您的位置:360文档中心› 《重要信息系统灾难恢复规划指南》

《重要信息系统灾难恢复规划指南》

合集下载

银监会信息系统现场检查指南

银监会信息系统现场检查指南

银监会信息系统现场检查指南信息系统现场检查指南(架构)为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统现场检查的质量,特制定本指南。

一、检查目的(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况,以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管理岗位责任制度和监督落实情况,评价其计算机安全管理水平;(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水平;(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况,促进银行业金融机构完善内控环境,控制和化解操作风险;(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。

二、检查要点(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。

(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。

(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系统开发的流程、质量及安全的管理情况。

(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的科学化、制度化和规范化,确保信息系统安全可靠的运行。

《网络安全法》解读

《网络安全法》解读

三、网络运行安全
网络安全等级保护制度
第二十一条规定,国家实行网络安全等级保护制度。安全保护义务包括: 1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; 2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网
2010年6月 在伊朗的纳坦兹核电站中潜藏三年的Stuxnet蠕虫病毒被首次曝光
2016年4月孟加拉国央行被黑客攻击。原本想窃取至少10亿美元的黑客,由于拼写错误最终 只转走了8100万美元
2016 年10 月 21 日,美国近一半的互联网因DDOS攻击瘫痪
2014年8月1日晚上7点,黑客攻击温州46.5万台机顶盒 播放反动图文
三、网络运行安全 国家网络安全检查操作指南
2016年6月,中央网信办颁布的《网络安全检查操作指南》中,其明确提
出《关键信息基础设施确定指南(试行) 》。
关键信息基础设施主要涵盖14大行业: (1)能源;(2)金融;(3)交通;(4)水利;(5)医疗卫生;(6)
环境保护;(7)工业制造(原材料、装备、消费品、电子制造);(8)
3、生产业务类,如办公和业务系统、工业控制系统、大型数据
中心、云计算平台、电视转播系统等。
三、网络运行安全
《国家网络空间安全战略》
2016年12月27日,中央网信办批准,国家互联网信息办公室发布
《国家网络空间安全战略》指出,国家关键信息基础设施是指关
系国家安全、国计民生,一旦数据泄露、遭提 供公共通信、广播电视传输等服务的基础信息网络,能源、金融、 交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公

医院容灾备份系统设计、实施与日常运维

医院容灾备份系统设计、实施与日常运维

1、医疗行业业务系统特点与存在的痛点随着医疗行业信息化的进程的加深,对医疗数据进行高效地存储和管理,以便提供安全有效地数据与信息的快速访问和利用成为医疗行业数据存储的主要发展趋势,在医院众多的信息化系统中,HIS作为最重要的医院信息系统,贯穿了业务流程的各个环节,起着核心支撑作用,包含财务、人事、住院、门诊、挂号、医技、收费、分诊、药品管理等多个子系统,是医疗服务和医院管理的核心。

现在医院对信息系统的依赖性越来越大,除了HIS系统,医院其他关键业务还包括PACS、EMR、LIS和CIS等应用系统。

这些业务系统包含了大量的医疗影像信息、病人电子病历信息、临床信息和检验信息等。

但随着医院的不断发展,庞大的数据量和后台服务器的软硬件保护成为医院信息化建设面临的一大难题。

任何的系统停机或数据丢失轻则降低患者的满意度,重则损害医院信誉。

如何避免数据丢失,当遇到数据灾难时如何快速地恢复数据,保障医院业务开展的连续性,已成为影响医院业务发展的关键因素。

经过多次对医院的相关技术人员的访谈,总结出以下急需解决的问题:1、HIS、PACS、EMR、LIS和CIS等应用系统虽然实现了本地的数据级备份通过备份软件定期把数据备份到磁盘阵列或是带库上,但无法应对设备的硬件故障,生产机房火灾、漏水等突发情况,存在数据安全的隐患,需要建立同城容灾中心保障数据安全提升业务连续性。

2、建设同城容灾中心后有条件需要建设异地容灾中心,可以避免水灾、地震等其它的大范围的自然灾害,使得数据和应用的安全等级得到进一步的提升。

3、现有的备份系统没有建立相应的运维方案和管理制度,没有相应的备份恢复演练计划,备份后的数据是否可用无法得到保障。

2、医疗行业业务系统容灾备份需求分析在确定医院关于业务系统容灾备份需求之前先明确几个后文会经常用到的关键词:容灾备份系统,也称灾难备份系统,就是通过建立和维护与原系统完全相同或相似的一个或多个冗余系统,利用地理上分散性或数据系统的冗余性来保证数据抵御灾难的能力。

2020年公需科目专业技术人员继续教育——信息技术与信息安全考试试题答案

2020年公需科目专业技术人员继续教育——信息技术与信息安全考试试题答案

远程教育——信息技术安全试题一一、判断题1.根据IS0 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。

正确2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。

错误3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。

错误4. 我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。

正确5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。

正确6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。

错误7.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。

正确8.Windows 2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。

正确9.信息安全等同于网络安全。

错误10.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。

正确11.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。

正确12.PKI系统所有的安全操作都是通过数字证书来实现的。

正确13.PKI系统使用了非对称算法、对称算法和散列算法。

正确14.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。

正确15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。

正确16. 实现信息安全的途径要借助两方面的控制措施:技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。

信息系统灾难备份技术综述

信息系统灾难备份技术综述

信息系统灾难备份技术综述灾备是确保数据和信息系统安全、稳定运行的一个极为重要的因素,对支撑管理起到十分重要的作用。

本文介绍了信息系统建设与灾难备份的背景,讨论了灾备系统的主要指标和基本类型,在此基础上论述了灾备系统的关键技术和实现方法,提出了灾备技术未来的发展方向和趋势。

1 背景党中央和国务院十分重视信息安全工作。

2003年,中办发[2003127号文《国家信息化领导小组关于加强信息安全保障工作的意见》,要求各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置预案。

2004年,国家网络与信息安全协调小组办公室发12004]11号文《关于做好重要信息系统灾难备份工作的通知》。

明确指出,提高抵御灾难和重大事故的能力,减少灾难打击和重大事故造成的损失、确保重要信息系统的数据安全和作业连续性,避免引起社会重要服务功能的严重中断,保障社会经济的稳定。

2005年,国务院信息化工作办公室出台了《重要信息系统灾难恢复规划指南》,为灾难恢复工作提供了一个操作性较强的参考思路。

2007年,国家标准《信息系统灾难恢复规范》(GB/T20988—2007)正式颁布,这是灾备建设中具有里程碑意义的重要大事。

该标准对灾难备份、灾难恢复相关术语进行了规范和梳理,指明了灾难恢复工作的流程,明确了灾难恢复的等级和相关要素,制订了灾难恢复工作的主要环节及各环节具体工作等。

在2010年召开的第五届中国灾难恢复行业高层论坛上,提出了我国将全面启动灾难恢复体系建设,制定强制性灾备建设规范,完善灾备标准体系并及时出台灾难恢复服务资质管理办法,以促进政府相关部门、行业用户、企业灾难恢复保障体系的发展。

目前,许多政府部门和重要行业已经开始积极有序进行应急管理、灾难备份与恢复体系的建设工作。

近十年来,国土资源信息化建设发展十分迅猛,数据积累不断丰富,政务信息系统日渐增多,其安全性和稳定性显得愈来愈重要。

一旦发生人为或自然等突发性灾难,造成数据丢失或信息系统严重故障或瘫痪,将会直接影响到国土资源管理工作的正常运转以及一些企业和广大民众的利益。

灾难恢复行业国家标准《信息系统灾难恢复规范》正式出台

灾难恢复行业国家标准《信息系统灾难恢复规范》正式出台

灾难恢复行业国家标准《信息系统灾难恢复规范》正式出台2007年7月,国务院信息化工作办公室领导编制的《重要信息系统灾难恢复指南》正式升级成为国家标准《信息系统灾难恢复规范》(GB/T 20988-2007 )。

这是中国灾难备份与恢复行业的第一个国家标准,并于2007年11月1日开始正式实施。

《信息系统灾难恢复规范》规定了信息系统灾难恢复应遵循的基本要求,适用于信息系统灾难恢复的规划、审批、实施和管理。

《规范》具体对灾难恢复行业相应的术语和定义、灾难恢复概述(包括灾难恢复的工作范围、灾难恢复的组织机构、灾难恢复的规划管理、灾难恢复的外部协作、灾难恢复的审计和备案)、灾难恢复需求的确定(包括风险分析、业务影响分析、确定灾难恢复目标)、灾难恢复策略的制定(包括灾难恢复策略制定的要素、灾难恢复资源的获取方式、灾难恢复资源的要求)和灾难恢复策略的实现(包括灾难备份系统计数方案的实现、灾难备份中心的选择和建设、专业技术支持能力的实现、运行维护管理能力的实现、灾难恢复预案的实现)等内容作了具体描述。

同时,在附录A对灾难恢复能力作了等级划分(共6级:第1级基本支持,第2级备用场地支持,第3级电子传输和部分设备支持,第4级电子传输及完整设备支持,第5级实时数据传输及完整设备支持,第6级数据零丢失和远程集群支持);附录A对灾难恢复能力等级评定原则、灾难备份中心的等级等也作了规范要求。

附录B对灾难恢复预案框架、附录C对相应行业RTO/RPO与灾难恢复能力等级的关系比例作了规范要求。

信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复点目标(RPO)具有一定的对应关系,各行业可根据行业特点和信息技术的应用情况制定相应的灾难恢复能力等级要求和指标体系。

2005年4月,国务院信息化工作办公室联合银行、电力、民航、铁路、证券、税务、海关、保险等国内八大重点行业及北京、上海、广东三地政府和GDS万国数据服务有限公司共同编制的《重要信息系统灾难恢复指南》正式出台。

信息安全等级保护政策体系

信息安全等级保护政策体系

第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 10)交换机 《网络交换机安全技术要求》(GB/T 21050—2007)、《交换机安全测评要求》(GA/T 685—2007)。 11)其他产品 《终端计算机系统安全等级技术要求》(GA/T 671—2006)、《终端计算机系统测评方法》(GA/T 671-2006); 《审计产品技术要求和测评方法》(GB/T 20945—2006);《虹膜特征识别技术要求》(GB/T 20979—2007); 《虚拟专网安全技术要求》(GA/T 686—2007);《应用软件系统安全等级保护通用技术指南》(GA/T 711— 2007); 《应用软件系统安全等级保护通用测试指南》(GA/T 712—2007); 《网络和终端设备隔离部件测试评价方法》(GB/T 20277—2006); 《网络脆弱性扫描产品测评方法》(GB/T 20280—2006)。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 4)PKI 《公钥基础设施安全技术要求》(GA/T 687—2007) 《PKI 系统安全等级保护技术要求》(GB/T 21053—2007) 5)网关 《网关安全技术要求》(GA/T 681—2007) 6)服务器 《服务器安全技术要求》(GB/T 21028—2007) 7)入侵检测 《入侵检测系统技术要求和检测方法》(GB/T 20275—2006) 《计算机网络入侵分级要求》(GA/T 700—2007)

BCP方案-v1.1

BCP方案-v1.1
3. 业务连续性规划的目标
我部认为,通过开展业务连续性项目建设,贵机构能完成以下工作目标: Î 建立健全企业业务连续性的人员组织执行团队和管理制度,建立完整的防
范灾难的业务操作和管理体系。关键人员在经过培训后,拥有可以有效率 的处理危险和灾难事件的能力; Î 建设信息技术系统的灾难备份系统,完成对信息系统在灾难情况下对企业 的信息资产和业务流程的全面保护,使中心的信息技术系统能在灾难发生
7. 培养和培训阶段,完成对机构人员进行培养和技能培训的项目,以使业务 连续性计划能够市里制订、实施、维护和执行。
8. 维护和演练业务连续性计划,对预先计划和计划间的协调性进行演练、并 评估和记录计划演练的结果。制定维持连续性能力,维护更新 BCP 文档, 使其与机构的策略保持一致。
9. 公共关系和危机通信,制定、协调、评价和演练在危机情况下与媒体等公 共机构的交流的计划;制定、协调、评价和演练与员工及其家庭、主要客 户、关键供应商、业主/股东以及机构管理层进行沟通的方案计划,确保 所有利益群体能够得到所需的信息。
10. 与监管和公共部门的协调,建立适用的规程和策略,用于同监管和公共部 门协调响应业务连续性的恢复活动,以确保符合现行的法令和法规。 我部认为,建设业务连续性项目需要结合贵公司的具体业务特点,配合公司
的业务发展的步伐,分阶段逐步实现。结合我公司的信息化建设的现状和整体规 划,我部建议公司分为四个阶段实施业务连续性规划,具体为:
工作结果 所需公司资源
预计时间周期
根据咨询项目提交的《风险分析报告》和《业务影响分析报告》
制订公司《业务连续性项目实施目标和实施策略》
财务投入 根据市场同等规模公司实施类似项目情况,包括公司内
部人员投入和外部专业公司咨询费用的整体投入,估算
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重要信息系统灾难恢复指南
国务X1—XXXX


前 言 ...............................................................................IV 引 言 ................................................................................V 1 范围...............................................................................1 2 规范性引用文件 .....................................................................1 3 术语和定义.........................................................................1 4 灾难恢复规划的管理 .................................................................2 4.1 灾难恢复规划的过程 ...............................................................2 4.2 灾难恢复规划的组织机构及其职责 ...................................................3 4.2.1 组织机构的设立 .................................................................3 4.2.2 组织机构的职责 .................................................................3 4.3 灾难恢复规划的管理 ...............................................................3 4.4 灾难恢复规划的外部协作 ...........................................................4 4.5 灾难恢复规划的审计和监理 .........................................................4 5 灾难恢复需求的分析 .................................................................4 5.1 风险分析.........................................................................4 5.2 业务影响分析.....................................................................4 5.2.1 分析业务功能和相关资源配置 .....................................................4 5.2.2 评估中断影响 ...................................................................4 5.3 确定灾难恢复目标 .................................................................4 6 灾难恢复策略的制定 .................................................................4 6.1 灾难恢复策略制定的过程 ...........................................................4 6.1.1 要素分析.......................................................................4 6.1.2 成本风险分析和策略的确定 .......................................................4 6.2 确定灾难恢复资源的获取方式 .......................................................5 6.2.1 数据备份系统 ...................................................................5 6.2.2 备用基础设施 ...................................................................5 6.2.3 备用数据处理系统 ...............................................................5 6.2.4 备用网络系统 ...................................................................5 6.2.5 技术支持能力 ...................................................................5 6.2.6 运行维护管理能力 ...............................................................5 6.2.7 灾难恢复预案 ...................................................................5 6.3 确定灾难恢复等级各要素的要求 .....................................................6 6.3.1 数据备份系统 ...................................................................6 6.3.2 备用基础设施 ...................................................................6 6.3.3 备用数据处理系统 ...............................................................6
I
XXX1—XXXX
6.3.4 备用网络系统 ...................................................................6 6.3.5 技术支持能力 ...................................................................6 6.3.6 运行维护管理能力 ...............................................................6 6.3.7 灾难恢复预案 ...................................................................6 7 灾难恢复策略的实现 .................................................................6 7.1 灾难备份中心的选择和建设 .........................................................6 7.1.1 选址原则.......................................................................6 7.1.2 基础设施的要求 .................................................................7 7.2 灾难备份系统技术方案的实现 .......................................................7 7.2.1 技术方案的设计 .................................................................7 7.2.2 技术方案的验证、确认和系统开发 .................................................7 7.2.3 系统安装和测试 .................................................................7 7.3 技术支持能力的实现 ...............................................................7 7.4 运行维护管理能力的实现 ...........................................................7 7.5 灾难恢复预案的实现 ...............................................................7 8 灾难恢复预案的制订、落实和管理 .....................................................7 8.1 灾难恢复预案的制订 ...............................................................7 8.1.1 制订原则.......................................................................7 8.1.2 制订过程.......................................................................8 8.2 灾难恢复预案的教育、培训和演练 ...................................................8 8.3 灾难恢复预案的管理 ...............................................................8 8.3.1 保存与分发 .....................................................................8 8.3.2 维护和变更管理 .................................................................9 附录 A (规范性附录) 灾难恢复的等级划分.................................................10 A.1 第 1 级 基本支持 .................................................................10 A.2 第 2 级 备用场地支持 .............................................................10 A.3 第 3 级 电子传输和部分设备支持....................................................10 A.4 第 4 级 电子传输及完整设备支持....................................................11 A.5 第 5 级 实时数据传输及完整设备支持................................................11 A.6 第 6 级 数据零丢失和远程集群支持..................................................12 A.7 灾难恢复等级评定原则 .............................................................12 A.8 灾难备份中心的等级 ...............................................................12 附录 B (资料性附录)灾难恢复预案框架.................................................13 B.1 目标和范围........................................................................13 B.2 组织和职责........................................................................13 B.3 联络与通讯........................................................................13 B.4 紧急响应流程......................................................................13 B.4.1 灾难预警.........................................................................13 B.4.2 人员疏散 ........................................................................13
相关文档
最新文档