《信息安全技术 网络安全应急能力评估准则.docx》由会员分享,可在线阅读,更多相关《信息安全技术 网络安全应急能力评估准则.docx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35. 040L80中华人民共和I家标准GB/TXXXXXXXX信息安全技术网络安全应急能力评估准则Information security techniques Assessment criteria for cybersecurity emergencyresponse capability在提交反馈意见时,请将您知道的相关专利连同支持文件一并附上。(征求意见稿)2020-07-07XXXX-XX-XX 实施XXXX-XX-XX 发布家市场监督管理总局家标准化管理委员会漏洞管理本项要求包括:a)应建立资产动态管理台账,应实现风险信息与资产的自动化比对;b)应进行挖掘系统安全漏洞的能
2、力建设,宜具备独立挖掘漏洞的能力或采用网络安全众测服务等 方式拓展挖掘漏洞的渠道;c)应定期对漏洞管理能力进行评估并持续改进。7. 5. 3宣传培训本项要求包括:a)针对应急预案涉及的部门和人员应制定年度培训计划,应按计划开展培训,培训内容应至少包 括:网络安全基本知识、网络安全应急有关法规政策、应急预案、应急管理、应急技能等;b)最高管理层成员与各部门负责人应参加网络安全应急知识培训;c)应对参加培训的人员进行考核,考核通过才能继续任职;d)应定期组织应急人员参加网络与信息安全相关资质(如CISPTRE、CCSRP等)的培训与认证;e)每年应对培训计划与培训内容进行评估并持续更新。应急演练本
3、项要求包括:a)针对网络安全事件总体应急预案与专项应急预案应制定相应的应急演练方案,演练方案应包括 演练的规模、方式、范围、内容、组织、评估、总结、演练脚本等内容;b)应制定年度应急演练计划,应按计划组织应急演练,每年应至少在仿真环境或真实环境下组织 1次应急预案的实战演练;c)网络安全应急技术支撑队伍应定期组建攻守双方,组织实战攻防演练;d)应定期组织跨组织、跨地域的应急演练;e)应按规定参与和配合主管部门或国家有关部门组织开展的网络安全应急演练;f)重要应急演练应由应急领导机构组织开展,应按照程序向主管部门或国家有关部门报告;g)应急演练过程应由专业人员采用自动化技术进行记录;h)应急演练
4、效果评估与总结应有专家队伍成员参与;i)每年应对应急演练方案进行评估并持续完善。8能力评估8.1评估流程网络安全应急能力评估流程如图2所示,包括评估准备、评估实施、分数评定、报告编制4个阶段。图2网络安全应急能力评估流程8.2评估准备在评估准备阶段,评估方应组建评估小组,确定评估对象与范围,制定评估方案;被评估方应派相 关人员配合做好各方面评估准备工作。8. 3评估实施网络安全应急能力评估实施分为基本要求评估与增强能力评估两个阶段:在基本要求评估阶段,评估小组根据第5章的基本要求按照附录A的基本要求评估表对被评估方进行 评估,给出每个评估项的符合性判定。如果有不符合项,则整体评估结论为不合格,
5、评估终止;如果基 本要求全部符合,则评估小组进行第二阶段的增强能力评估。在增强能力评估阶段,评估小组根据第6章的增强能力对被评估方进行评估,采用评分制对增强能 力进行计分,计分方法见第8. 4节,根据得分确定网络安全应急能力的评估等级。评估小组在进行评估时,可采用查阅文档、现场查看、访谈问答、实际操作等评估方法,评估过程 中的文档依据、访谈过程等应进行详细记录。评估方法具体如下: 查阅文档:查阅应急管理制度、应急预案,历史事件处置、演练等相关文字、音像资料和数据 记录; 现场查看:现场查看应急值班场所、应急工具物资、应急系统平台等系统和设施; 访谈问答:主要面向应急领导机构成员、应急工作人员,
6、了解其对本岗位应急工作职责、应急 预案、相关法律法规、工作规章、应急技术知识等的掌握程度; 实际操作:主要评估应急工作人员对应急工具的掌握程度。 .4分数评定评估小组采用评分制对增强能力进行计分,每符合1条得1分,实际分数为所有增强能力评估项得分 之和,应得分数为全部增强能力的总条目数,按如下公式换算百分制后为最终得分:最终得分二实际分数 应得分数X100,应得分数为85。应按照附录B进行增强能力评分,网络安全应急能力根据最终得分可划分为4个等级:优:85分W最终得分W100分;良:70分或最终得分85分;合格:60分w最终得分70分;不合格:0分W最终得分60分。 .5报告编制编写评估报告应
7、全面反映评估过程的全部工作,提供评估佐证资料,给出评估结论。报告内容应包 括: 编制依据;目的和适用范围; 评估程序和方法; 评估结果分析; 评估结论; 改进措施及建议;报告附件,包括评估过程中产生的数据、表格、图片和记录、评估过程中会议记录和评估意见、 其他必要说明等。附录B (规范性)附录C基本要求评估表基本要求评估表如表A. 1所示。表A.1基本要求评估表评估项评估内容是否符合第一部分应急机构评估1.应急 体系a) 应设置网络安全应急负责人,应配备应急工作人员,应具有明确的岗位职 责分工。口是口否2.技术 支撑队 伍a) 应明确运营网络涉及到的系统和设备供应商的应急服务责任,并在相关协
8、议中规定。是口否3.专家 队伍a) 参与网络安全应急处置的外部专家应具备对网络安全事件进行研判、对应 急措施提出改进建议等能力。口是口否第二部分应急制度4.应急 管理制 度a) 应根据国家、行业或地方有关部门网络安全应急相关规定,以及网络安全 应急相关标准等,制定网络安全应急管理制度;口是口否b) 网络安全应急管理制度应经正式审批后发布实施,并应进行版本控制。口是口否5.应急 预案a) 应根据国家、行业或地方有关部门应急预案相关规定,以及应急预案编制 相关标准等,制定网络安全事件应急预案,应急预案应规定事件分级分类、 事件报告流程、应急处置流程、系统恢复流程等内容;口是口否b) 应急预案应经正
9、式审批后发布实施,并应进行版本控制。口是口否第三部分监测预警6.监测a) 应具备网络安全事件监测技术措施,应对重要系统进行7*24小时实时监 测,应形成监测记录;口是口否b) 监测日志留存时间应不少于6个月。口是口否7.分析 研判a) 应根据应急预案判定是否发生了安全事件以及发生事件的类型与级别,并 启动相应的应急预案。是口否8.预警a) 应按照主管部门或国家有关部门的预警信息发布渠道与响应要求,根据预 警信息及时采取风险防范措施,并形成预警响应记录。口是口否第四部分应急处置9.信息 报送与 共享a) 应按照应急预案规定的事件报告流程进行事件报告,应形成事件报告单;口是口否b) 应按照主管部门
10、或国家有关部门要求进行事件上报;口是口否10 .事 件处置a) 应具备日志提取、病毒检查、木马检查、网络扫描、渗透测试等网络安全 应急处置工具;是口否b) 对于已知的安全事件应按照应急预案实施事件处置,包括抑制事态发展、 根除事件根源、恢复系统状态等,应形成事件处置记录;口是口否c) 对于事件处置能力不足或不能应对的未知安全事件,应协调外部支援或按 规定上报。口是口否11.调查与总 结a) 在应急响应结束后,应对网络安全事件起因、处置过程等进行调查,总结 经验教训,形成事件总结报告;口是口否b) 对于未知的安全事件应分析并记录事件信息,使未知事件成为已知事件, 并文档化。口是口否第五部分预防保
11、障12.日 常管理a) 应实行应急值守,并制定应急值守工作规范;口是口否b) 应具备应急值守人员,应急值守人员应熟悉应急值守工作规范。口是口否13 .漏 洞管理a) 应米取必要的措施识别安全漏洞,对发现的安全漏洞应在评估可能的影响 后及时进行修补;口是口否b) 接收主管部门或国家有关部门的漏洞通报后,应在规定时间内完成处置并 反馈。口是口否14 .宣传培训a) 应定期对相关人员进行网络安全应急有关法规政策的宣传培训;口是口否b) 应定期对相关人员进行应急预案的宣传培训,培训内容应至少包括应急职 责、合作和分工、应急预案启动条件、应急流程、应急处置方法等。口是口否15 .应 急演练a) 每年应至
12、少组织1次应急预案的演练,演练方式可为桌面演练或实战演练;口是口否b) 应对应急演练过程进行记录,对演练效果进行总结,形成演练总结报告, 及时解决发现的问题。口是口否基本要求评估结论口合格口不合格附录E (规范性)附录F增强能力评分表增强能力评估表如表B.1所示。表B.1增强能力评分表评估项评估内容得分第一部分应急机构评估1.应急体系(5分)a) 应建立网络安全应急体系; 1 口0b) 应明确网络安全应急领导机构,负责人应由组织最高管理层分管领导担 任,成员应由各相关部门负责人组成,应明确各成员职责; 1 口0c) 应明确网络安全应急口常管理机构,应明确网络安全应急管理职责分工; 1 口0d)
13、 应明确网络安全应急相关部门及职责分工,每个部门应至少设置1名联系 人; 1 口0e) 应定期对网络安全应急体系的科学性、合理性进行评估并持续改进。 1 口02.技术 支撑队伍(7分)a) 应具备网络安全应急技术支撑队伍,技术支撑队伍可自建或由第三方提 供,应明确技术支撑队伍的职责; 1 口0b) 应明确网络安全应急技术支撑队伍成员的职责分工与技术能力要求,技术 支撑队伍成员应定期通过专业技能考核; 1 口0c)网络安全应急技术支撑队伍中的关键岗位应至少配备1名专职人员,且宜由持有网络与信息安全相关资质(如CISP-IRE、CCSRP等)的人员担任; 1 口0d) 网络安全应急技术支撑队伍应定
14、期向组织内部其他相关人员提供应急技 能培训; 1 口0e) 网络安全应急技术支撑队伍应持续加强技术支撑能力建设,包括:应急管 理规划、监测预警、事件分析、应急处置、数据备份、系统恢复、调查取 证等方面的技术能力; 1 口0f) 鼓励组织自建网络安全应急技术支撑队伍,技术支撑队伍应符合a)-e)的 要求;g) 应定期对网络安全应急技术支撑队伍能力进行评估并持续改进。 1 口03.专家队伍(4分)a) 应具备网络安全应急专家队伍,为网络安全应急工作提供技术咨询与决策 建议,包括应急预案修订、事件分析、应急指挥决策、应急演练与培训等 方面; 1 口0b)应急专家队伍应包括外部技术专家与组织内部相关部
15、门技术专家,技术专家应具备网络与信息安全相关资质(如CISPTRE、CCSRP等)或具有8年 (含)以上网络安全应急响应相关领域从业经验; 1 口0c) 应建立网络安全应急专家库,积累应急相关专业技术领域的专家,可包括 安全事件分析专家、安全策略分析专家、安全产品专家、安全攻防专家、 威胁情报专家、应急演练指导专家、应急预案咨询专家等; 1 nod) 应定期对应急专家队伍的技术专家进行评估与调整。 i no第二部分应急制度评估4.应 急管理 制度(4分)a) 应掌握国家、行业或地方有关部门网络安全应急相关规定,以及网络安全 应急相关标准的最新情况,包括但不限于附录C列出的国家网络安全应急 政策
16、法规及国家标准; i nob) 网络安全应急管理制度应纳入组织整体网络安全管理制度体系; i noc) 应建立网络安全应急工作责任制,纳入网络安全责任制年度考核;d) 每年应对网络安全应急管理制度进行评估并及时修订。 i no5.应 急预 案(7分)a) 应明确主管部门或国家有关部门对应急预案的备案管理要求,并及时按规 定备案。 i nob) 应急预案可被相关网络安全应急人员方便获取,应急人员应熟悉应急预案 内容; i noc) 在制修订应急预案前应开展风险评估与应急资源调查,应结合组织自身信 息资产、业务运行、网络安全风险的特点制修订应急预案; i nod) 应急预案应明确预案适用范围,应结
17、合安全事件的类型、安全事件对业务 的影响范围和程度以及安全事件的敏感程度等因素,确定事件分级、预警 分级和响应分级的标准,并与上位预案相衔接; i noe) 应建立网络安全事件应急预案体系,包括总体应急预案、专项应急预案、 现场处置方案等。应规定统一的应急预案框架,包括启动预案的条件、应 急组织构成、应急资源保障、教育和培训等内容;应制定重要网络安全事 件、重要系统与重要活动的专项应急预案,明确相应报告、处置和响应流 程,对造成系统中断和造成信息泄露的重大安全事件应制定不同的报告程 序;应制定必要的现场处置方案,规定响应的现场处理、事件报告和后期 恢复的管理职责等; i nof) 应急预案应有
18、信息报告、处置记录等表格模板,且模板规范、要素齐全; 应急预案应有联系方式清单,包括应急值班24小时联系电话、资产责任 人联系方式、专家名单与联系方式、网络安全应急技术支撑队伍联系方式、 应急相关单位联系方式等;g) 每年应对应急预案进行评估并及时修订。 i no第三部分监测预警评估6.监测(6分)a) 应对资产变更、网络流量、日志信息、运行状态、性能状况等进行监测; i nob) 应对资产脆弱性、异常行为、安全事件等安全报警进行监测; i noc)重要监测数据留存时间应不少于6个月; i nod) 应设有监控中心与专业技术团队; i noe) 对于监测发现的安全隐患和可疑事件,应及时进行处理
19、,留存处理记录, 如研判可能发生安全事件应及时进行事件报告,应定期形成监测情况汇总 报告(月报、季报、年报); i nof) 应定期对网络安全监测能力进行评估并持续改进,提升准确率、降低误报 率。 1 口07. 分 析 研判 (5分)a) 应具备分析工具和分析方法,对日志、流量、漏洞、行为、恶意代码等方 面进行分析; 1 口0b) 应在网络协议、密码技术、数字取证、攻击、威胁、恶意软件与安全脆弱 性等方面具备专业分析人员,专业分析人员具备相关网络安全知识与分析 能力; 1 口0c) 在收到事件报告24小时内,应形成研判结论与分析报告,报告内容应包 括事件级别、事件类型、事件描述、事件起因、影响
20、范围、危害程度、处 置建议等; 1 口0d) 应进行多源信息融合与自动化关联分析,实时综合评估网络安全整体态 势; 1 口0e) 应定期对网络安全事件分析研判能力进行评估并持续改进。 1 口08.预警(7分)a) 应及时通过2种(含)以上渠道收集内外部网络安全威胁信息,包括内部 报告的安全隐患和可疑事件、外部发布的安全漏洞和网络攻击最新动态 等; 1 口0b) 应适当结合自动化技术手段,及时对网络安全威胁信息进行综合分析,包 括:事件的类别、起始时间、可能影响范围、警示事项、应采取的措施和 时限要求、发布部门等; 1 口0c) 应及时对内发布威胁信息,应采取风险防范措施,并形成记录; 1 口0
21、d) 经研判,对于可能造成较大影响的威胁信息,应按照主管部门或国家有关 部门的规定,及时上报威胁信息; 1 口0e) 应根据主管部门或国家有关部门规定,经批准后及时向其他相关组织通告 或向公众发布威胁信息; 1 口0f) 应持续跟踪威胁信息变化情况,及时向内部相关部门与外部相关组织补发 最新威胁信息; 1 口0g) 应定期对网络安全威胁应对与预警响应能力进行评估并持续改进。 1 口0第四部分应急处置评估9.信息报送与共享(6分)a) 应向可能受到影响的相关部门和其他相关组织进行事件通报; 1 口0b) 应持续跟踪事态变化情况,及时向内部相关部门和外部相关组织上报或通 报最新事件信息; 1 口0
22、c)应急通信联络设备设施应7*24小时保持畅通; 1 口0d) 应建立网络安全信息共享机制与渠道,向特定对象在脱敏后进行信息共 享; 1 口0e) 应具有独立的网络安全信息共享与分析中心与专业技术团队,应采用标准 化格式进行信息共享,宜与本行业、本领域有关网络安全威胁信息共享平 台进行对接;f) 应定期对网络安全信息报送与共享能力进行评估并持续改进。 1 口010. 事 件a) 应具备专业事件处置实施团队,团队成员应熟悉针对不同等级、不同类别 安全事件的专项应急预案与现场处置方案,应熟练掌握应急处置与备份恢 复工具的使用,以及抑制、根除、恢复等事件处置方法; 1 口0处置(9分)b) 应具备自
23、动化应急处置与灾备恢复工具设施,优先保障关键业务符合恢复 时间目标(RTO)、恢复点目标(RPO)等业务连续性要求,宜采用自动化机制 迅速控制事件影响,例如自动隔离启害程序事件、自动阻止网络攻击事件 等; 1 口0c) 应具备独立的不间断供电应急指挥中心,应建立应急指挥系统实现网络安 全应急响应全流程管理,支持电视电话会议,并与上、下级应急指挥系统 进行对接; 1 口0d) 对于未知的安全事件,应根据安全事件级别制定安全事件处置方案,包括 安全事件处置方法以及应采取的措施等,应及时实施事件处置,形成事件 处置记录; 1 口0e) 现场处置人员应及时进行先期处置,防止危害扩大; 1 口0f) 在
24、事件处置过程中,应校验处置结果,处置不当时应采取回退措施; 1 口0g) 在恢复系统后,应对系统恢复情况开展再评估,防止系统遭受二次破坏、 危害或故障; 1 口0h) 应监测并报告网络安全事件相关舆情信息,应根据主管部门或国家有关部 门规定,经批准后及时向社会公众通告突发事件情况,以及避免或减轻危 害的措施,防止恐慌; 1 口0i) 应定期对网络安全事件处置能力进行评估并持续改进。 1 口011.调查与总结(5分)a) 在应急响应结束后,应通过事件重现对事件起因进行调查、开展事件取证 分析,对事件处置过程合规性、及时性等进行评估,追溯安全责任; 1 口0b) 应在应急响应结束后10天内完成事件
25、调查与总结工作,形成事件总结报 告,报告内容应包括事件起因、性质、影响和责任,以及提出的处理意见 与整改措施等,应按照程序上报主管部门或国家有关部门; 1 口0c) 应具备事件取证专业人员,应根据事件取证相关规定,利用事件取证工具, 在事件发生后尽快备份数据、收集证据,开展事件取证分析,应确保所涉 及的事件处置活动被适当记录,便于日后分析; 1 口0d) 应为溯源提供可靠的日志,应包括网络访问日志、物理访问日志、审计日 志等; 1 口0e) 每年应对事件总结报告中措施落实整改情况进行评估,应急响应活动的经 验教训应得到改进。 1 口0第五部分预防保障评估12.日常 管理(3分)a) 应具有专职
26、的应急值守人员,实行全年领导带班和7*24小时值班; 1 口0b) 每年应对应急值守工作规范进行评估并及时修订; 1 口0c) 应建立网络安全应急工具台账清单,及时对软硬件进行升级维护,确保应 急工具处于有效状态。 1 口013.漏洞a) 应建立资产动态管理台账,应实现风险信息与资产的自动化比对; 1 口0b) 应进行挖掘系统安全漏洞的能力建设,宜具备独立挖掘漏洞的能力或采用 网络安全众测服务等方式拓展挖掘漏洞的渠道; 1 口0管理(3分)c) 应定期对漏洞管理能力进行评估并持续改进。 1 no14.宣 传 培 训 (5分)a) 针对应急预案涉及的部门和人员应制定年度培训计划,应按计划开展培
27、训,培训内容应至少包括:网络安全基本知识、网络安全应急有关法规政 策、应急预案、应急管理、应急技能等; i nob) 最高管理层成员与各部门负责人应参加网络安全应急知识培训; i noc) 应对参加培训的人员进行考核,考核通过才能继续任职; i nod)应定期组织应急人员参加网络与信息安全相关资质(如CISP-IRE、CCSRP等)的培训与认证; i noe) 每年应对培训计划与培训内容进行评估并持续更新。 i no15.应 急 演 练 (9分)a) 针对网络安全事件总体应急预案与专项应急预案应制定相应的应急演练 方案,演练方案应包括演练的规模、方式、范围、内容、组织、评估、总 结、演练脚本等
28、内容; i nob) 应制定年度应急演练计划,应按计划组织应急演练,每年应至少在仿真环 境或真实环境下组织1次应急预案的实战演练; i noc) 网络安全应急技术支撑队伍应定期组建攻守双方,组织实战攻防演练; i nod) 应定期组织跨组织、跨地域的应急演练; i noe) 应按规定参与和配合主管部门或国家有关部门组织开展的网络安全应急 演练; i nof) 重要应急演练应由应急领导机构组织开展,应按照程序向主管部门或国家 有关部门报告; i nog) 应急演练过程应由专业人员采用自动化技术进行记录; i noh) 应急演练效果评估与总结应有专家队伍成员参与; i noi) 每年应对应急演练方
29、案进行评估并持续完善。 i no实际得分合计附录H (资料性)附 录I国家网络安全应急政策法规及国家标准与本标准评估项的适用关系表C.1列出了国家网络安全应急政策法规及国家标准与本标准评估项的适用关系。表C. 1国家网络安全应急政策法规及国家标准与本标准评估项的适用关系国家网络安全应急政策法规及国家标准适用评估项中华人民共和国突发事件应对法5. 2. 1应急管理制度5. 2. la)中华人民共和国网络安全法5. 2. 1应急管理制度5.2. la)国家突发公共事件总体应急预案5. 2. 2应急预案5.2. 2a)突发事件应急预案管理办法5. 2. 2应急预案5. 2. 2 a)应急预案制定应符
30、合突 发事件应急预案管理办法的要求,6. 2.2应急预 案6.2.2f)应急预案修订的条件与程序应符合突 发事件应急预案管理办法第二十五条与第二十六 条的要求。国家网络安全事件应急预案5. 2. 2 应急预案 5. 2. 2a)、6. 2. 2 应急预案 6. 2. 2c)网络安全威胁信息发布管理办法6. 3. 3 预警 6. 3. 3 e)、6. 4. 2 事件处置 6. 4. 2h)GB/T 20985. 2信息技术 安全技术信息安全事件管理原理第2部分:事件响应规划和准备指南6. 1. 2支撑队伍6. 1. 2e)可参考GB/T 20985. 2第7,3 节建设支撑队伍的网络安全技术支撑
31、能力GB/Z 20986-2007信息安全技术信息安全事件分类分级指南6. 2. 2应急预案6. 2. 2c)GB/T 243632009信息安全技术 信息安全应急响应计划规范5. 2. 2应急预案5. 2. 2a)GB/T 366432018信息安全技术 网络安全威胁信息格式规范6. 4. 1信息报送与共享6. 4. Ie)可采用GB/T 36643-2018规定的标准化格式进行信息共享GB/T 386452020信息安全技术网络安全事件应急演练指南6. 5. 4应急演练6. 5. 4a)13 4 6 7 9 1011 12 13 14 15 16 17 18 19 20 21 22 232
32、4 2526 27282930参考文献GB/T 20985. 12017信息技术安全技术信息安全事件管理原理第1部分:事件管理原理 (ISO/IEC 27035-1:2016 MOD)GB/T 20985. 2XXXX信息技术安全技术信息安全事件管理原理第2部分:事件响应规划 和准备指南(ISO/IEC 27035-2:2016 MOD)GB/Z 20986-2007信息安全技术信息安全事件分类分级指南GB/T 222392019信息安全技术网络安全等级保护基本要求GB/T 24363-2009信息安全技术信息安全应急响应计划规范GB/T 25058-2019信息安全技术网络安全等级保护实施指
33、南GB/T 329242016信息安全技术网络安全预警指南GB/T 349422017信息安全技术云计算服务安全能力评估方法GB/T 366352018信息安全技术网络安全监测基本要求与实施指南GB/T 36643-2018信息安全技术网络安全威胁信息格式规范GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范GB/T 37046-2018信息安全技术灾难恢复服务能力评估准则GB/T 37521.22019重点场所防爆炸安全检查 第2部分:能力评估GB/T 37988-2019信息安全技术数据安全能力成熟度模型GB/T 38645-2020信息安全技术网络安全事
34、件应急演练指南GB/T XXXXX-XXXX信息安全技术关键信息基础设施网络安全保护基本要求GB/T XXXXX-XXXX信息安全技术关键信息基础设施安全控制措施GB/T XXXXX-XXXX信息安全技术关键信息基础设施安全防护能力评价方法YD/T 1799-2008网络与信息安全应急处理服务资质评估方法YD/T 18262008网络安全应急处理小组建设指南DL/T 5314-2014水电水利工程施工安全生产应急能力评估导则国家突发公共事件总体应急预案(2005年1月26日国务院第79次常务会议通过)中华人民共和国突发事件应对法(2007年8月30日第十届全国人民代表大会常务委员会第二十 九次
35、会议通过)突发事件应急预案管理办法(2013年10月25日国务院办公厅以国办发2013101号印发)中华人民共和国网络安全法(2016年11月7日第十二届全国人民代表大会常务委员会第二十四 次会议通过)国家网络安全事件应急预案(2017年1月10日中央网信办以中网办发文20174号印发)网络安全威胁信息发布管理办法(征求意见稿)(2019年11月20日国家互联网信息办公室发 布征求意见稿)ISO 22325:2016 Security and resilience - Emergency management - Guidelines for capability assessmentSoft
36、ware Engineering Institute at Carneige Mellon. Incident Management Capability Metrics, , sei. emu. edu/asset_files/TechnicalReport/2007_005_001_1487 3.pdfU. S. Department of Homeland Security. National Cyber Incident Response Plan, https:/ www. us-cert. gov/sites/default/files/ncirp/National Cyber l
37、ncident Response Plan. pdf31 ENISA. Study on CSIRT Maturity - Evaluation Process, publications/study-on-csirt-maturity-evaluation-process/at_download/fullReport32 RAND Europe. Developing Cybersecurity Capacity - A proof-of-concept implementation guide, https:/www. rand, org/content/dam/rand/pubs/res
38、earch_reports/RR2000/RR2072/RAND_RR207 2. pdf信息安全技术网络安全应急能力评估准则1范围本文件规定了对网络运营者开展网络安全应急能力评估的基本要求和增强能力,以及网络安全应急 能力评估的评估流程与能力等级划分的方法。本文件适用于对网络运营者开展网络安全应急能力评估,可由网络运营者进行自评估,也可由评估 机构进行第三方评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。GB/T 25069XXXX
39、 信息安全技术 术语3术语和定义GB/T 25069XXXX界定的以及下列术语和定义适用于本文件。3. 1网络安全应急响应 cybersecur i ty emergency response组织为应对突发/重大网络安全事件,在事前、事中和事后所采取的措施。3.2网名各安全应急能力 cybersecur i ty emergency response cabab i I i ty组织应对突发/重大网络安全事件的能力。4缩略语下列缩略语适用于本文件。CCSRP:网络与信息安全应急人员认证(certified cyber security response professional)CISP-IR
40、E :注册信息安全专业人员-应急响应工程师(certified information security professional-incident response engineer)5概述网络运营者的网络安全应急能力分为必须满足的基本要求与可进一步扩展的增强能力,基本要求见 第5章,增强能力见第6章。网络安全应急能力基本要求与增强能力都包括应急组织机构、应急制度、监 测预警、应急处置、预防保障5个方面共15个评估项,如图1所示:图1网络安全应急能力评估项6基本要求6.1 应急机构6.1.1 1. 1应急体系应设置网络安全应急负责人,应配备应急工作人员,应具有明确的岗位职责分工。6.1.2
41、技术支撑队伍应明确运营网络涉及到的系统和设备供应商的应急服务责任,并在相关协议中规定。6.1.3 专家队伍参与网络安全应急处置的外部专家应具备对网络安全事件进行研判、对应急措施提出改进建议等能 力。6. 2应急制度7. 2.1应急管理制度本项要求包括:a)应根据国家、行业或地方有关部门网络安全应急相关规定,以及网络安全应急相关标准等,制 定网络安全应急管理制度;b)网络安全应急管理制度应经正式审批后发布实施,并应进行版本控制。8. 2. 2应急预案本项要求包括:a)应根据国家、行业或地方有关部门应急预案相关规定,以及应急预案编制相关标准等,制定网 络安全事件应急预案,应急预案应规定事件分级分类
42、、事件报告流程、应急处置流程、系统恢 复流程等内容;b)应急预案应经正式审批后发布实施,并应进行版本控制。6.3监测预警6.3.1 监测本项要求包括:a)应具备网络安全事件监测技术措施,应对重要系统进行7*24小时实时监测,应形成监测记录;b)监测日志留存时间应不少于6个月。6. 3.2分析研判应根据应急预案判定是否发生了安全事件以及发生事件的类型与级别,并启动相应的应急预案。7. 3. 3预警应按照主管部门或国家有关部门的预警信息发布渠道与响应要求,根据预警信息及时采取风险防范 措施,并形成预警响应记录。8. 4应急处置9. 4.1信息报送与共享本项要求包括:a)应按照应急预案规定的事件报告
43、流程进行事件报告,应形成事件报告单;b)应按照主管部门或国家有关部门要求进行事件上报;10. 4. 2 事件处置本项要求包括:a)应具备日志提取、病毒检查、木马检查、网络扫描、渗透测试等网络安全应急处置工具;b)对于已知的安全事件应按照应急预案实施事件处置,包括抑制事态发展、根除事件根源、恢复 系统状态等,应形成事件处置记录;c)对于事件处置能力不足或不能应对的未知安全事件,应协调外部支援或按规定上报。11. 4. 3调查与总结本项要求包括:a)在应急响应结束后,应对网络安全事件起因、处置过程等进行调查,总结经验教训,形成事件 总结报告;b)对于未知的安全事件应分析并记录事件信息,使未知事件成
44、为已知事件,并文档化。6.5预防保障日常管理本项要求包括:a)应实行应急值守,并制定应急值守工作规范;b)应具备应急值守人员,应急值守人员应熟悉应急值守工作规范。6. 5. 2漏洞管理本项要求包括:a)应采取必要的措施识别安全漏洞,对发现的安全漏洞应在评估可能的影响后及时进行修补;b)接收主管部门或国家有关部门的漏洞通报后,应在规定时间内完成处置并反馈。6. 5. 3宣传培训本项要求包括:a)应定期对相关人员进行网络安全应急有关法规政策的宣传培训;b)应定期对相关人员进行应急预案的宣传培训,培训内容应至少包括应急职责、合作和分工、应 急预案启动条件、应急流程、应急处置方法等。应急演练本项要求包
45、括:a)每年应至少组织1次应急预案的演练,演练方式可为桌面演练或实战演练;b)应对应急演练过程进行记录,对演练效果进行总结,形成演练总结报告,及时解决发现的问题。7增强能力7.1 应急机构7.1.1 应急体系本项要求包括:a)应建立网络安全应急体系;b)应明确网络安全应急领导机构,负责人应由组织最高管理层分管领导担任,成员应由各相关部 门负责人组成,应明确各成员职责;c)应明确网络安全应急日常管理机构和网络安全应急管理职责分工;d)应明确网络安全应急相关部门及职责分工,每个部门应至少设置1名联系人;e)应定期对网络安全应急体系的科学性、合理性进行评估并持续改进。7.1.2 技术支撑队伍本项要求包括:a)应具