為有效處理等級保護物件執行過程中可能發生的重大安全事件,需要在統一框架下制定針對不同安全事件的應急預案,就應急預案內容向涉及的人員開展培訓、演練,並根據等級保護物件的變化情況和安全策略的調整結果開展應急預案的評估、修訂與完善。
10.13.1應規定統一的應急預案框架,包括啟動預案的條件、應急組織構成、應急資源保障、事後教育和培訓等內容。
應急預案框架一般為單位總體應急預案管理的頂層檔案,明確應急組織構成、人員職責、應急預案啟動條件、響應、後期處置、預案日常管理、資源保障等內容,與各類網路安全事件專項應急預案共同構成整個應急預案體系。
【測評方法】
核查應急預案框架,內容是否包括了啟動應急預案的條件、應急組織構成、應急資源保障、事後教育和培訓等。
【預期結果】
1)具有應急預案框架。
2)應急預案框架覆蓋了啟動應急預案的條件、應急組織構成、應急資源保障、事後教育和培訓等方面的內容。
【權重】1
10.13.2 應制定重要事件的應急預案,包括應急處理流程、系統恢復流程等內容。
對重要事件制定專項應急預案,並對處理流程、恢復流程進行明確的定義。
【測評方法】
核查針對重要事件的應急預案,預案內容是否包括了應急處理流程、系統恢復流程等。
【預期結果】
1)具有重要事件的專項應急預案,如針對機房(供電、火災、漏水等)、系統(病毒爆發、資料洩露等)、網路(斷網、擁塞等)等各個層面。
2)專項事件應急預案包含應急處理流程、恢復流程。
【風險等級】高
應急預案制定
判例內容:未制定重要事件的應急預案,未明確重要事件的應急處理流程、系統恢復流程等內容,一旦出現應急事件,無法合理有序的進行應急事件處置過程,造成應急響應時間增長,導致系統不能在最短的事件內進行恢復,可判定為高風險。
適用範圍:所有系統。
滿足條件:未制定重要事件的應急預案。
【權重】1
10.13.3 應定期對系統相關的人員進行應急預案培訓,並進行應急預案的演練。
應急預案培訓和演練是應急的重要環節,應定期組織相關人員予以培訓和演練,以保障及時有效的處理應急事件。
【測評方法】
1)核查以往開展過應急預案培訓所產生的記錄,確認培訓的頻度,記錄內容是否包括了培訓物件、培訓內容、培訓結果等。
2)核查以往開展過應急預案演練所產生的記錄,確認演練的頻度,記錄內容是否包括了演練時間、主要操作內容、演練結果等。
【預期結果】
1)具有定期(每季度、每半年、每年)對相關人員進行應急預案培訓和演練。
2)具有應急預案培訓的記錄檔案,主要包括培訓物件、培訓內容、培訓結果等。
3)具有應急預案演練記錄檔案,主要包括演練時間、主要操作內容、演練結果等。
【權重】1
【風險等級】高
應急預案培訓演練
適用範圍:3級及以上系統。
滿足條件:
1)3級及以上系統;
2)未定期對系統相關的人員進行應急預案培訓;
3)未進行過應急預案的演練。
補償措施:
如制定了應急預演,但內容不全,可根據實際情況,酌情降低風險等級。
10.13.4 應定期對原有的應急預案重新評估,修訂完善
根據每次應急演練的情況,對應急預案進行重新評估和修訂。
【測評方法】
核查應急預案修訂記錄,記錄內容是否包括了修訂時間、參與人、修訂內容、評審情況等。
【預期結果】
1)具有應急預案修訂記錄。
2)記錄內容包括了修訂時間、參與人、修訂內容、評審情況等。
【權重】1
10 安全運維管理 10 10變更管理
等級保護物件在執行過程中會面臨各種各樣的變更操作。如果變更過程缺乏管理和控制,會給等級保護物件帶來重大的安全風險。因此,需要對變更操作實施全程管控,做到各項變更內容有章可循有案可查,遇到問題有路可退,確保變更操作不給系統造成安全風險。10.10.1應明確變更需求,變更前根據變更需求制定變更方案,變更...
10 安全運維管理 10 2資產管理
等級保護物件的資產包括各種硬體裝置 如網路裝置 安全裝置 伺服器裝置 操作終端 儲存裝置和儲存介質,以及供電和通訊用線纜等 各種軟體 如作業系統 資料庫管理系統 應用系統等 各種資料 如配置資料 業務資料 備份資料等 和各種檔案等。由於等級保護物件資產種類較多,必須對所有資產實施有效的管理,確保資產...
10 安全運維管理 10 5漏洞和風險管理
漏洞和隱患會給等級保護物件造成安全風險,需要採取必要的措施進行識別和評估,針對發現的漏洞和隱患需要及時修補,確保等級保護物件安全 穩定地執行。10.5.1 應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。安全漏洞和隱患是引起安全問題的主要根源,採取有...