国家信息安全培训丛书:信息系统灾难恢复基础
点此进入淘宝搜索页搜索分类: 图书,计算机/网络,信息安全,
作者: 中国信息安全测评中心 编著
出 版 社: 航空工业出版社
出版时间: 2009-6-1字数:版次: 1页数: 141印刷时间:开本: 16开印次:纸张:I S B N : 9787802433427包装: 平装内容简介
随着信息化程度的增强,信息系统灾难带来的损失日益增大。减少信息系统灾难对社会的危害和人民财产带来的损失,保证信息系统所支持的的关键业务能在灾害发生后及时恢复并继续运作成为信息安全领域的重要研究方向。本书系统地介绍了信息系统灾难恢复的发展过程、定义概念、标准法规和规划实施方法、步骤。
本书共分为两个部分,第一部分介绍了信息灾难恢复的发展过程、相关标准法规;第二部分介绍了信息系统灾难恢复的组织管理、建设流程、需求确定、策略制定,以及灾难备份中心的建设等具体操作内容。
本书是中国信息安全测评中心注册信息安全专业人员(CISP)和注册信息安全员(CISM)的正式教材,可作为高等院校信息安全专业的教材,还可作为信息安全培训和从业人员的信息系统灾难恢复的参考用书。
目录
第一部分信息系统灾难恢复基础
第1章信息系统灾难恢复综述
1.1信息系统灾难恢复的历史和现状
1.1.1国外灾难恢复的发展概况
1.1.2国内灾难恢复的发展概况
1.2信息系统灾难恢复有关术语
1.2.1灾难的定义
1.2.2灾难恢复的含义和目标
1.2.3灾难恢复与灾难备份、数据备份
1.2.4灾难恢复与业务连续规划、业务连续管理
1.2.5主中心与灾难备份中心
1.2.6主系统与灾难备份系统
1.2.7恢复时间目标与恢复点目标
1.3信息安全与灾难恢复
1.4信息系统灾难恢复工作的意义
1.4.1信息系统灾难恢复的必要性
1.4.2信息系统灾难恢复的重要性
第2章信息系统灾难恢复相关标准法规
2.1国外灾难恢复的标准法规
2.1.1美国灾难恢复的标准法规
2.1.2英国灾难恢复的标准法规
2.1.3新加坡灾难恢复的标准法规
2.1.4澳大利亚灾难恢复的标准法规
2.2国内灾难恢复的标准法规
2.2.1国家出台的相关政策
2.2.2重点行业的相关政策
2.2.3地方政府的相关政策
2.3信息安全相关标准法规
2.3.1ISO27001对业务连续性和灾难恢复管理的要求
2.3.2ISO20000对IT服务管理的要求
第二部分信息系统灾难恢复规划和实施
第3章灾难恢复的组织管理
3.1灾难恢复的组织机构
3.2灾难恢复的外部协助
第4章灾难恢复的建设
4.1灾难恢复建设的内容及流程
4.2灾难恢复建设的基本原则
4.3灾难恢复建设的模式
4.3.1灾难恢复建设模式的比较
4.3.2灾难恢复服务提供商的选择
第5章灾难恢复需求的确定
5.1需求分析的必要性和特点
5.2风险分析
5.2.1风险分析方法
5.2.2风险分析的要素
5.2.3风险分析的过程
5.2.4风险分析的结论要求
5.3业务影响分析
5.3.1业务影响分析方法
5.3.2业务影响分析的要素
5.3.3业务影响分析的结论要求
5.4需求分析的结论
第6章灾难恢复策略的制定
6.1成本效益分析
6.1.1成本效益分析的方法
6.1.2成本效益分析的内容
6.2灾难恢复资源
6.3灾难恢复等级
6.3.1灾难恢复SHARE78的7级划分
6.3.2灾难恢复的RTO/RPO指标
6.3.3我国灾难恢复等级划分
6.4同城和异地
6.5灾难恢复策略的制定方法
第7章灾难备份中心的选择和建设
第8章灾难备份技术方案的实现
第9章专业技术支持和运行维护管理能力的实现
第10章灾难恢复预案的实现
附录1:GB/T 20988-2007在《信息安全技术信息系统灾难恢复规范》
附录2:信息安全灾难恢复服务资质介绍
附录3:信息安全灾难恢复服务能力测评准则介绍
书摘插图
第2章信息系统灾难恢复相关标准法规
2.1国外灾难恢复的标准法规
Strategic Research Corporation发布的研究报告指出,各行业在遭受灾难打击造成服务中断时所造成的损失是十分巨大的:证券经纪行业每小时的平均损失为650万美元;信用卡授权每小时平均损失为260万美元;ATM系统中断造成的每小时损失为14500美元;而各行业中断服务平均每小时损失为84000美元。正是看到了服务中断将对单位、客户、社会公众和股东利益带来的巨大损失,各行业主管部门制定了相应的监管措施来规范行业的灾难恢复工作。尤其是9•11事件发生后,各国监管部门纷纷对其行业的抵抗灾难打击和保证连续运作的能力进行了重新评估,制定了新的规范、指引和工作文件。
2.1.1美国灾难恢复的标准法规
(1)金融行业的监管
美国对金融行业的监管主要由以下官方和非官方组织进行:
BOARD(Board of Governors of the Federal Reserve System,联邦储备委员会);
OCC(Office of the Comptroller of the Currency,货币监理署(又称为财政部金融局));
SEC(Securities and Exchange Commission,证券交易委员会);
FFIEC(Federal Financial Institutions Examination Council,联邦金融机构检查委员会);
NASD(National Association of Securities Dealer,全美证券交易商协会)。
早在1983年,OCC就发布了指引,要求银行制定并维护灾难恢复预案。初期许多银行的数据保护措施仅仅是利用磁带对数据备份后进行异地存放;1989年FFIEC要求银行对灾难恢复预案进行测试、维护和演习。美国通货控制委员会颁布条例,要求国家级的金融机构必须进行灾难恢复和业务连续性运作计划。
……
