中国 TC260 意見募集 国家標準 「情報システムの災害復旧仕様」案 (2024.04.15)
こんにちは、丸山満彦です。
中国の国家情報セキュリティ標準化技術委員会 (TC260) が「情報システムの災害復旧仕様」の草案を公表し、意見募集をしていますね。。。
「信息安全技术 信息系统灾难恢复规范 (情報セキュリティ技術情報システムの災害復旧に関する仕様)」(GB/T 20988-2007)及び「信息安全技术 灾难恢复中心建设与运维管理规定(情報セキュリティ技術災害復旧センターの建設管理及び運営維持に関する仕様)」(GB/T 30285-2013)に替わるもののようです...
わりと細かく規定されているので、参考になる部分も多いように思います...
・2024.04.15 关于国家标准《网络安全技术 信息系统灾难恢复规范》征求意见稿征求意见的通知
意見募集案...
・[PDF] 网络安全技术 信息系统灾难恢复规范-标准文本
説明
・[DOCX] 网络安全技术 信息系统灾难恢复规范-编制说明
説明の仮対訳...
| 国家标准《网络安全技术 信息系统灾难恢复规范》(征求意见稿)编制说明 | 標準「ネットワークセキュリティ技術情報システム災害復旧仕様書」(意見募集案) 作成上の留意点 |
| 一、 工作简况 | I. 作業の簡単な説明 |
| 1.1 任务来源 | 1.1 タスクソース |
| 本标准任务来源为国家标准化管理委员会2023年下达的国家标准制修订计划,《网络安全技术 信息系统灾难恢复规范》由中国信息安全测评中心负责承办,计划号:20231920-T-469。本标准由全国网络安全标准化技术委员会归口管理。 | 本標準の作業ソースは、国家標準化管理委員会が2023年に発布した国家標準作成・改正計画であり、「ネットワークセキュリティ技術情報システム災害復旧仕様」は中国情報セキュリティ評価センターが主催し、計画番号:20231920-T-469.本標準は国家ネットワークセキュリティ標準化技術委員会の管理下にある。 |
| 1.2 制定背景 | 1.2 背景 |
| 国内现行国标20988发布于2007年,至今已经超过15年未修订,已经不能很好的满足国内迅速发展的信息产业对于系统容灾的需求,特别是在国家陆续发布了关键信息基础设施、数据安全等领域的法律法规与标准,本标准已经无法支撑国内法律法规和行业发展要求,因此对标准GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》的修订需求迫在眉睫,修订后的标准可以更好的指导各个行业在灾难恢复领域的规划、设计、实施和管理。 | 現在の国家標準20988は2007年にリリースされ、15年以上改訂されていない、システム災害復旧のために急速に発展する国内の情報産業のニーズを満たすことができていない、特に国内では、重要な情報インフラ、データセキュリティの法律と規制や標準の分野でリリースされている、この標準は、国内の法律や規制、業界の発展の要件をサポートすることができないため、標準GB / T 20988-2007 "情報セキュリティ"、"情報セキュリティ標準"、"情報セキュリティ標準"、"情報セキュリティ標準"、"情報セキュリティ標準"、"情報セキュリティ標準"、"情報セキュリティ標準"、"情報セキュリティ標準"。 T 20988-2007 "情報セキュリティ技術情報システム災害復旧仕様 "は、緊急に改訂する必要がある、改訂された標準は、災害復旧の分野で、各産業の計画、設計、実装および管理をよりよく導くことができる。 |
| 1.3 起草过程 | 1.3 起草プロセス |
| 标准制定的主要工作过程如下: | 標準策定の主な作業プロセスは以下の通りである: |
| 1)立项申请 | 1) プロジェクト申請 |
| 2023年2月至5月,中国信息安全测评中心牵头组织相关技术人员对标准的内容进行预研,分析了国内外相关形势及发展趋势,研究了国内外的相关政策法规及标准,多次召开标准讨论会,起草并修改完善了标准草案初稿。向全国网络安全标准化技术委员会提交2023年国家标准修订项目立项申请。 | 2023年2月から5月にかけて、中国情報セキュリティ評価センターが中心となって、関連技術者を組織し、標準の内容を事前検討し、国内外の関連状況と発展動向を分析し、国内外の関連政策、法規、標準を研究し、複数の標準討論会を開催し、標準の第一稿を起草、修正、改善した。 国家ネットワークセキュリティ標準化技術委員会に2023年国家標準改正プロジェクトの申請書を提出した。 |
| 2023年5月30日,全国网络安全标准化技术委员会2023年第一次“标准周”期间,在WG7工作组进行立项汇报并通过。会后,根据工作组成员单位专家意见组织编制组讨论并继续完善草案内容。 | 2023年5月30日、国家ネットワークセキュリティ標準化技術委員会の2023年最初の「標準週間」に、WG7作業部会でプロジェクトが報告され、可決された。 会議の後、作業部会のメンバーユニットの専門家の意見に従って、準備グループを組織し、草案の内容を議論し、引き続き改善する。 |
| 2)草案完善 | 2)草案の改善 |
| 2023年8月25日,根据《全国网络安全标准化技术委员会关于2023年第一批网络安全国家标准项目立项的通知》(信安字〔2023〕17号)发布的通知,本标准正式获批为2023年网络安全标准修订项目。 | 2023年8月25日、国家サイバーセキュリティ標準化専門委員会が発表した2023年サイバーセキュリティ国家標準プロジェクト第一陣に関する通知(新安子[2023]第17号)によると、本標準は2023年サイバーセキュリティ標準改訂プロジェクトとして正式に承認された。 |
| 2023年8月至10月,征集标准编制单位,共收集58家单位提交的申请材料并对申请的参编单位进行了遴选。2023年10月,成立标准编制工作组,初步选择20余家参编单位,并召开项目启动会,对各参编单位的任务进行分工,并对标准内容进行进一步修改完善。同期征求责任专家意见,并进行了修改。10月下旬召开标准编制启动会, | 2023年8月から10月にかけて、標準作成単位を募集し、単位から提出された合計58件の応募資料を集め、応募した参加単位を選定した。2023年10月、標準作成ワーキンググループを設置し、当初20以上の参加単位を選定し、プロジェクトキックオフ会議を開催し、参加単位のタスクを分担し、標準の内容をさらに修正・改善した。 同時期に責任ある専門家の意見を求め、修正した。10月下旬に標準作成のキックオフ会議を開催した。 |
| 3)形成征求意见稿 | 3)コメントのための草案の形成 |
| 2023年11月本标准形成征求意见稿,编制组召开多次工作会,对标准草案进行多轮修改完善。2023年11月末组织召开包括WG1专家、WG7组副组长、责任专家、责任编辑等的专家评审会,会后编制组依据专家组的意见进行了3轮的文本修改和完善工作。2024年1月向全国网络安全标准化技术委员会秘书处提出征求意见稿专家评审会议召开。 | 2023年11月、この標準は、コメントのためのドラフトを形成し、準備グループは、修正と改善の多くのラウンドのための標準のドラフト、作業会議の数を開催した。 2023年11月末に組織し、WG1の専門家、WG7グループ副会長、責任ある専門家、責任編集者などを含む専門家のレビュー会議を開催した。 2024年1月、国家ネットワークセキュリティ標準化技術委員会の事務局に対して、専門家による検討会を開催し、草案を提出した。 |
| 2024年2月2日由全国网络安全标准化技术委员会秘书处组织在北京召开了国家标准《网络安全技术 信息系统灾难恢复规范》(征求意见稿)专家评审会,对标准征求意见稿及相关材料进行了审查和质询,会上专家一致同意同通过对该项标准的审查,建议标准编制工作组根据会上意见修改后,发起公开征求意见。 | 2024年2月2日国家ネットワークセキュリティ標準化技術委員会事務局によって北京で開催された国家標準 "ネットワークセキュリティ技術情報システム災害復旧仕様"(ドラフト)専門家レビュー会議では、標準のドラフトと関連資料のレビューと質疑応答、会議の専門家は、全会一致で標準のレビューを通じて、同じに合意し、標準の準備ワーキンググループは、修正後の会議の意見によると提案した。 会議の専門家は、全会一致で標準のレビューを採用することに同意し、標準準備作業部会が会議で出されたコメントに従って標準を修正し、公開協議を開始することを提案した。 |
| 二、 标准编制原则和确定主要内容的论据及解决的主要问题 | II 標準作成の原則と主な論点を決定し、主な問題を解決する。 |
| 2.1 编制原则 | 2.1 作成の原則 |
| 1)通用性 | 1) 一般性 |
| 按照本标准实现的灾难恢复中心建设和运行、信息系统灾难恢复规范,实现了实际应用场景中可能涉及的不同类型、不同级别和不同规模的信息系统灾难恢复规划到运行相关的活动。 | 本標準に従って達成される災害復旧センターの建設と運営及び情報システムの災害復旧仕様は、情報システムの災害復旧計画から運用関連活動までの様々な種類、レベル及び規模を実現し、実際の適用シナリオに関与する可能性がある。 |
| 2)实用性 | 2)実用性 |
| 根据我国国情、实际运用环境和国家有关政策编制本标准,使其在指导灾难恢复中心和信息系统灾难恢复规划、建设、运行等多个方面具有很强的实用性。 | 本標準は中国の国情、実際の適用環境及び関連する国家政策に基づいて作成され、災害復旧センター及び情報システムの災害復旧計画、建設、運用などの指導において、実用性が高い。 |
| 3)符合性 | 3)適合性 |
| 符合国家有关法律法规和已有标准规范的相关要求。 | 本書は、関連する国家法律法規及び既存の標準と規範の関連要求事項に適合している。 |
| 2.2主要内容及其确定依据 | 2.2 主な内容とその判断根拠 |
| 本标准给出了信息系统灾难恢复工作原则,提出了信息系统灾难恢复生命周期,规定了信息系统灾难恢复应遵循的基本要求、灾难恢复能力等级划分和测试评价方法。本标准结合现行国内法律法规与标准,以及行业发展现状情况,增加新技术、新应用、新业态,立足指导国内灾难恢复各方工作的科学发展。本标准参考的相关文件如下: | 本標準は、情報システム災害復旧の原則を示し、情報システム災害復旧のライフサイクルを提唱し、情報システム災害復旧に従うべき基本要求、災害復旧能力のレベル分類及び試験と評価方法を規定する。 本標準は、国内の現行法律法規と標準を結合し、また業界の発展現状を結合し、新技術、新用途、新形態を追加し、国内の災害復旧に関わるすべての関係者の科学的発展の指導に基づいている。 本標準で参照される関連文書は以下の通りである: |
| a)标准格式按照GB/T 1.1—2020标准要求编写。 | a)GB/T1.1-2020標準要求事項に準拠した標準形式である。 |
| b)本标准制定参考以下国家标准: | b)本標準は、以下の国家標準を参照して策定されている: |
| —GB/T 25069 信息安全技术 术语 | -GB/T 25069 情報セキュリティ技術用語集 |
| —GB/T 5271.8-2001 信息技术 词汇 第8部分:安全 | -GB/T 5271.8-2001 情報技術用語集 第 8 部:セキュリティ |
| —GB/T 20984—2022 信息安全技术 信息安全风险评估法 | -GB/T 20984-2022 情報セキュリティ技術 情報セキュリティリスクアセスメント方法 |
| c)本标准使用重新起草法修改《信息安全技术 信息系统灾难恢复规范》(GB/T 20988—2007)、《信息安全技术 灾难恢复中心建设与运维管理规定》(GB/T 30285—2013),修订《信息安全技术 信息系统灾难恢复规范》(GB/T 20988—2007)、《信息安全技术 灾难恢复中心建设与运维管理规定》(GB/T 30285—2013)。 | c) 本標準は再起草方式を採用し、「情報セキュリティ技術情報システム災害復旧仕様書」(GB/T 20988-2007)、「情報セキュリティ技術情報システム災害復旧センター建設及び運営維持管理規定」(GB/T 30285-2013)を改訂する。 仕様書」(GB/T 20988-2007)、「情報セキュリティ技術災害復旧センター建設及び運営維持管理規定」(GB/T 30285-2013)を改定する。 |
| d)本标准中修订的内容主要根据国家版本的法律、法规的要求,以及相关标准的变化和技术的发展趋势。 | d)本標準の改定内容は、主に国内版法規の要求、関連標準の変更、技術の発展趨勢に基づいている。 |
| e)在标准修订立项前,已经具备了较为成熟的的研究基础和条件。根据中央网信办课题《关键信息基础设施业务连续性与灾难恢复工作支撑》的相关安排,前期已经调研分析了国际与国内关键信息基础设施现状,以及灾难恢复状的国际与国内法律、法规政策,业内的应用现状、关键技术应用与发展和灾难恢复标准应用现状。通过调研结果发现,国际与国内灾难恢复的服务形式发生巨大变化,灾难恢复成为关键信息基础设施保护的重要支撑,灾难恢复在新形势下与新应用结合发挥作用升级,同时也发现了灾难恢复各项标准应用周期过长,指导作用下降。基于调研报告的成果,以问题为导向,针对目前多地多中心乱象丛生、缺乏有效的灾难恢复及安全保证标准规范、灾备体系软硬件自主可控偏低、缺乏国家级的统一管理及指挥协调体系、缺乏灾难恢复领军企业、产业发展不均衡等问题,提出了标准的修订方向和主要内容。 | e)標準改訂プロジェクトの前に、より成熟した研究基礎と条件が確立された。 インターネット情報化中央弁公室の「重要情報インフラの事業継続と災害復旧支援」の関連取り決めに従って、我々はすでに国際と国内の重要情報インフラの現状、災害復旧に関する国際と国内の法律法規と政策、業界における応用の現状、主要技術の応用と発展、災害復旧標準の応用の現状を研究分析した。 調査結果を通じて、国際及び国内の災害復旧サービスは大きな変化を遂げ、災害復旧は重要な情報インフラを保護するための重要なサポートとなり、災害復旧は新たな情勢の下で、新たなアプリケーションと結合する役割を果たすようにアップグレードされ、同時に、災害復旧に関する各種標準の適用サイクルが長すぎ、指導的役割が低下していることが分かった。 調査報告書の結果に基づき、多拠点・多センターの混乱状況、災害復旧とセキュリティ保証のための有効な標準と仕様の欠如、災害復旧システムのソフトウェアとハードウェアの自律性と制御性の低さ、国家レベルでの統一的な管理と指揮調整システムの欠如、災害復旧をリードする企業の欠如、業界の発展の不均衡などの問題を考慮し、標準の改訂方向と主な内容を提示した。 |
| 2.3 修订前后技术内容的对比 | 2.3 改訂前後の技術内容の比較 |
| 本文件替代《信息安全技术 信息系统灾难恢复规范》(GB/T 20988—2007)、《信息安全技术 灾难恢复中心建设与运维管理规定》(GB/T 30285—2013),除结构调整和编辑性改动外,主要技术变化如下:本文件代替《信息安全技术 信息系统灾难恢复规范》(GB/T 20988—2007)、《信息安全技术 灾难恢复中心建设与运维管理规定》(GB/T 30285—2013),与GB/T 20988—2007、GB/T 30285—2013相比,整体结构与内容进行了重新整合,除结构调整和编辑性改动外,主要技术变化如下: | 本書は「情報セキュリティ技術情報システム災害復旧仕様書」(GB/T 20988-2007)及び「情報セキュリティ技術災害復旧センターの建設及び運営維持管理に関する規定」(GB/T 30285-2013)を置き換えるものであり、構造調整と編集上の変更のほか、主な技術的変更点は以下の通りである。 情報セキュリティ技術情報システム災害復旧規定」(GB/T 20988-2007)及び「情報セキュリティ技術災害復旧センター建設及び運営維持管理規定」(GB/T 30285-2013)をGB/T 20988-2007に置き換える、 GB/T 20988-2007及びGB/T 30285-2013と比べ、全体的な構造と内容が再統合された。 構造調整と編集上の変更のほか、主な技術的変更点は以下の通りである: |
| a) 本文件参照GB/T 20988—2007、GB/T 30285—2013标准主线,提出灾难恢复生命周期概念,围绕灾难恢复全生命周期主线展开文件编写,增加了新技术、新应用内容; | a) 本文書はGB/T 20988-2007とGB/T 30285-2013標準の本筋を参考に、災害復旧ライフサイクルの概念を提案し、災害復旧のライフサイクル全体の本筋を中心に文書作成を展開し、新技術と新用途の内容を増加した; |
| b) 在范围中增加了本标准的使用对象; | b) 本標準の使用対象の範囲を追加した; |
| c) 在术语与定义中参照GB/T 25069—2022对本标准中的术语与定义进行了更新; | c) GB/T 25069-2022の用語と定義を参照して、この標準の用語と定義を更新する; |
| d) 本文件正文第4章增加了灾难恢复生命周期概念与模型,将GB/T 20988—2007、GB/T 30285—2013主线进行了融合,提出全新的思路; | d) 本文書の第4章では、災害復旧ライフサイクルの概念とモデル、GB/T 20988-2007、GB/T 30285-2013メインラインの収束を追加し、新しいアイデアを提示した; |
| e) 本文件正文中增加第5章节灾难恢复的组织机构设置; | e) 本文書本文の第 5 章に災害復旧のための組織設定を追加した; |
| f) 本文件正文在第6章依据灾难恢复生命周期主线,对灾难恢复规划设计内容进行了全新的修订,对风险评估方法、业务连续性等进行更新,突出业务连续性的考量,对目前多业态形式的灾难恢复规划设计进行整合,特别是增加了云灾备等方面内容; | f) 本文書第6章は、災害復旧ライフサイクルの本筋に基づき、災害復旧計画と設計の内容を新たに改訂し、リスクアセスメント方法論、事業継続性などを更新し、事業継続性の検討を強調し、現在の多業種の災害復旧計画と設計の形式を統合し、特にクラウド災害復旧などの内容を増加させた; |
| g) 本文件正文在第7章依据灾难恢复生命周期主线,对灾难恢复生命周期中建设实施阶段进行规范细化; | g) 本文書の本文は、第7章の災害復旧ライフサイクルの主要な行程に基づき、災害復旧ライフサイクルの構築と実施段階を規定し、洗練させる; |
| h) 本文件正文增加第8章灾难恢复系统的安全建设,从国家政策、安全管理、人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理、供应链安全、数据安全等方面构化出包括技术、管理及政策要求的全方位安全要求; | h) 本文書の本文には、災害復旧システムのセキュリティ構築に関する第8章が追加され、国家政策、セキュリティ管理、人員、安全な通信ネットワーク、安全なコンピューティング環境、安全な建設管理、安全な運用・保守管理、サプライチェーンセキュリティ、データセキュリティなどの側面から、技術、管理、政策の要件を含む総合的なセキュリティ要件となっている; |
| i) 本文件正文在第9章依据灾难恢复生命周期主线,对灾难恢复生命周期中运行维护管理方面工作内容进行规范,本部分着重突出运行维护内容,解决有效性分析不足、业务连续性概念缺失的问题,真正达到闭环控制,发挥灾难恢复服务能够做到闭环控制、持续改进的目的; | i)は、この文書の本体は、第9章では、運用と保守管理の災害復旧ライフサイクルの主要な行は、仕事の内容を規制するために、この部分は、運用と保守の内容を強調することに焦点を当て、事業継続の概念の欠如の有効性の分析の欠如に対処するために、真にクローズドループ制御を達成するために災害復旧サービスを再生するために、継続的な改善の目的に基づいている; |
| j) 本文件正文增加了第10章测试评价方法,构化出了灾难恢复测试评价的总体方法论; | j)この文書の本体は、災害復旧のテストと評価の全体的な方法論を構成する第10章、テストと評価方法を追加する; |
| k) 本文件更新了GB/T 20988—2007中附录A灾难恢复能力等级划分、附录B某行业RTO/RPO与灾难恢复能力等级的关系示例、附录E灾难恢复预案框架,增加了附录C某行业信息系统需求分类示例、附录D云技术灾难恢复服务示例。 | k) 本文書は、附属書 A 災害復旧能力レベルの分類、附属書 B 産業の RTO/RPO と災害復旧能力レベルの関係例、附属書 E GB/T 20988-2007 の災害復旧事前計画フレームワークを更新し、附属書 C 産業の情報システム要件の分類例とクラウド技術の災害復旧サービス例を追加した。 |
| 本文件适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划、实施、安全建设和运行管理等工作。。” | 本書は、情報システム災害復旧の計画、実施、セキュリティ構築、運用管理を行うために、災害復旧の需要側、サービス提供側、アセスメント側など様々な種類の組織に適用される。 |
| 2)根据GB/T20988—2007调整了本标准的结构; | 2)GB/T20988-2007によると、この標準の構造を調整した; |
| 原标准的章节结构为: | 元の標準の章構成は以下の通りである: |
| 前言 | 前書き |
| 引言 | 序文 |
| 1 范围 | 1 範囲 |
| 2 规范性引用文件 | 2 引用規格 |
| 3 术语和定义 | 3 用語と定義 |
| 4 灾难恢复概述 | 4 災害復旧の概要 |
| 4.1 灾难恢复的工作范围 | 4.1 災害復旧の作業範囲 |
| 4.2 灾难恢复的组织机构 | 4.2 災害復旧の組織 |
| 4.3 灾难恢复规划的管理 | 4.3 災害復旧計画の管理 |
| 4.4 灾难恢复的外部协作 | 4.4 災害復旧のための外部協力 |
| 4.5 灾难恢复的审计和备案 | 4.5 災害復旧のための監査とファイリング |
| 5 灾难恢复需求的确定 | 5 災害復旧要件の決定 |
| 5.1 风险分析 | 5.1 リスク分析 |
| 5.2 业务影响分析 | 5.2 ビジネスインパクト分析 |
| 5.3 确定灾难恢复目标 | 5.3 災害復旧目標の決定 |
| 6 灾难恢复策略制定 | 6 災害復旧戦略の策定 |
| 6.1 灾难恢复策略制定的要素 | 6.1 災害復旧戦略策定の要素 |
| 6.2 灾难恢复资源的获取方式 | 6.2 災害復旧リソースの獲得 |
| 6.3 灾难恢复资源的要求 | 6.3 災害復旧リソースの要件 |
| 7 灾难恢复策略的实现 | 7 災害復旧戦略の実現 |
| 7.1 灾难备份系统技术方案的实现 | 7.1 災害バックアップシステム技術ソリューションの実現 |
| 7.2 灾难备份中心的选择和建设 | 7.2 災害バックアップセンターの選定と建設 |
| 7.3 专业技术支持能力的实现 | 7.3 専門的技術サポート能力の実現 |
| 7.4 运行维护管理能力的实现 | 7.4 運用・保守管理能力の実現 |
| 7.5 灾难恢复预案的实现 | 7.5 災害復旧計画の実現 |
| 附录A(规范性附录) 灾难恢复能力等级的划分 | 附属書A(規範的附属書) 災害復旧能力レベルの分類 |
| 附录B(资料性附录) 灾难恢复预案框架 | 附属書B(参考となる附属書) 災害復旧事前計画フレームワーク |
| 附录C(资料性附录)某行业 RTO/RPO 与灾难恢复能力等级的关系示例 | 附属書C(参考となる附属書) ある産業におけるRTO/RPOと災害復旧能力レベルの関係の例 |
| 现标准的章节结构为: | 現行標準の章立ては以下の通りである: |
| 前言 | 前書き |
| 1 范围 | 1 適用範囲 |
| 2 规范性引用文件 | 2 引用規格 |
| 3 术语和定义 | 3 用語と定義 |
| 4 灾难恢复概述 | 4 災害復旧の概要 |
| 4.1 灾难恢复目标 | 4.1 災害復旧の目的 |
| 4.2 灾难恢复生命周期和工作范围 | 4.2 災害復旧のライフサイクルと作業範囲 |
| 5 灾难恢复的组织机构设置 | 5 災害復旧のための組織構成 |
| 5.1 组织机构的设立 | 5.1 組織体制の確立 |
| 5.2 组织机构的职责 | 5.2 組織体制の責任 |
| 6 灾难恢复规划设计 | 6 災害復旧計画と設計 |
| 6.1 灾难恢复需求的确定 | 6.1 災害復旧要件の決定 |
| 6.2 灾难恢复策略的制定 | 6.2 災害復旧戦略の策定 |
| 6.3 灾难恢复技术方案设计 | 6.3 災害復旧技術プログラムの設計 |
| 6.4 灾难恢复中心的基础设施 | 6.4 災害復旧センターのインフラストラクチャー |
| 6.5 灾难恢复技术方案的验证、确认和系统开发 | 6.5 災害復旧技術ソリューションの検証、妥当性確認、システム開発 |
| 7 灾难恢复系统建设实施 | 7 災害復旧システム構築の実施 |
| 7.1 灾难恢复系统实现 | 7.1 災害復旧システムの実施 |
| 7.2 灾难恢复中心建设 | 7.2 災害復旧センターの建設 |
| 8 灾难恢复系统的安全建设 | 8 災害復旧システムのセキュリティ構築 |
| 8.1 网络安全等级保护 | 8.1 ネットワークセキュリティレベルの保護 |
| 8.2 安全管理制度 | 8.2 セキュリティ管理体制 |
| 8.3 安全管理架构 | 8.3 セキュリティ管理体制 |
| 8.4 安全管理人员 | 8.4 セキュリティ管理要員 |
| 8.5 安全通信网络 | 8.5 安全な通信ネットワーク |
| 8.6 安全计算环境 | 8.6 安全なコンピューティング環境 |
| 8.7 安全建设管理 | 8.7 セキュリティ構築管理 |
| 8.8 安全运维管理 | 8.8 セキュリティ運用・保守管理 |
| 8.9 供应链安全 | 8.9 サプライチェーンセキュリティ |
| 8.10 数据安全 | 8.10 データ・セキュリティ |
| 9 灾难恢复系统运行管理 | 9 災害復旧システムの運用管理 |
| 9.1 灾难恢复预案开发及管理 | 9.1 災害復旧計画の策定と管理 |
| 9.2 灾难恢复系统运行维护 | 9.2 災害復旧システムの運用・保守 |
| 9.3 应急事件响应及灾难接管 | 9.3 緊急対応と災害引き継ぎ |
| 9.4 重建和回退 | 9.4 再構築とロールバック |
| 9.5 灾难恢复审计 | 9.5 災害復旧監査 |
| 10 测试评价方法 | 10 試験と評価方法 |
| 10.1 评价指标 | 10.1 評価指標 |
| 10.2 评价对象和内容 | 10.2 評価の対象と内容 |
| 10.3 评价方式与方法 | 10.3 評価方法とアプローチ |
| 10.4 评价有效性 | 10.4 評価の有効性 |
| 附录A (规范性) 灾难恢复能力等级划分 | 附属書 A(規範) 災害復旧能力レベルの分類 |
| 附录B (资料性) 某行业 RTO/RPO 与灾难恢复能力等级的关系示例 | 附属書B (参考)産業におけるRTO/RPOと災害復旧能力レベルの関係例 |
| 附录C (资料性) 某行业信息系统需求分类示例 | 附属書C(参考) ある産業における情報システム要件分類の例 |
| 附录D (资料性) 云技术灾难恢复服务示例 | 附属書D(参考) クラウド技術の災害復旧サービスの例 |
| 附录E (资料性) 灾难恢复预案框架 | 附属書E (参考)災害復旧計画のフレームワーク |
| 参考文献 | 参考文献 |
| 三、 试验验证的分析、综述报告,技术经济论证,预期的经济效益、社会效益和生态效益 | III テスト検証、技術的・経済的正当性、期待される経済的・社会的・生態学的便益の分析と統合報告書 |
| 3.1 试验验证的分析、综述报告 | 3.1 試験検証の分析と統合報告書 |
| 本标准为等同采用国际标准,编制组内部编制成员研究验证,最终形成现行版本。 | この標準は、国際標準、研究と検証のメンバーのコンパイル内のコンパイルグループの採用に相当し、最終的に現在のバージョンを形成する。 |
| 本标准编制组先后组织编制组成员学习相关标准、对相关标准的内容和框架进行充分研究,并广泛查阅国内外相关文献完善技术细节。整体标准试验工作整体说明如下: | この標準のコンパイルグループは、コンパイルグループのメンバーを整理し、関連する標準、完全な研究のための関連規格の内容と枠組みを研究し、技術的な詳細を改善するために、国内外の文献の広範なレビュー。 標準試験作業の全体的な説明は以下の通りである: |
| 1. 2023年2月标准编制和讨论期间,并根据全国网络安全标准化技术委员会2023第一次标准周专家相关意见,组织灾备中心运行单位、灾备服务提供商、灾难恢复软件厂商以及行业相关主管部门进行研讨,对标准的内容可行性进行讨论。 | 1.2023年2月の標準の準備と審議の間に、国家ネットワークセキュリティ標準化技術委員会2023年第1回標準週の専門家の関連意見に従って、災害復旧センターの運営単位、災害復旧サービス提供者、災害復旧ソフトウェアベンダーと業界の関連当局を組織してセミナーを実施し、標準の内容の実現可能性について議論した。 |
| 2. 在进行参编单位遴选时,特意选择可以参与试点的单位,在召开启动会时,对后期实验情况进行了安排,计划标准公开征求意见时,同步组织试点工作。 | 2.参加ユニットの選定を行う際、試験的に参加可能なユニットを意図的に選定し、キックオフミーティングを開催する際に、その後の実験状況について取り決めを行い、標準がコメント募集を開始するタイミングと同期して試験的な作業を組織することを計画している。 |
| 3.2 技术经济论证 | 3.2 技術的・経済的実証 |
| 标准用于灾难恢复全生命周期,以预防由于灾难恢复过程中导致的各种损失。 | 標準は、災害復旧のライフサイクル全般に使用され、災害復旧プロセスによる様々な損失を防止する。 |
| 3.3 预期的经济效益、社会效益和生态效益 | 3.3 期待される経済的、社会的、生態学的利益 |
| 标准可有利于灾难恢复技术在我国国内各行业内的应用,有利于提高各种类型组织的灾难恢复能力。 | 標準は、中国国内の様々な産業における災害復旧技術の応用を促進し、様々な種類の組織の災害復旧能力を向上させる。 |
| 四、 与国际、国外同类标准技术内容的对比情况,或者与测试的国外样品、样机的有关数据对比情况 | IV. 国際および外国の同種の標準の技術内容との比較、または海外の試験済みサンプルおよびプロトタイプの関連データとの比較 |
| 本标准参照和借鉴ISO和NIST相关标准内容,主要包括: | 本標準は、主に以下の ISO および NIST 関連標準の内容を参照し、活用している: |
| ISO 31000 Risk Management Guidelines | ISO 31000 リスクマネジメントガイドライン |
| ISO/IEC 13335 Information Technology—Guidelines for The Management of IT Security | ISO/IEC 13335 情報技術-ITセキュリティ管理のためのガイドライン |
| ISO/IEC 27005 Information Technology—Security Techniques—Information Security Risk Management | ISO/IEC 27005 情報技術-セキュリティ技術-情報セキュリティリスク管理 |
| NIST Special Publication 800-26 Security Self-Assessment Guide for Information Technology Systems | NIST Special Publication 800-26 情報技術システムのためのセキュリティ自己評価ガイド |
| NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems | NIST Special Publication 800-30 情報技術システムのためのリスク管理ガイド |
| 五、 以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标准,并说明未采用国际标准的原因 | V. 国際標準に基づく起草、準拠する国際標準の引用または採用の有無、国際標準を採用しない理由 |
| 本标准参照和借鉴ISO和NIST相关标准内容,主要包括: | 本標準は、主に以下のISO及びNIST関連標準を参照し、その内容を利用している: |
| ISO 31000 Risk Management Guidelines | ISO 31000 リスクマネジメントガイドライン |
| ISO/IEC 13335 Information Technology—Guidelines for The Management of IT Security | ISO/IEC 13335 情報技術-ITセキュリティ管理のためのガイドライン |
| ISO/IEC 27005 Information Technology—Security Techniques—Information Security Risk Management | ISO/IEC 27005 情報技術-セキュリティ技術-情報セキュリティリスク管理 |
| NIST Special Publication 800-26 Security Self-Assessment Guide for Information Technology Systems | NIST Special Publication 800-26 情報技術システムのためのセキュリティ自己評価ガイド |
| NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems | NIST Special Publication 800-30 情報技術システムのためのリスク管理ガイド |
| 六、 与有关法律、行政法规及相关标准的关系 | VI. 関連法規、行政法規、関連標準との関係 |
| 本标准符合现有法律法规的要求,并与现有相关标准协调一致。本标准中引用的部分标准包括: | 本標準は、既存の法規制の要求事項に適合し、既存の関連標準と調和している。 本標準に引用されている標準には以下のものがある: |
| GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南 | GB/T 22240-2020 情報セキュリティ技術ネットワークセキュリティレベル保護分類ガイドライン |
| GB/T 28453—2012 信息安全技术 信息系统安全管理评估要求 | GB/T 28453-2012 情報セキュリティ技術 情報システムセキュリティ管理アセスメント要求事項 |
| GB/T 29246—2017 信息技术 安全技术 信息安全管理体系概述和词汇 | GB/T 29246-2017 情報セキュリティ技術 情報セキュリティ管理システムの概要と語彙 |
| GB/T 30279—2020 信息安全技术 网络安全漏洞分类分级指南 | GB/T 30279-2020 情報セキュリティ技術 ネットワークセキュリティ脆弱性分類及び評定ガイド |
| GB/T 31509—2015 信息安全技术 信息安全风险评估实施指南 | GB/T 31509-2015 情報セキュリティ技術 情報セキュリティリスク評価実施ガイド |
| GB/T 31722—2015 信息技术 安全技术 信息安全风险管理 | GB/T 31722-2015 情報セキュリティ技術 情報セキュリティリスク管理 |
| 以上部分标准国标正在修订过程中。 | 上記の標準国家規格の一部は現在改訂中である。 |
| 七、重大分歧意见的处理经过和依据 | VII. 主な見解の相違の処理とその根拠 |
| 无。 | 特にない。 |
| 八、涉及专利的有关说明 | VIII. 特許に関する説明 |
| 本标准不涉及专利。 | 本標準は特許に関係しない。 |
| 九、实施国家标准的要求,以及组织措施、技术措施、过渡期和实施日期的建议等措施建议 | IX. 勧告案のような標準規格の実施のための要件,並びに組織的措置,技術的措置,移行期間及び実施日 |
| 建议本标准作为推荐性国家标准发布实施。在正式执行本标准前,需要对标准中的条款进行宣贯,以在利益相关方之间达成对标准条款理解上的一致性。 | この標準は、実装のために発行された推奨の国家標準として推奨される。 本標準の正式な実施に先立ち、利害関係者の間で本標準の規定の理解の一貫性を達成するために、本標準の規定を公表することが必要である。 |
| 十、其他应当说明的事项 | X. その他明確にすべき事項 |
| 无。 | 特にない。 |
| 《网络安全技术 信息系统灾难恢复规范》标准编制组 | サイバーセキュリティ技術に係る情報システムの災害復旧仕様標準化準備会 |
| 2024年2月23日 | 2024年2月23日 |
« 米国 FTC 健康侵害通知規則を改正(HIPAAの対象外である健康アプリや同様の技術への適用も...) | Main | 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法が施行されました... »
Comments