CCRC信息安全服务资质--信息系统灾难备份与恢复服务

       随着我国信息化和信息安全保障工作的不断深入推进，以应急处理、风险评估、灾难恢复系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。    中国网络安全审查技术与认证中心是经国家认证认可监督管理委员会批准，可以从事信息安全服务资质认证的机构（《认证机构批准CNCA-R-2007-138），并获得了中国合格评定国家认可委会的认可（证书编号：No. CNAS CO66-V）。服务资质认证工作是中心的核心业务之一

根据相关认证规则，简单介绍下CCRC信息安全服务资质中--灾难备份与灾难恢复服务 

1、什么是信息系统灾难备份与恢复服务

     信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计和提供的活动。

　　信息系统灾难备份与恢复服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低

2、机房场地和选址要求

　机房场地要求

1、灾备中心所在地域抗震设防烈度，该中心抗震设防类别。

2、高架地板面积不低于1000/2000/5000平米。

3、灾备中心建筑耐火等级。

4、灾备中心建设等级满足国标A级或国际T3以上机房要求。

5、灾备中心的场地应自有产权，或者签署有剩余期限不少于5年的长期租赁合同

选址要求

    灾难备份中心与生产中心同时遭受同类风险具备通信、电力资源和交通条件 统筹规划、资源共享、平战结合

1、稳定的自然环境

2、便捷的交通环境

3、安全的区域环境

3、灾备中心要求

基础设施要求：计算机机房应符合有关国家标准工作辅助设施和生活设施要符合灾难恢复目标的要求

抗震设防要求：按国家规定的权限批准作为一个地区抗震设防的地震烈度称为抗震设防烈度。一般情况下，抗震设防烈度可采用中国地震参数区划图的地震基本烈度。

耐火等级：是衡量建筑物耐火程度的分级标度。它由组成建筑物的构件的燃烧性能和耐火极限来确定

机房场地要求：新风换气系统，机房内正压，确保机房洁净度。气体灭火的消防系统，并具备早期报警系统/温感和烟感系统两级报警。

消防要求:设施阻燃设计、消防报警器、灭火装置、监控与报警等等

机房场地要求：机房门禁管理制度和访问控制程序，如7×24小时门禁\闭路电视监控，其中公共区域的监控数据保留1个月以上，机房区域的监控数据保留6个月以上。（所有通道、机房内监控）保安措施。园区保安、机房门卫、前台三重审核

安全系统要求：外部环境 、内部措施、监控和记录等

基础设施要求供配电设施、空调暖通设施：精密空调系统，具备恒温恒湿要求。、监控设施、货运设施、给排水设施、检查制度和定期巡检记录

通信网络资源：通信服务能力

基础设施配套；工作环境、灾难恢复指挥中心、灾难恢复坐席、办公区、新闻发布中心、会议室、培训教室、模拟演练室、基础生活设施：宿舍、食堂、活动室等 

灾备中心运维管理要求：

1、灾备中心运维组织架构和运行管理团队

2、运行管理和信息安全管理制度

3、信息系统运行监控平台及监控记录

4、信息系统灾难恢复指挥系统

 指挥系统组织架构

岗位职责

汇报流程

指挥协调工作方法与管理机制

4、需要关注

信息系统灾难备份与恢复服务资质分：A类和B类

A类：主要看灾备中心场地资源要求、基础设施要求、灾备中心运维管理要求

B类：只要看设计方案要求、预案和演练要求

5、申报流程

申请前的准备：

1、理解《信息安全服务 规范》

2、梳理/建立组织的服务管理体系

3、寻找/开展服务项目实现技术要求

4、对安全服务管理体系进行持续改进

申请中的工作：

1、登录业务系统，注册账号；

2、填写认证申请书，保障信息真实；

3、下载对应类别的自评价表进行自评价，并整理证明材料；

4、在业务系统提交自评价表及证明材料。

申请中的配合工作：

1、非现场审核阶段

联系人保持电话畅通、关注项目进展；

解答审核组长提出与审核相关的问题，必要时提供证据；

对于不符合项或影响现场审核的问题，及时采取纠正措施（时限不超过20个工作日）。

2、现场审核阶段

关注业务系统中的项目进度；

协助安排审核组现场审核时间、地点；

协调公司高层、相关人员配合审核，并准备相关佐证材料；

安排审核组的交通、食宿（参照财政部的要求）；

协调公司的模拟测试环境（一二级）；

协调安全运维见证项目（ 一二级 ）。

审核后的配合工作：

不符合项整改（不超过20个工作日）；

认证决定过程中需要补充的材料（不超过3个工作日）；

及时缴纳认证费用（收到通知单后10个工作日）；

上传汇款信息及汇款证明（保障及时、准确无误）；

关注认证决定（3个工作日完成）；

证书批准后在客户端可查看证书样板（2个工作日完成）

往期回顾

01、信息系统安全集成服务资质申请要素

02、信息系统安全运维服务资质申请要素！

03、信息安全风险评估服务资质申请要素。