CCRC信息安全服务资质认证信息系统灾难备份与恢复技术服务类（B类）专业评价要求

客户需求的多样性，不同的客户对灾难备份与恢复服务的需求不同，有的客户可能更关注资源的可靠性和运维能力，而有的客户则更注重技术方案的先进性和实施效果。评估标准的细化，将服务分为A类和B类，可以更具体地评估服务提供者的能力和水平，有助于客户选择更适合自己需求的服务。A类服务更侧重于资源的提供和运维管理，而B类服务则更注重技术层面的设计和实施。

方案设计要求

a) 开展灾难恢复系统建设需求调研，并进行需求分析。

b) 按照灾难恢复规划和客户的投入能力，制定灾难备份与恢复系统技术方案、实施方案。

系统建设与管理要求

a) 依据灾难备份与恢复实施方案，实施灾难备份与恢复系统建设。

b) 妥善保存灾难备份与恢复系统建设过程记录文档。

预案制定与演练要求

a) 制定信息系统灾难恢复预案。

b) 开展信息系统灾难恢复桌面推演，并详细记录。

c) 结合项目需要，组织开展灾难恢复预案培训。

组织申报二级资质，除满足三级要求外，还应满足以下要求：

方案设计要求

a) 按照不同灾难恢复等级对资源的要求，确定灾备中心基础设施、数据备份系统、备用数据处理系统和备用网络系统等方面的需求，形成调研报告。

b) 对业务系统中断后的损失进行分析，制定业务系统的最大可容忍业务中断时间（RTO）、最大可容忍中断时间点（RPO）。

c) 依据系统建设要求和技术方案，制定系统测试方案。

系统建设与管理要求

a) 依据测试方案，组织实施系统测试，并详细记录。

b) 制定灾难备份与恢复系统试运行方案，并详细记录试运行过程情况。

预案制定与演练要求

a) 制定系统演练方案，明确演练范围、人员、场景、步骤等内容。

b) 组织演练培训和动员，明确参演人员角色、职责和具体任务。

c) 设计多种演练场景并组织推演，详细记录演练过程。

组织申报一级资质，除满足二级要求外，还应满足以下要求：

方案设计要求

a) 识别客户的信息资产及其脆弱性和威胁，对基础设施和信息系统进行风险评估，制定本地风险控制策略和灾难恢复策略。

b) 分析业务系统与应用系统之间的关联关系，确定应用系统灾难恢复指标和恢复优先级别。

预案制定与演练要求

a) 制定信息系统灾难恢复预案体系，包括应急预案和恢复预案。

b) 基于特定的演练场景，制定详细的切换演练方案。

c) 组织完成真实切换演练前的桌面推演和模拟测试工作。

d) 详细记录演练过程并进行总结，及时修订应急和恢复预案体系。