MH/T 0046-2014 民航重要信息系统灾难备份与恢复实施规范

ICS35.020

L07

MH

中华人民共和国民用航空行业标准

MH/T0046—2014

民航重要信息系统灾难备份与恢复实施规范

Implementationspecificationofdisasterbackupandrecoveryforimportantinformation

systemofcivilaviation

2014-07-29发布2014-11-01实施

中国民用航空局发布

MH/T0046—2014

目次

前言................................................................................II

1范围..............................................................................1

2术语和定义........................................................................1

3基本要求..........................................................................4

4组织机构设立和职责................................................................4

5灾难恢复需求分析..................................................................5

6灾难恢复策略制定..................................................................8

7灾难备份中心的建设...............................................................10

8灾难备份中心的运行维护管理.......................................................11

9灾难恢复预案的制定、演练与管理...................................................12

10应急响应和灾难恢复..............................................................15

11审计............................................................................16

12培训............................................................................16

附录A（资料性附录）RTO/RPO与灾难恢复能力等级的关系...............................18

附录B（资料性附录）应急响应和灾难恢复工作要点.....................................22

I

MH/T0046—2014

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由中国民用航空局人事科教司提出。

本标准由中国民用航空局航空器适航审定司批准立项。

本标准由中国民航科学技术研究院归口管理。

本标准起草单位：中国民航信息网络股份有限公司。

本标准主要起草人：荣刚、夏华胜、冯毅、戚前方、陈慧君、王欣、张志斌。

MH

II

MH/T0046—2014

民航重要信息系统灾难备份与恢复实施规范

1范围

本标准规定了民航重要信息系统灾难备份与恢复的术语和定义、基本要求、组织机构设立与职责、

灾难恢复需求分析、灾难恢复策略制定、灾难备份中心的建设、灾难备份中心的运行维护管理、灾难恢

复预案的制定、演练与管理、应急响应和灾难恢复、监督管理和培训。

本标准适用于民航重要信息系统灾难备份与恢复的实施。

2术语和定义

2.1

重要信息系统importantinformationsystem

受到破坏后会对国家或行业安全、社会秩序、公共利益造成较大损害或带来严重经济损失的信息系

统。

[MH/T0026-2005中的2.1]

2.2

灾难disaster

由于人为或自然的原因，造成信息系统严重故障、瘫痪或其数据严重受损，使信息系统支持的业务

功能停顿或服务水平达到不可接受的程度，并持续特定时间的突发性事件。

[GB/T20988-2007中的3.8]

2.3

灾难恢复disasterrecovery(DR)

为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态，并将其支持的

业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。

[GB/T20988-2007中的3.9]

2.4

灾难恢复规划disasterrecoveryplanning(DRP)

为了规避灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续

运作所做的事前计划和安排。

[GB/T20988-2007中的3.10]

1

MH/T0046—2014

2.5

区域性灾难regionaldisaster

造成所在地区或有紧密联系的邻近地区的通信、电力、交通及其它关键基础设施受到严重破坏，或

大规模人口疏散的事件，导致无法维持信息系统正常运行。例如：地震、大型公共卫生事件、恐怖袭击、

区域性通信网故障、区域性电网故障等。

[GB/T20988-2007中的3.17]

2.6

业务影响分析businessimpactanalysis(BIA)

分析业务功能及其相关信息系统资源，评估特定灾难对各种业务功能的影响。

[GB/T20988-2007中的3.5]

2.7

关键业务功能criticalbusinessfunctions

如果中断一定时间，将显著影响单位运作的服务或职能。

[GB/T20988-2007中的3.6]

2.8

生产系统productionsystem

正常情况下支持单位生产运行的信息系统。包括主数据、主数据处理系统和主网络。

[GB/T20988-2007中的3.16]

2.9

生产中心productioncenter

生产系统所在的数据中心。

[GB/T20988-2007中的3.15]

2.10

灾难备份中心backupcenterfordisasterrecovery

灾难发生后，接替生产中心进行数据处理和支持关键业务功能运作的场所，包括备用数据中心、备

用工作环境、备用生活设施等。形成灾难恢复能力还需配备相关业务、技术等人员，并建立相应的运作

机制。

[GB/T20988-2007中的3.1]

2.11

灾难备份backupfordisasterrecovery

为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、业务和技术等进行备份的措施。

MH[GB/T20988-2007中的3.2]

2

MH/T0046—2014

2.12

灾难备份系统backupsystemfordisasterrecovery

用于灾难恢复目的，由数据备份系统、备用数据处理系统和备用网络系统等组成的信息系统。

[GB/T20988-2007中的3.3]

2.13

灾难恢复预案disasterrecoveryplan

预先制定的、定义信息系统灾难恢复所需组织、流程和资源等的行动方案（以下简称“预案”）。

用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。

[GB/T20988-2007中的3.11]

2.14

恢复时间目标recoverytimeobjective(RTO)

灾难发生后，信息系统从停顿到必须恢复的时间要求。

[GB/T20988-2007中的3.18]

2.15

恢复点目标recoverypointobjective(RPO)

灾难发生后，数据必须恢复到的时间点要求。

[GB/T20988-2007中的3.19]

2.16

灾难恢复外包outsourcingfordisasterrecovery

选择外部资源提供灾难恢复服务，例如：承担或协助制定信息系统灾难恢复规划，提供或协助建设

灾难备份设施，负责运行维护灾难备份中心，提供或协助应急响应技术支持工作等。

[JR/T0044—2008中的3.19]

2.17

演练exercise

为提高灾难恢复能力，基于灾难恢复预案进行的演习，形式包括桌面演练、模拟演练、实战演练。

[GB/T20988-2007中的3.13]

2.18

应急响应emergencyresponse

为应对突发事件、最大化减少突发事件对业务运作的影响而采取的紧急行动。

[JR/T0044—2008中的3.21]

2.19

重建restoration

3

MH/T0046—2014

在灾难对单位原生产中心造成损害后，为了使业务恢复到正常运行状态而修复原生产中心或在其他

地址重新建造生产中心的过程。

[GB/T20988-2007中的3.1]

2.20

回退return

生产中心重建完成并达到各项规范所要求的运营条件后，单位的信息系统由灾难备份中心迁移到已

修复的或新建的生产中心并恢复运行的过程。

[GB/T20988-2007中的3.21]

2.21

强制决策点mandatorydecisionpoint

为了实现灾难恢复时间目标，在灾难事件发生后必须决定是否启动灾难恢复预案的时间点。

[JR/T0044—2008中的3.24]

3基本要求

3.1灾难恢复工作内容

灾难恢复工作主要包括以下内容：

——组织机构设立和职责；

——灾难恢复需求分析；

——灾难恢复策略制定；

——灾难备份系统实施；

——灾难备份中心运行维护；

——灾难恢复预案制订、演练和管理；

——应急响应和灾难恢复。

4组织机构设立和职责

4.1组织机构设立

应结合具体情况设立灾难恢复组织机构，明确工作职责。各单位的灾难恢复组织机构应在灾难恢复

预案中准确说明。

灾难恢复组织机构应包含灾难恢复规划建设、运行维护、应急响应和灾难恢复等各阶段工作所需的

人员，有关人员可为专职，也可为兼职。关键岗位的人员应有备份。通常可分为灾难备份与恢复领导小

组，灾难备份与恢复专家组，灾难备份与恢复建设小组，灾难备份与恢复运行维护组，灾难恢复小组等。

可根据信息系统和分支机构情况设立不同级别的灾难恢复组织机构，如设立总部和分支机构的多级

灾难恢复组织机构。

4.2组织机构的组成和职责

MH组织机构的组成和职责如下：

4

MH/T0046—2014

a)灾难备份与恢复领导小组，主要由单位高层管理者组成，决策信息系统灾难恢复的重大事宜，

主要职责如下：

1)灾难备份与恢复项目的筹备、立项；

2)批准灾难恢复策略；

3)批准灾难恢复方案；

4)批准灾难恢复预案；

5)批准启动灾难恢复预案；

6)决策应急响应与恢复重大事宜；

7)组建灾难备份与恢复专家组、建设组、运维组、恢复组等；

8)批准生产中心的重建与回退；

b)灾难备份与恢复专家组，主要由单位的业务、技术、后勤等相关部门负责人组成，主要职责如

下：

1)制定灾难恢复策略；

2)审核灾难恢复方案；

3)审核灾难恢复预案；

4)指挥和协调应急响应与恢复工作；

5)指挥和协调生产中心的重建与回退工作；

6)监督、检查和总结灾难恢复工作；

c)灾难备份与恢复建设组，主要由单位的业务、技术、后勤等相关部门工作人员组成，主要职责

如下：

1)实施灾难备份中心建设和相关人员的培训；

2)对重要信息系统进行风险评估和业务影响分析；

3)编写灾难恢复方案；

4)编写灾难恢复预案；

5)监督指导灾难恢复预案的测试和演练；

6)负责灾难备份的实施；

d)灾难备份与恢复运维组，主要由单位的业务、技术、后勤等相关部门工作人员和外部机构人员

组成，主要职责是：灾难备份和恢复实施过程中的日常运行和维护；

e)灾难恢复小组，主要由单位的业务、技术、后勤等相关部门工作人员组成，主要职责如下：

1)定期测试和演练灾难恢复预案；

2)在灾难发生时实施灾难恢复。

5灾难恢复需求分析

5.1风险分析

5.1.1确定重要信息系统相关资源

确定需要进行风险评估的相关信息系统，收集相关信息，包括系统架构、软件、硬件、数据信息、

用户信息、系统功能、系统重要程度和安全策略等。

收集重要信息系统相关资料可采用问卷、座谈、查看文档和工具收集等方式。

5.1.2确定风险分析范围

应根据信息系统的范围和特点，全面识别和分析影响信息系统正常运行的灾难风险要素。

5

MH/T0046—2014

应根据信息系统支持业务的区域范围，分析信息系统面临的区域性灾难风险。

应根据业务经营领域，分析信息系统中断造成的民航领域关联性风险。民航领域关联性风险指由于

部分民航业机构不能履行职责，导致其他机构无法开展特定业务，造成连锁反应，进而影响民航业体系

稳定的风险。

5.1.3风险分析方法

风险分析方法如下：

a)资产识别：资产是具有价值的信息或资源，是单位风险分析所要保护的对象，各单位应对资产

进行分类以区分资产的不同重要程度并确定重要资产的范围，应对资产进行标识以区分资产对

业务正常运作的不同影响程度，据此确定资产的等级；

b)威胁识别：威胁指对信息资产构成潜在破坏的可能性因素。灾难风险的威胁有多种分类方法，

主要包括：

1)自然或人为；

2)无意或有意；

3)内部、外部或内外勾结；

4)在控制能力之内或超出控制能力之外；

5)可先期预警或不可先期预警；

c)脆弱性识别：是可能被威胁利用的信息资产的弱点。脆弱性识别是风险分析中的一个主要环节。

脆弱性识别可以从环境、业务、网络、系统、应用等层次进行识别。脆弱性识别的依据可以是

国际或国家的安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相

同弱点，其脆弱性严重程度是不同的。信息系统所采用的协议、应用流程的完备与否、与其他

网络的互联等也应考虑在内。脆弱性识别时的数据应来自于信息系统的所有者、使用者，以及

相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具

检测、人工核查、文档查阅和渗透性测试等。脆弱性识别主要从技术和管理两个方面进行，技

术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性可分为技

术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关；

d)风险计算：是采用适当的方法与工具确定威胁利用脆弱性导致信息系统灾难发生的可能性，主

要包括以下内容：

1)根据威胁出现的频率及脆弱性状况，计算威胁利用脆弱性导致灾难发生的可能性；

2)根据资产重要程度及脆弱性严重程度，计算灾难发生后的损失；

3)根据计算出的灾难发生的可能性以及灾难的损失，计算风险值，并进行风险等级划分。

5.1.4风险评估

应根据重要信息系统资源现状及对风险类型的分析，形成风险评估报告，报告应形成电子和打印文

档并妥善保存。

应根据风险评估报告进行风险管理，部署防范相关风险的安全控制措施，以防止或减少损害。

5.1.5风险控制

应评估现有安全策略和措施的有效性，确定信息系统仍然可能存在的风险，即残余风险。

应根据资产等级及残余风险发生的概率、可能造成的损失和风险防范成本，评估风险可接受的程度，

确定可接受的风险。针对不可接受的风险，按照灾难恢复资源的成本与风险可能造成损失之间取得平衡

的原则（以下简称“成本风险平衡原则”），确定风险防范措施，并定期评估残余风险。MH

6

MH/T0046—2014

5.2业务影响分析

5.2.1业务功能分析

应通过业务功能分析，确定业务功能的关键程度，分析的内容主要包括：

——政策性：业务功能的政策要求；

——业务性质：核心业务或非核心业务；

——业务服务范围：涉及到的内外部机构、用户等范围；

——数据集中程度：业务数据的集中与处理的集中、地域分布；

——业务时间敏感性：实时与非实时业务、业务运行时段和用户使用频度；

——业务功能的关联性：与本单位其他业务功能及其他机构业务功能之间的关联程度。

5.2.2评估业务中断影响

应以量化的方法，评估业务功能中断可能造成的直接经济损失和间接经济损失，分析要点包括：

——各项业务停顿可能造成的损失，应考虑客户流失、营业额损失、企业形象、社会安定因素等，

并将其量化；

——各项业务停顿的最大容忍时间；

——各项业务的相关性；

——各项业务的恢复优先级；

——可接受的数据损失程度；

——保障各项业务运作的其他最低要求。

应根据相关系统的拥有者、最终用户和合作伙伴提供的信息进行业务影响分析。

应定期进行业务影响分析，当业务发生重大变化时，应立即进行业务影响分析。

业务影响分析完成后，形成分析报告，报告应形成电子和打印文档并妥善保存。

5.3确定灾难恢复需求

5.3.1确定需求等级

应根据风险分析、业务功能分析和业务中断影响分析的结论。宜将民