信息安全事件应急响应计划规范

《《《《信息安全事件应急响应计划规范信息安全事件应急响应计划规范信息安全事件应急响应计划规范信息安全事件应急响应计划规范》》》》引言1本标准根据《中华人民共和国计算机信息系统安全保护条例》，参照GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》、GB/T20988-2007《信息安全技术信息系统灾难恢复规范》、GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》、GB/T20984-2007《信息安全技术信息安全风险评估规范》、GB/T××××《信息系统安全等级保护定级指南》、GB/T××××《信息系统安全等级保护基本要求》以及NISTSP800-34《信息技术系统应急规划指南》和NISTSP800-61《计算机安全事件处理指南》等标准的有关部分，结合《国家通信保障应急预案》和《上海市网络与信息安全事件专项应急预案》以及相关行业技术发展和实践经验制定而成。信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减，但目前没有任何一种信息安全策略或防护措施，能够对信息系统提供绝对的保护。即使采取了防护措施，仍可能存在残留的弱点，使得信息安全防护变得无效，从而导致业务中断、系统宕机、网络瘫痪等信息安全事件发生，并对组织和业务运行产生直接或间接的负面影响。因此，为了减少信息安全事件对组织和业务的影响，应制定有效的信息安全应急响应计划。2信息安全应急响应计划的制定是一个周而复始、持续改进的过程，包含以下几个阶段：a）应急响应计划的编制准备；b）编制应急响应计划文档；c）应急响应计划的测试、培训、演练和维护。信息安全应急响应计划规范1.1.1.1.1.1范围本标准概述了编制本单位信息安全应急响应计划的前期准备，确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。本标准适用于为负责制定和维护本单位信息安全应急响应计划的人员提供指导。2规范性引用文件3下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。4GB/T20984-2007《信息安全技术信息安全风险评估规范》5GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》6GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》7GB/T20988-2007《信息安全技术信息系统灾难恢复规范》8GB/T×××××××《信息系统安全等级保护定级指南》9GB/T×××××××《信息系统安全等级保护基本要求》3术语和定义下列术语和定义适用于本标准。3.110信息系统InformationSystem11由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统[GB/Z20986-2007]。3.212信息安全事件InformationSecurityIncident13由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件[GB/Z20986-2007]。143.315业务影响分析BusinessImpactAnalysis16对业务功能及其相关信息系统资源进行分析，评估特定信息安全事件对各种业务功能的影响的过程。173.418应急响应EmergencyResponse19组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。203.521应急响应计划EmergencyResponsePlan22在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程。233.624灾难恢复DisasterRecovery25为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态，而设计的活动和流程[GB/T20988-2007]。263.727风险评估RiskAssessment28依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程[GB/T20984-2007]。293.830恢复时间目标RecoveryTimeObjective31信息安全事件发生后，信息系统或业务功能从停顿到应恢复的时间要求[GB/T20988-2007]。323.933恢复点目标RecoveryPointObjective34信息安全事件发生后，系统和数据应恢复到的时间点要求[GB/T20988-2007]。1.1.1.1.2.4缩略语BIA业务影响分析（BusinessImpactAnalysis）POC联系点（PointofContact）RTO恢复时间目标(RecoveryTimeObjective)RPO恢复点目标（RecoveryPointObjective）SLA服务水平协议（ServiceLevelAgreement）5应急响应计划的编制准备5.1风险评估35标识信息系统的资产价值，识别信息系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性。风险评估具体内容参见国家标准GB/T20984-2007《信息安全技术信息安全风险评估规范》5风险评估实施和6信息系统生命周期各阶段的风险评估。5.2业务影响分析5.2.1概述36业务影响分析（BIA）是在风险评估的基础上分析各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标。5.2.2分析业务功能和相关资源配置37对单位或者部门的各项业务功能及各项业务功能之间的相关性进行分析，确定支持各种业务功能的相应信息系统资源及其它资源，明确相关信息的保密性、完整性和可用性要求。5.2.3确定信息系统关键资源38对信息系统进行评估以确定系统所执行关键功能，并确定执行这些功能所需的特定系统资源。5.2.4确定信息安全事件影响39应采用如下的定量和/或定性的方法，对业务中断、系统宕机、网络瘫痪等信息安全事件造成的影响进行评估：a）定量分析：以量化方法，评估业务中断、系统宕机、网络瘫痪等可能给组织带来的直接经济损失和间接经济损失；b）定性分析：运用归纳与演绎、分析与综合以及抽象与概括等方法，评估业务中断、系统宕机、网络瘫痪等可能给组织带来的非经济损失，包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等。5.2.5确定应急响应的恢复目标40根据业务影响分析的结果，同时结合GB/T××××《信息系统安全等级保护定级指南》和GB/T××××《信息系统安全等级保护基本要求》，确定应急响应的恢复目标，包括：a）关键业务功能及恢复的优先顺序；b）恢复时间范围，即恢复时间目标（RTO）和恢复点目标（RPO）的范围。5.3制定应急响应策略5.3.1概述应急响应策略提供了在业务中断、系统宕机、网络瘫痪等信息安全事件发生后快速有效地恢复信息系统运行的方法。这些策略应涉及到在业务影响分析（BIA）中确定的应急响应的恢复目标。5.3.2系统恢复能力等级划分41系统恢复能力可以划分为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持及数据零丢失和远程集群支持等六个等级，具体划分遵照GB/T××××《信息安全技术信息系统安全等级保护基本要求》和GB/T20988-2007《信息安全技术信息系统灾难恢复规范》附录A灾难恢复能力等级划分。5.3.3系统恢复资源的要求系统恢复资源的要求遵照GB/T20988-2007《信息安全技术信息系统灾难恢复规范》6.3灾难恢复资源的要求。5.3.4费用考虑信息系统的使用或管理组织（以下简称“组织”）应确保有足够的人员和资金执行所选择的策略。各种类型的备用站点、设备更换和存储方式的费用应和预算限制相平衡。应保证预算充足，应包括软件、硬件、差旅及运送、测试、计划培训项目、意识培训项目、劳务、其它合同服务以及任何其它适用资源的费用。组织应进行成本效益分析，以确定最佳应急响应策略。6编制应急响应计划文档6.1概述编制信息安全应急响应计划文档是应急响应规划过程中的关键一步。应急响应计划应描述支持应急操作的技术能力并适应机构及其需求。应急响应计划需要在详细程度和灵活程度之间取得平衡，通常是计划越详细，其方法就越缺乏弹性和通用性。本标准作为指导性，给出了编制应急响应计划的要点。计划编制者应根据实际情况对其内容进行适当地调整、充实和本地化，以更好地满足组织特定的系统、操作和机构需求。同时可以参考GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》8使用。应急响应计划应能为信息安全事件中不熟悉计划的人员或要求进行恢复操作的系统提供快速明确的指导。计划应明确、简洁、易于在紧急情况下执行，并尽量使用检查列表和详细规程。应急响应计划文档包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件六个部分。6.2总则总则部分提供了重要的背景或相关信息，使应急响应计划更容易理解、实施和维护。通常这部分包括编制目的、编制依据、适用范围、工作原则等。a）编制目的：：：：介绍制定信息安全应急响应计划的原因和目标；b）编制依据：：：：说明编制信息安全应急响应计划的依据；c）适用范围：：：：说明计划的作用范围，解决哪些问题，不解决哪些问题；d）工作原则：：：：确定应急响应计划组织和实施原则。6.3角色及职责6.3.1角色的划分42组织应结合本单位日常机构建立信息安全应急响应的工作机构，并明确其职责。其中一些人可负责两种或多种职责，一些职位可由多人担任（应急响应计划文档中应明确他们的替代顺序）。43应急响应的工作机构由管理、业务、技术和行政后勤等人员组成，一般来说，按角色可划分为五个功能小组：应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组等。实际中，可以不必专门成立对应的功能小组，组织可以根据自身情况由其具体的某个或某几个部门或部门中的某几个人担当其中的一个或几个角色。组织可聘请具有相应资质的外部专家协助应急响应工作，也可委托具有相应资质的外部机构承担实施小组以及日常运行小组的部分或全部工作。在聘请外部专家协助应急响应工作或者委托外部机构承担部分或者全部应急响应工作时需要和其签订相关协议（例如签订有关信息保密要求等）。6.3.2功能小组的职责6.3.2.1应急响应领导小组44应急响应领导小组是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要如下：a）对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源（人财物）等；b）审核并批准应急响应策略；c）审核并批准应急响应计划；d）批准和监督应急响应计划的执行；e)启动定期评审、修订应急响应计划；f)负责组织的外部协作工作。6.3.2.2应急响应技术保障小组应急响应技术保障小组的主要职责包括：a）制定信息安全事件技术应对表；b)制定信息安全事件区域技术应对表；c）制定具体角色和职责分工细则；d）制定应急响应协同调度方案；e）考察和管理相关技术基础。6.3.2.3应急响应专家小组应急响应专家小组的主要职责包括：a)对重大信息安全事件进行评估,提出启动应急响应级别的建议；b)研究分析信息安全事件的相关情况及发展趋势，为应急响应提供咨询或提出建议；c)分析信息安全事件原因及造成的危害，为应急响应提供技术支持。6.3.2.4应急响应实施小组45应急响应实施小组的主要职责包括：a）分析应急响应需求（如风险评估、业务影响分析等）；b）确定应急响应策略和等级；c）实现应急响应策略；d）编制应急响