该标准描述了 ICT DR 服务提供商(内部和/或外包)应考虑的基本做法。它涵盖了服务提供商应满足的要求,并认识到各个组织可能有特定于他们的其他要求(必须在与服务提供商的协议/合同中解决)。此类组织要求的示例可能包括特殊加密软件和安全操作程序、设备、知识丰富的人员和应用文档。如有必要,此类额外的组织特定要求通常根据具体情况进行协商,并且是组织与其 ICT DR 服务提供商之间详细合同谈判的主题,不属于本标准的范围。本标准不: a) 为组织提供整体业务连续性管理的任何要求; b) 优先于任何现有和未来的法律和法规; c) 对用户组织和服务提供商之间协商的合同中包含的 SLA 拥有任何法律权力; d) 解决服务提供商应遵守的管理正常业务运营的法律或其他要求。此类要求的例子包括涵盖建筑和消防安全、职业健康和安全、版权法规和现行人力资源实践的详细法规; e) 提供详尽的清单,因此不包括技术安全控制。读者应根据需要参阅 ISO/IEC 27001 和 ISO/IEC 27002、供应商文献和其他技术参考。本标准适用于: a) 所有需要 ICT DR 服务作为其业务一部分的组织(无论是内部和/或外包); b) ICT DR 服务提供商提供 ICT DR 服务; c) 在 ICT DR 服务方面具有互惠或共同安排的组织社区。认证类别 需要认证的ICT DR服务提供商可以分为两个不同的类别:灾难恢复设施提供商和灾难恢复服务提供商。前者的认证考察物理基础设施,后者的认证考察其服务能力。灾难恢复设施提供商认证 以下条款适用于灾难恢复设施提供商认证: a) 第 5 条; b) 第 6 条; c) 第 8 条:灾难恢复服务提供商认证 以下条款适用于灾难恢复服务提供商认证: a) 第 5 条; b) 第 6 条; c) 第 7 条; d) 第 8 条。内部服务提供商的豁免 对于内部服务提供商,如果其仅向一个生产场所提供服务,则以下条款不适用: a) 第 5.4 条; b) 第 5.5 条; c) 第 7.6 条; d) 第 7.7 条;