★CCRC认证知识★---★灾难备份恢复服务资质认证简介★

信息系统灾难备份与恢复服务资质认证简介

    信息系统灾难备份与恢复服务是将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计和提供的活动。

信息系统灾难备份与恢复服务资质级别是衡量服务提供者服务能力的尺度。资质级别分为一级、二级、三级共三个级别，其中一级最高，三级最低。

适用范围

信息安全服务资质认证是依据国家认证认可法律法规、相关技术标准和规范，对信息安全服务

提供者的资质进行评价的合格评定活动。

本规则规定了信息安全服务提供者（以下简称服务提供者）应具备的通用评价要求、专业评价

要求以及认证机构开展服务资质认证的程序。

本规则可用于第三方机构对服务提供者进行资信和能力评价，可作为服务提供者开展自我评价的依据，并可为政府及有关社会组织选择服务提供者提供依据。

规范性引用文件

下列文件中的条款通过本文件引用而成为本文件的条款。凡是注日期的引用文件，其随后所有

的修改单（不包括勘误的内容）或修订版均不适用于本文件，然而，鼓励根据本文件达成协议的各

方研究可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本文件。

CNCA/CTS 0052-2007《信息安全服务资质认证技术规范》

YDT1799-2008《网络与信息安全应急处理服务资质评估方法》

ISCCC-SV-002:2010《信息安全风险评估服务资质认证实施规则》

ISCCC-SV-003:2014《信息系统安全集成服务资质认证实施规则》

ISCCC-SV-004:2012《信息系统灾难备份与恢复服务资质认证实施规则》

GB/T 5271.8-2001《信息技术词汇第8部分：安全》中的术语和定义适用于本标准。

术语与定义

3.1.   信息安全服务

由供应商、组织机构或人员执行的一个安全过程或任务。（ISO/IEC TR 15443-1:2005《信息技术

安全技术 信息技术安全保障框架 第一部分：总揽和框架》）

3.2.   信息安全服务资质

信息安全服务资质是信息安全服务机构提供安全服务的一种资格，包括法律地位、资源状况、管理水平、 技术能力等方面的要求。

3.3.   信息安全风险评估

运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以求防范

和化解信息安全风险，或将风险控制在可接受的水平。

3.4.   信息安全应急处理

制定应急处理计划，组织实施演练，并在出现网络与信息系统安全事故时，及时实施应急处理

计划的过程。

3.5.   信息系统安全集成

在从事网络系统、应用系统、安防系统、建筑智能化系统的集成过程中，所进行的安全需求界

定、安全设计、安全实施、安全保障等活动。

3.6.   信息系统灾难备份与恢复

将信息系统的数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份，并在灾难发生时，将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、将

其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动，分为资源服务类（A 类）、技术服务类（B 类）两个类别。

3.7.   软件安全开发

通过对软件开发过程的控制，将开发的软件存在的风险控制在可接受的水平。

3.8.   信息系统安全运维

通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中

所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。

通用评价要求

通用评价要求适用于风险评估、安全集成、应急处理、灾难备份与恢复、软件安全开发、安全维等类别的信息安全服务认证评价，均分为三个级别，其中一级最高。

★四川军标认证★ 重庆军标认证★四川武器装备质量体系认证★重庆武器装备质量体系认证★四川保密认证★重庆保密认证★重庆AS9100认证★四川AS9100认证★四川涉密认证★四川装备承制资格认证★ 重庆装备承制资格认证★