2.2　網(wǎng)絡(luò)安全等級(jí)保護(hù)中事件處置及應(yīng)急響應(yīng)的要求與合規(guī)指引

事件處置和應(yīng)急響應(yīng)是等級(jí)保護(hù)的重要內(nèi)容，在《GB/T 22239-2019　信息安全技術(shù)　網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱(chēng)《等級(jí)保護(hù)基本要求》）中，各級(jí)別的防護(hù)要求均對(duì)事件處置和應(yīng)急響應(yīng)做出了規(guī)定。同時(shí)，《GB/T 28448-2019　信息安全技術(shù)　網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（以下簡(jiǎn)稱(chēng)《等級(jí)保護(hù)測(cè)評(píng)要求》）對(duì)于如何測(cè)評(píng)被測(cè)對(duì)象是否滿(mǎn)足防護(hù)要求做出了相對(duì)明確的界定。現(xiàn)以等級(jí)保護(hù)第三級(jí)安全要求（要求項(xiàng)8.×.×.×）為例進(jìn)行解讀，并對(duì)其與二級(jí)（要求項(xiàng)7.×.×.×）、四級(jí)（要求項(xiàng)9.×.×.×）的區(qū)別做一個(gè)解讀[2][3]。

1．等級(jí)保護(hù)對(duì)于安全事件處置的要求

《等級(jí)保護(hù)基本要求》中的要求項(xiàng)8.1.10.12規(guī)定了安全事件處置要求。本項(xiàng)要求及對(duì)應(yīng)本要求的《等級(jí)保護(hù)測(cè)評(píng)要求》中的測(cè)評(píng)項(xiàng)規(guī)定如下。

【基本要求】

a）應(yīng)及時(shí)向安全管理部門(mén)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件。

【測(cè)評(píng)項(xiàng)8.1.10.12.1】

a）測(cè)評(píng)指標(biāo)：應(yīng)及時(shí)向安全管理部門(mén)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件。

b）測(cè)評(píng)對(duì)象：運(yùn)維負(fù)責(zé)人和記錄表單類(lèi)文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談運(yùn)維負(fù)責(zé)人是否告知用戶(hù)在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件時(shí)及時(shí)向安全管理部門(mén)報(bào)告；

2）應(yīng)核查在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件后是否具備對(duì)應(yīng)的報(bào)告或相關(guān)文檔。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

安全弱點(diǎn)和可疑事件會(huì)經(jīng)常發(fā)生，一部分是安全管理部門(mén)自己發(fā)現(xiàn)的，另一部分是其他人發(fā)現(xiàn)的。根據(jù)失效性原理，多個(gè)輕微事件中會(huì)產(chǎn)生一個(gè)重大事件，因此，一方面應(yīng)提高安全管理部門(mén)發(fā)現(xiàn)問(wèn)題的能力和水平，另一方面應(yīng)告知用戶(hù)在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件時(shí)及時(shí)向安全管理部門(mén)報(bào)告，安全管理部門(mén)在發(fā)現(xiàn)安全弱點(diǎn)和可疑事件后應(yīng)形成報(bào)告或文檔。

【基本要求】

b）應(yīng)制定安全事件報(bào)告和處置管理制度，明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等。

【測(cè)評(píng)項(xiàng)8.1.10.12.2】

a）測(cè)評(píng)指標(biāo)：應(yīng)制定安全事件報(bào)告和處置管理制度，明確不同安全事件的報(bào)告、處置和響應(yīng)流程，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)等。

b）測(cè)評(píng)對(duì)象：管理制度類(lèi)文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查安全事件報(bào)告和處置管理制度是否明確了與安全事件有關(guān)的工作職責(zé)、不同安全事件的報(bào)告、處置和響應(yīng)流程等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

安全事件報(bào)告和處置需要遵循制度，制度可以明確職責(zé)和流程，避免混亂。不同的安全事件的流程是不一樣的，需要區(qū)別對(duì)待。應(yīng)在安全事件報(bào)告和處置管理制度中明確與安全事件有關(guān)的工作職責(zé)、不同安全事件的報(bào)告、處置和響應(yīng)流程等。

【基本要求】

c）應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)。

【測(cè)評(píng)項(xiàng)8.1.10.12.3】

a）測(cè)評(píng)指標(biāo)：應(yīng)在安全事件報(bào)告和響應(yīng)處理過(guò)程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過(guò)程，總結(jié)經(jīng)驗(yàn)教訓(xùn)。

b）測(cè)評(píng)對(duì)象：記錄表單類(lèi)文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查安全事件報(bào)告和響應(yīng)處置記錄是否記錄引發(fā)安全事件的原因、證據(jù)、處置過(guò)程、經(jīng)驗(yàn)教訓(xùn)、補(bǔ)救措施等內(nèi)容。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

在安全事件發(fā)生時(shí)，首先要做的是消除不利影響，盡快恢復(fù)正常。同時(shí)，還要分析原因、總結(jié)經(jīng)驗(yàn)教訓(xùn)、避免再次發(fā)生。在事件處理過(guò)程中，要注意收集證據(jù)和記錄過(guò)程，否則有些證據(jù)可能會(huì)被破壞或消失，有的過(guò)程可能會(huì)被遺忘或忽略。應(yīng)在安全事件報(bào)告和響應(yīng)處置記錄中記錄引發(fā)安全事件的原因、證據(jù)、處置過(guò)程、經(jīng)驗(yàn)教訓(xùn)、補(bǔ)救措施等內(nèi)容。

【基本要求】

d）對(duì)造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采取不同的處理程序和報(bào)告程序。

【測(cè)評(píng)項(xiàng)8.1.10.12.4】

a）測(cè)評(píng)指標(biāo)：對(duì)造成系統(tǒng)中斷和造成信息泄漏的重大安全事件應(yīng)采用不同的處理程序和報(bào)告程序。

b）測(cè)評(píng)對(duì)象：運(yùn)維負(fù)責(zé)人和記錄表單類(lèi)文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談運(yùn)維負(fù)責(zé)人不同安全事件的報(bào)告流程；

2）應(yīng)核查針對(duì)重大安全事件是否制定不同安全事件報(bào)告和處理流程，是否明確具體報(bào)告方式、報(bào)告內(nèi)容、報(bào)告人等方面內(nèi)容。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

本條是等級(jí)保護(hù)第三級(jí)新增的要求。系統(tǒng)中斷事件更關(guān)注系統(tǒng)可用性，目標(biāo)在于盡快恢復(fù)系統(tǒng)運(yùn)行；信息泄露更關(guān)注信息保密性，目標(biāo)在于盡可能控制信息的流向，避免知悉范圍的擴(kuò)大。兩種事件目標(biāo)差別很大，要采用不同的處理程序和報(bào)告程序，否則很容易顧此失彼。應(yīng)針對(duì)系統(tǒng)中斷和造成信息泄漏兩類(lèi)事件制定不同安全事件報(bào)告和處理流程，明確具體報(bào)告方式、報(bào)告內(nèi)容、報(bào)告人等方面內(nèi)容。

【基本要求】

在等級(jí)保護(hù)第四級(jí)中新增了要求：應(yīng)建立聯(lián)合防護(hù)和應(yīng)急機(jī)制，負(fù)責(zé)處置跨單位安全事件。

【測(cè)評(píng)項(xiàng)8.1.10.12.5】

a）測(cè)評(píng)指標(biāo)：應(yīng)建立聯(lián)合防護(hù)和應(yīng)急機(jī)制，負(fù)責(zé)處置跨單位安全事件。

b）測(cè)評(píng)對(duì)象：安全管理員、管理制度類(lèi)文檔和記錄表單類(lèi)文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談安全管理員是否建立跨單位處置安全事件流程；

2）應(yīng)核查跨單位安全事件報(bào)告和處置管理制度，核查是否含有聯(lián)合防護(hù)和應(yīng)急的相關(guān)內(nèi)容。

d）單元判定：如果1）和2）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

第四級(jí)安全防護(hù)的安全保護(hù)能力應(yīng)能免受來(lái)自國(guó)家級(jí)別的、敵對(duì)組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊，以及嚴(yán)重的自然災(zāi)難造成的資源損害，因此，對(duì)于第四級(jí)安全事件處置可能需要聯(lián)合防護(hù)、跨單位處置。

2．等級(jí)保護(hù)對(duì)于應(yīng)急響應(yīng)的要求

《等級(jí)保護(hù)基本要求》中的要求項(xiàng)8.1.10.13規(guī)定了應(yīng)急響應(yīng)要求。本項(xiàng)要求及對(duì)應(yīng)本要求的《等級(jí)保護(hù)測(cè)評(píng)要求》中的測(cè)評(píng)項(xiàng)規(guī)定如下：

【基本要求】

a）應(yīng)規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，包括啟動(dòng)預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等內(nèi)容。

【測(cè)評(píng)項(xiàng)8.1.10.13.1】

a）測(cè)評(píng)指標(biāo)：應(yīng)規(guī)定統(tǒng)一的應(yīng)急預(yù)案框架，包括啟動(dòng)預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等內(nèi)容。

b）測(cè)評(píng)對(duì)象：管理制度類(lèi)文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查應(yīng)急預(yù)案框架是否覆蓋啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等方面。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

本條是等級(jí)保護(hù)第三級(jí)新增的要求。應(yīng)急預(yù)案應(yīng)制定統(tǒng)一的框架，避免遺漏關(guān)鍵要素。應(yīng)急預(yù)案框架應(yīng)覆蓋啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急組織構(gòu)成、應(yīng)急資源保障、事后教育和培訓(xùn)等方面。

【基本要求】

b）應(yīng)制定重要事件的應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容。

【測(cè)評(píng)項(xiàng)8.1.10.13.2】

a）測(cè)評(píng)指標(biāo)：應(yīng)制定重要事件的應(yīng)急預(yù)案，包括應(yīng)急處理流程、系統(tǒng)恢復(fù)流程等內(nèi)容。

b）測(cè)評(píng)對(duì)象：管理制度類(lèi)文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查是否具有重要事件的應(yīng)急預(yù)案（如針對(duì)機(jī)房、系統(tǒng)、網(wǎng)絡(luò)等各個(gè)方面）。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

應(yīng)制定重要事件的應(yīng)急預(yù)案，如針對(duì)機(jī)房、系統(tǒng)、網(wǎng)絡(luò)等各個(gè)方面。既要有應(yīng)急處理流程，也要有系統(tǒng)恢復(fù)流程。

【基本要求】

c）應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練。

【測(cè)評(píng)項(xiàng)8.1.10.13.3】

a）測(cè)評(píng)指標(biāo)：應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，并進(jìn)行應(yīng)急預(yù)案的演練。

b）測(cè)評(píng)對(duì)象：運(yùn)維負(fù)責(zé)人和記錄表單類(lèi)文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談運(yùn)維負(fù)責(zé)人是否定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練；

2）應(yīng)核查應(yīng)急預(yù)案培訓(xùn)記錄是否明確培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等；

3）應(yīng)核查應(yīng)急預(yù)案演練記錄是否記錄演練時(shí)間、主要操作內(nèi)容、演練結(jié)果等。

d）單元判定：如果1）～3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

應(yīng)急預(yù)案必須被相關(guān)人員了解、掌握和熟練應(yīng)用，才能發(fā)揮其作用。應(yīng)定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練，應(yīng)急預(yù)案培訓(xùn)記錄應(yīng)記錄培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等，應(yīng)急預(yù)案演練記錄應(yīng)記錄演練時(shí)間、主要操作內(nèi)容、演練結(jié)果等。

【基本要求】

d）應(yīng)定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)估，修訂完善。

【測(cè)評(píng)項(xiàng)8.1.10.13.4】

a）測(cè)評(píng)指標(biāo)：應(yīng)定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)估，修訂完善。

b）測(cè)評(píng)對(duì)象：記錄表單類(lèi)文檔。

c）測(cè)評(píng)實(shí)施：應(yīng)核查應(yīng)急預(yù)案修訂記錄是否定期評(píng)估并修訂完善等。

d）單元判定：如果以上測(cè)評(píng)實(shí)施內(nèi)容為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

本條是等級(jí)保護(hù)第三級(jí)新增的要求。應(yīng)急預(yù)案隨著時(shí)間的推移、條件的變化可能變得不再適用，需要定期對(duì)其進(jìn)行重新評(píng)估和修訂完善，以保持其有效性。

【基本要求】

在等級(jí)保護(hù)第四級(jí)中新增了要求：應(yīng)建立重大安全事件的跨單位聯(lián)合應(yīng)急預(yù)案，并進(jìn)行應(yīng)急預(yù)案的演練。

【測(cè)評(píng)項(xiàng)8.1.10.13.5】

a）測(cè)評(píng)指標(biāo)：應(yīng)建立重大安全事件的跨單位聯(lián)合應(yīng)急預(yù)案，并進(jìn)行應(yīng)急預(yù)案的演練。

b）測(cè)評(píng)對(duì)象：運(yùn)維負(fù)責(zé)人和記錄表單類(lèi)文檔。

c）測(cè)評(píng)實(shí)施包括以下內(nèi)容：

1）應(yīng)訪談運(yùn)維負(fù)責(zé)人是否針對(duì)重大安全事件建立跨單位的應(yīng)急預(yù)案并進(jìn)行過(guò)演練；

2）應(yīng)核查是否具有針對(duì)重大安全事件跨單位的應(yīng)急預(yù)案；

3）應(yīng)核查跨單位應(yīng)急預(yù)案演練記錄是否記錄演練時(shí)間、主要操作內(nèi)容、演練結(jié)果等。

d）單元判定：如果1）～3）均為肯定，則符合本測(cè)評(píng)單元指標(biāo)要求，否則不符合或部分符合本測(cè)評(píng)單元指標(biāo)要求。

【合規(guī)指引】

與安全事件處置要求類(lèi)似，第四級(jí)應(yīng)急預(yù)案管理可能需要聯(lián)合制定應(yīng)急預(yù)案、進(jìn)行聯(lián)合應(yīng)急演練。