灾难备份与恢复服务分为两类,即提供灾难备份与恢复资源服务为资源服务类(A类),提供灾难备份与恢复系统设计、实施为技术服务类(B类),其专业评价要求分别如下:
D1资源服务类(A类)要求
D1.1 三级要求
D1.1.1灾备中心场地资源要求
a) 拥有至少1个可用于灾备中心的场地,位置避免处于地质沉降地带,交通便利、抗震等级按照国家规定的该地区抗震设防烈度执行,抗震设防类别为丙类及以上。
b) 用于和可用于灾备中心IT运行区的高架地板面积不少于1000平米。
c) 机房设置7×24小时门禁系统,所有进入机房的外部人员均需获得授权。
d) 提供7×24小时闭路电视监控,其中公共区域的监控数据保留1个月以上,机房区域的监控数据保留2个月以上。
e) 具备较高灵敏度的烟雾探测系统和消防系统,可实现分区灭火和定点报警。
f) 灾备中心建筑耐火等级达到二级及以上。
D1.1.2灾备中心基础设施要求
a) 拥有灾备中心基础保障设施,包括但不限于供配电设施、空调暖通设施、给排水设施、监控设施、货运设施等,并定期检查。
b) 拥有灾备中心基础配套设施,包括但不限于灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室等。
c) 拥有灾备中心基础生活设施,包括但不限于日常运维人员生活所需宿舍、食堂、活动室等。
d) 拥有灾备中心运行所需工作环境,包括但不限于计算机机房、主操作室、通讯机房、介质机房、信息系统设备测试维修机房等。
e) 具备单路高压供电和独立UPS 不间断电源保障。
f) 采用精密空调系统,并具备恒温恒湿要求。
D1.1.3灾备中心运维管理要求
a) 拥有灾备中心运维组织架构和运行管理团队,建立灾备中心机房运行管理和信息安全管理制度,并有效运行。
b) 建立灾备中心信息系统运行监控平台,及时发现灾备系统运行的故障并进行故障定位、诊断和审计,保存相关记录。
c) 建立信息系统灾难恢复指挥系统,保障灾难恢复效率。
d) 建立灾备中心与生产中心统一变更流程。
e) 定期开展数据验证工作,确保生产与灾备的数据一致性、完整性和可用性。
D1.2 二级要求
组织申报二级资质,除满足三级要求外,还应满足以下要求:
D1.2.1灾备中心场地资源要求
a) 拥有至少2个在不同地域的可用于灾备中心的场地资源,抗震设防烈度按照国家规定的该地区抗震设防烈度执行,抗震设防类别为乙类及以上。
b) 用于和可用于灾备中心IT运行区的高架地板面积不少于2000平米。
c) 灾备中心建设等级满足国标A级或国际T3以上机房要求。
d) 具备气体灭火的消防系统,并具备早期报警系统/温感和烟感系统两级报警。
D1.2.2灾备中心基础设施要求
a) 建立并运行基础设施日常巡检、监控、检查、维护、性能和容量管理、系统优化、应急与故障演练制度和流程。
b) 具备双路高压供电和双路UPS供电,拥有后备发电机组,并能在UPS后备时间内提供电力供应,满足全部负荷连续运行48小时以上。
c) 采用精密空调系统,机房温度应达到 22°C±2°C,湿度应达到45%-65%。
D1.2.3灾备中心运维管理要求
a) 灾备中心建立与生产中心统一的运维管理流程,实现两个中心联动运维。
b) 灾备中心建立完整的电子化IT资产管理系统,能动态跟踪灾备中心IT资产变更。
c) 灾备中心提供统一的客户服务平台,集中受理客户服务请求。
d) 妥善保管运维记录,所有文档应满足客户监管机构要求。
e) 定期开展灾难恢复模拟切换演练工作,确保发生灾难时,灾备系统能够接替生产系统运行。
D1.3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
D1.3.1灾备中心场地资源要求
a) 拥有至少2个在不同地域且处于不同的风险区域的灾备中心,满足异地灾备场地要求。
b) 用于灾备中心的场地应自有产权,或者签署有剩余期限不少于5年的长期租赁合同。
c) 用于和可用于灾备中心IT运行区的高架地板面积不低于5000平米。
d) 灾备中心应符合环保要求,采用高效新风换气系统,机房内正压,确保机房洁净度
e) 至少采用园区保安、机房门卫、前台三重审核的外部保安措施。
f) 灾备中心的所有通道、机房内均设置 CCTV 摄像头和7X24小时监控,并且可以按照客户的要求提供更长的保存期限。
g) 灾备中心建筑耐火等级达到一级。
D1.3.2灾备中心基础设施要求
a) 高压电来自两个独立的变电站的双路设计。
b) 后备发电机组具有不停机补充燃料的能力,并且与燃料供应商签署燃料协议,保障燃料数量和质量要求,UPS和油机可自动切换。
D1.3.3灾备中心运维管理要求
a) 采用运维监控和流程管理工具,实现对多数据中心资源的统一监控和自动化管理。
b) 针对特定的灾难场景进行灾难恢复真实切换演练,并能接替生产完成至少2个小时的真实交易,并能在规定时间内进行回切。
c) 具备真实切换演练的方案设计、培训、实施管理和应急处置能力。
d) 定期维护灾难恢复预案,及时更新和分发预案文档,确保预案体系持续有效。
e) 建立灾备中心应急管理体系,确保灾备系统稳定运行。
D2技术服务类(B类)要求
D2.1 三级要求
D2.1.1方案设计要求
a) 开展灾难恢复系统建设需求调研,并进行需求分析。
b) 按照灾难恢复规划和客户的投入能力,制定灾难备份与恢复系统技术方案、实施方案。
D2.1.2系统建设与管理要求
a) 依据灾难备份与恢复实施方案,实施灾难备份与恢复系统建设。
b) 妥善保存灾难备份与恢复系统建设过程记录文档。
D2.1.3预案制定与演练要求
a) 制定信息系统灾难恢复预案。
b) 开展信息系统灾难恢复桌面推演,并详细记录。
c) 结合项目需要,组织开展灾难恢复预案培训。
D2.2 二级要求
组织申报二级资质,除满足三级要求外,还应满足以下要求:
D2.2.1方案设计要求
a) 按照不同灾难恢复等级对资源的要求,确定灾备中心基础设施、数据备份系统、备用数据处理系统和备用网络系统等方面的需求,形成调研报告。
b) 对业务系统中断后的损失进行分析,制定业务系统的最大可容忍业务中断时间(RTO)、最大可容忍中断时间点(RPO)。
c) 依据系统建设要求和技术方案,制定系统测试方案。
D2.2.2系统建设与管理要求
a) 依据测试方案,组织实施系统测试,并详细记录。
b) 制定灾难备份与恢复系统试运行方案,并详细试运行过程情况。
D2.2.3预案制定与演练要求
a) 制定系统演练方案,明确演练范围、人员、场景、步骤等内容。
b) 组织演练培训和动员,明确参演人员角色、职责和具体任务。
c) 设计多种演练场景并组织推演,详细记录演练过程。
D2.3一级要求
组织申报一级资质,除满足二级要求外,还应满足以下要求:
D2.3.1方案设计要求
a) 识别客户的信息资产及其脆弱性和威胁,对基础设施和信息系统进行风险评估,制定本地风险控制策略和灾难恢复策略。
b) 分析业务系统与应用系统之间的关联关系,确定应用系统灾难恢复指标和恢复优先级别。
D2.3.2系统建设与管理要求
a) 建立系统运行维护管理制度,实时监控灾难备份中心运行状况,及时响应和处理异常情况,分析异常产生的原因,并依据流程升级和上报。
b) 建立存储介质和数据管理制度,规范数据传输和复制过程,定期检查和验证存储介质和数据。
D2.3.3预案制定与演练要求
a) 制定信息系统灾难恢复预案体系,包括应急预案和恢复预案。
b) 基于特定的演练场景,制定详细的切换演练方案。
c) 组织完成真实切换演练前的桌面推演和模拟测试工作。
d) 详细记录演练过程并进行总结,及时修订应急和恢复预案体系。