【国家标准】 信息安全技术 网络安全应急能力评估准则

ICS35.030
CCSL80
中华人民共和国国家标准
GB/T43269—2023
信息安全技术
网络安全应急能力评估准则
Information security techniques-Assessment criteria for cybersecurity emergency capabilit2023-11-27发布
国家市场监督管理总局
国家标准化管理委员会
2024-06-01实施
GB/T43269—2023
规范性引用文件
术语和定义
级能力要求
应急组织与人员
应急制度
监测预警
应急处置
预防保障
二级能力要求
应急组织与人员
应急制度
监测预警
应急处置
预防保障
三级能力要求
应急组织与人员
应急制度
监测预警
应急处置：
预防保障
网络安全应急能力评估流程
流程图
评估准备
评估实施
评估结论
报告编制
附录A（资料性）
附录B（资料性）
附录C（资料性）
附录D（资料性）
参考文献
各级网络安全应急能力适用场景级网络安全应急能力评估方法
二级网络安全应急能力评估方法三级网络安全应急能力评估方法次
GB/T43269-—2023
本文件按照GB/T1.1一2020《标准化工作导则厂第1部分：标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：国家计算机网络应急技术处理协调中心、国家计算机网络应急技术处理协调中心浙江分中心、安天科技集团股份有限公司、北京天融信网络安全技术有限公司、国家计算机网络应急技术处理协调中心江苏分中心、北京时代新威信息技术有限公司、中国电子技术标准化研究院、北京数学观星科技有限公司、中国网络安全审查技术与认证中心、国家计算机网络应急技术处理协调中心黑龙江分中心、新华三技术有限公司、国网智能电网研究院有限公司、北京东方通网信科技有限公司、深信服科技股份有限公司、奇安信网神信息技术（北京）股份有限公司、启明星辰信息技术集团股份有限公司、信联科技（南京）有限公司、华为技术有限公司、恒安嘉新（北京）科技股份公司、中电长城网际系统应用有限公司、深圳市腾讯计算机系统有限公司、联想（北京）有限公司、陕西省网络与信息安全测评中心、任子行网络技术股份有限公司、杭州安恒信息技术股份有限公司、华信咨询设计研究院有限公司、浙江鹏信信息科技股份有限公司、北京惠而特科技有限公司，北京辰安科技股份有限公司、上海观安信息技术股份有限公司、北京山石网科信息技术有限公司本文件主要起草人：陈悦、云晓春、耿冬梅、舒敏、王文磊、马骏野、赵焕菊、马旸、杨剑、于佳华、王新杰、吴莉莉、郭亮、龙泉、翟亚红、仲思超、闵京华、罗亮、王惠莅、将凌云、王秉政、方晓兰、霍婷婷、钱珂翔、叶润国、陈洪波、张璇、陈世俊、刘丙双、陈晓光、姚力、赵承刚、石竹君、高瑞、张胜、白峻、李汝鑫、刘蓝岭、董平、章亮、张帆、孙立立、李世斌、季莹莹、俞政臣、曾宪育、谢江、于俊杰、任协京、林峰。I
1范围
信息安全技术
网络安全应急能力评估准则
本文件规定了网络安全应急能力要求，给出了相应评估流程。本文件适用于各类组织进行网络安全应急能力建设与评估。2规范性引用文件
GB/T43269—2023
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T20986
GB/T25069
信息安全技术
网络安全事件分类分级指南
信息安全技术术语
GB/T38645—2020信息安全技术
网络安全事件应急演练指南
术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
网络安全应急能力
cybersecurityemergencycapability在网络安全事件发生的事前、事中和事后，组织采取网络安全应急响应措施应对突发网络安全事件的能力。
4概述
本文件将网络安全应急能力分为三个级别，从低到高依次是一级、二级和三级，每个级别的网络安全应急能力要求包括应急组织与人员、应急制度、监测预警、应急处置、预防保障5个方面共15个部分，如图1所示。第5章、第6章、第7章分别规定了一级、二级和三级网络安全应急能力要求，高级别在低一级别的基础上提出增强要求或增加新的条款，并用黑体学标出，各级网络安全应急能力适用场景见附录A。
GB/T43269—2023
网络安全应急能力要求
预防保障
应您处置
监测预替
应急制度
应急组织与人员下载标准就来标准下载网
应急培训
查总结
信息报
析研电
事件监
技术变
图1网络安全应急能力要求框图
网络安全应急能力评估根据被评估组织申请的能力级别，按照相应级别的网络安全应急能力要求进行评估，第8章给出了整体评估流程，包括评估准备、评估实施、评估结论、报告编制4个阶段，一级、二级和三级网络安全应急能力各项要求的评估方法见附录B、附录C和附录D。5一级能力要求
5.1应急组织与人员
5.1.1应急组织
本项要求包括：
a）组织应明确网络安全应急日常工作机构，配备网络安全应急人员，并明确各自职责：b）组织应设置网络安全应急负责人，并明确其职责。5.1.2技术支撑队伍
组织应具备网络安全应急技术支撑队伍并明确其职责，技术支撑队伍可自建或由外部提供。5.1.3专家队伍
组织应具备网络安全应急专家队伍，专家队伍成员由内外部专家组成。5.2应急制度
5.2.1应急预案
本项要求包括：
组织应按照国家、行业或地方网络安全应急预案相关要求制定网络安全应急预案，并经审批后a)
发布实施；
网络安全应急预案可被相关网络安全应急人员方便获取，网络安全应急人员应熟悉网络安全b)
应急预案内容：
组织应定期对网络安全应急预案的适宜性和有效性进行评估并修订。c）
5.2.2管理制度
组织应制定网络安全应急管理制度，例如网络安全应急值守制度、网络安全应急经费保障制度2
等，并经审批后发布实施。
5.3监测预警
5.3.1事件监测
本项要求包括：
组织应开展网络安全事件监测，留存网络日志不少于6个月；a)
GB/T43269—2023
组织应对发现的安全隐患和可疑事件进行处理，留存处理记录，并在发现网络安全事件时，启b)
动网络安全事件报告流程。
5.3.2分析研判
当初步判定发生网络安全事件时，组织应调集网络安全应急技术支撑队伍、网络安全应急专家队伍进行研判，确定网络安全事件的级别和类型，并启动相应网络安全应急预案。5.3.3威胁预警
组织应按照主管部门或国家有关部门发布的预警信息与响应要求，采取风险防范措施，并形成预警响应记录。
应急处置
事件处置
本项要求包括：
组织应按照网络安全应急预案对已发生的网络安全事件实施处置，并形成网络安全事件处置a）
记录；
对于不能处置的网络安全事件，组织应按照主管部门或国家有关部门要求报告并协调外部b)
支援。
信息报送与共享
本项要求包括：
当发生网络安全事件时，组织应形成网络安全事件报告单，在组织内部进行网络安全事件a)
报告；
组织应按照主管部门或国家有关部门要求报告网络安全事件，并持续跟踪事件变化情况，更新b)
报告信息；
组织应开展网络安全信息共享，并在信息共享前进行脱敏处理。c）
5.4.3调查总结
组织应在网络安全应急响应结束后30d内完成对网络安全事件起因的调查与处置过程的总结，形成网络安全事件总结报告。
5.5预防保障
日常管理
本项要求包括：
GB/T43269-2023
组织应实行网络安全应急值守制度，并制定网络安全应急值守工作规范；a)
组织应具备网络安全应急值守人员，并实行5×8h值班。b）
5.5.2漏洞管理
本项要求包括：
组织应采取措施识别网络安全漏洞，对发现的网络安全漏洞评估影响后进行修补：a)
接收主管部门或国家有关部门的网络安全漏洞通报后，组织应在要求时间内完成处置并反馈b)
处置情况。
5.5.3应急培训
组织应定期对网络安全应急有关法规政策、网络安全应急预案进行培训。5.5.4应急演练
本项要求包括：
a）组织应每年进行网络安全应急演练，演练形式按照GB/T38645—2020开展；组织应对网络安全应急演练过程进行记录，对应急演练效果进行总结，形成应急演练总结报b）
告，解决发现的问题，并对网络安全应急预案进行完善。6二级能力要求
应急组织与人员
应急组织
本项要求包括：
组织应明确网络安全应急日常工作机构，配备网络安全应急人员，并明确各自职责：b)
组织应明确网络安全应急相关部门及职责，每个部门至少设置1名联系人：组织应设置网络安全应急负责人，并明确其职责e）
6.1.2技术支撑队伍
本项要求包括：
a）组织应具备自建的网络安全应急技术支撑队伍并明确其职责；组织应明确网络安全应急技术支撑队伍中的关键岗位，并至少配备1名专职人员。b)
6.1.3专家队伍
本项要求包括：
a）组织应具备网络安全应急专家队伍，专家队伍成员由内外部专家组成；b）网络安全应急专家队伍应在应急预案修订、事件分析、响应决策等网络安全应急工作提供咨询与建议。
2应急制度
6.2.1应急预案
本项要求包括：
GB/T43269—2023
组织应按照国家、行业或地方网络安全应急预案相关要求制定网络安全应急预案，并经审批后a)
发布实施；
网络安全应急预案应包括事件分类分级、预案启动条件、应急组织构成、事件报告流程、处置恢复流程、应急资源保障、演练和培训等内容；注：网络安全应急预案内容参见GB/T24363—2009。网络安全应急预案应明确预案适用范围，并结合网络安全事件对业务的影响范围和程度确定c）
事件分级、预警分级和响应分级的标准，分级标准与GB/T20986以及主管部门或国家有关部门要求相符；
网络安全应急预案应有信息报告、处置记录等表格模板，且模板规范、要素齐全：有联系方式清d)
单，包括应急值班24h联系电话、信息资产责任人联系方式、专家名单与联系方式、网络安全应急技术支撑队伍联系方式、应急相关单位联系方式等；网络安全应急预案可被相关网络安全应急人员方便获取，网络安全应急人员应熟悉网络安全e)
应急预案内容；
组织应定期对网络安全应急预案的适宜性和有效性进行评估并修订。f)
6.2.2管理制度
本项要求包括：
组织应制定网络安全应急管理制度，例如网络安全应急值守制度、网络安全应急经费保障制度a）
等，并经审批后发布实施；
网络安全应急管理制度内容应与网络安全应急预案内容衔接一致；组织应定期对网络安全应急管理制度进行评估并修订。c）
6.3监测预警
6.3.1事件监测
本项要求包括：
组织应开展网络安全事件监测，留存网络日志不少于6个月，并采取技术措施保障网络日志存储的完整性，防止算改：
组织应对发现的安全隐患和可疑事件进行处理，留存处理记录，并在发现网络安全事件时，启b)
动网络安全事件报告流程。
6.3.2分析研判
本项要求包括：
当初步判定发生网络安全事件时，组织应调集网络安全应急技术支撑队伍、网络安全应急专家a)
队伍进行研判，确定网络安全事件的级别和类型，并启动相应网络安全应急预案；组织应对网络安全事件进行分析，形成网络安全事件分析报告，报告内容包括事件级别、事件b）
类型、事件描述、事件起因、影响范围、危害程度、处置建议等：c）
组织应具备分析工具和分析方法，对日志、流量、漏洞、行为、恶意代码等方面进行分析，并持续更新完善相关工具和方法
6.3.3威胁预警
本项要求包括：
GB/T43269-2023
组织应按照主管部门或国家有关部门发布的预警信息与响应要求，采取风险防范措施，并形成a)
预警响应记录；
组织应适当结合自动化技术手段收集内部网络安全监测信息与外部网络安全威胁信息，外部b)
网络安全威胁信息包括网络安全漏洞、恶意程序、网络攻击最新动态等；c
经研判，对于可能造成较大影响的网络安全威胁信息，组织应按照主管部门或国家有关部门要求报告，并持续跟踪威胁变化情况，更新报告信息6.4应急处置
6.4.1事件处置
本项要求包括：
a）组织应按照网络安全应急预案对已发生的网络安全事件实施处置，包括抑制事件发展、消除事件根源、恢复系统状态等，并形成网络安全事件处置记录；对于不能处置的网络安全事件，组织应按照主管部门或国家有关部门要求报告并协调外部b）
支援；
组织应具备日志提取、病毒检查、木马检查、后门检查、恶意行为分析等工具进行网络安全应急处置，并持续更新完善相关工具；d)
现场处置人员应按照网络安全应急预案进行先期处置，防止危害扩大：e)
组织应按照网络安全应急预案在网络安全应急处置过程中校验处置结果，发生处置不当时采取回退措施。
6.4.2信息报送与共享
本项要求包括：
当发生网络安全事件时，组织应形成网络安全事件报告单，在组织内部进行网络安全事件a)
报告：
组织应按照主管部门或国家有关部门要求报告网络安全事件，并持续跟踪事件变化情况，更新报告信息；
组织应向可能受到影响的相关方进行网络安全事件通报；d
组织应急通信联络设备设施应保持畅通；组织应开展网络安全信息共享，并在信息共享前进行脱敏处理；e)
组织应建立并持续拓展网络安全信息共享渠道，并采用技术手段进行信息共享。6.4.3
调查总结
本项要求包括：
组织应在网络安全应急响应结束后20d内完成对网络安全事件起因的调查与处置过程的总结，形成网络安全事件总结报告，报告内容包括事件起因、性质、影响和责任，以及提出的处理意见与整改措施等，并按照主管部门或国家有关部门要求报告：b）组织应定期对网络安全事件总结报告中整改措施落实情况进行评估，总结网络安全应急响应活动的经验教训，对网络安全应急预案进行完善，并对存在问题进行改进6.5
预防保障
6.5.1日常管理
本项要求包括：