1、中國(guó)災(zāi)備行業(yè)合規(guī)性要求白皮書(shū)目 錄 HYPERLINK l _TOC_250074 第一章 災(zāi)備行業(yè)合規(guī)性要求40國(guó)際標(biāo)準(zhǔn)及法規(guī)40 HYPERLINK l _TOC_250073 SHARE7840 HYPERLINK l _TOC_250072 3.1.2 ISO 2230141 HYPERLINK l _TOC_250071 3.1.3 BS 2599941 HYPERLINK l _TOC_250070 3.1.4 GDPR 通用數(shù)據(jù)保護(hù)條例42 HYPERLINK l _TOC_250069 國(guó)家標(biāo)準(zhǔn)及法規(guī)42 HYPERLINK l _TOC_250068 3.2.1 GB/T 2

2、0988-200742 HYPERLINK l _TOC_250067 3.2.2 GB/T 30146-201344 HYPERLINK l _TOC_250066 3.2.3 GB/T 22239-201944 HYPERLINK l _TOC_250065 3.2.4 GB/T 31595-201545 HYPERLINK l _TOC_250064 中華人民共和國(guó)網(wǎng)絡(luò)安全法45 HYPERLINK l _TOC_250063 中華人民共和國(guó)數(shù)據(jù)安全法45 HYPERLINK l _TOC_250062 DR 及 BCM 相關(guān)認(rèn)證45 國(guó)際標(biāo)準(zhǔn)及法規(guī) 災(zāi)備行業(yè)合規(guī)性要求國(guó)際上，為了保護(hù)數(shù)

3、據(jù)安全和個(gè)人隱私，以及能夠規(guī)范各國(guó)在信息安全項(xiàng)目建設(shè)的標(biāo)準(zhǔn)，相關(guān)國(guó)際組織制定了一系列的災(zāi)難恢復(fù)標(biāo)準(zhǔn)及法規(guī)，例如 SHARE78、ISO22301、BS25999、GDPR 等。SHARE78國(guó)際標(biāo)準(zhǔn) SHARE78 是指七級(jí)災(zāi)備方案。目前，通用的災(zāi)難恢復(fù)標(biāo)準(zhǔn)采用的是 1992 年在Anaheim M028 會(huì)議上制定的 SHARE78 標(biāo)準(zhǔn)。根據(jù)定義，災(zāi)備方案根據(jù)以下 8 個(gè)方面所達(dá)到的程度而分為 7 個(gè)層級(jí)：備份 / 恢復(fù)的范圍災(zāi)難恢復(fù)計(jì)劃的狀態(tài)應(yīng)用站點(diǎn)與災(zāi)難備份站點(diǎn)之間的距離應(yīng)用站點(diǎn)與災(zāi)難備份站點(diǎn)之間是如何相互連接的數(shù)據(jù)是怎樣在兩個(gè)站點(diǎn)之間傳送的允許有多少數(shù)據(jù)被丟失怎樣保證更新的數(shù)據(jù)在災(zāi)難

4、備份站點(diǎn)被更新災(zāi)難備份站點(diǎn)可以開(kāi)始災(zāi)難備份工作的能力Tier 0 層：沒(méi)有異地?cái)?shù)據(jù) (No off-site Data)即沒(méi)有任何異地備份或應(yīng)急計(jì)劃。數(shù)據(jù)僅在本地進(jìn)行備份恢復(fù)，沒(méi)有數(shù)據(jù)送往異地。事實(shí)上這一層并不具備真正災(zāi)難恢復(fù)的能力。Tier 1 層：PTAM 卡車(chē)運(yùn)送訪問(wèn)方式 (Pickup Truck Access Method)災(zāi)難恢復(fù)方案必須設(shè)計(jì)一個(gè)應(yīng)急方案 , 能夠備份所需要的信息并將它存儲(chǔ)在異地。PTAM 指將本地備份的數(shù)據(jù)用交通工具送到遠(yuǎn)方。這種方案相對(duì)來(lái)說(shuō)成本較低，但難于管理。Tier 2 層：PTAM 卡車(chē)運(yùn)送訪問(wèn)方式 + 熱備份中心 (PTAM + Hot Center)相

5、當(dāng)于 Tier 1 再加上熱備份中心能力的進(jìn)一步的災(zāi)難恢復(fù)。熱備份中心擁有足夠的硬件和網(wǎng)絡(luò)設(shè)備去支持關(guān)鍵應(yīng)用。相比于 Tier1，明顯減少了災(zāi)難恢復(fù)時(shí)間。Tier 3 層：電子鏈接 (Electronic Vaulting)在Tier 2 的基礎(chǔ)上用電子鏈路取代了卡車(chē)進(jìn)行數(shù)據(jù)的傳送的進(jìn)一步的災(zāi)難恢復(fù)。由于熱備份中心要保持持續(xù)運(yùn)行，增加了成本，但提高了災(zāi)難恢復(fù)速度。Tier 4 層：活動(dòng)狀態(tài)的備份中心 (Active Secondary Center)指兩個(gè)中心同時(shí)處于活動(dòng)狀態(tài)并同時(shí)互相備份，在這種情況下，工作負(fù)載可能在兩個(gè)中心之間分享。在災(zāi)難發(fā)生時(shí)，關(guān)鍵應(yīng)用的恢復(fù)也可降低到小時(shí)級(jí)或分鐘級(jí)。Ti

6、er 5 層：兩個(gè)活動(dòng)的數(shù)據(jù)中心，確保數(shù)據(jù)一致性的兩階段傳輸承諾 (Two-Site Two-Phase Commit)它提供了更好的數(shù)據(jù)完整性和一致性。Tier5 需要兩中心與中心的 bias 被同時(shí)更新。在災(zāi)難發(fā)生時(shí)，僅是傳送中的數(shù)據(jù)被丟失，恢復(fù)時(shí)間被降低到分鐘級(jí)。Tier 6 層：0 數(shù)據(jù)丟失 (Zero Data Loss)，自動(dòng)系統(tǒng)故障切換15mins 1-4hrs 4-8hrs 8-12hrs 12-16hrs 24hrs Days WeekTier6 可以實(shí)現(xiàn) 0 數(shù)據(jù)丟失率，被認(rèn)為是災(zāi)難恢復(fù)的最高級(jí)別，在本地和遠(yuǎn)程的所有數(shù)據(jù)被更新的同時(shí)，利用了雙重在線存儲(chǔ)和完全的網(wǎng)絡(luò)切換能力，

7、當(dāng)發(fā)生災(zāi)難時(shí)，能夠提供跨站點(diǎn)動(dòng)態(tài)負(fù)載平衡和自動(dòng)系統(tǒng)故障切換功能。3.1.2 ISO 22301圖 3-1 各層級(jí)的恢復(fù)時(shí)間與成本關(guān)系ISO 22301 的中文名稱是業(yè)務(wù)連續(xù)性管理體系（簡(jiǎn)稱“BCMS”），它能夠幫助企業(yè)制定一套一體化的管理流程計(jì)劃，使企業(yè)對(duì)潛在的災(zāi)難加以辨別分析，幫助其確定可能發(fā)生的沖擊對(duì)企業(yè)運(yùn)作造成的威脅，并提供一個(gè)有效地管理機(jī)制來(lái)阻止或抵消這些威脅，減少災(zāi)難事件給企業(yè)帶來(lái)?yè)p失。ISO 22301 擁有非常高的國(guó)際認(rèn)可度。它指定了計(jì)劃、實(shí)施、監(jiān)督、審查和改進(jìn)企業(yè)的業(yè)務(wù)連續(xù)性管理體系的具體要求，從而最大限度地減少突發(fā)事件造成的影響。ISO 22301 適用于所有行業(yè)中的大、中、

8、小型公有及私有組織，并且特別適用于處于高風(fēng)險(xiǎn)和高度監(jiān)管環(huán)境下的行業(yè)，例如 IT 通信業(yè)、金融業(yè)、制造業(yè)等。各行各業(yè)的企業(yè)面對(duì)國(guó)際及中國(guó)地區(qū)不斷頻發(fā)地自然災(zāi)害及人為事故，其業(yè)務(wù)運(yùn)作的不確定性和風(fēng)險(xiǎn)都被大幅度增加，而加強(qiáng)企業(yè)業(yè)務(wù)連續(xù)性管理則成為了打造最佳企業(yè)應(yīng)急預(yù)案的必備選擇。3.1.3 BS 25999英國(guó) BSI (British Standard Institution) 出臺(tái)了世界上第一個(gè)關(guān)于業(yè)務(wù)連續(xù)性管理 (BCM) 的英國(guó)標(biāo)準(zhǔn) BS 25999，是為了在最棘手和意外的情況下保證企業(yè)的業(yè)務(wù)持續(xù)運(yùn)行，從而保護(hù)企業(yè)的員工、維護(hù)企業(yè)的聲譽(yù)并提供持續(xù)運(yùn)營(yíng)的能力。該標(biāo)準(zhǔn)為在組織內(nèi)了解、開(kāi)發(fā)和實(shí)施業(yè)

9、務(wù)持續(xù)性提供了基礎(chǔ)，它包含一套基于 BCM 最佳做法的全面控制措施，涵蓋整個(gè) BCM 生命周期。BS 25999 分兩部分制定：第 1 部分BCM 實(shí)踐指南于 2006 年底公布；第 2 部分BCM 規(guī)范于 2007 年底公布。BS 25999 適合于各種規(guī)模及各行各業(yè)的任何組織，尤其適合在高風(fēng)險(xiǎn)環(huán)境中運(yùn)營(yíng)的組織，例如電信、金融、運(yùn)輸和其他公共行業(yè)。3.1.4 GDPR 通用數(shù)據(jù)保護(hù)條例歐盟于 2018 年 5 月 25 日出臺(tái)了通用數(shù)據(jù)保護(hù)條例，英文簡(jiǎn)稱是 GDPR，其前身是歐盟在 1995 年制定的計(jì)算機(jī)數(shù)據(jù)保護(hù)法。GDPR 的監(jiān)管范圍包括企業(yè)及個(gè)人。首先，成立地在歐盟的機(jī)構(gòu)必須遵循 GD

10、PR，無(wú)論數(shù)據(jù)處理的活動(dòng)是否發(fā)生在歐盟境內(nèi)；其次，成立地在歐盟以外的機(jī)構(gòu)，只要其在提供產(chǎn)品或者服務(wù)的過(guò)程中，無(wú)論是收費(fèi)還是免費(fèi)，只要處理歐盟境內(nèi)個(gè)體的個(gè)人數(shù)據(jù)，同樣需要遵循 GDPR。GDPR 對(duì)于那些數(shù)據(jù)主體（擁有數(shù)據(jù)的組織和個(gè)人）起到很好的合規(guī)性管理，能夠規(guī)范數(shù)據(jù)主體的數(shù)據(jù)刪除權(quán)、反對(duì)權(quán)、可攜帶權(quán)和可遺忘權(quán)等。根據(jù)普華永道的調(diào)查顯示，92 的美國(guó)公司認(rèn)為 GDPR 將成為最重要的數(shù)據(jù)保護(hù)措施。對(duì)于那些符合相關(guān)規(guī)定的企業(yè)來(lái)說(shuō)，GDPR 將是一個(gè)幫助他們?cè)跉W盟增加業(yè)務(wù)的好機(jī)會(huì)。GDPR 所代表的合規(guī)性要求歷來(lái)是災(zāi)備業(yè)務(wù)所關(guān)注的重要指標(biāo)之一。GDPR 的正式生效一方面意味著合規(guī)性越來(lái)越成為必選項(xiàng)

11、；另一方面則意味著企業(yè)從運(yùn)維人員到 CEO，從 IT 部門(mén)到董事會(huì)， 從傳統(tǒng)業(yè)務(wù)到新業(yè)務(wù)等等，都需要對(duì)數(shù)據(jù)保護(hù)與管理建立全新的認(rèn)知。國(guó)家標(biāo)準(zhǔn)及法規(guī)國(guó)內(nèi)的災(zāi)備發(fā)展起步比國(guó)外的晚，在災(zāi)備執(zhí)行標(biāo)準(zhǔn)及法規(guī)方面，根據(jù)國(guó)際通用法規(guī)，制定了一系列符合行業(yè)發(fā)展特點(diǎn)的國(guó)家標(biāo)準(zhǔn)及法規(guī)。3.2.1 GB/T 20988-20072007 年 7 月，國(guó)務(wù)院信息化工作辦公室領(lǐng)導(dǎo)編制的重要信息系統(tǒng)災(zāi)難恢復(fù)指南正式升級(jí)成為國(guó)家標(biāo)準(zhǔn)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范(GB/T 20988-2007 )。國(guó)家標(biāo)準(zhǔn) (GB/T 20988-2007) 是我國(guó)災(zāi)難備份與恢復(fù)行業(yè)的第一個(gè)國(guó)家標(biāo)準(zhǔn)并于 2007 年 11 月1 日開(kāi)始正式實(shí)施。該

12、標(biāo)準(zhǔn)規(guī)定了信息系統(tǒng)災(zāi)難恢復(fù)應(yīng)遵循的基本要求，適用于信息系統(tǒng)災(zāi)難恢復(fù)的規(guī)劃、審批、實(shí)施和管理，并參照國(guó)際標(biāo)準(zhǔn) SHARE78 的 7 個(gè)層級(jí)定義，確定了符合中國(guó)國(guó)情的6 個(gè)災(zāi)備能力等級(jí)要求。比。根據(jù)國(guó)家標(biāo)準(zhǔn) (GB/T 20988-2007) 對(duì)災(zāi)備各級(jí)別的具體定義，表 3-1 給出了災(zāi)備各級(jí)別要求對(duì)國(guó)際標(biāo)準(zhǔn) SHARE78無(wú)異地備份數(shù)據(jù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范GB/T 20988-2007基本級(jí)。備份介質(zhì)場(chǎng)外存，安全保障、Tier 0有數(shù)據(jù)備份，無(wú)備用系統(tǒng)用卡車(chē)運(yùn)送第1級(jí) 定期驗(yàn)證。備份場(chǎng)地支持。網(wǎng)絡(luò)和業(yè)務(wù)處理系統(tǒng)Tier 1備份數(shù)據(jù)有數(shù)據(jù)備份，有備用系統(tǒng)用卡車(chē)運(yùn)送Tier 2備份數(shù)據(jù)電子鏈接，消

13、除運(yùn)送工具的需要，提第2級(jí) 可在預(yù)定時(shí)間內(nèi)調(diào)配到備份中心。電子傳輸和部分設(shè)備支持。災(zāi)備中心Tier 3高了災(zāi)難恢復(fù)速度災(zāi)難恢復(fù)具有兩個(gè)中心彼此備份數(shù)第3級(jí) 配備部分業(yè)務(wù)處理和網(wǎng)絡(luò)設(shè)備，具備部分通訊鏈路。電子傳輸和完整設(shè)備支持。數(shù)據(jù)定時(shí)據(jù)，允許備份行動(dòng)在任何一個(gè)方向發(fā)生。兩個(gè)中心之間，彼此的關(guān)鍵數(shù)據(jù)批量傳送，網(wǎng)絡(luò) / 系統(tǒng)始終就緒。溫備中心模式。Tier 4的拷貝不停地相互傳送著。在災(zāi)難發(fā)生時(shí)，需要的關(guān)鍵數(shù)據(jù)通過(guò)網(wǎng)絡(luò)可迅速恢復(fù)，通過(guò)網(wǎng)絡(luò)的切換，關(guān)鍵應(yīng)用第4級(jí) 的恢復(fù)也可降低到小時(shí)級(jí)或分鐘級(jí)。保證交易的完整性，為關(guān)鍵應(yīng)用使用實(shí)時(shí)數(shù)據(jù)傳輸及完整設(shè)備支持。采用Tier 5了雙重在線存儲(chǔ)，在災(zāi)難發(fā)生時(shí)，

14、僅傳送中的數(shù)據(jù)被丟失，恢復(fù)時(shí)間被降低到分鐘級(jí)。無(wú)數(shù)據(jù)丟失，同時(shí)保證數(shù)據(jù)立即自動(dòng)第5級(jí) 遠(yuǎn)程復(fù)制技術(shù)，實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)復(fù)制， 網(wǎng)絡(luò)具備自動(dòng)或集中切換能力，業(yè)務(wù)處理系統(tǒng)就緒或運(yùn)行中。數(shù)據(jù)零丟失和遠(yuǎn)程集群支持。數(shù)據(jù)實(shí)地被傳輸?shù)交謴?fù)中心。Tier-6 被認(rèn)為是災(zāi)難恢復(fù)的最高級(jí)別，在本地和時(shí)備份，零丟失，系統(tǒng)/ 應(yīng)用遠(yuǎn)程集群， 可自動(dòng)切換，用戶同時(shí)接入主備中心。Tier 6遠(yuǎn)程的所有數(shù)據(jù)被更新的同時(shí)，利用了雙重在線存儲(chǔ)和完全的網(wǎng)絡(luò)切換能力。第 7 層實(shí)現(xiàn)能夠提供一定程度的第6級(jí) 跨站點(diǎn)動(dòng)態(tài)負(fù)載平衡和自動(dòng)系統(tǒng)故障切換功能。表 3-1 國(guó)際標(biāo)準(zhǔn) SHARE78 與國(guó)家標(biāo)準(zhǔn) (GB/T 20988-2007)從表

15、 3-1 可以看出，國(guó)標(biāo) (GB/T 20988-2007) 的 6 個(gè)災(zāi)備級(jí)別與國(guó)際標(biāo)準(zhǔn) SHARE78 的 Tier 1至 Tier 6 基本是對(duì)應(yīng)的，前三級(jí)（Tier 1 至 Tier 3）基本一致，后三級(jí)（Tier4 至 Tier6）略有差異。信息系統(tǒng)災(zāi)難恢復(fù)能力等級(jí)與恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）具有一定的對(duì)應(yīng)關(guān)系， 各行業(yè)可根據(jù)行業(yè)特點(diǎn)和信息技術(shù)的應(yīng)用情況制定相應(yīng)的災(zāi)難恢復(fù)能力等級(jí)要求和指標(biāo)體系。在國(guó)標(biāo) (GB/T 20988-2007) 中，也給出了某個(gè)特定行業(yè)災(zāi)難恢復(fù)能力等級(jí)與 RTO、RPO 之間關(guān)系的示例，可作為參考：災(zāi)難恢復(fù)能力等級(jí)RTORPO12 天以上1

16、 天至 7 天224 小時(shí)以后1 天至 7 天312 小時(shí)以上數(shù)小時(shí)至 1 小時(shí)4數(shù)小時(shí)至 2 天數(shù)小時(shí)至 1 小時(shí)5數(shù)分鐘至 2 天0至 30 分鐘6數(shù)分鐘0表 3-2 災(zāi)難恢復(fù)能力等級(jí)與 RTO、RPO 之間關(guān)系信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范的推出，促進(jìn)我國(guó)各個(gè)行業(yè)的信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃和建設(shè)逐漸規(guī)范化和統(tǒng)一化。特別是對(duì)災(zāi)難恢復(fù)能力六等級(jí)、七要素的定義，使得我們?cè)跒?zāi)備建設(shè)中能夠更加明確和清晰的確定建設(shè)目標(biāo)和內(nèi)容。3.2.2 GB/T 30146-20132013 年，公共安全業(yè)務(wù)連續(xù)性管理體系要求國(guó)家標(biāo)準(zhǔn) (GB/T 30146-2013) 正式發(fā)布。該標(biāo)準(zhǔn)同等采用了國(guó)際標(biāo)準(zhǔn) ISO22301:20

17、12。國(guó)家標(biāo)準(zhǔn) (GB/T30146-2013) 按照 PDCA 循環(huán)模型，對(duì)業(yè)務(wù)連續(xù)性管理工作 出了詳盡的要求，并對(duì)業(yè)務(wù)連續(xù)性管理行業(yè)內(nèi)的一些相關(guān)術(shù)語(yǔ)及指標(biāo)做了明確的規(guī)定，是企業(yè)業(yè)務(wù)連續(xù)性管理體系建設(shè)水平的衡量標(biāo)準(zhǔn)。目前越來(lái)越多的企業(yè)都在爭(zhēng)取獲得國(guó)家標(biāo)準(zhǔn) (GB/T 30146-2013) 的認(rèn)證。3.2.3 GB/T 22239-2019保2019 年 5 月 13 日，GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（簡(jiǎn)稱“等2.0”）國(guó)家標(biāo)準(zhǔn)正式發(fā)布。并于 2019 年 12 月 01 日正式實(shí)施?！暗缺?2.0”與中華人民共和國(guó)網(wǎng)絡(luò)安全法中的相關(guān)法律條文保持一致，

18、是指對(duì)網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級(jí)分級(jí)別保護(hù)的一種工作。保護(hù)對(duì)象包括基礎(chǔ)信息網(wǎng)絡(luò)（廣電網(wǎng)、電信網(wǎng)等）、信息系統(tǒng)（采用傳統(tǒng)技術(shù)的系統(tǒng)）、云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。等級(jí)保護(hù)制度系統(tǒng)分為五個(gè)級(jí)別，以下主要針對(duì)實(shí)際應(yīng)用較多的第三個(gè)等級(jí)，闡述等保 2.0 中進(jìn)行的調(diào)整。其中，主要的不同表現(xiàn)在從原來(lái)的五個(gè)層面：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全，調(diào)整為四個(gè)層面：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全?！拔锢戆踩闭{(diào)整為“物理與環(huán)境安全”：整體變化不大，要求項(xiàng)數(shù)由原來(lái)的 32 項(xiàng)調(diào)整為 22 項(xiàng)?！熬W(wǎng)絡(luò)安全”調(diào)整為“網(wǎng)絡(luò)和通信安全”：調(diào)整

19、后減少了結(jié)構(gòu)安全、邊界完整性檢查、網(wǎng)絡(luò)設(shè)備防護(hù)三個(gè)控制點(diǎn)，增加了網(wǎng)絡(luò)架構(gòu)、通信傳輸、邊界防護(hù)、集中管控四個(gè)控制點(diǎn)?！爸鳈C(jī)安全”調(diào)整為“設(shè)備和計(jì)算安全”：減少了剩余信息保護(hù)一個(gè)控制點(diǎn)，在測(cè)評(píng)對(duì)象上， 把網(wǎng)絡(luò)設(shè)備、安全設(shè)備也納入了此層面的測(cè)評(píng)范圍。要求項(xiàng)由原來(lái)的 32 項(xiàng)調(diào)整為 26 項(xiàng)?！皯?yīng)用安全 + 數(shù)據(jù)安全及備份恢復(fù)”調(diào)整為“應(yīng)用和數(shù)據(jù)安全”：要求項(xiàng)總數(shù)原來(lái)為 39 項(xiàng)， 調(diào)整后為 33 項(xiàng)。將應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)兩個(gè)層面合并成了應(yīng)用和數(shù)據(jù)安全一個(gè)層面， 減少了通信完整性、通信保密性和抗抵賴三個(gè)控制點(diǎn)，通信完整性和通信保密性的要求納入了網(wǎng)絡(luò)和通信安全層面的通信傳輸控制點(diǎn)，值得一提的是

20、，備份與恢復(fù)正式納入了數(shù)據(jù)安全行列。3.2.4 GB/T 31595-20152015 年，公共安全業(yè)務(wù)連續(xù)性管理體系指南國(guó)家標(biāo)準(zhǔn) (GB/T 31595-2015) 正式發(fā)布，該國(guó)家標(biāo)準(zhǔn)也是同等采用了國(guó)際標(biāo)準(zhǔn) ISO22313:2012。國(guó)家標(biāo)準(zhǔn) (GB/T 31595-2015) 針對(duì)企業(yè)實(shí)施業(yè)務(wù)連續(xù)性管理體系中的方法和步驟給出了詳細(xì)的指導(dǎo)，是幫助企業(yè)制定和完善有效的業(yè)務(wù)連續(xù)性計(jì)劃的得力幫手。GB/T 30146-2013 與 GB/T 31595-2015 兩項(xiàng)國(guó)家標(biāo)準(zhǔn)的推出，將進(jìn)一步推動(dòng)我國(guó)業(yè)務(wù)連續(xù)性管理體系與國(guó)際接軌。此外，國(guó)信辦分別在 2004 年 4 月發(fā)布關(guān)于加強(qiáng)信息安全保障工

21、作的意見(jiàn)，2005 年 4 月發(fā)布重要信息系統(tǒng)災(zāi)難恢復(fù)指南，對(duì)銀行及相關(guān)行業(yè)的信息安全指出指導(dǎo)意見(jiàn)。中華人民共和國(guó)網(wǎng)絡(luò)安全法2017 年 6 月 1 日，中華人民共和國(guó)網(wǎng)絡(luò)安全法正式實(shí)施，這是中國(guó)建立嚴(yán)格的網(wǎng)絡(luò)治理指導(dǎo)方針的一個(gè)重要里程碑。網(wǎng)絡(luò)安全法從保障網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全，保障網(wǎng)絡(luò)運(yùn)行安全，保障網(wǎng)絡(luò)數(shù)據(jù)安全，保障網(wǎng)絡(luò)信息安全等方面進(jìn)行了具體的制度設(shè)計(jì)，旨在監(jiān)管網(wǎng)絡(luò)安全、保護(hù)個(gè)人隱私和敏感信息，以及維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán) / 安全。該法第二十一條、第二十五條、三十四條明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)履行對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份的保護(hù)義務(wù)，并在其他條文中規(guī)定了相應(yīng)的處罰細(xì)則。例如，第二十

22、五條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人或其他組織及公民專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)進(jìn)行響應(yīng)、處置。中華人民共和國(guó)數(shù)據(jù)安全法2020 年 5 月 25 日，十三屆全國(guó)人大三次會(huì)議舉行第二次全體會(huì)議，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)的工作報(bào)告提到：今年將加強(qiáng)重要領(lǐng)域立法，且在下一步主要工作安排中指出，圍繞國(guó)家安全和社會(huì)治理，將制定“數(shù)據(jù)安全法”，即中華人民共和國(guó)數(shù)據(jù)安全法。中華人民共和國(guó)數(shù)據(jù)安全法的制定，將確立數(shù)據(jù)主權(quán)、明確數(shù)據(jù)安全法的管轄范圍，對(duì)數(shù)據(jù)經(jīng)營(yíng)進(jìn)行牌照化管理，建立數(shù)據(jù)采集、加工和利用業(yè)務(wù)的準(zhǔn)入制度，完善數(shù)據(jù)安全監(jiān)管體系和數(shù)據(jù)安全監(jiān)測(cè)預(yù)警、應(yīng)急處置機(jī)制，建立責(zé)任主體問(wèn)責(zé)制度等一系列建議。DR 及 BCM 相關(guān)認(rèn)證合規(guī)性、規(guī)范化是災(zāi)備產(chǎn)業(yè)持續(xù)發(fā)展的前提，為此，針對(duì)整個(gè)產(chǎn)業(yè)的資質(zhì)認(rèn)證是必備的。下面主要介紹三種認(rèn)