1 范圍

      本標(biāo)準(zhǔn)規(guī)定了編制信息安全應(yīng)急響應(yīng)計劃的前期準(zhǔn)備，確立了信息安全應(yīng)急響應(yīng)計劃文檔的基本要素、內(nèi)容要求和格式規(guī)范。

      本標(biāo)準(zhǔn)適用于包括整個組織、組織中的部門和組織的信息系統(tǒng)（包括網(wǎng)絡(luò)系統(tǒng)）的各層面上的信息安全應(yīng)急響應(yīng)計劃。

      本標(biāo)準(zhǔn)為負(fù)責(zé)制定和維護(hù)信息安全應(yīng)急響應(yīng)計劃的人員提供指導(dǎo)。

2 規(guī)范性引用文件

      下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

      GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范

      GB/Z 20985-2007 信息技術(shù) 安全技術(shù) 信息安全事件管理指南

      GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南

      GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范

      GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求

      GB/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南

3 術(shù)語和定義

      下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

      信息系統(tǒng) information system

      由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。

      [GB/Z 20986-2007]

3.2

      信息安全事件 information security incident

      由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對社會造成負(fù)面影響的事件。

      [GB/Z 20986-2007]

3.3

      業(yè)務(wù)影響分析 business impact analysis

      對業(yè)務(wù)功能及其相關(guān)信息系統(tǒng)資源進(jìn)行分析，評估特定信息安全事件對各種業(yè)務(wù)功能的影響的過程。

3.4

      應(yīng)急響應(yīng) emergency response

      組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施。

3.5

      應(yīng)急響應(yīng)計劃 emergency response plan

      組織為了應(yīng)對突發(fā)/重大信息安全事件而編制的，對包括信息系統(tǒng)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的策略和規(guī)程。

3.6

      災(zāi)難恢復(fù) disaster recovery

      為了將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)而設(shè)計的活動和流程。

      [GB/T 20988-2007]

3.7

      風(fēng)險評估 risk assessment

      依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。

      [GB/T 20984-2007]

3.8

      恢復(fù)時間目標(biāo) recovery time objective

      信息安全事件發(fā)生后，信息系統(tǒng)或業(yè)務(wù)功能從停頓到恢復(fù)的時間要求。

      [GB/T 20988-2007]

3.9

      恢復(fù)點(diǎn)目標(biāo) recovery point objective

      信息安全事件發(fā)生后，系統(tǒng)和數(shù)據(jù)應(yīng)恢復(fù)到的時間點(diǎn)的要求。

      [GB/T 20988-2007]

4 縮略語

      BIA 業(yè)務(wù)影響分析（Business Impact Analysis）

      POC 聯(lián)系點(diǎn)（Point of Contact）

      RTO 恢復(fù)時間目標(biāo)（Recovery Time Objective）

      RPO 恢復(fù)點(diǎn)目標(biāo)（Recovery Point Objective）

      SLA 服務(wù)水平協(xié)議（Service Level Agreement）

5 應(yīng)急響應(yīng)計劃的編制準(zhǔn)備

5.1 風(fēng)險評估

      標(biāo)識信息系統(tǒng)的資產(chǎn)價值，識別信息系統(tǒng)面臨的自然的和人為的威脅，識別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性。風(fēng)險評估具體內(nèi)容見GB/T 20984-2007的第5章風(fēng)險評估實(shí)施和第6章信息系統(tǒng)生命周期各階段的風(fēng)險評估。

5.2 業(yè)務(wù)影響分析

5.2.1 概述

      業(yè)務(wù)影響分析（BIA）是在風(fēng)險評估的基礎(chǔ)上，分析各種信息安全事件發(fā)生時對業(yè)務(wù)功能可能產(chǎn)生的影響，進(jìn)而確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)。

5.2.2 分析業(yè)務(wù)功能和相關(guān)資源配置

      對單位或者部門的各項業(yè)務(wù)功能及各項業(yè)務(wù)功能之間的相關(guān)性進(jìn)行分析，確定支持各種業(yè)務(wù)功能的相應(yīng)信息系統(tǒng)資源及其他資源，明確相關(guān)信息的保密性、完整性和可用性要求。

5.2.3 確定信息系統(tǒng)關(guān)鍵資源

      對信息系統(tǒng)進(jìn)行評估，以確定系統(tǒng)所執(zhí)行的關(guān)鍵功能，并確定執(zhí)行這些功能所需的特定系統(tǒng)資源。

5.2.4 確定信息安全事件影響

      應(yīng)采用如下的定量和/或定性的方法，對業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等信息安全事件造成的影響進(jìn)行評估：

      a) 定量分析-以量化方法，評估業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等可能給組織帶來的直接經(jīng)濟(jì)損失和間接經(jīng)濟(jì)損失；

      b) 定性分析-運(yùn)用歸納與演繹、分析與綜合以及抽象與概括等方法，評估業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等可能給組織帶來的非經(jīng)濟(jì)損失，包括組織的聲譽(yù)、顧客的忠誠度、員工的信心、社會和政治影響等。

5.2.5 確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)

      根據(jù)業(yè)務(wù)影響分析的結(jié)果，同時結(jié)合GB/T 22239和GB/T 22240，確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)，包括：

      a）關(guān)鍵業(yè)務(wù)功能及恢復(fù)的優(yōu)先順序；

      b）恢復(fù)時間范圍，即恢復(fù)時間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）的范圍。

5.3 制定應(yīng)急響應(yīng)策略

5.3.1 概述

      應(yīng)急響應(yīng)策略提供了在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等信息安全事件發(fā)生后，快速有效地恢復(fù)信息系統(tǒng)運(yùn)行的方法。這些策略應(yīng)涉及到在業(yè)務(wù)影響分析（BIA）中確定的應(yīng)急響應(yīng)的恢復(fù)目標(biāo)。

5.3.2 系統(tǒng)恢復(fù)能力等級劃分

      系統(tǒng)恢復(fù)能力可以劃分為基本支持、備用場地支持、電子傳輸和部分設(shè)備支持、電子傳輸及完整設(shè)備支持、實(shí)時數(shù)據(jù)傳輸及完整設(shè)備支持、數(shù)據(jù)零丟失及遠(yuǎn)程集群支持等6個等級，具體劃分遵照GB/T 20988-2007的附錄A災(zāi)難恢復(fù)能力等級劃分。

5.3.3 系統(tǒng)恢復(fù)資源的要求

      系統(tǒng)恢復(fù)資源的要求遵照GB/T 20988-2007的6.3災(zāi)難恢復(fù)資源的要求。

5.3.4 費(fèi)用考慮

      信息系統(tǒng)的使用或管理組織（以下簡稱“組織”）應(yīng)確保有足夠的人員和資金執(zhí)行所選擇的策略。各種類型的備用站點(diǎn)、設(shè)備更換和存儲方式的費(fèi)用應(yīng)與預(yù)算限制相平衡。

      應(yīng)保證預(yù)算充足，應(yīng)包括軟件、硬件、差旅及運(yùn)送、測試、計劃培訓(xùn)項目、意識培訓(xùn)項目、勞務(wù)、其他合同服務(wù)以及任何其他適用資源的費(fèi)用。

      組織應(yīng)進(jìn)行成本效益分析，以確定最佳應(yīng)急響應(yīng)策略。

6 編制應(yīng)急響應(yīng)計劃文檔

6.1 概述

      編制信息安全應(yīng)急響應(yīng)計劃文檔是應(yīng)急響應(yīng)規(guī)劃過程中的關(guān)鍵一步。應(yīng)急響應(yīng)計劃應(yīng)描述支持應(yīng)急操作的技術(shù)能力，并適應(yīng)機(jī)構(gòu)需求。應(yīng)急響應(yīng)計劃需要在詳細(xì)程度和靈活程度之間取得平衡，通常是計劃越詳細(xì)，其方法就越缺乏彈性和通用性。本標(biāo)準(zhǔn)說明了編制應(yīng)急響應(yīng)計劃的要點(diǎn)。計劃編制者應(yīng)根據(jù)實(shí)際情況對其內(nèi)容進(jìn)行適當(dāng)?shù)卣{(diào)整、充實(shí)和本地化，以更好地滿足組織特定的系統(tǒng)、操作和機(jī)構(gòu)需求。同時可以參考GB/Z20985-2007的第8章使用。

      應(yīng)急響應(yīng)計劃應(yīng)能為信息安全事件中不熟悉計劃的人員或要求進(jìn)行恢復(fù)操作的系統(tǒng)提供快速明確的指導(dǎo)。計劃應(yīng)明確、簡潔、易于在緊急情況下執(zhí)行，并盡量使用檢查列表和詳細(xì)規(guī)程。

      應(yīng)急響應(yīng)計劃文檔包括總則、角色及職責(zé)、預(yù)防和預(yù)警機(jī)制、應(yīng)急響應(yīng)流程、應(yīng)急響應(yīng)保障措施和附件6個部分。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。