前言
近日,国家市场监督管理总局(国家标准委)发布公告,由全国网络安全标准化技术委员会(TC260)归口管理的 GB/T 20988—2025《网络安全技术 信息系统灾难恢复规范》 已在全国标准信息公共服务平台正式上线,并将于 发布后6个月(2026年1月1日) 起全面实施。该标准替代了替代了 2007年版 GB/T 20988 《信息安全技术 信息系统灾难恢复规范》 和 2013 年版 GB/T 30285《信息安全技术 灾难恢复中心建设与运维管理规范》,成为我国信息系统灾备领域的“新国标”。
该标准由中国信息安全测评中心牵头,联合华为、阿里巴巴、奇安信、深信服等30余家头部科研机构、央企、互联网与网络安全企业,以及北京邮电大学、公安部第一研究所等高校院所共同起草。
本文为大家整理了标准主要内容和关键点。着急的朋友也可以直接点击文章左下角“阅读原文”下载具体标准原文。
核心框架与内容结构
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
关键点提炼
1. 灾难恢复能力等级定义
|
|
|
|
|
|
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
评定原则:必须同时满足该等级所有要素要求,方可认定为对应等级。2. 灾难恢复策略制定原则
-
• 成本-风险平衡原则:在灾难恢复资源投入与潜在损失之间取得平衡。 -
• 分类分级:依据GB/T 20984—2022进行信息系统分类分级。 -
• 三种恢复类别: -
• 数据级:仅保障数据恢复; -
• 应用级:恢复应用系统; -
• 业务级:恢复完整业务流程与人员办公环境。
3. 灾备中心选址与布局
-
• 同城:10~100km,避免同一电网/通信节点; -
• 异地:>100km,避开同自然灾害带; -
• 布局模式: -
• 一主一备(一个生产中心,一个灾备中心) -
• 一主多备(一个生产中心,多个灾备中心) -
• 互为备份(两个及以上的生产中心互相备份) -
• 多主一备(多个生产中心共享一个灾备中心) -
• 混合模式(以上方式的混合)
4. 安全建设要求
-
• 等级保护:灾难恢复系统安全等级不低于其承载的信息系统; -
• 安全域划分:边界防护、访问控制、数据加密、安全审计; -
• 供应链安全:采购国产化、可控产品,签订安全保密协议; -
• 数据安全:完整性校验、防病毒、防泄露、退役销毁。
5. 灾难恢复预案框架
-
• 预案内容:目标、范围、组织架构、联络表、响应流程、恢复流程、重建回退、保障条件; -
• 演练要求:每年至少一次,分为桌面推演、模拟演练、实战演练; -
• 版本管理:专人负责、多份副本、版本控制、定期更新。
总结
此标准把分散的灾备要求整合成统一规范,明确了6个恢复等级和对应的 RTO/RPO 指标,既给企业提供了可复制的建设模板,也方便监管部门了进行测评。行业内的各位同仁,可多做了解了。
