- 您的位置:
- 标准下载网 >>
- 标准分类 >>
- 国家标准(GB) >>
- GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
【国家标准(GB)】 信息安全技术 信息安全应急响应计划规范
本网站 发布时间:
2024-10-25 08:42:53
- GB/T24363-2009
- 现行
标准号:
GB/T 24363-2009
标准名称:
信息安全技术 信息安全应急响应计划规范
标准类别:
国家标准(GB)
标准状态:
现行-
发布日期:
2009-09-30 -
实施日期:
2009-12-01 出版语种:
简体中文下载格式:
.rar .pdf下载大小:
5.99 MB
标准内容部分标准内容:
ICS35.040
中华人民共和国国家标准
GB/T24363-2009
信息安全技术
信息安全应急响应计划规范
Information securitytechnology-Specifications of emergency response plan for information security2009-09-30发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2009-12-01实施
规范性引用文件
术语和定义
缩略语Www.bzxZ.net
应急响应计划的编制准备
5.1风险评估
业务影响分析
5.3制定应急响应策略
编制应急响应计划文档
角色及职责
预防和预警机制
应急响应流程
6.6应急响应保障措施
6.7编制计划必需的附件
7应急响应计划的测试、培训、演练和维护7.1应急响应计划的测试、培训和演练·7.2应急响应计划的管理和维护
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
参考文献
信息安全应急响应计划示例
业务影响分析(BIA)示例
业务影响分析(BIA)模板
呼叫树示例和联系人清单表
GB/T24363—2009
一××大学信息安全应急响应预案··10
本标准的附录A、附录B、附录C、附录D为资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。GB/T24363-2009
本标准起草单位:中国科学院研究生院国家计算机网络人侵防范中心、中国电子技术标准化研究所。
本标准主要起草人:张玉清、付安民、肖晖、游双燕、刘奇旭、宋杨、陈深龙、许玉娜、上官晓丽。GB/T24363—2009
本标推根据《中华人民共和国计算机信息系统安全保护条例》,参照GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》、GB/T20988一2007《信息安全技术信息系统灾难复规范》、GB/Z20986--2007《信息安全技术信息安全事件分类分级指南》、GB/T20984-2007《信息安全技术信息安全风险评估规范》、GB/T22240《信息安全技术信息系统安全等级保护定级指南》、GB/T22239《信息安全技术信息系统安全等级保护基本要求》以及NISTSP800-34《信息技术系统应急规划指南》和NISTSP800-61《计算机安全事件处理指南》等标准的有关部分,结合《国家通信保障应急预案》和《上海市网络与信息安全事件专项应急预案》以及相关行业技术发展和实践经验制定而成。信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减,但没有任何一种信息安全策略或防护措施,能够对信息系统提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护可能被攻破,从而导致业务中断、系统岩机、网络瘫痰等突发/重大信息安全事件发生,并对组织和业务的运行产生直接或间接的负面影响。因此,为了减少信息安全享件对组织和业务的彩响,应制定有效的信息安全应急响应计划,并形成预案。
信息安全应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段:a)
应急响应计划的编制准备;
编制应急响应计划文档;
应急响应计划的测试、培训、演练和维护。c)
1范围
信息安全技术
信息安全应急响应计划规范
GB/T24363—2009
本标准规定了编制信息安全应急响应计划的前期准备,确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。
本标准适用于包括整个组织、组织中的部门和组织的信息系统(包括网络系统)的各层面上的信息安全应急响应计划。
本标准为负责制定和维护信息安全应急响应计划的人员提供指导。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T20984—20071
信息安全技术信息安全风险评估规范GB/Z20985一2007信息技术安全技术信息安全事件管理指南GB/Z20986—2007
GB/T20988--2007
GB/T22239—2008
GB/T22240—2008
3术语和定义
信息安全技术信息安全事件分类分级指南信息安全技术信息系统灾难恢复规范信息安全技术
信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息安全技术
下列术语和定义适用于本标准。3.1
信息系统informationsystem
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/Z20986-2007]
信息安全事件informationsecurityincident由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。
[GB/Z20986—2007]
fbusiness impactanalysis
业务影响分析
对业务功能及其相关信息系统资源进行分析,评估特定信息安全事件对各种业务功能的影响的过程。3.4
emergencyresponse
应急响应
组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。GB/T24363—2009
应急购应计划
Jemergency response pian
组织为了应对突发/重大信息安全事件而编制的,对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。
灾难恢复disasterrecowery
为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。[GB/T20988—2007]
风险评估riskassessment
依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。[GB/T20984--2007]
recovery time objective
恢复时间自标
信息安全事件发生后,信息系统或业务功能从停顿到淡复的时间要求。[GB/T20988—2007]
恢复点目标
recovery point objective
信息安全事件发生后,系统和数据应恢复到的时间点的要求。[GB/T20988--2007]
4缩略语
BIA业务影响分析(BusinessImpactAnalysis)POC联系点((PointofContact)RTO
恢复时间目标(RecoveryTimeObjective)RPO恢复点目标(RecoveryPointObjective)SLA服务水平协议(ServiceLevelAgreement)5应急购应计划的缩制准备
5.1风险评估
标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性。风险评估具体内容见GB/T20984--2007的第5章风险评估实施和第6章信息系统生命周期各阶段的风险评估。5.2业务影响分析
5.2.1概述
业务影响分析(BIA)是在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标。5.2.2分析业务功能和相关资源配置对单位或者部门的各项业务功能及各项业务功能之间的相关性进行分析,确定支持各种业务功能的相应信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求。2
5.2.3确定信息系统关键资源
GB/T24363—2009
对信息系统进行评估,以确定系统所执行的关键功能,并确定执行这些功能所需的特定系统资源。5.2.4确定信息安全事件影响
应采用如下的定量和/或定性的方法,对业务中断、系统岩机、网络瘫痪等信息安全事件造成的影响进行评估:
a)定量分析一以量化方法,评估业务中断、系统岩机、网络瘫痪等可能给组织带来的直接经济损失和间接经济损失;
定性分析一一运用归纳与演绎、分析与综合以及抽象与概括等方法,评估业务中断、系统岩机、网络瘫痪等可能给组织带来的非经济损失,包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等。
5.2.5确定应急响应的恢复目标
根据业务影响分析的结果,同时结合GB/T22239和GB/T22240,确定应急响应的恢复目标,包括:
关键业务功能及恢复的优先顺序;b)恢复时间范围,即恢复时间目标(RTO)和恢复点目标(RPO)的范围。5.3制定应急响应策略
5.3.1概述
应急响应策略提供了在业务中断、系统岩机、网络瘫痪等信息安全事件发生后,快速有效地恢复信息系统运行的方法。这些策略应涉及到在业务影响分析(BIA)中确定的应急响应的恢复目标。5.3.2系统恢复能力等级划分
系统恢复能力可以划分为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持、数据零丢失及远程集群支持等6个等级,具体划分遵照GB/T20988—2007的附录A灾难恢复能力等级划分。5.3.3系统恢复资源的要求
系统恢复资源的要求遵照GB/T20988—2007的6.3灾难恢复资源的要求。5.3.4费用考虑
信息系统的使用或管理组织(以下简称“组织”)应确保有足够的人员和资金执行所选择的策略。各种类型的备用站点、设备更换和存储方式的费用应与预算限制相平衡。应保证预算充足,应包括软件、硬件、差旅及运送、测试、计划培训项目、意识培训项目、劳务、其他合同服务以及任何其他适用资源的费用。组织应进行成本效益分析,以确定最佳应急响应策略。6编制应急响应计划文档
6.1概述
编制信息安全应急响应计划文档是应急响应规划过程中的关键一步。应急响应计划应描述支持应急操作的技术能力,并适应机构需求。应急响应计划需要在详细程度和灵活程度之间取得平衡,通常是计划越详细,其方法就越缺乏弹性和通用性。本标准说明了编制应急响应计划的要点。计划编制者应根据实际情况对其内容进行适当地调整、充实和本地化,以更好地满足组织特定的系统、操作和机构需求。同时可以参考GB/Z20985--2007的第8章使用。应急响应计划应能为信息安全事件中不熟悉计划的人员或要求进行恢复操作的系统提供快速明确的指导。计划应明确、简洁、易于在紧急情况下执行,并尽量使用检查列表和详细规程。应急响应计划文档包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个部分。
GB/T24363—2009
6.2总则
总则部分提供了重要的背景或相关信息,使应急响应计划更容易理解、实施和维护。通常这部分包括编制目的、编制依据、适用范围、工作原则等。编制目的:介绍制定信息安全应急响应计划的原因和目标;a)
b)编制依据:说明编制信息安全应急响应计划的依据;适用范围:说明计划的作用范围,解决哪些问题,不解决哪些问题;c)
d)工作原则:确定应急响应计划的组织和实施原则。6.3角色及职责
6.3.1角色的划分
组织应结合本单位日常机构建立信息安全应急响应的工作机构,并明确其职资。其中一些人可负责两种或多种职责,一些职位可由多人担任(应急响应计划文档中应明确他们的替代顺序)。应急响应的工作机构由管理、业务、技术和行政后等人员组成,一般来说,按角色可划分为5个功能小组:应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组等。组织应该根据其所具备的技能和知识将人员分配到这些小组中,理想的情况是,分配到相关小组中的人员在正常条件下负资的是相同或类似的工作。实际中,可以不必成立专门机构对应各功能小组,组织可以根据自身情况由其具体的某个或某几个部门或部门中的某几个人担当其中的一个或几个角色。组织可聘请具有相应资质的外部专家协助应急响应工作,也可委托具有相应资质的外部机构承担实施小组以及日常运行小组的部分或全部工作。在聘外部专家协助应急响应工作或者委托外部机构承担部分或者全部应急响应工作时,需要和其签订相关协议(例如信息保密协议、服务水平协议、服务持续协议等)。
6.3.2功能小组的职贵
6.3.2.1应急响应领导小组
应急响应领导小组是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。领导小组的职宽是领导和决策信息安全应急响应的重大事宜,主要如下,对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人、财、物)等;a)
b)审核并批推应急响应策略;
审核并批准应急响应计划;
批准和监督应急响应计划的执行;启动定期评审、修订应急响应计划;e)
负责组织内部的、外部的协调工作。6.3.2.2应急响应技术保障小组
应急响应技术保障小组的主要职费包括:制定信息安全事件技术应对表;a)
b)制定具体角色和职责分工细则;c)
制定应急响应协同调度方案;
d)考察和管理相关技术基础。
6.3.2.3应急哟应专家小组
应急响应专家小组的主要职责包括:对重大信息安全事件进行评估,提出启动应急响应的建议;a)
b)研究分析信息安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议;分析信息安全事件原因及造成的危害,为应急响应提供技术支持。c)
6.3.2.4应急响应实施小组
应急响应实施小组的主要职责包括:a)
分析应急响应需求(如风险评估、业务影响分析等);b)
确定应急响应策略和等级;
实现应急响应策略;
编制应急响应计划文档;
实施应急响应计划;
组织应急响应计划的测试、培训和演练;合理部署和使用应急响应资源;总结应急响应工作,提交应急响应总结报告;i)
执行应急响应计划的评审、修订任务。6.3.2.5应急响应日常运行小组
应急响应日常运行小组的主要职责包括:协助灾难恢复系统的实施;
备份中心的日常管理;
备份系统的运行与维护;
应急监控系统的运作和维护;
落实基础物质的保障工作:
维护和管理应急响应计划文档;g)
信息安全事件发生时的损失控制和损害评估;h)
参与和协助应急响应计划的测试、培训和演练。6.3.3组织的外部协作
GB/T24363-—2009
组织应与相关管理部门、设备设施及服务提供商(包括通信、电力等)、利益相关方和新闻媒体等保持联络和协作,以确保在信息安全事件发生时,能及时通报准确情况并获得适当支持。6.4预防和预警机制
6.4.1信息监测及报告
组织应加强信息安全监测、分析和预警工作,建立信息安全事件报告和通报制度,发生信息安全事件的单位或者部门应当在信息安全事件发生后,立即向应急响应日常运行小组报告。6.4.2预警
应急响应日常运行小组接到信息安全事件报告后,应当经初步核实后,将有关情况及时向应急响应领导小组报告,并进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。应急响应领导小组视情况召集协调会,决策行动方案,发布指示和命令。6.4.3预防
积极推行信息安全等级保护制度,基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复。
预防机制应被记录在应急响应计划中,应对系统相关的人员进行培训,使他们明确如何以及何时使用预防机制。预防机制应得到维护以处于良好状态,确保它们在信息安全事件中的有效性。6.5应急响应流程
6.5.1事件通告
6.5.1.1信息通报
6.5.1.1.1组织内信息通报
在信息安全事件发生后,应通知应急响应日常运行小组,使其能够确定事态的严重程度和下一步将要采取的行动。在损害评估完成后,应通知应急响应领导小组。5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T24363-2009
信息安全技术
信息安全应急响应计划规范
Information securitytechnology-Specifications of emergency response plan for information security2009-09-30发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2009-12-01实施
规范性引用文件
术语和定义
缩略语Www.bzxZ.net
应急响应计划的编制准备
5.1风险评估
业务影响分析
5.3制定应急响应策略
编制应急响应计划文档
角色及职责
预防和预警机制
应急响应流程
6.6应急响应保障措施
6.7编制计划必需的附件
7应急响应计划的测试、培训、演练和维护7.1应急响应计划的测试、培训和演练·7.2应急响应计划的管理和维护
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
参考文献
信息安全应急响应计划示例
业务影响分析(BIA)示例
业务影响分析(BIA)模板
呼叫树示例和联系人清单表
GB/T24363—2009
一××大学信息安全应急响应预案··10
本标准的附录A、附录B、附录C、附录D为资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。GB/T24363-2009
本标准起草单位:中国科学院研究生院国家计算机网络人侵防范中心、中国电子技术标准化研究所。
本标准主要起草人:张玉清、付安民、肖晖、游双燕、刘奇旭、宋杨、陈深龙、许玉娜、上官晓丽。GB/T24363—2009
本标推根据《中华人民共和国计算机信息系统安全保护条例》,参照GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》、GB/T20988一2007《信息安全技术信息系统灾难复规范》、GB/Z20986--2007《信息安全技术信息安全事件分类分级指南》、GB/T20984-2007《信息安全技术信息安全风险评估规范》、GB/T22240《信息安全技术信息系统安全等级保护定级指南》、GB/T22239《信息安全技术信息系统安全等级保护基本要求》以及NISTSP800-34《信息技术系统应急规划指南》和NISTSP800-61《计算机安全事件处理指南》等标准的有关部分,结合《国家通信保障应急预案》和《上海市网络与信息安全事件专项应急预案》以及相关行业技术发展和实践经验制定而成。信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减,但没有任何一种信息安全策略或防护措施,能够对信息系统提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护可能被攻破,从而导致业务中断、系统岩机、网络瘫痰等突发/重大信息安全事件发生,并对组织和业务的运行产生直接或间接的负面影响。因此,为了减少信息安全享件对组织和业务的彩响,应制定有效的信息安全应急响应计划,并形成预案。
信息安全应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段:a)
应急响应计划的编制准备;
编制应急响应计划文档;
应急响应计划的测试、培训、演练和维护。c)
1范围
信息安全技术
信息安全应急响应计划规范
GB/T24363—2009
本标准规定了编制信息安全应急响应计划的前期准备,确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。
本标准适用于包括整个组织、组织中的部门和组织的信息系统(包括网络系统)的各层面上的信息安全应急响应计划。
本标准为负责制定和维护信息安全应急响应计划的人员提供指导。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T20984—20071
信息安全技术信息安全风险评估规范GB/Z20985一2007信息技术安全技术信息安全事件管理指南GB/Z20986—2007
GB/T20988--2007
GB/T22239—2008
GB/T22240—2008
3术语和定义
信息安全技术信息安全事件分类分级指南信息安全技术信息系统灾难恢复规范信息安全技术
信息系统安全等级保护基本要求信息系统安全等级保护定级指南信息安全技术
下列术语和定义适用于本标准。3.1
信息系统informationsystem
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/Z20986-2007]
信息安全事件informationsecurityincident由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。
[GB/Z20986—2007]
fbusiness impactanalysis
业务影响分析
对业务功能及其相关信息系统资源进行分析,评估特定信息安全事件对各种业务功能的影响的过程。3.4
emergencyresponse
应急响应
组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。GB/T24363—2009
应急购应计划
Jemergency response pian
组织为了应对突发/重大信息安全事件而编制的,对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。
灾难恢复disasterrecowery
为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。[GB/T20988—2007]
风险评估riskassessment
依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。[GB/T20984--2007]
recovery time objective
恢复时间自标
信息安全事件发生后,信息系统或业务功能从停顿到淡复的时间要求。[GB/T20988—2007]
恢复点目标
recovery point objective
信息安全事件发生后,系统和数据应恢复到的时间点的要求。[GB/T20988--2007]
4缩略语
BIA业务影响分析(BusinessImpactAnalysis)POC联系点((PointofContact)RTO
恢复时间目标(RecoveryTimeObjective)RPO恢复点目标(RecoveryPointObjective)SLA服务水平协议(ServiceLevelAgreement)5应急购应计划的缩制准备
5.1风险评估
标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性。风险评估具体内容见GB/T20984--2007的第5章风险评估实施和第6章信息系统生命周期各阶段的风险评估。5.2业务影响分析
5.2.1概述
业务影响分析(BIA)是在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标。5.2.2分析业务功能和相关资源配置对单位或者部门的各项业务功能及各项业务功能之间的相关性进行分析,确定支持各种业务功能的相应信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求。2
5.2.3确定信息系统关键资源
GB/T24363—2009
对信息系统进行评估,以确定系统所执行的关键功能,并确定执行这些功能所需的特定系统资源。5.2.4确定信息安全事件影响
应采用如下的定量和/或定性的方法,对业务中断、系统岩机、网络瘫痪等信息安全事件造成的影响进行评估:
a)定量分析一以量化方法,评估业务中断、系统岩机、网络瘫痪等可能给组织带来的直接经济损失和间接经济损失;
定性分析一一运用归纳与演绎、分析与综合以及抽象与概括等方法,评估业务中断、系统岩机、网络瘫痪等可能给组织带来的非经济损失,包括组织的声誉、顾客的忠诚度、员工的信心、社会和政治影响等。
5.2.5确定应急响应的恢复目标
根据业务影响分析的结果,同时结合GB/T22239和GB/T22240,确定应急响应的恢复目标,包括:
关键业务功能及恢复的优先顺序;b)恢复时间范围,即恢复时间目标(RTO)和恢复点目标(RPO)的范围。5.3制定应急响应策略
5.3.1概述
应急响应策略提供了在业务中断、系统岩机、网络瘫痪等信息安全事件发生后,快速有效地恢复信息系统运行的方法。这些策略应涉及到在业务影响分析(BIA)中确定的应急响应的恢复目标。5.3.2系统恢复能力等级划分
系统恢复能力可以划分为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持、数据零丢失及远程集群支持等6个等级,具体划分遵照GB/T20988—2007的附录A灾难恢复能力等级划分。5.3.3系统恢复资源的要求
系统恢复资源的要求遵照GB/T20988—2007的6.3灾难恢复资源的要求。5.3.4费用考虑
信息系统的使用或管理组织(以下简称“组织”)应确保有足够的人员和资金执行所选择的策略。各种类型的备用站点、设备更换和存储方式的费用应与预算限制相平衡。应保证预算充足,应包括软件、硬件、差旅及运送、测试、计划培训项目、意识培训项目、劳务、其他合同服务以及任何其他适用资源的费用。组织应进行成本效益分析,以确定最佳应急响应策略。6编制应急响应计划文档
6.1概述
编制信息安全应急响应计划文档是应急响应规划过程中的关键一步。应急响应计划应描述支持应急操作的技术能力,并适应机构需求。应急响应计划需要在详细程度和灵活程度之间取得平衡,通常是计划越详细,其方法就越缺乏弹性和通用性。本标准说明了编制应急响应计划的要点。计划编制者应根据实际情况对其内容进行适当地调整、充实和本地化,以更好地满足组织特定的系统、操作和机构需求。同时可以参考GB/Z20985--2007的第8章使用。应急响应计划应能为信息安全事件中不熟悉计划的人员或要求进行恢复操作的系统提供快速明确的指导。计划应明确、简洁、易于在紧急情况下执行,并尽量使用检查列表和详细规程。应急响应计划文档包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个部分。
GB/T24363—2009
6.2总则
总则部分提供了重要的背景或相关信息,使应急响应计划更容易理解、实施和维护。通常这部分包括编制目的、编制依据、适用范围、工作原则等。编制目的:介绍制定信息安全应急响应计划的原因和目标;a)
b)编制依据:说明编制信息安全应急响应计划的依据;适用范围:说明计划的作用范围,解决哪些问题,不解决哪些问题;c)
d)工作原则:确定应急响应计划的组织和实施原则。6.3角色及职责
6.3.1角色的划分
组织应结合本单位日常机构建立信息安全应急响应的工作机构,并明确其职资。其中一些人可负责两种或多种职责,一些职位可由多人担任(应急响应计划文档中应明确他们的替代顺序)。应急响应的工作机构由管理、业务、技术和行政后等人员组成,一般来说,按角色可划分为5个功能小组:应急响应领导小组、应急响应技术保障小组、应急响应专家小组、应急响应实施小组和应急响应日常运行小组等。组织应该根据其所具备的技能和知识将人员分配到这些小组中,理想的情况是,分配到相关小组中的人员在正常条件下负资的是相同或类似的工作。实际中,可以不必成立专门机构对应各功能小组,组织可以根据自身情况由其具体的某个或某几个部门或部门中的某几个人担当其中的一个或几个角色。组织可聘请具有相应资质的外部专家协助应急响应工作,也可委托具有相应资质的外部机构承担实施小组以及日常运行小组的部分或全部工作。在聘外部专家协助应急响应工作或者委托外部机构承担部分或者全部应急响应工作时,需要和其签订相关协议(例如信息保密协议、服务水平协议、服务持续协议等)。
6.3.2功能小组的职贵
6.3.2.1应急响应领导小组
应急响应领导小组是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。领导小组的职宽是领导和决策信息安全应急响应的重大事宜,主要如下,对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人、财、物)等;a)
b)审核并批推应急响应策略;
审核并批准应急响应计划;
批准和监督应急响应计划的执行;启动定期评审、修订应急响应计划;e)
负责组织内部的、外部的协调工作。6.3.2.2应急响应技术保障小组
应急响应技术保障小组的主要职费包括:制定信息安全事件技术应对表;a)
b)制定具体角色和职责分工细则;c)
制定应急响应协同调度方案;
d)考察和管理相关技术基础。
6.3.2.3应急哟应专家小组
应急响应专家小组的主要职责包括:对重大信息安全事件进行评估,提出启动应急响应的建议;a)
b)研究分析信息安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议;分析信息安全事件原因及造成的危害,为应急响应提供技术支持。c)
6.3.2.4应急响应实施小组
应急响应实施小组的主要职责包括:a)
分析应急响应需求(如风险评估、业务影响分析等);b)
确定应急响应策略和等级;
实现应急响应策略;
编制应急响应计划文档;
实施应急响应计划;
组织应急响应计划的测试、培训和演练;合理部署和使用应急响应资源;总结应急响应工作,提交应急响应总结报告;i)
执行应急响应计划的评审、修订任务。6.3.2.5应急响应日常运行小组
应急响应日常运行小组的主要职责包括:协助灾难恢复系统的实施;
备份中心的日常管理;
备份系统的运行与维护;
应急监控系统的运作和维护;
落实基础物质的保障工作:
维护和管理应急响应计划文档;g)
信息安全事件发生时的损失控制和损害评估;h)
参与和协助应急响应计划的测试、培训和演练。6.3.3组织的外部协作
GB/T24363-—2009
组织应与相关管理部门、设备设施及服务提供商(包括通信、电力等)、利益相关方和新闻媒体等保持联络和协作,以确保在信息安全事件发生时,能及时通报准确情况并获得适当支持。6.4预防和预警机制
6.4.1信息监测及报告
组织应加强信息安全监测、分析和预警工作,建立信息安全事件报告和通报制度,发生信息安全事件的单位或者部门应当在信息安全事件发生后,立即向应急响应日常运行小组报告。6.4.2预警
应急响应日常运行小组接到信息安全事件报告后,应当经初步核实后,将有关情况及时向应急响应领导小组报告,并进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。应急响应领导小组视情况召集协调会,决策行动方案,发布指示和命令。6.4.3预防
积极推行信息安全等级保护制度,基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复。
预防机制应被记录在应急响应计划中,应对系统相关的人员进行培训,使他们明确如何以及何时使用预防机制。预防机制应得到维护以处于良好状态,确保它们在信息安全事件中的有效性。6.5应急响应流程
6.5.1事件通告
6.5.1.1信息通报
6.5.1.1.1组织内信息通报
在信息安全事件发生后,应通知应急响应日常运行小组,使其能够确定事态的严重程度和下一步将要采取的行动。在损害评估完成后,应通知应急响应领导小组。5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
标准图片预览 标准图片预览:
- 其它标准
- 热门标准
- 国家标准(GB)标准计划
- GB/T14629.4-1993 裘皮 猾子皮
- GB/T14636-1993 工业循环冷却水中钙含量的测定 原子吸收光谱法
- GB6857-2008 pH 基准试剂 邻苯二甲酸氢钾
- GB/T22376.1-2008 胶粘剂 本体试样的制备方法 第1部分:双组份体系
- GB/T2828.1-2012 计数抽样检验程序 第1部分:按接收质量限(AQL)检索的逐批检验抽样计划
- GB19651.3-2008 杂类灯座 第2-2部分:LED模块用连接器的特殊要求
- GB4587-1984 双极型晶体管测试方法
- GB/T44055-2024 回转窑回收次氧化锌工艺技术要求
- GB/T15329.1-2003 橡胶软管及软管组合件 织物增强液压型 第1部分: 油基流体用
- GB/T5009.91-2003 食品中钾、钠的测定
- GB/T5009.135-2003 植物性食品中灭幼脲残留量的测定
- GB/T5211.9-1985 颜料耐溶剂性测定法
- GB/T51015-2014 海堤工程设计规范
- GB15193.15-2003 繁殖试验
- GB/T5211.16-1988 白色颜料消色力的比较
请牢记:“bzxz.net”即是“标准下载”四个汉字汉语拼音首字母与国际顶级域名“.net”的组合。 ©2009 标准下载网 www.bzxz.net 本站邮件:bzxznet@163.com
网站备案号:湘ICP备2023016450号-1
网站备案号:湘ICP备2023016450号-1