ICS35.020L09DB11北京市地方标准DB11/T1599—2018政务部门信息安全应急预案编制指南Preparationguidelinesforgovernmentdepartments'informationsecurityemergencyplans2018-12-17发布2019-04-01实施北京市市场监督管理局发布DB11/T1599—2018目次前言......................................................................................iii范围.....................................................................................12规范性引用文件..........................................................................13术语和定义..............................................................................14应急预案体系............................................................................25应急预案编制流程........................................................................36总体应急预案基本内容....................................................................67专项应急预案基本内容....................................................................88现场处置方案基本内容...................................................................10附录A(资料性附录)北京市某局信息安全事件总体应急预案示例.......................11附录B(资料性附录)北京市某局网页篡改事件专项应急预案示例.......................18附录C(资料性附录)北京市某局网页篡改事件现场处置方案示例.......................22IDB11/T1599—2018刖本标准按照GB/T1.1—2009给出的规则起草。本标准由北京市经济和信息化局提出并归口。本标准由北京市经济和信息化局组织实施。本规范起草单位:北京市政务信息安全应急处置中心、中国科学院信息工程研究所、北京邮电大学。本规范主要起草人:王宗君、刘鹏、刘国伟、郭子亮、康振、魏彬、刘宝旭、王枞、刘建毅、刘涛、郭立生、杨泽明、荣晓燕、肖静、王汉臣。IIDB11/T1599—2018政务部门信息安全应急预案编制指南1范围本标准规定了政务部门信息安全应急预案的预案体系、编制流程、总体预案、专项预案和现场处置方案的基本内容。本标准适用于政务部门信息安全应急预案的编制与修订工作,其他社会组织和单位信息安全应急预案的编制可参照本标准执行。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20984信息安全技术信息安全风险评估规范GB/T20985.1—2017信息技术安全技术信息安全事件管理第1部分:事件管理原理GB/Z20986—2007信息安全技术信息安全事件分类分级指南GB/T22239信息安全技术信息系统安全等级保护基本要求GB/T22240信息安全技术信息系统安全等级保护定级指南GB/T24363—2009信息安全技术信息安全应急响应计划规范GB/T25069—2010信息安全技术术语GB/T31509信息安全技术信息安全风险评估实施指南GB/T32926信息安全技术政府部门信息技术服务外包信息安全管理规范3术语和定义下列术语和定义适用于本文件。1信息系统informationsystem由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/Z20986—2007,定义2.2]3.信息安全事件informationsecurityincident由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。[GB/Z20986—2007,定义2.2]1DB11/T1599—2018政务部门信息安全专项应急预案图1政务部门信息安全应急预案体系应急预案emergencyplan一种关于备份、应急响应和灾后恢复的计划。[GB/T25069—2010,定义22.3.4]3.4关键信息基础设施criticalinformationinfrastructure关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。注:《中华人民共和国网络安全法》规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统。4应急预案体系4.1应急预案体系架构政务部门信息安全应急预案体系由部门信息安全总体应急预案、部门信息安全专项应急预案和现场处置方案构成,如图1所示。现场处置方案24.2政务部门信息安全总体应急预案DB11/T1599—20184.2.1政务部门信息安全总体应急预案是根据上级应急预案要求,针对信息安全事件综合性的应急响应程序和要求。是政务部门信息安全应急预案体系的总纲,是管辖范围内所有专项预案、现场处置方案的总体指导性文件。4.2.2政务部门信息安全总体应急预案应明确各政务部门信息安全应急工作的基本要求。4.3政务部门信息安全专项应急预案4.3.1政务部门信息安全专项应急预案是对某种类型或某几种类型的信息安全事件、对关键信息基础设施而预先制定的应急响应预案,分为信息安全事件专项预案、关键信息基础设施专项预案和重大活动信息安全保障预案三类。4.3.2政务部门信息安全专项应急预案是总体预案的细化,应对应急人员、应急流程、保障措施提出具体要求,对技术要求进行专项设计。4.4现场处置方案现场处置方案是在总体预案和专项预案的指导下,针对政务部门网络与信息系统制定的适合现场应急处置的技术性方案,是专项应急预案的细化,具体指导现场工作人员对各个信息系统或信息安全事件应急响应的工作。5应急预案编制流程5.1基本流程应急预案编制的基本流程为启动应急预案编制、应急体系调查、风险评估、业务影响分析、应急资源和能力评估、应急预案编制、应急预案评审及修订、应急预案发布及备案、应急预案管理与维护,应急预案编制流程如图2所示。图2应急预案编制流程3DB11/T1599—20185.2启动应急预案编制5.2.1根据应急处置目标政务部门应成立由应急工作负责人员、相关专业的外部专家、专业技术队伍、相关系统使用人员组成的应急预案编制工作组,应急预案编制工作组的组成,包括但不限于,各业务部门、各信息部门、各保障小组、各专家组。5.2.2制定应急预案编制计划,明确各小组的职责及接口人,外聘专家名单;预案编制计划时间表及各阶段的具体目标;预案编制工作开展的方式及方法。5.2.3提供开展应急预案编制工作所需的各项资源。5.3应急体系调查5.3.1收集了解政务部门的基本情况、组织环境、现有的应急体系等信息;收集己有的应急预案、己发生应急事件及处置手段和方法及其他应急相关资料;评估现有应急体系的完备性。5.3.2应急体系调查应包括但不限于以下内容:一一己有的应急预案,包括正在使用及废弃的预案;一一应急处置事件总结,包括原因、过程、处置手段及方法;一一现有的应急体系情况,包括但不限于人力、物质、技术、制度;一一现有应急体系分析、评价。5.4风险评估5.4.1风险评估是编制应急预案关键过程,风险评估的结果是确定重点考虑的应急对象,划分应急响应优先级的依据,政务部门应结合己有的安全措施和结合风险评估的结果确定应急响应工作的重点。5.4.2风险评估工作应按照GB/T20984和GB/T31509的要求,完成以下工作:——对关键信息基础设施列表;一一确定风险评估的目标;一一制定风险评估的工作计划,确定工作方式方法;一一对资产、威胁和脆弱性进行识别;一一甄别现有安全措施;一一对残余风险及其可能导致的后果进行评估。5.5业务影响分析业务影响分析应分析信息安全事件发生时所产生的损失和恢复所需信息系统资源,并符合GB/T22239和GB/T22240中所规定的要求,包括但不限于以下内容:一一业务现状分析,明确业务流程、功能、渠道和连续性;一一信息系统现状分析,明确功能、拓扑、关联关系、中断影响;一一分析信息安全事件影响分析;一一分析信息系统应急处置优先级及恢复目标的确定。5.6应急资源和能力评估应急资源和能力评估至少应包括物质资源、人力资源、技术资源、流程资源、外包服务商评估,具体评估包括但不限于以下内容:一一物质资源评估:应评估可用于信息安全应急响应工作的各项工具、设备和设施资源,确定在应急响应工作中可投入使用的物质资源,包括资源的类型、功能、作用和投入时间等;4DB11/T1599—2018一一人力资源评估:应评估在信息安全应急响应工作中可以投入的人力资源、组织架构、技术支撑等,重点评估各应急岗位投入人员的数量、人员的技术能力和相关经验;一一技术资源评估:应评估在信息安全应急响应工作中的技术资源,包括采用的安全技术和安全产品,以及安全产品之间的互补性及可能存在的缺陷等;一一流程资源评估:应评估信息安全应急响应工作中现有的流程资源,包括明确资产和安全风险、应急响应工作的职责分配、现有的应急预案和灾难恢复计划、应急社会网络和其他应急机构的应急支援流程、应急资源的统一调配流程、以往信息安全事件及处理经验等;一一外包服务商评估:评估外包服务商在实际操作中的能力和应急响应程度,包括但不限于服务商资质、应急响应能力、应急响应物资等,并按照GB/T32926对外包服务商进行安全评估。5.7应急预案编制应急预案编制应符合信息安全相关法律法规、标准和其他应急预案编制的相关要求,政务部门应结合实际工作,完成应急预案的编制。应急预案应符合以下要求:一一应符合信息安全相关法律法规,国家应合规国家、行业和地方标准的相关要求;一一应合规、准确、完整;一一应方便查阅;一一在紧急情况启用时应便于实施。5.8应急预案评审5.8.1应急预案编制完成后,政务部门应对应急预案的适用性、科学性、合理性、针对性及规范性进行审核。应急预案的审核分为内部审核和专家评审,审核后应及时根据评审意见对应急预案进行修订。5.8.2政务部门内与信息安全应急管理相关的人员对应急预案应进行内部审查,审查应包括但不限于以下内容:一一应急组织体系;——应急需求;——预案可操作性;一一信息一致性;——有效性;一一可控性;——文字内容可读性。5.8.3应组织政务部门外信息安全、应急保障、应急管理等领域的专业人员成立的预案评审组对应急预案进行专家审查,评审组专家应不少于5人,审查应包括但不限于以下内容:一一应急预案规范性;一一应急预案体系的合理性;一一应急处置过程风险