簡介：將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力進行備份，并在災難發生時，將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態、將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態的活動。
級別：三級最低，一級最高。

級別	三級	二級	一級
基本要求	三級基本要求 1.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。 1.2. 財務資信要求 近 3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。 1.4. 人員素質與資質要求 a) 組織負責人擁有2年以上信息技術領域管理經歷。 b) 技術負責人獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱，且從事信 息安全技術工作2年以上。 c) 財務負責人具有財務系列初級以上職稱。 d) 從事信息安全服務人員10名以上。 e) 擁有信息安全專業認證（與申報類別一致）人員2名以上。 f) 擁有項目管理資格證書人員1名以上。 1.5. 業績要求 a) 從事信息安全服務（與申報類別一致）1年以上。 b) 近3年內簽訂并完成至少1個信息安全服務（與申報類別一致）項目。 1.6. 服務管理要求 a) 遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。 b) 建立人員管理程序和能力考核指標；制定業務和技能培訓計劃，定期對相關人員開展培訓 和考核。 c) 建立文檔控制程序，明確文檔管理職責，任命管理人員，確保項目文檔資料妥善保管。 d) 建立項目管理制度，并按照制度執行。 e) 提供資源，確保信息安全服務項目的實施。 1.7. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 1.8. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度，明確崗位保密責任。 d) 按照客戶要求，對于接觸到的客戶敏感信息和知識產權信息予以保護，并確保服務方人員 了解客戶的相關要求。 e) 與相關人員簽訂保密協議，并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.9. 服務技術要求 a) 建立信息安全服務（與申報類別一致）流程。 b) 制定信息安全服務（與申報類別一致）規范并按照規范實施。	二級基本要求 2.1. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。 2.2. 財務資信要求 近 3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事務所出具的近 3 年財務審計報告。 2.3. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。 2.4. 人員素質與資質要求 a) 組織負責人擁有3年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類中級職稱，且從事信息安全技術工作5年以上。 c) 財務負責人具有財務系列中級以上職稱。 d) 從事信息安全服務人員30名以上。 e) 擁有信息安全專業認證（與申報類別一致）人員6名以上。 f) 擁有項目管理資格證書人員2名以上。 2.5. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備，用于技術培訓和模擬測試。 b) 具備承擔信息安全服務（與申報類別一致）項目所需的安全工具，并對工具進行管理和版 本控制。 2.6. 業績要求 a) 從事信息安全服務（與申報類別一致）3年以上，或取得信息安全服務（與申報類別一致）三級資質1年以上。 b) 近三年內簽訂并完成至少6個信息安全服務項目（與申報類別一致）。 2.7. 服務管理要求 a) 遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。 b) 建立項目管理制度，并按照制度執行。 c) 參照國際或國內標準，建立業務范圍覆蓋信息安全服務的質量管理體系，并有效運行。 d) 參照國際或國家標準，建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系，并有效運行。 e) 提供資源，確保信息安全服務項目的實施。 2.8. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 2.9. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度，明確崗位保密責任。 d) 按照客戶要求，對于接觸到的客戶敏感信息和知識產權信息予以保護，并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議，并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 2.10. 服務技術要求 a) 建立信息安全服務（與申報類別一致）流程。 b) 制定信息安全服務（與申報類別一致）規范并按照規范實施。	一級基本要求 1.1. 申請條件 取得信息安全服務（與申報類別一致）二級資質 1 年以上。（行業領頭企業除外） 1.2. 法律地位要求 在中華人民共和國境內注冊的獨立法人組織，發展歷程清晰，產權關系明確。 1.3. 財務資信要求 近 3 年經營狀況良好，財務數據真實可信，應提供在中華人民共和國境內登記注冊的會計師事 務所出具的近 3 年財務審計報告。 1.4. 辦公場所要求 擁有長期固定辦公場所和相適應的辦公條件，能夠滿足機構設置及其業務需要。 1.5. 人員素質與資質要求 a) 組織負責人擁有4年以上信息技術領域管理經歷。 b) 技術負責人應獲得信息安全相關專業碩士及以上學位或電子信息技術類高級職稱，且從事信息安全技術工作8年以上。 c) 財務負責人擁有財務系列高級職稱，或取得中級職稱8年以上。 d) 從事信息安全技術服務人員50名以上。 e) 擁有信息安全專業認證人員（與申報類別一致）10名以上。 f) 擁有項目管理資格證書人員5名以上。 1.6. 技術工具要求 a) 具備獨立的測試環境及必要的軟、硬件設備，用于技術培訓和模擬測試。 b) 具備承擔信息安全服務（與申報類別一致）項目所需的安全工具，如漏洞掃描工具、滲透測試工具、協議分析儀等。 1.7. 業績要求 a) 從事信息安全服務（與申報類別一致）5年以上。 b) 近三年內至少簽訂并完成10個信息安全服務項目（與申報類別一致）。 1.8. 服務管理要求 a) 遵循國家相關法律法規、標準要求，無違法違規記錄，資信狀況良好。 b) 建立項目管理制度，并按照制度執行。 c) 參照國際、國內標準，建立業務范圍覆蓋信息安全服務的質量管理體系，并提供有效運行的相關證明。 d) 參照國際、國家標準，建立業務范圍覆蓋信息安全服務的信息安全管理體系或信息技術服務管理體系，并提供有效運行的相關證明。 e) 提供足夠資源，確保信息安全服務項目的實施。 1.9. 服務合同要求 a) 了解客戶及所處的行業對信息安全服務的特定要求。 b) 確定信息安全服務范圍。 c) 應簽訂信息安全服務合同或協議。 d) 合同應明確信息安全服務的行為規范。 e) 合同應明確信息安全服務的安全要求。 1.10. 服務安全要求 a) 滿足法律法規對服務安全的要求。 b) 滿足與客戶簽訂服務合同中的安全要求。 c) 制定保密管理制度，明確崗位保密責任。 d) 按照客戶要求，對于接觸到的客戶敏感信息和知識產權信息予以保護，并確保服務方人員了解客戶的相關要求。 e) 與相關人員簽訂保密協議，并進行保密教育。 f) 確保其供應商滿足上述服務安全要求。 1.11. 服務技術要求 a) 建立信息安全服務（與申報類別一致）流程。 b) 制定信息安全服務（與申報類別一致）規范，并按照規范實施.
類別要求	信息系統災難備份與恢復服務分為兩類，即提供災難備份與恢復資源服務為資源服務類（A類），提供災難備份與恢復系統設計、實施為技術服務類（B類），其專業評價要求分別如下： D1資源服務類（A類）要求 D1.1 三級要求 D1.1.1災備中心場地資源要求 a) 擁有至少1個可用于災備中心的場地，位置避免處于地質沉降地帶，交通便利、抗震等級按照國家規定的該地區抗震設防烈度執行，抗震設防類別為丙類及以上。 b) 用于和可用于災備中心IT運行區的高架地板面積不少于1000平米。 c) 機房設置7×24小時門禁系統，所有進入機房的外部人員均需獲得授權。 d) 提供7×24小時閉路電視監控，其中公共區域的監控數據保留1個月以上，機房區域的監控數據保留2個月以上。 e) 具備較高靈敏度的煙霧探測系統和消防系統，可實現分區滅火和定點報警。 f) 災備中心建筑耐火等級達到二級及以上。 D1.1.2災備中心基礎設施要求 a) 擁有災備中心基礎保障設施，包括但不限于供配電設施、空調暖通設施、給排水設施、監控設施、貨運設施等，并定期檢查。 b) 擁有災備中心基礎配套設施，包括但不限于災難恢復指揮中心、災難恢復坐席、辦公區、新聞發布中心、會議室、培訓教室、模擬演練室等。 c) 擁有災備中心基礎生活設施，包括但不限于日常運維人員生活所需宿舍、食堂、活動室等。 d) 擁有災備中心運行所需工作環境，包括但不限于計算機機房、主操作室、通訊機房、介質機房、信息系統設備測試維修機房等。 e) 具備單路高壓供電和獨立UPS 不間斷電源保障。 f) 采用精密空調系統，并具備恒溫恒濕要求。 D1.1.3災備中心運維管理要求 a) 擁有災備中心運維組織架構和運行管理團隊，建立災備中心機房運行管理和信息安全管理制度，并有效運行。 b) 建立災備中心信息系統運行監控平臺，及時發現災備系統運行的故障并進行故障定位、診斷和審計，保存相關記錄。 c) 建立信息系統災難恢復指揮系統，保障災難恢復效率。 d) 建立災備中心與生產中心統一變更流程。 e) 定期開展數據驗證工作，確保生產與災備的數據一致性、完整性和可用性。 ************************ D2技術服務類（B類）要求 D2.1 三級要求 D2.1.1方案設計要求 a) 開展災難恢復系統建設需求調研，并進行需求分析。 b) 按照災難恢復規劃和客戶的投入能力，制定災難備份與恢復系統技術方案、實施方案。 D2.1.2系統建設與管理要求 a) 依據災難備份與恢復實施方案，實施災難備份與恢復系統建設。 b) 妥善保存災難備份與恢復系統建設過程記錄文檔。 D2.1.3預案制定與演練要求 a) 制定信息系統災難恢復預案。 b) 開展信息系統災難恢復桌面推演，并詳細記錄。 c) 結合項目需要，組織開展災難恢復預案培訓。	D1.2 二級要求 組織申報二級資質，除滿足三級要求外，還應滿足以下要求： D1.2.1災備中心場地資源要求 a) 擁有至少2個在不同地域的可用于災備中心的場地資源，抗震設防烈度按照國家規定的該地區抗震設防烈度執行，抗震設防類別為乙類及以上。 b) 用于和可用于災備中心IT運行區的高架地板面積不少于2000平米。 c) 災備中心建設等級滿足國標A級或國際T3以上機房要求。 d) 具備氣體滅火的消防系統，并具備早期報警系統/溫感和煙感系統兩級報警。 D1.2.2災備中心基礎設施要求 a) 建立并運行基礎設施日常巡檢、監控、檢查、維護、性能和容量管理、系統優化、應急與故障演練制度和流程。 b) 具備雙路高壓供電和雙路UPS供電，擁有后備發電機組，并能在UPS后備時間內提供電力供應，滿足全部負荷連續運行48小時以上。 c) 采用精密空調系統，機房溫度應達到 22°C±2°C，濕度應達到45%-65%。 D1.2.3災備中心運維管理要求 a) 災備中心建立與生產中心統一的運維管理流程，實現兩個中心聯動運維。 b) 災備中心建立完整的電子化IT資產管理系統，能動態跟蹤災備中心IT資產變更。 c) 災備中心提供統一的客戶服務平臺，集中受理客戶服務請求。 d) 妥善保管運維記錄，所有文檔應滿足客戶監管機構要求。 e) 定期開展災難恢復模擬切換演練工作，確保發生災難時，災備系統能夠接替生產系統運行。 **************************** D2.2 二級要求 組織申報二級資質，除滿足三級要求外，還應滿足以下要求： D2.2.1方案設計要求 a) 按照不同災難恢復等級對資源的要求，確定災備中心基礎設施、數據備份系統、備用數據處理系統和備用網絡系統等方面的需求，形成調研報告。 b) 對業務系統中斷后的損失進行分析，制定業務系統的最大可容忍業務中斷時間（RTO）、最大可容忍中斷時間點（RPO）。 c) 依據系統建設要求和技術方案，制定系統測試方案。 D2.2.2系統建設與管理要求 a) 依據測試方案，組織實施系統測試，并詳細記錄。 b) 制定災難備份與恢復系統試運行方案，并詳細試運行過程情況。 D2.2.3預案制定與演練要求 a) 制定系統演練方案，明確演練范圍、人員、場景、步驟等內容。 b) 組織演練培訓和動員，明確參演人員角色、職責和具體任務。 c) 設計多種演練場景并組織推演，詳細記錄演練過程。	D1.3一級要求 組織申報一級資質，除滿足二級要求外，還應滿足以下要求： D1.3.1災備中心場地資源要求 a) 擁有至少2個在不同地域且處于不同的風險區域的災備中心，滿足異地災備場地要求。 b) 用于災備中心的場地應自有產權,或者簽署有剩余期限不少于5年的長期租賃合同。 c) 用于和可用于災備中心IT運行區的高架地板面積不低于5000平米。 d) 災備中心應符合環保要求，采用高效新風換氣系統，機房內正壓，確保機房潔凈度。 e) 至少采用園區保安、機房門衛、前臺三重審核的外部保安措施。 f) 災備中心的所有通道、機房內均設置 CCTV 攝像頭和7X24小時監控，并且可以按照客戶的要求提供更長的保存期限。 g) 災備中心建筑耐火等級達到一級。 D1.3.2災備中心基礎設施要求 a) 高壓電來自兩個獨立的變電站的雙路設計。 b) 后備發電機組具有不停機補充燃料的能力，并且與燃料供應商簽署燃料協議，保障燃料數量和質量要求，UPS和油機可自動切換。 D1.3.3災備中心運維管理要求 a) 采用運維監控和流程管理工具，實現對多數據中心資源的統一監控和自動化管理。 b) 針對特定的災難場景進行災難恢復真實切換演練，并能接替生產完成至少2個小時的真實交易，并能在規定時間內進行回切。 c) 具備真實切換演練的方案設計、培訓、實施管理和應急處置能力。 d) 定期維護災難恢復預案，及時更新和分發預案文檔，確保預案體系持續有效。 e) 建立災備中心應急管理體系，確保災備系統穩定運行。 **************************** D2.3一級要求 組織申報一級資質，除滿足二級要求外，還應滿足以下要求： D2.3.1方案設計要求 a) 識別客戶的信息資產及其脆弱性和威脅，對基礎設施和信息系統進行風險評估，制定本地風險控制策略和災難恢復策略。 b) 分析業務系統與應用系統之間的關聯關系，確定應用系統災難恢復指標和恢復優先級別。 D2.3.2系統建設與管理要求 a) 建立系統運行維護管理制度，實時監控災難備份中心運行狀況，及時響應和處理異常情況，分析異常產生的原因，并依據流程升級和上報。 b) 建立存儲介質和數據管理制度，規范數據傳輸和復制過程，定期檢查和驗證存儲介質和數據。 D2.3.3預案制定與演練要求 a) 制定信息系統災難恢復預案體系，包括應急預案和恢復預案。 b) 基于特定的演練場景，制定詳細的切換演練方案。 c) 組織完成真實切換演練前的桌面推演和模擬測試工作。 d) 詳細記錄演練過程并進行總結，及時修訂應急和恢復預案體系。
頒證機構	中國信息安全認證中心	中國信息安全認證中心	中國信息安全認證中心
客戶案例	成都思瑞奇信息產業有限公司	北京百卓網絡技術有限公司

資質說明
信息系統災難備份與恢復服務是將信息系統的數據、數據處理系統、網絡系統、基礎設施、專業技術支持能力和運行管理能力進行備份，并在災難發生時，將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態，將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態，而設計和提供的活動。
信息系統災難備份與恢復服務資質級別是衡量服務提供者服務能力的尺度。資質級別分為一級、二級、三級共三個級別，其中一級最高，三級最低。