国家信息安全服务资质.docx

《国家信息安全服务资质.docx》由会员分享，可在线阅读，更多相关《国家信息安全服务资质.docx（176页珍藏版）》请在三一文库上搜索。

1、国家信息安全服务资质灾难恢复服务能力评估准则（试行）版权2008中国信息全安全测评中心2008年5月1日1/11/1目录1范围12规范性引用文件23术语、定义和缩略语33.1 术语和定义33.2 缩略语54概述64.1 信息安全灾难恢复服务介绍64.2 信息安全灾难恢复能力成熟度模型84.3 如何使用标准155灾难恢复过程域215.1 PA01灾难恢复需求225.2 PA02灾难恢复策略制定265.3 PA03灾难恢复资源获取295.4 PA04灾难恢复资源要求375.5 PA05灾难备份系统技术方案实现455.6 PA06灾难备份中心的选择和建设495.7 PA07技术支持能力的实现525.

2、8 PA08运行维护管理能力的实现545.9 PA09灾难恢复预案的制定565.10 PA10灾难恢复预案的教育、培训和演练595.11 PA11灾难恢复预案的管理616项目和组织的基本实践过程域646.1 PA12保证质量656.2 PA13管理配置736.3 PA14管理项目风险796.4 PA15监控技术活动866.5 PA16规划技术活动936.6 PA17定义组织的系统工程过程1046.7 PA18改进组织的系统工程过程1096.8 PA19管理产品生产线演进1146.9 PA20管理系统工程支撑环境1206.10 PA21提供现时的技能和知识1286.11 PA22供应商协调137

3、7信息安全灾难恢复能力级别1437.1 能力级别1 非正式实施1447.2 能力级别2计划和跟踪1487.3 能力级别3充分定义1567.4 能力级别4定量控制1637.5 能力级别5持续改进168参考文献1731/1个人资料整理,仅供个人学习使用1范围本标准适用于评估机构对提供信息安全灾难恢复服务的组织进行信息安全 灾难恢复服务能力的测评。1/12规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的 引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标 准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。 凡是不注明日期的引用

4、文件，其最新版本适用于本标准。GB/T 5271.8-2001信息技术 词汇 第8部分：安全GB/T 20988-2007信息安全技术信息系统灾难恢复规范3术语、定义和缩略语3.1 术语和定义过程域 process area (PA)一个过程域(PA)是一组相关系统工程过程的性质，当这些性质全部实施 后则能够达到过程域定义的目的。基本实践 base practices (BP)一个过程域由基本实践(BP)组成。这些基本实践是系统工程过程中必须存在 的性质，只有当所有这些性质完全实现后，才可说满足了这个过程域的要求。通用实践 generic practices (GP)在评估中用于确定任何过程的

5、能力。恢复时间目标 recovery time objective (RTO)灾难发生后，信息系统或业务功能从停顿到必须恢复的时间要求。恢复点目标 recovery point objective (RPO)灾难发生后，系统和数据必须恢复到的时间点要求。灾难 disaster由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的 业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信 息系统需要切换到灾难备份中心运行。灾难恢复 disaster recovery为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将 其支持的业务功能从灾难造成的不正常状态

6、恢复到可接受状态，而设计的活动和 流程。灾难恢复规划 disaster recovery planning (DRP)为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发 生后能及时恢复和继续运作所做的事前计划和安排。业务影响分析 business impact analysis (BIA)分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响 的过程。关务功能 critical business functions如果中断一定时间，将显著影响组织运作的服务或职能。主系统 primary system生产系统 production system正常情况下支持组织日常运作

7、的信息系统。包括主数据、主数据处理系统和 主网络。主中心 primary center主站点 primary site生产中心 production center主系统所在的数据中心。灾难备份 backup for disaster recovery为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能 力和运行管理能力进行备份的过程。灾难备份系统 backup system for disaster recovery用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用的网络系统 组成的信息系统。灾难备份中心 backup center for disaster recover

8、y备用站点 alternate site用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所， 可提供灾难备份系统、备用的基础设施和技术支持及运行维护管理能力，此场所 内或周边可提供备用的生活设施。数据备份策略data backup strategy为了达到数据恢复和重建目标所确定的备份步骤和行为。通过确定备份时 间、技术、介质和场外存放方式，以保证达到恢复时间目标和恢复点目标。灾难恢复预案 disaster recovery plan定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于 指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。演练 exer

9、cise演习drill为训练人员和提高灾难恢复能力而根据灾难恢复预案进行活动的过程。包括 桌面演练、模拟演练、重点演练和完全演练等。场外存放 offsite storage将存储介质存放到离主中心有一定安全距离的物理地点的过程。3.2 缩略语BIA： 业务影响分析(Business Impact Analysis)BP： 基本实践(Base Practices)CMM：能力成熟度模型(Capability Maturity Model)DRP：灾难恢复规划(Disaster Recovery Planning)DRP-CMM：灾难恢复服务能力成熟度模型(Disaster Recovery Pl

10、anning-Capability Maturity Model)GP： 通用实践(Generic Practices)PA： 过程域(Process Area)RTO：恢复时间目标(Recovery Time Objective)RTP：恢复点目标(Recovery Point Objective)SSE-CMM： 系统安全工程能力成熟度模型(System Security Engineering - Capability Maturity Model)4概述4.1 信息安全灾难恢复服务介绍信息系统的灾难恢复工作，包括灾难恢复规划和灾难备份中心的日常运行, 还包括灾难发生后的应急响应、关键业

11、务功能在灾难备份中心的恢复和重续运 行，以及生产系统的灾后重建和回退工作。其中，灾难恢复规划是一个周而复始、持续改进的过程，包含以下几个阶段: 灾难恢复需求的确定； 灾难恢复策略的制定； 灾难恢复策略的实现； 灾难恢复预案的制定、落实和管理。4.1.1组织机构单位应结合其日常组织机构的具体情况建立灾难恢复规划组织机构，并明确 其职责。其中一些人可负责两种或多种职责，一些职位可由多人担任（灾难恢复 预案中应明确他们的替代顺序）。灾难恢复规划的组织机构由管理、业务、技术和行政后勤等人员组成，分为 灾难恢复规划领导小组、灾难恢复规划实施组和灾难恢复规划日常运行组。其中, 实施组的人员在实施任务完成后

12、可成为日常运行组的成员。单位可聘请外部专家协助灾难恢复规划工作，也可委托外部机构承担实施组 和运行组的部分或全部工作。灾难恢复管理的组织结构图如下:系统评估 系统审计 系统检查部作通外协沟内部管理组织机构灾难恢复领导小组部作通外协沟管理部门 新闻媒体 供应商 电信部门 电力部门灾难恢复 实施组灾难恢复 日常运行组外部专家图41：灾难恢复管理的组织机构在灾难恢复管理组织结构的职责如下： 灾难恢复规划领导小组灾难恢复规划领导小组是实施灾难恢复规划工作的组织领导机构，组 长应由单位高层领导担任，领导和决策灾难恢复规划重大事宜，其主 要职责如下： 审核并批准经费预算； 审核并批准灾难恢复策略； 审核并

13、批准灾难恢复预案； 组织灾难恢复预案的测试和演练； 批准灾难恢复预案的执行。 灾难恢复规划实施组灾难恢复实施组的主要职责是负责： 灾难恢复的需求分析； 提出灾难恢复策略和等级； 灾难恢复策略的实现； 制订灾难恢复预案；灾难恢复规划日常运行组灾难恢复日常运行组的主要职责是负责： 灾难备份中心日常管理； 灾难备份系统的运行和维护； 灾难恢复的技术支持； 灾难恢复预案的教育、培训和演练； 维护和管理灾难恢复预案； 突发事件发生时的损失控制和损害评估； 灾难发生后信息系统和业务功能的恢复； 灾难发生后的外部协作。4.1.2灾难恢复管理过程在灾难恢复管理过程中，描述了开发和维护有效灾难恢复预案的过程。这

14、里 所描述的过程对所有IT系统都是通用的。下面列出了灾难恢复管理过程的四个 主要过程步骤： 灾难恢复需求分析：灾难恢复需求分析步骤包括风险分析（RA）、业 务影响分析（BIA）和确定灾难恢复目标三个子步骤，通过需求分析 这三个子步骤了解信息系统的风险、综合对业务的考虑并确定关键业 务功能及恢复的优先顺序和灾难恢复RTO/RPO灾难恢复时间范围指 标。 灾难恢复策略制定：灾难恢复策略制定步骤基于风险和损失平衡的原 则，确定每项关键业务功能的灾难恢复策略，并将这些策略正式文档 化。 灾难恢复策略实现：灾难恢复策略实现步骤根据灾难恢复的策略，选 择和建设灾难备份中心、实现灾备系统技术方案并实现技术支

15、持和维 护能力。 灾难恢复预案制定和管理：灾难恢复预案制定和管理步骤负责编制灾 难恢复预案、对灾难恢复预案进行教育、培训和演练，并负责灾难恢 复预案的保存、分发以及维护和变更管理。这些步骤代表了一个全面的灾难恢复管理能力的关键要素。整个开发过程的 责任是由灾难恢复实施组所具体负责，图4-2显示了灾难恢复管理的过程。风险分析A风险分析确定灾难 恢复目标送st业务 功能及供现 的优先级 RTO/RPO 的范围J灾难恢复Ix ?策略的实n现分析业务 功能和相关费源闲置评估中断 影响火灌备份中心 的逸界和建设灾难备份系蜕 技术方案的实现技术支持能力 的实现运行雎护能力 的实现制定 恢安策略灾嚏恢复策略

16、 制定灾难恢现策略 实现业务影响分析确定灾难恢复 费源获取方式确定灾难恢复 等级的要素要 求正式文档化A控制 八定定性7V 标识资产 标iR威胁 标识腌弱 性标识现有灾难恢复得求分析灾难恢笈孩 案的制定、 落实和管理A 灾难恢复颈案1的制订灾难恢弱国案 的教育、培训和 演练 灾难恢发预案n的管理灾难恢复预案制定和管理图42：灾难恢复管理过程4.2信息安全灾难恢复能力成熟度模型4.2.1 能力成熟度模型的概念能力成熟度模型（CMM）提供了一套业界范围内（包括政府及工业）的标准度 量体系，其目的在于建立和促进安全工程成为一种成熟的、可度量的科目。能力 成熟度模型及评定方法确保了安全是处理硬件、软件

17、系统和组织安全问题的工 程实施活动后得到的一个完整结果。该模型定义了一个安全工程过程应有的特 征。这个安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可 控制的并且是有效的。4.2.2 信息安全灾难恢复能力成熟度模型体系结构信息安全灾难恢复能力成熟度模型（DRP-CMM）是在信息安全工程能力成 熟度模型（SSE-CMM）的基础上，结合信息安全灾难恢复服务的最佳实践，所 形成的对灾难恢复服务进行度量的模型。DRP-CMM体系结构的设计是可在整个信息安全灾难恢复工程范围内决定 安全工程组织的成熟性。这个体系结构的目标是清晰地从管理和制度化特征中分 离出安全工程的基本特征。为了保证这种

18、分离，这个模型是两维的，分别称为“域” 和“能力”，具体描述如下。重要的是，DRP-CMM并不意味着在一个组织中任何项目组或角色必须执行 这个模型中所描述的任何过程，也不要求使用最新的和最好的安全工程技术和方 法论。然而，这个模型要求是一个组织机构要有一个适当过程，这个过程应包括 这个模型中所描述的基本安全实施。组织机构以任何方式随意创建符合他们信息 安全灾难恢复服务目标的过程以及组织结构。4.2.2.1 基本模型DRP-CMM有两个维度，“域”和“能力”。域维或许是两个维中较容易理 解的。这一维仅仅由所有定义信息安全灾难恢复工程的过程域构成。这些实施活 动称为“基本实践”。下面讨论结构和这些

19、基本实践的结构和内容。能力维代表这一维由过程管理和制度化能力构成的实践活动。这些实施活动 被称作“通用实践”，可在广泛的域中应用。通用实践代表将被看作基本实践一 部分的行为。在图4-3中说明了基本实践和公共实践的关系。灾难恢复工程的基础部分是 灾难恢复服务的工作活动内容，这一活动显示在DRP-CMM的横坐标上。要决定一个组织的办事能力的方式是要检查他们是否有他们所宣称的配置 对活动的资源过程。成熟的组织“特征”显示在DRP-CMM的纵坐标上。将基本实践和公共实践综合为组织执行一个特定的活动提供检查的方法。可 能会有一部分感兴趣的人问：“你的组织是否为灾难恢复需求分配资源？ ”如果 答案是“是”

20、会谈的人将得知一些关于组织机构的能力的情况。(S3JIU3H uiEOo) 一 (uSWH.sa szBdeu公共特征2.4跟踪执行域维(Domain Dimension)安全过程区(Security Process Areas)PA01 ,灾难恢复需求图43：灾难恢复服务能力成熟度模型描述回答综合所有的与公共实践有关的基本实践出现的问题将可能会提供一个 组织的灾难恢复服务能力的概貌。4.2.2.2 基本实践DRP-CMM共大约包含了 22个过程域，其中11个过程域描述灾难恢复服 务过程，其它11个域描述项目和组织的基本实践过程。这些过程域覆盖了灾难 恢复工作所有主要领域。这些基本实践是从大

21、量的已有材料、实践和专家知识中 收集而来的。所选择的实践代表安全工程业界已有的最好的实践，而不是未被采 用过的实践。DRP-CMM包括的过程域列举如下。这些过程域和基本实践的详细描述见第 5和第6章。 PA01灾难恢复需求 PA02灾难恢复策略制定 PA03灾难恢复资源获取 PA04灾难恢复资源要求 PA05灾难备份系统技术方案实现 PA06灾难备份中心的选择和建设 PA07技术支持能力的实现 PA08运行维护管理能力的实现 PA09灾难恢复预案的制定 PA10灾难恢复预案的教育、培训和演练 PA11灾难恢复预案的管理DRP-CMM也包含了十一个有关项目和组织实践的过程域。这些过程域从 SE-

22、CMM中选出的。这些过程域和基本实践将在第6章描述。 PA12确定质量 PA13管理配置 PA14管理项目风险 PA15监控和控制技术效果 PA16计划技术效果 PA17定义组织的系统工程过程 PA18提高组织的系统工程过程 PA19管理产品线评估 PA20管理系统工程支持环境 PA21提供正在进行的技术和知识 PA21供应商协调在DRP-CMM中，每个过程域是由一个或多个基本实践组成，每个基本实 践： 适应在企业的生命周期 和其它基本实践互相不覆盖 代表安全业界“最好的实施” 不简单地反映当前技术 不指定特定的方法或工具基本实践以能满足广泛的安全工程组织的方式组织成过程域。有很多方法将 信息

23、安全灾难恢复服务分解成过程域。DRP-CMM当前的过程域的集合主要是根 据灾难恢复国家标准和系统安全工程能力成熟度模型（SSE-CMM）来制定的。4.2.2.3 通用实践通用实践是适用于所有过程的活动。他们向过程方面的管理，测量和制度化 方面陈述。一般来说，他们在评估决定执行过程组织的能力期间会被采用。通用实践按称之为“公共特征”的逻辑域组成，公共特征分为五个“能力级 别”，依次表示增加的组织能力。与范畴维基本实践不同的是，能力维的通用实 践按成熟性排序，因此表示高级别通用实践位于能力维的高端。公共特征设计的目的在于描述组织机构执行工作过程（即这里的灾难恢复服 务范畴）。每一个公共特征包括一个

24、或多个通用实践。最低的公共特征是1.1执 行的基本实践。这个公共特征只能检查组织是否在所有的过程域中执行的所有基 本实践。其余的公共特征中的通用实践可帮助确定项目管理好坏的程度并可将每一 个过程域作为一个整体加以改进。在笫五章描述的通用实践按执行安全工程的组 织特征方式分组，以突出主要点。下表列出了一些在通用实践所用到的原理。原理在DRP-CMM中是如何表达的你必须首先做它，然后你才可以管理它非正式的执行级着重于一个组织是否 执行了组成基本实践的过程在定义组织层面的过程之前，先要弄清 楚项目正在发生什么事计划和跟踪级着重于项目级定义、规划 和执行问题用项目中学到的最大收获来定义组织 层面的过程

25、充分定义级着重于已定义的组织过程 的原则行裁剪只有知道它是什么，才能测量它尽管较早开始收集和运用基本项目测 量是必要的（如计划和跟踪级），并不 要求组织范围内的测量和采用日期，直 到达到充分定义级，尤其是定量控制级当测量的对象正确是，基于测量的管理 才有意义。定量控制级着重于与组织的商务目标 紧密联系的测量持续改进的文化要求完备的管理实践、 已定义的过程和可测量的目标作为基 础持续改进级从前面级别中的所有管理 实践改进中获取手段，然后强调将维持 所获收益的文化转变下面的公共特征表示了为取得每一个级别需满足的成熟安全工程属性。这些公共特征和通用实践将在第五章描述。1级 1.1执行基本实践2级 2

26、1规划执行 2.2规范化执行 2.3确认执行 2.4跟踪执行3级 3.1定义标准过程 3.2执行定义的过程 3.3协调过程4级 4.1建立可测量的质量目标 4.2客观地管理执行 5.1改进组织范围能力 5.2改进过程有效性DRP-CMM也不能简单说明执行通用实践的需求。一个组织一般会在他们选 择的任何方法和顺序中选择自由的计戈I,跟踪，定义，控制，和改进他们的过程。 然而，因为高级别通用实践是依靠低级别的通用实践，组织会在努力获得高级别 之前努力在低级别进行通用实践运作。4.2.2.4 能力级别将实施活动划分为公共特征，将公共特征划分为能力级别有种种方法。下面 讨论了涉及到这些公共特征。公共

27、特征的排序得益于当前其它安全实施活动和制度化，特别是当实施活动 有效建立时尤其如此。在一个组织能够明确的定义、剪裁和有效使用一个过程前, 单独执行的项目应该获得一些过程执行方面的管理经验。例如，一个组织应首先 对一个项目尝试规模评估过程后，在将其规定为这个组织的过程规范。不过在有 些方面，当过程的实施和制度化应放在一起考虑可以增强能力时;而无须要求严 格前后次序。公共特征和能力级别无论在评估一个组织过程能力和改进组织过程能力时 都是重要的。当评估一个组织能力时，如果这个组织只执行了一个特定级别的一 个特定过程的部分公共特征时，则这个组织对这个过程而言，处于这个级别的最 底层。例如，在2级能力上

28、如果缺乏跟踪执行公共特征的经验和能力，那么跟 踪项目的执行将会很困难。如果高级别的公共特征在一个组织中实施，但其低级 别的公共特征未能实施，则这个组织不能获得该级别的所有好处。评估队伍在评 估一个组织个别过程能力时，应对这种情况加以考虑。当一个组织希望改进某个特定过程能力时，组织为能力级别的实施活动可为 改进组织机构提供了一个“能力改进路线图”。基于这一理由，DRP-CMM的实 施按公共特征进行组织，并按级别进行排序。对每一个过程域的能力级别确定，均需执行一次评估过程。这意味着不同 的过程域能够或将可能存在于不同的能力级别上。组织可利用这个面向过程的信 息作为侧重于这些过程改进的手段。组织机

29、构改进过程活动的顺序和优先级应在 商务目标里加以考虑。用户目标是如何使用DRP-CMM这种模型的主要驱动力。但是，对典型的 改进活动，也存在着基本活动次序和基本的原则。这个活动次序在DRP-CMM 结构中通过公共特征和能力级别加以定义。执行 基本 实施计划执行定义标准过程规范化执行协调安全实施跟踪执行执行已定义的过程验证执行建立可测量的 质量目标客观地管理过 程的执行改进组织能 力改进过程的 有效性图44：能力成熟度级别如上图，DRP-CMM包含了五个级别。这五个级别的概述如下。详细描述请 参见第五章。 1级：”非正式执行级”，这个级别着重于一个组织或项目执行了包 含基本实践的过程。这个级别的

30、特点可以描述为“你必须首先做它， 然后你才能管理它” 2级：”计划和跟踪级”，这个级别着重于项目层面的定义、计划和 执行问题。这个级别的特点可描述为“在定义组织层面的过程之前， 先要弄清楚项目相关的事项”。 3级：充分定义级”，这个级别着重于规范化地裁剪组织层面的过 程定义。这个级别的特点可描述为“用项目中学到的最好的东西来定 义组织层面的过程”。 4级：量化控制级”，这个级别着重于测量。测量是与组织业务目 标紧密联系在一起的。尽管以前级别数据收集和使用项目测量是基本 的活动，但只有到达高级别时，数据才能在组织层面上应用。这个级 别的特点可以描述为“只有你知道它是什么，你才能测量它”和“当 你

31、测量的对象正确时，基于测量的管理才有意义”。 5级：持续改进级”，这个级别从前面各级的所有管理活动中获得 发展的力量，并通过加强组织文化，来保持这个力量。这个方法强调 文化的转变，这种转变乂将使方法更有效。这个级别的特点可以描述 为“一个持续改进的文化需要以完备的管理实施、已定义的过程和可 测量的目标作为基础”。4.3如何使用标准灾难恢复服务能力成熟度模型（DRP-CMM）适用于信息安全灾难恢复服务 领域，该模型适用于以下三种方式： “过程改进”，使灾难恢复服务组织获得自身服务能力级别的认识， 并不断地改进其能力。 “能力评定”，允许获取组织了解潜在项目参加者的组织层次上的灾 难恢复服务能力。

32、 “保证”，通过有根据地使用成熟过程，增加可信产品、系统和服务 的可信度。4.3.1使用DRP-CMM进行过程改进DRP-CMM可以作为改进组织灾难恢复服务的工具。DRP-CMM项目要求 任何人启动一项认真严肃的过程改进活动都要考虑通过SEI使用“开始、诊断、 建立、执行和学习（IDEAL） ”这一过程获得改进。你可以在获取更多信息。目的是进入一个连续循环过程：评估你当前的状况，然后进行改进，这样周 而复始。如下图描述了 IDEAL的各个阶段。I启动：将一个成功的改进活动作为基础；D诊断：确定哪些与你的目标相关；E建立：计划达到你目标的细节；A执行：根据计划实施；L学习：从实践中学习，提高你的

33、能力。学习规划未来 的行动分析 和确认改变动机设置相 关性建立赞助图表体系结构启动明确当前 和预期的 状态执行实施解决方案细化解决方案测试解决方案创建解决方案开发建议计划行动 设置优开发方法建与/ 先级诊断图45：从DRP-CMM开始这五个阶段的每个都由好几个活动组成。下面概述了安全工程组织和 DRP-CMM对于这些活动的应用。启动阶段从事安全工程过程改进活动的操作模式应该与组织内其他所有新项目的实 现方式一致。即首先必须熟悉项目目标及其实现的途径，然后执行项目实现的活 动，并获得管理层的批准和支持，形成项目实现的方法。改变动机所有过程改进的第一步是找出改变组织实施的商业动机。有很多潜在原因使

34、 组织去理解并改进其过程。采购组织可能要求在特定程序中采用某种实施，或他 们可能为潜在承包方定义某个能力级别作为最低接受标准。组织可能意识到采用 某种过程可能会使他们能更快更有效地得到质量证明来支持其评估和认证活动， 得到一种途径来取代顾客的正式评估或增强消费者的信心:安全需求己得到适当 的满足。无论改变的原因如何，清楚的理解从安全角度检查己有过程的目的，对 于系统安全工程过程改进的努力能否成功。设置相关性为过程改进设置相关性，标识出这种努力如何支持将受此变化影响的己有商 业策略、特定商业目标和目的。这种努力的预期结果，以及其它初始状态和当前 工作都应存档。建立赞助对该努力在生命期中有效的和持

35、续的支持;对于过程改进的成功是必要的。 赞助不仅包括有必需的财政资源来维持过程的进行，也包括人员对于工程管理的 关心。这并不意味着上层管理需要参与该项工程，而这种掺入没有被批准。一旦 这种改迸计划付诸实。施，应定期评价对初始目的和实现其目标道路上存在的障 碍的管理。问题决不应该没有相应的解决办法/提议办法及其成本。如果出现间 锤，应提供证据证明从过程改进管理中获得的进步和好处将更偏重于支持该计 划。图表体系结构己建立起提议计划和商业目标之间的关系，主要的发起者也给予了资助，就 必须建立工程实现的机制。工程管理框架的特征会庄于选择组织的素质和复杂性 以及计划的目标而各不相可。至少应选择一个既熟悉

36、SSE-CMM并了解所选择 组织的人员，专职或业余地来参与该项工程的管理。工程管理组必需具各资源和 权限，作为整个过程中的制要点来执行过程改进的任务，因为它确定了-T程实 现的期望、要求和责任。工程管唾组制定的目标以及参与各方应清楚地以书面协 议反映出来。制定的目标应易于管理并用来评估实施进度。诊断阶段为了执行过程改进的活动，必须理解组织当前以及设计好的未来的成熟过程 的状态。这些因素形成了组织过程改进活动计划的基础。DRP-CMM及其有关的 评价方法在诊断阶段扮演了重要的角色。明确当前和预期的状态这个步骤的部分是开始阶段前期的“改变动机”步骤的延续。启动过程改进 活动的商务活动是基于如下的理

37、解：即提高组织过程的质量是有益的。然而，改 进活动不能只限于一般性，它应该是基于对过程实际应用的理解，以及对这些过 程的当前和设计状态的区别的理解。通过对过程间隙的分析，组织能够更好地标 识近期与远期改进目标，他们要求的活动的等级，以及实现的可能性。开发建议进行差异分析强调组织当前与设计状态过程的区别，还会揭示组织更多的信 息和证据。这些证据根据其重要性的不同，构成了如何提高组织能力的建议的基 础。为了使这些建议能经得住考验，相关人员不仅要具备足够的关于组织自身的 知识，还要具备关于过程改进方法的知识。这些综合知识是很重要的，因为通常 管理者对于如何进行改进活动的决定会反映出当前阶段形成的建议

38、建立阶段在这个阶段，基于活动目标的详细的行动计划，以及诊断阶段形成的建议已 初具规模。另外，计划必须考虑任何可能的困难，如资源短缺，这可能会限制改 进活动的范围。计划中还应提出与明确的输出和职责有关的优先权。设置优先级在过程改进的生命周期中，时间的限制，可利用的资源，组织的优先权，以 及其他因素的影响，可能不允许所有的目标或建议都实现。因此，组织必须为其 改进活动建立优先权。优先权应赋予那些过程中的变化，这些变化与过程改进活 动的完成有直接的关系。例如，在诊断过程中，如果发现组织的配置管理较弱， 而这对用户很重要，那么选择关键资源就比提高全员培训具有更高的优先权。开发方法在诊断阶段定义了对组

39、织的描述以及优先权建立后，过程改进活动的范围就 与开始阶段的不同了。发展方法的步骤要求：重新定义的目标和建议要与为达到 设计的结果而制定的策略相对应。该策略包括对于特殊资源（技术性与非技术性） 及其输入的标识，如过程要求的特殊技术与背景条件。另外，影响变化执行的因 素都要考虑到并记录下来，这些因素与改进活动、组织的文化、财务及管理支持 并不直接相关。计划行动在此，所有的数据、方法、建议和优先权被组合在一起，形成一份详细的行 动计划。计划包括：职责、资源和特殊任务的分配，跟踪工具的使用，以及最终 期限与里程碑的建立。计划还应包括突发事件的响应计划，以及对任何不可预见 的问题的处置策略。执行阶段这

40、是执行阶段，在所有阶段中，在资源与时间方面要求活动的最高等级。在 此阶段为达到组织目标，要求许多类似的循环，目的是实现所有设计好的改进和 优先权。创建解决方案针对每个问题的解决方法或改进步骤都是在一些可用信息的基础上形成的， 这些信息与进行的活动和资源有关。在这个阶段，解决方法是技术工作组“最好 的猜测”的结果。建议的解决方法应体现一种充分的理解，即对影响结果和组织 改进能力的相关活动的理解，可能包括工具、过程、知识和技能。根据改进活动 的范围，需成立更小的专门工作组，来处理特殊领域的问题。安全工程组织应从其工程内容特征的角度定义其过程。这会根据执行原则的 不同分为系统工程、软件工程、硬件工程

41、以及其他工程。设计过程满足企业商业需求，其第一步是理解商业、产品和组织的上下关系, 这些都会在过程的执行当中出现。在DRP-CMM之前需要回答的一些问题中可 用于过程设计的包括： 组织内的安全工程是如何实现的？ 什么生命周期可被作为这个过程的框架？ 组织如何构建来支持项目？ 组织中谁是管理者，谁是实施者？ 这些过程对组织的成功有多重要？理解使用DRP-CMM的组织的文化和商业关系对过程设计中的成功应用很 关键。组织的上下关系包括角色分配、组织文化、安全工程工作产品和生命周期。 这种关系应当与DRP-CMM的通用和基本实践一起生产出好的、有潜力改进的 组织过程。测试解决方案因为一般解决方法的初

42、次尝试很少成功，所以所有的解决方法在组织内实施 之前都要经过检测。组织如何选择检测方法，取决于其专业领域的自然状况，建 议的解决方法，以及组织的资源情况。检测会包括将建议的变化引入组织内的子 工作组，并对假定进行确认。细化解决方案使用检测过程中收集的信息，解决方法会被修改，反映出新的知识。过程的 重要性和改进的复杂性决定了建议的解决方法在认为可接受前必须经历的检测 和细化的程度。由于时间和资源的限制，要想达到期望的完美过程还是不可能的。执行解决方案经过改进的过程一旦被接受，就必须在检测小组工作前执行。执行的阶段需 要重要的时间和资源，也依赖于自然以及过程改进的程度。执行的方式会随着组 织目标的

43、改变而改变。学习阶段学习阶段既是过程改进循环的结束阶段，乂是下一个过程改进活动的开始阶 段。对整个过程改进活动的评价既与目标实现的程度有关，也与如何有效开展将 来的改进活动有关。这个阶段很具有建设性，就象整个过程中保存的记录及参与 者进行建议的能力一样。分析与确认要想使过程改进成功，就要在项目目标建立时进行最终结果的分析。同时也 要求对结果的效率进行评估，以确定什么地方要求更高的改进。学习的教材事后 要收集、整理并归档。规划将来的行动通过对改进活动自身的分析，学习的教材被转化成日后改进活动的建议。这 些建议应向外发布，使这个改进活动与其他改进活动相一致。4.3.2 使用DRP-CMM进行能力评

44、估DRP-CMM支持范围广泛的改进活动，包括自身管理评定，或从内部或外部 组织的专家进行的更强要求的内部评定。评估机构使用DRP-CMM来进行信息安全灾难恢复服务组织的信息安全灾 难恢复服务能力的评估。4.3.3 使用DRP-CMM获得安全保证DRP-CMM用于衡量和帮助提高一个安全工程组织的能力，同时为提高信息 安全灾难恢复服务提供了安全保证。DRP-CMM有三个目标相对于顾客要求而言特别重要： 为将顾客安全要求转化为灾难恢复服务过程而提供一种测量并改进的 方法，以有效地生产出满足顾客要求的产品。 为不需要正式安全保证的顾客提供了一个可选择的方法。正式安全保 证一般通过全面的评估、认证和认可

45、活动来实现。 为顾客确信其安全要求被充分满足提供一个标准。将顾客的安全功能和安全保证要求进行准确记录、理解、并转化为系统的安 全和安全保证需求，这是至关重要的。一旦生产出最终产品，用户必须能够检验 其是否反映和满足了他们的要求。DRP-CMM明确包含实现这些目标的过程。在灾难恢复服务过程中，服务是否满足顾客的安全要求，是依据广泛多样的 声明和证据进行保证的。组织的DRP-CMM表示灾难恢复服务的生命期遵循特 定的过程。这种“过程证据”可被用于证明服务的可信度。某些类型的证据较另一些证据可更清晰地建立它们支持的声明。与其它类型 的证据相比较，过程证据常常作为支持性的和间接的角色。但是，过程证据可

46、用 作广泛和多样的声明，因而其重要性不可低估。况且，一些传统形式的证据及其 支持的声明之间的关系也并非如其所说的那样有力。关键在于为产品和系统建立 一个综合的证据体系，以确信为什么这些产品和系统是充分可信的。至少，成熟组织更可能在同等时间和资金的条件下，生产出适当安全保证程 度的产品。成熟组织也更可能及早地标识安全问题，以解决方案不切实际时，安 全保证的要求不能达到。将安全需求同其它需求一样看待，可使组织整体过程实 现的可能性大大增加。5灾难恢复过程域5.1 PA01灾难恢复需求5.1.1 BP01.01风险分析分析信息系统的各种风险，并提出防范和控制措施5.1.1.1 描述标识信息系统的资产价值，识别信息系统面临的自然的和人为的威肋、，识别 信息系统的脆弱性，分析各种威胁发生的可能性，并定量或定性描述可能造成的 损失。通过技术和管理手段，防范或控制信息系统的风险。依据防范或控制风险 的可行性和残余风险的可接受程度，确定对风险的防范和控制措施。