。其中，实施组的人员在实施任务完成后可成为日常运行组的成员。单位可聘

12、请外部专家协助灾难恢复规划工作，也可委托外部机构承担实施组和运行组的部分或全部工作。灾难恢复管理的组织结构图如下：图41：灾难恢复管理的组织机构在灾难恢复管理组织结构的职责如下：l 灾难恢复规划领导小组灾难恢复规划领导小组是实施灾难恢复规划工作的组织领导机构，组长应由单位高层领导担任，领导和决策灾难恢复规划重大事宜，其主要职责如下：n 审核并批准经费预算；n 审核并批准灾难恢复策略；n 审核并批准灾难恢复预案；n 组织灾难恢复预案的测试和演练；n 批准灾难恢复预案的执行。l 灾难恢复规划实施组灾难恢复实施组的主要职责是负责：n 灾难恢复的需求分析；n 提出灾难恢复策略和等级；n 灾难恢复策略的

13、实现；n 制订灾难恢复预案；l 灾难恢复规划日常运行组灾难恢复日常运行组的主要职责是负责：n 灾难备份中心日常管理；n 灾难备份系统的运行和维护；n 灾难恢复的技术支持；n 灾难恢复预案的教育、培训和演练；n 维护和管理灾难恢复预案；n 突发事件发生时的损失控制和损害评估；n 灾难发生后信息系统和业务功能的恢复；n 灾难发生后的外部协作。4.1.2 灾难恢复管理过程在灾难恢复管理过程中，描述了开发和维护有效灾难恢复预案的过程。这里所描述的过程对所有IT系统都是通用的。下面列出了灾难恢复管理过程的四个主要过程步骤：l 灾难恢复需求分析：灾难恢复需求分析步骤包括风险分析（RA）、业务影响分析（BI

14、A）和确定灾难恢复目标三个子步骤，通过需求分析这三个子步骤了解信息系统的风险、综合对业务的考虑并确定关键业务功能及恢复的优先顺序和灾难恢复RTO/RPO灾难恢复时间范围指标。l 灾难恢复策略制定：灾难恢复策略制定步骤基于风险和损失平衡的原则，确定每项关键业务功能的灾难恢复策略，并将这些策略正式文档化。l 灾难恢复策略实现：灾难恢复策略实现步骤根据灾难恢复的策略，选择和建设灾难备份中心、实现灾备系统技术方案并实现技术支持和维护能力。l 灾难恢复预案制定和管理：灾难恢复预案制定和管理步骤负责编制灾难恢复预案、对灾难恢复预案进行教育、培训和演练，并负责灾难恢复预案的保存、分发以及维护和变更管理。这些

15、步骤代表了一个全面的灾难恢复管理能力的关键要素。整个开发过程的责任是由灾难恢复实施组所具体负责，图42显示了灾难恢复管理的过程。图42：灾难恢复管理过程4.2 信息安全灾难恢复能力成熟度模型4.2.1 能力成熟度模型的概念能力成熟度模型（CMM）提供了一套业界范围内(包括政府及工业)的标准度量体系，其目的在于建立和促进安全工程成为一种成熟的、可度量的科目。能力成熟度模型及评定方法确保了安全是处理硬件、软件、系统和组织安全问题的工程实施活动后得到的一个完整结果。该模型定义了一个安全工程过程应有的特征。这个安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是有效的。4.2.2

16、 信息安全灾难恢复能力成熟度模型体系结构信息安全灾难恢复能力成熟度模型（DRP-CMM）是在信息安全工程能力成熟度模型（SSE-CMM）的基础上，结合信息安全灾难恢复服务的最佳实践，所形成的对灾难恢复服务进行度量的模型。DRP-CMM体系结构的设计是可在整个信息安全灾难恢复工程范围内决定安全工程组织的成熟性。这个体系结构的目标是清晰地从管理和制度化特征中分离出安全工程的基本特征。为了保证这种分离，这个模型是两维的，分别称为“域”和“能力”，具体描述如下。重要的是，DRP-CMM并不意味着在一个组织中任何项目组或角色必须执行这个模型中所描述的任何过程，也不要求使用最新的和最好的安全工程技术和方法

17、论。然而，这个模型要求是一个组织机构要有一个适当过程，这个过程应包括这个模型中所描述的基本安全实施。组织机构以任何方式随意创建符合他们信息安全灾难恢复服务目标的过程以及组织结构。4.2.2.1 基本模型DRP-CMM有两个维度，“域”和“能力”。域维或许是两个维中较容易理解的。这一维仅仅由所有定义信息安全灾难恢复工程的过程域构成。这些实施活动称为“基本实践”。下面讨论结构和这些基本实践的结构和内容。能力维代表这一维由过程管理和制度化能力构成的实践活动。这些实施活动被称作“通用实践”，可在广泛的域中应用。通用实践代表将被看作基本实践一部分的行为。在图43中说明了基本实践和公共实践的关系。灾难恢复

18、工程的基础部分是灾难恢复服务的工作活动内容，这一活动显示在DRP-CMM的横坐标上。要决定一个组织的办事能力的方式是要检查他们是否有他们所宣称的配置对活动的资源过程。成熟的组织“特征”显示在DRP-CMM的纵坐标上。将基本实践和公共实践综合为组织执行一个特定的活动提供检查的方法。可能会有一部分感兴趣的人问：“你的组织是否为灾难恢复需求分配资源？”如果答案是“是”，会谈的人将得知一些关于组织机构的能力的情况。图43：灾难恢复服务能力成熟度模型描述 回答综合所有的与公共实践有关的基本实践出现的问题将可能会提供一个组织的灾难恢复服务能力的概貌。4.2.2.2 基本实践DRP-CMM共大约包含了22个

19、过程域，其中11个过程域描述灾难恢复服务过程，其它11个域描述项目和组织的基本实践过程。这些过程域覆盖了灾难恢复工作所有主要领域。这些基本实践是从大量的已有材料、实践和专家知识中收集而来的。所选择的实践代表安全工程业界已有的最好的实践，而不是未被采用过的实践。DRP-CMM包括的过程域列举如下。这些过程域和基本实践的详细描述见第5和第6章。l PA01 灾难恢复需求l PA02 灾难恢复策略制定l PA03 灾难恢复资源获取l PA04 灾难恢复资源要求l PA05 灾难备份系统技术方案实现l PA06 灾难备份中心的选择和建设l PA07 技术支持能力的实现l PA08 运行维护管理能力的实

20、现l PA09 灾难恢复预案的制定l PA10 灾难恢复预案的教育、培训和演练l PA11 灾难恢复预案的管理DRP-CMM也包含了十一个有关项目和组织实践的过程域。这些过程域从SE-CMM中选出的。这些过程域和基本实践将在第6章描述。l PA12 确定质量l PA13 管理配置l PA14 管理项目风险l PA15 监控和控制技术效果l PA16 计划技术效果l PA17 定义组织的系统工程过程l PA18 提高组织的系统工程过程l PA19 管理产品线评估l PA20 管理系统工程支持环境l PA21 提供正在进行的技术和知识l PA21 供应商协调在DRP-CMM中，每个过程域是由一个或

21、多个基本实践组成，每个基本实践：l 适应在企业的生命周期l 和其它基本实践互相不覆盖l 代表安全业界“最好的实施”l 不简单地反映当前技术l 不指定特定的方法或工具基本实践以能满足广泛的安全工程组织的方式组织成过程域。有很多方法将信息安全灾难恢复服务分解成过程域。DRP-CMM当前的过程域的集合主要是根据灾难恢复国家标准和系统安全工程能力成熟度模型（SSE-CMM）来制定的。4.2.2.3 通用实践通用实践是适用于所有过程的活动。他们向过程方面的管理，测量和制度化方面陈述。一般来说，他们在评估决定执行过程组织的能力期间会被采用。通用实践按称之为“公共特征”的逻辑域组成，公共特征分为五个“能力级

22、别”，依次表示增加的组织能力。与范畴维基本实践不同的是，能力维的通用实践按成熟性排序，因此表示高级别通用实践位于能力维的高端。公共特征设计的目的在于描述组织机构执行工作过程（即这里的灾难恢复服务范畴）。每一个公共特征包括一个或多个通用实践。最低的公共特征是1.1执行的基本实践。这个公共特征只能检查组织是否在所有的过程域中执行的所有基本实践。 其余的公共特征中的通用实践可帮助确定项目管理好坏的程度并可将每一个过程域作为一个整体加以改进。在第五章描述的通用实践按执行安全工程的组织特征方式分组，以突出主要点。下表列出了一些在通用实践所用到的原理。原理在DRP-CMM中是如何表达的你必须首先做它，然后

23、你才可以管理它非正式的执行级着重于一个组织是否执行了组成基本实践的过程在定义组织层面的过程之前，先要弄清楚项目正在发生什么事计划和跟踪级着重于项目级定义、规划和执行问题用项目中学到的最大收获来定义组织层面的过程充分定义级着重于已定义的组织过程的原则行裁剪只有知道它是什么，才能测量它尽管较早开始收集和运用基本项目测量是必要的（如计划和跟踪级），并不要求组织范围内的测量和采用日期，直到达到充分定义级，尤其是定量控制级当测量的对象正确是，基于测量的管理才有意义。定量控制级着重于与组织的商务目标紧密联系的测量持续改进的文化要求完备的管理实践、已定义的过程和可测量的目标作为基础持续改进级从前面级别中的所

24、有管理实践改进中获取手段，然后强调将维持所获收益的文化转变下面的公共特征表示了为取得每一个级别需满足的成熟安全工程属性。这些公共特征和通用实践将在第五章描述。1级l 1.1 执行基本实践2级l 2.1 规划执行l 2.2 规范化执行l 2.3 确认执行l 2.4 跟踪执行3级l 3.1 定义标准过程l 3.2 执行定义的过程l 3.3 协调过程4级l 4.1 建立可测量的质量目标l 4.2 客观地管理执行5级l 5.1 改进组织范围能力l 5.2 改进过程有效性DRP-CMM也不能简单说明执行通用实践的需求。一个组织一般会在他们选择的任何方法和顺序中选择自由的计划，跟踪，定义，控制，和改进他们

25、的过程。然而，因为高级别通用实践是依靠低级别的通用实践，组织会在努力获得高级别之前努力在低级别进行通用实践运作。4.2.2.4 能力级别将实施活动划分为公共特征，将公共特征划分为能力级别有种种方法。下面讨论了涉及到这些公共特征。公共特征的排序得益于当前其它安全实施活动和制度化，特别是当实施活动有效建立时尤其如此。在一个组织能够明确的定义、剪裁和有效使用一个过程前，单独执行的项目应该获得一些过程执行方面的管理经验。例如，一个组织应首先对一个项目尝试规模评估过程后，在将其规定为这个组织的过程规范。不过在有些方面，当过程的实施和制度化应放在一起考虑可以增强能力时，而无须要求严格前后次序。 公共特征和

26、能力级别无论在评估一个组织过程能力和改进组织过程能力时都是重要的。当评估一个组织能力时，如果这个组织只执行了一个特定级别的一个特定过程的部分公共特征时，则这个组织对这个过程而言，处于这个级别的最底层。例如，在2级能力上，如果缺乏跟踪执行公共特征的经验和能力，那么跟踪项目的执行将会很困难。如果高级别的公共特征在一个组织中实施，但其低级别的公共特征未能实施，则这个组织不能获得该级别的所有好处。评估队伍在评估一个组织个别过程能力时，应对这种情况加以考虑。当一个组织希望改进某个特定过程能力时，组织为能力级别的实施活动可为改进组织机构提供了一个“能力改进路线图”。基于这一理由，DRP-CMM的实施按公共

27、特征进行组织，并按级别进行排序。 对每一个过程域的能力级别确定，均需执行一次评估过程。这意味着不同的过程域能够或将可能存在于不同的能力级别上。组织可利用这个面向过程的信息作为侧重于这些过程改进的手段。组织机构改进过程活动的顺序和优先级应在商务目标里加以考虑。用户目标是如何使用DRP-CMM这种模型的主要驱动力。但是，对典型的改进活动，也存在着基本活动次序和基本的原则。这个活动次序在DRP-CMM结构中通过公共特征和能力级别加以定义。 图44：能力成熟度级别如上图，DRP-CMM包含了五个级别。这五个级别的概述如下。详细描述请参见第五章。l 1级：“非正式执行级”，这个级别着重于一个组织或项目执

28、行了包含基本实践的过程。这个级别的特点可以描述为“你必须首先做它，然后你才能管理它”l 2级：“计划和跟踪级”，这个级别着重于项目层面的定义、计划和执行问题。这个级别的特点可描述为“在定义组织层面的过程之前，先要弄清楚项目相关的事项”。l 3级：“充分定义级”，这个级别着重于规范化地裁剪组织层面的过程定义。这个级别的特点可描述为“用项目中学到的最好的东西来定义组织层面的过程”。l 4级：“量化控制级”，这个级别着重于测量。测量是与组织业务目标紧密联系在一起的。尽管以前级别数据收集和使用项目测量是基本的活动，但只有到达高级别时，数据才能在组织层面上应用。这个级别的特点可以描述为“只有你知道它是什

29、么，你才能测量它”和“当你测量的对象正确时，基于测量的管理才有意义”。l 5级：“持续改进级”，这个级别从前面各级的所有管理活动中获得发展的力量，并通过加强组织文化，来保持这个力量。这个方法强调文化的转变，这种转变又将使方法更有效。这个级别的特点可以描述为“一个持续改进的文化需要以完备的管理实施、已定义的过程和可测量的目标作为基础”。4.3 如何使用标准灾难恢复服务能力成熟度模型（DRP-CMM）适用于信息安全灾难恢复服务领域，该模型适用于以下三种方式：l “过程改进”，使灾难恢复服务组织获得自身服务能力级别的认识，并不断地改进其能力。l “能力评定”，允许获取组织了解潜在项目参加者的组织层次

30、上的灾难恢复服务能力。l “保证”，通过有根据地使用成熟过程，增加可信产品、系统和服务的可信度。4.3.1 使用DRP-CMM进行过程改进DRP-CMM可以作为改进组织灾难恢复服务的工具。DRP-CMM项目要求任何人启动一项认真严肃的过程改进活动都要考虑通过SEI使用“开始、诊断、建立、执行和学习（IDEAL）”这一过程获得改进。你可以在获取更多信息。目的是进入一个连续循环过程：评估你当前的状况，然后进行改进，这样周而复始。如下图描述了IDEAL的各个阶段。I 启动：将一个成功的改进活动作为基础；D 诊断：确定哪些与你的目标相关；E 建立：计划达到你目标的细节；A 执行：根据计划实施；L 学习

31、：从实践中学习，提高你的能力。图45：从DRP-CMM开始这五个阶段的每个都由好几个活动组成。下面概述了安全工程组织和DRP-CMM对于这些活动的应用。启动阶段从事安全工程过程改进活动的操作模式应该与组织内其他所有新项目的实现方式一致。即首先必须熟悉项目目标及其实现的途径，然后执行项目实现的活动，并获得管理层的批准和支持，形成项目实现的方法。改变动机所有过程改进的第一步是找出改变组织实施的商业动机。有很多潜在原因使组织去理解并改进其过程。采购组织可能要求在特定程序中采用某种实施，或他们可能为潜在承包方定义某个能力级别作为最低接受标准。组织可能意识到采用某种过程可能会使他们能更快更有效地得到质量

32、证明来支持其评估和认证活动，得到一种途径来取代顾客的正式评估或增强消费者的信心:安全需求己得到适当的满足。无论改变的原因如何，清楚的理解从安全角度检查己有过程的目的，对于系统安全工程过程改进的努力能否成功。设置相关性为过程改进设置相关性，标识出这种努力如何支持将受此变化影响的己有商业策略、特定商业目标和目的。这种努力的预期结果，以及其它初始状态和当前工作都应存档。建立赞助对该努力在生命期中有效的和持续的支持;对于过程改进的成功是必要的。赞助不仅包括有必需的财政资源来维持过程的进行，也包括人员对于工程管理的关心。这并不意味着上层管理需要参与该项工程，而这种掺入没有被批准。一旦这种改迸计划付诸实。

33、施，应定期评价对初始目的和实现其目标道路上存在的障碍的管理。问题决不应该没有相应的解决办法/提议办法及其成本。如果出现间锤，应提供证据证明从过程改进管理中获得的进步和好处将更偏重于支持该计划。图表体系结构己建立起提议计划和商业目标之间的关系，主要的发起者也给予了资助，就必须建立工程实现的机制。工程管理框架的特征会庄于选择组织的素质和复杂性以及计划的目标而各不相可。至少应选择一个既熟悉SSE-CMM并了解所选择组织的人员，专职或业余地来参与该项工程的管理。工程管理组必需具各资源和权限，作为整个过程中的制要点来执行过程改进的任务，因为它确定了·T程实现的期望、要求和责任。工程管唾组制定的

34、目标以及参与各方应清楚地以书面协议反映出来。制定的目标应易于管理并用来评估实施进度。诊断阶段为了执行过程改进的活动，必须理解组织当前以及设计好的未来的成熟过程的状态。这些因素形成了组织过程改进活动计划的基础。DRP-CMM及其有关的评价方法在诊断阶段扮演了重要的角色。明确当前和预期的状态这个步骤的部分是开始阶段前期的“改变动机”步骤的延续。启动过程改进活动的商务活动是基于如下的理解：即提高组织过程的质量是有益的。然而，改进活动不能只限于一般性，它应该是基于对过程实际应用的理解，以及对这些过程的当前和设计状态的区别的理解。通过对过程间隙的分析，组织能够更好地标识近期与远期改进目标，他们要求的活动

35、的等级，以及实现的可能性。开发建议进行差异分析强调组织当前与设计状态过程的区别，还会揭示组织更多的信息和证据。这些证据根据其重要性的不同，构成了如何提高组织能力的建议的基础。为了使这些建议能经得住考验，相关人员不仅要具备足够的关于组织自身的知识，还要具备关于过程改进方法的知识。这些综合知识是很重要的，因为通常管理者对于如何进行改进活动的决定会反映出当前阶段形成的建议。建立阶段在这个阶段，基于活动目标的详细的行动计划，以及诊断阶段形成的建议已初具规模。另外，计划必须考虑任何可能的困难，如资源短缺，这可能会限制改进活动的范围。计划中还应提出与明确的输出和职责有关的优先权。设置优先级在过程改进的生命

36、周期中，时间的限制，可利用的资源，组织的优先权，以及其他因素的影响，可能不允许所有的目标或建议都实现。因此，组织必须为其改进活动建立优先权。优先权应赋予那些过程中的变化，这些变化与过程改进活动的完成有直接的关系。例如，在诊断过程中，如果发现组织的配置管理较弱，而这对用户很重要，那么选择关键资源就比提高全员培训具有更高的优先权。开发方法在诊断阶段定义了对组织的描述以及优先权建立后，过程改进活动的范围就与开始阶段的不同了。发展方法的步骤要求：重新定义的目标和建议要与为达到设计的结果而制定的策略相对应。该策略包括对于特殊资源（技术性与非技术性）及其输入的标识，如过程要求的特殊技术与背景条件。另外，影

37、响变化执行的因素都要考虑到并记录下来，这些因素与改进活动、组织的文化、财务及管理支持并不直接相关。计划行动在此，所有的数据、方法、建议和优先权被组合在一起，形成一份详细的行动计划。计划包括：职责、资源和特殊任务的分配，跟踪工具的使用，以及最终期限与里程碑的建立。计划还应包括突发事件的响应计划，以及对任何不可预见的问题的处置策略。执行阶段这是执行阶段，在所有阶段中，在资源与时间方面要求活动的最高等级。在此阶段为达到组织目标，要求许多类似的循环，目的是实现所有设计好的改进和优先权。创建解决方案针对每个问题的解决方法或改进步骤都是在一些可用信息的基础上形成的，这些信息与进行的活动和资源有关。在这个阶

38、段，解决方法是技术工作组“最好的猜测”的结果。建议的解决方法应体现一种充分的理解，即对影响结果和组织改进能力的相关活动的理解，可能包括工具、过程、知识和技能。根据改进活动的范围，需成立更小的专门工作组，来处理特殊领域的问题。安全工程组织应从其工程内容特征的角度定义其过程。这会根据执行原则的不同分为系统工程、软件工程、硬件工程，以及其他工程。设计过程满足企业商业需求，其第一步是理解商业、产品和组织的上下关系，这些都会在过程的执行当中出现。在DRP-CMM之前需要回答的一些问题中可用于过程设计的包括：l 组织内的安全工程是如何实现的？l 什么生命周期可被作为这个过程的框架？l 组织如何构建来支持项

39、目？l 组织中谁是管理者，谁是实施者？l 这些过程对组织的成功有多重要？理解使用DRP-CMM的组织的文化和商业关系对过程设计中的成功应用很关键。组织的上下关系包括角色分配、组织文化、安全工程工作产品和生命周期。这种关系应当与DRP-CMM的通用和基本实践一起生产出好的、有潜力改进的组织过程。测试解决方案因为一般解决方法的初次尝试很少成功，所以所有的解决方法在组织内实施之前都要经过检测。组织如何选择检测方法，取决于其专业领域的自然状况，建议的解决方法，以及组织的资源情况。检测会包括将建议的变化引入组织内的子工作组，并对假定进行确认。细化解决方案使用检测过程中收集的信息，解决方法会被修改，反映出

40、新的知识。过程的重要性和改进的复杂性决定了建议的解决方法在认为可接受前必须经历的检测和细化的程度。由于时间和资源的限制，要想达到期望的完美过程还是不可能的。执行解决方案经过改进的过程一旦被接受，就必须在检测小组工作前执行。执行的阶段需要重要的时间和资源，也依赖于自然以及过程改进的程度。执行的方式会随着组织目标的改变而改变。学习阶段学习阶段既是过程改进循环的结束阶段，又是下一个过程改进活动的开始阶段。对整个过程改进活动的评价既与目标实现的程度有关，也与如何有效开展将来的改进活动有关。这个阶段很具有建设性，就象整个过程中保存的记录及参与者进行建议的能力一样。分析与确认要想使过程改进成功，就要在项目

41、目标建立时进行最终结果的分析。同时也要求对结果的效率进行评估，以确定什么地方要求更高的改进。学习的教材事后要收集、整理并归档。规划将来的行动通过对改进活动自身的分析，学习的教材被转化成日后改进活动的建议。这些建议应向外发布，使这个改进活动与其他改进活动相一致。4.3.2 使用DRP-CMM进行能力评估DRP-CMM支持范围广泛的改进活动，包括自身管理评定，或从内部或外部组织的专家进行的更强要求的内部评定。评估机构使用DRP-CMM来进行信息安全灾难恢复服务组织的信息安全灾难恢复服务能力的评估。4.3.3 使用DRP-CMM获得安全保证DRP-CMM用于衡量和帮助提高一个安全工程组织的能力，同时

42、为提高信息安全灾难恢复服务提供了安全保证。DRP-CMM有三个目标相对于顾客要求而言特别重要：l 为将顾客安全要求转化为灾难恢复服务过程而提供一种测量并改进的方法，以有效地生产出满足顾客要求的产品。l 为不需要正式安全保证的顾客提供了一个可选择的方法。正式安全保证一般通过全面的评估、认证和认可活动来实现。l 为顾客确信其安全要求被充分满足提供一个标准。将顾客的安全功能和安全保证要求进行准确记录、理解、并转化为系统的安全和安全保证需求，这是至关重要的。一旦生产出最终产品，用户必须能够检验其是否反映和满足了他们的要求。DRP-CMM明确包含实现这些目标的过程。在灾难恢复服务过程中，服务是否满足顾客

43、的安全要求，是依据广泛多样的声明和证据进行保证的。组织的DRP-CMM表示灾难恢复服务的生命期遵循特定的过程。这种“过程证据”可被用于证明服务的可信度。某些类型的证据较另一些证据可更清晰地建立它们支持的声明。与其它类型的证据相比较，过程证据常常作为支持性的和间接的角色。但是，过程证据可用作广泛和多样的声明，因而其重要性不可低估。况且，一些传统形式的证据及其支持的声明之间的关系也并非如其所说的那样有力。关键在于为产品和系统建立一个综合的证据体系，以确信为什么这些产品和系统是充分可信的。至少，成熟组织更可能在同等时间和资金的条件下，生产出适当安全保证程度的产品。成熟组织也更可能及早地标识安全问题，

44、以解决方案不切实际时，安全保证的要求不能达到。将安全需求同其它需求一样看待，可使组织整体过程实现的可能性大大增加。5 灾难恢复过程域5.1 PA01灾难恢复需求5.1.1 BP01.01风险分析分析信息系统的各种风险，并提出防范和控制措施5.1.1.1 描述标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性描述可能造成的损失。通过技术和管理手段，防范或控制信息系统的风险。依据防范或控制风险的可行性和残余风险的可接受程度，确定对风险的防范和控制措施。5.1.1.2 工作产品l 资产价值评估报告标识信息系统资产及价值的报告。l

45、 威胁、脆弱性、损失可能性报告识别信息系统面临的自然和人为的威胁及脆弱性的报告，分析各种威胁发生的可能性，并定量或定性描述可能造成的损失。l 防范和控制措施报告 一个描述如何防范或控制风险的报告。5.1.1.3 注释无。5.1.2 BP01.02业务影响分析分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。5.1.2.1 描述对组织的各项业务功能及各项业务功能之间的相关性进行分析，确定支持各种业务功能的相应信息系统资源及其它资源，明确相关信息的保密性、完整性和可用性要求。应采用定量和/或定性的方法，对各种业务功能的中断造成的影响进行评估：l 定量分析：以量化方法，评估业

46、务功能的中断可能给组织带来的直接经济损失和间接经济损失；l 定性分析：运用归纳与演绎、分析与综合以及抽象与概括等方法，评估业务功能的中断可能给组织带来的非经济损失，包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等。5.1.2.2 工作产品业务功能及相关性分析报告列出组织中的各项业务的清单，分析组织中各项业务的相关性的报告。资源及相关信息的保密性、完整性和可用性要求支持各种业务功能相应信息系统资源及其它资源，分析各项业务相关信息的保密性、完整性及可用性。业务影响分析报告用定量和/或定性的方法，对各种业务功能的中断造成的影响进行评估的报告。5.1.2.3 注释无。5.1.3 BP01.0

47、3确定灾难恢复目标根据风险分析和业务影响分析的结果，确定灾难恢复目标。5.1.3.1 描述根据风险分析和业务影响分析的结果，确定灾难恢复目标，包括：l 关键业务功能及恢复的优先顺序；灾难恢复时间范围，即RTO和RPO的范围。5.1.3.2 工作产品灾难恢复目标描述关键业务功能及恢复的优先顺序，恢复时间目标范围的报告，恢复点目标范围的报告。5.1.3.3 注释无。5.2 PA02灾难恢复策略制定5.2.1 BP02.01灾难恢复资源要素灾难恢复资源7要素。5.2.1.1 描述支持灾难恢复各个等级所需的资源（以下简称“灾难恢复资源”）分为7个要素： l 数据备份系统：一般由数据备份的硬件、软件和数

48、据备份介质（以下简称“介质”）组成，如果是依靠电子传输的数据备份系统，还包括数据备份线路和相应的通信设备；l 备用数据处理系统；l 备用网络系统：最终用户用来访问备用数据处理系统的网络，包含备用网络通信设备和备用数据通信线路；l 备用基础设施：灾难恢复所需的、支持灾难备份系统运行的建筑、设备和组织，包括介质的场外存放场所、备用的机房及灾难恢复工作辅助设施，以及容许灾难恢复人员连续停留的生活设施；l 技术支持能力：对灾难恢复系统的运转提供支撑和综合保障的能力,以实现灾难恢复系统的预期目标。包括硬件、系统软件和应用软件的问题分析和处理能力、网络系统安全运行管理能力、沟通协调能力等；l 运行维护管理

49、能力：包括运行环境管理、系统管理、安全管理和变更管理等；灾难恢复预案。5.2.1.2 工作产品资源要素报告描述所能提供的灾难恢复7个要素的详细内容。5.2.1.3 注释无。5.2.2 BP02.02成本风险分析和策略的确定分析成本风险确定灾难恢复策略。5.2.2.1 描述按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则（以下简称“成本风险平衡原则”）确定每项关键业务功能的灾难恢复策略，不同的业务功能可采用不同的灾难恢复策略。灾难恢复策略包括：l 灾难恢复资源的获取方式；灾难恢复等级各要素的具体要求。5.2.2.2 工作产品灾难恢复策略针对每项关键业务制定不同的灾难恢复策略。5.2.

50、2.3 注释无。5.3 PA03灾难恢复资源获取 5.3.1 BP03.01数据备份系统数据备份系统获取方式。5.3.1.1 描述数据备份系统可由组织自行建设，也可通过租用其它机构的系统而获取。5.3.1.2 工作产品数据备份系统建议指导用户如何获取数据备份系统的建议文档。5.3.1.3 注释无。5.3.2 BP03.02备用数据处理系统备用数据处理系统获取方式。5.3.2.1 描述可选用以下三种方式之一来获取备用数据处理系统：l 事先与厂商签订紧急供货协议；l 事先购买所需的数据处理设备并存放在灾难备份中心或安全的设备仓库；利用商业化灾难备份中心或签有互惠协议的机构已有的兼容设备。5.3.2

51、.2 工作产品备用数据处理系统建议指导用户如何获取备用数据处理系统的建议文档。5.3.2.3 注释无。5.3.3 BP03.03备用网络系统备用网络系统获取方式。5.3.3.1 描述备用网络通信设备可通过BP03.02所述的方式获取；备用数据通信线路可使用自有数据通信线路或租用公用数据通信线路。5.3.3.2 工作产品备用网络系统建议指导用户如何获取备用网络系统的建议文档。5.3.3.3 注释无。5.3.4 BP03.04备用基础设施备用基础设施获取方式。5.3.4.1 描述可采用以下三种方式获取备用基础设施：l 由组织所有或运行；l 多方共建或通过互惠协议获取；租用商业化灾难备份中心的基础设

52、施。5.3.4.2 工作产品备用基础设施建议指导用户如何获取备用基础设施的建议文档。5.3.4.3 注释无。5.3.5 BP03.05技术支持能力技术支持能力获取方式。5.3.5.1 描述可选用以下几种方式获取技术支持能力：l 灾难备份中心设置专职技术支持人员；l 与厂商签订技术支持或服务合同；由主中心技术支持人员兼任；但对于RTO较短的关键业务功能，应考虑到灾难发生时交通和通信的不正常，造成技术支持人员无法提供有效支持的情况。5.3.5.2 工作产品技术支持能力建议指导用户如何获取技术支持能力的建议文档。5.3.5.3 注释无。5.3.6 BP03.06运行维护管理能力运行维护管理能力获取方

53、式。5.3.6.1 描述可选用以下对灾难备份中心的运行维护管理模式：l 自行运行和维护；委托其它机构运行和维护。5.3.6.2 工作产品运行维护管理能力建议指导用户如何获取运行维护管理能力的建议文档。5.3.6.3 注释无。5.3.7 BP03.07灾难恢复预案灾难恢复预案获取方式。5.3.7.1 描述可采用以下方式，完成灾难恢复预案的制定、落实和管理： l 由组织独立完成；l 聘请外部专家指导完成；委托外部机构完成。5.3.7.2 工作产品灾难恢复预案建议指导用户如何获取灾难恢复预案的建议文档。5.3.7.3 注释无。5.4 PA04灾难恢复资源要求5.4.1 BP04.01数据备份系统数据

54、备份系统各指标要求。5.4.1.1 描述应根据具体组织的灾难恢复目标，按照成本风险平衡原则，确定：l 数据备份的范围； l 数据备份的时间间隔；l 数据备份的技术及介质；数据备份线路的速率及相关通信设备的规格。5.4.1.2 工作产品数据备份系统报告提交针对具体组织目标的数据备份系统具体参数的报告。5.4.1.3 注释数据备份系统参数文档应包含描述内提到的内容。5.4.2 BP04.02备用数据处理系统根据具体应用情况确定备用数据处理系统的要求。5.4.2.1 描述应根据具体组织关键业务功能的灾难恢复对备用数据处理系统的要求和未来发展的需要，按照成本风险平衡原则，确定备用数据处理系统的：l 数

55、据处理能力；l 与主系统的兼容性要求；l 平时处于就绪还是运行状态。5.4.2.2 工作产品备用数据处理系统报告提交针对具体组织目标的备用数据处理系统具体参数的报告。5.4.2.3 注释无。5.4.3 BP04.03备用网络系统建立备用网络系统的要求。5.4.3.1 描述应根据具体组织关键业务功能的灾难恢复对网络容量及切换时间的要求和未来发展的需要，按照成本风险平衡原则，选择备用数据通信的技术和线路带宽，确定网络通信设备的功能和容量，保证灾难恢复时，最终用户能以一定速率连接到备用数据处理系统。5.4.3.2 工作产品备用网络系统报告提交针对具体组织目标的备用网络系统具体参数的报告。5.4.3.3 注释无。5.4.4 BP04.04备用基