10.11　信息系統備份

10.11.1　一般要求

10.11.1.1　評估內容

詳見GB/T31168－2014中10.11.1的a）、b）、c）、d）、e）和f）。

10.11.1.2　評估方法

10.11.1.2.1 對a）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了對信息系統中的系統級信息進行備份的頻率；

——檢查備份信息的內容，查看其是否包含系統狀態、操作系統及應用軟件等系統級信息。

10.11.1.2.2 對b）的評估方法為：

——檢查應急響應與災備策略與規程、系統設計說明書等相關文檔，查看其是否有防止通過備份過程訪問客戶的明文數據的機制；

——訪談安全管理員或維護人員等相關人員，詢問其防止通過備份過程訪問客戶的明文數據的機 制；

——檢查上述機制的實現過程，查看其是否能有效防止客戶的明文數據被訪問。

10.11.1.2.3 對c）的評估方法為：

——檢查應急響應與災備策略與規程、系統設計說明書等相關文檔，查看其是否有為用戶提供多種備份方案的內容；

——訪談維護人員或客戶等相關內容，詢問其多種備份方案的落實情況。

10.11.1.2.4 對d）的評估方法為：

——檢查應急響應與災備策略與規程、系統設計說明書等相關文檔，查看其是否有在存儲位置保護備份信息的保密性、完整性和可用性的機制；

——訪談安全管理員或維護人員等相關人員，詢問其在存儲位置保護備份信息的保密性、完整性和可用性的機制；

——測試保護備份信息保密性、完整性和可用性的機制，驗證在存儲位置是否采取措施保護備份信息。

10.11.1.2.5 對e）的評估方法為：

——檢查應急響應與災備策略與規程、系統設計說明書等相關文檔，查看其是否定義了按驗證信息系統備份連續有效的方法進行驗證的頻率；

——檢查驗證信息系統備份有效性的記錄，查看其是否按照定義的頻率進行驗證。

10.11.1.2.6 對f）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否要求向客戶提供相關信息，以支持客戶制定其自身的備份策略與規程，是否要求信息包含以下內容：

1）備份的范圍。

2）備份方式和數據格式。

3）驗證備份數據完整性的規程。

4）恢復備份數據的規程。

——檢查擬向客戶提供的信息記錄，查看其是否符合要求：

——訪談系統安全負責人、維護人員或客戶等相關人員，詢問其提供和接收備份信息的情況。

10.11.2　增強要求

10.11.2.1　評估內容

詳見GB/T31168－2014的10.11.2。

10.11.2.2　評估方法

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了對系統級信息進行增量備份的頻率，查看其是否定義了對系統級信息進行全量備份的頻率；

——訪談安全管理員或維護人員等相關人員，詢問其進行異地的系統級熱備的機制，以及系統級熱備的地點；

——檢查備份記錄，查看其是否按照定義的頻率進行增量備份和全量備份