【文章內(nèi)容簡介】 40 ?總則 ?角色及職責 ?預防和預警機制 ?應(yīng)急響應(yīng)流程 ?應(yīng)急響應(yīng)保障措施 ?附件 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 總則 41 ?編制目的 ?編制依據(jù) ?適應(yīng)范圍 ?工作原則 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 角色及職責 42 ?應(yīng)急響應(yīng)領(lǐng)導小組 ?應(yīng)急響應(yīng)技術(shù)保障小組 ?應(yīng)急響應(yīng)專家小組 ?應(yīng)急響應(yīng)實施小組 ?應(yīng)急響應(yīng)日常運行小組 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 預防和預警機制 43 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 早發(fā)現(xiàn)早報告早處置 監(jiān)測 預測 預警 應(yīng)急響應(yīng)流程 44 信 息 安 全 事 件信 息 安 全 事 件 通 告應(yīng) 急 啟 動應(yīng) 急 處 置后 期 處 置信 息 系 統(tǒng) 重 建應(yīng) 急 響 應(yīng) 總 結(jié)信 息 安 全 事 件 評 估 事 件 分 類事 件 定 級信 息 通 報信 息 批 露信 息 上 報恢 復 順 序恢 復 規(guī) 程事件通告 ? （ 1）信息通報 ? 信息通報分為組織內(nèi)信息通報和組織外信息通報兩部分 。組織內(nèi)信息通報的目的是在信息安全事件發(fā)生后迅速通知應(yīng)急響應(yīng)日常運行小組，并根據(jù)評估結(jié)果迅速通知所有相關(guān)人員，從而快速有序的實施應(yīng)急響應(yīng)計劃。組織外信息通報目的是將相關(guān)信息及時通報給受到負面影響的外部機構(gòu)、互聯(lián)的單位系統(tǒng)以及重要用戶，同時根據(jù)應(yīng)急響應(yīng)的需要，應(yīng)將相關(guān)信息準確通報給相關(guān)設(shè)備設(shè)施及服務(wù)提供商（包括電信、電力等）等外部組織，以獲得適當?shù)膽?yīng)急響應(yīng)支持。值得注意的是對外信息通報應(yīng)符合組織的對外信息發(fā)布策略。 ? （ 2）信息上報 ? 信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時將情況上報相關(guān)主管或監(jiān)管單位 /部門。 ? （ 3）信息披露 ? 信息發(fā)布的目的是避免信息安全事件影響被誤傳，同時規(guī)范組織內(nèi)人員信息披露，保證信息的一致性。因此，信息安全事件發(fā)生后，應(yīng)根據(jù)信息安全事件的嚴重程度，指定特定的小組及時向新聞媒體發(fā)布相關(guān)信息，并且指定的小組應(yīng)嚴格按照組織相關(guān)規(guī)定和要求對外發(fā)布信息，同時組織內(nèi)其它部門或者個人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法。 應(yīng)急響應(yīng)流程 —呼叫樹 46 應(yīng) 急 響 應(yīng) 領(lǐng) 導 小 組 組 長應(yīng) 急 響 應(yīng) 領(lǐng) 導 小 組副 組 長應(yīng) 急 響 應(yīng) 技 術(shù) 保 障 小組 組 長應(yīng) 急 響 應(yīng) 日 常 運 行小 組 組 長應(yīng) 急 響 應(yīng) 實 施 小 組組 長應(yīng) 急 響 應(yīng) 專 家 小組 長成 員 一成 員 二應(yīng) 急 響 應(yīng) 技 術(shù) 保 障小 組 副 組 長成 員 一成 員 二成 員 一成 員 二應(yīng) 急 響 應(yīng) 日 常 運 行小 組 副 組 長成 員 一成 員 二應(yīng) 急 響 應(yīng) 專 家小 組 副 組 長應(yīng) 急 響 應(yīng) 實 施 小 組副 組 長成 員 一成 員 二...............呼叫樹 小組名稱 姓名 在小組中的職位 聯(lián)絡(luò)信息 工作電話 家庭電話 手機 電子郵件 家庭地址 信息上報 重大信息安全事件報告表 報告時間： 年 月 日 時 分 單位名稱： 報告人： 聯(lián)系電話： 通訊地址： 傳真： 電子郵件： 發(fā)生重大信息安全事件的信息系統(tǒng)名稱及用途： 負責部門： 負責人： 重大信息安全事件的簡要描述 （ 如以前出現(xiàn)過類似情況也應(yīng)加以說明 ） ： 初步判定的事故原因： 當前采取的措施： 本次重大信息安全事件的初步影響狀況： 事件后果： 影響范圍： 嚴重程度： 值班電話： 傳真： 事件分類與定級 要確定信息安全事件后如何實施應(yīng)急響應(yīng)計劃，對系統(tǒng)損害性質(zhì)和程度的評估是非常重要的。這個損害評估應(yīng)該在能夠確保人員安全這個最優(yōu)先任務(wù)的前提下盡快完成。所以，如果可能，應(yīng)急響應(yīng)日常運行小組是第一個得到事件通知的小組。損害評估規(guī)程對于不同的系統(tǒng)是不同的，但是應(yīng)該涉及到以下領(lǐng)域： （ 1）造成緊急情況或中斷的原因； （ 2）潛在的附加中斷或損失； （ 3）受到緊急情況影響的區(qū)域； （ 4）物理構(gòu)架（如計算機室結(jié)構(gòu)的完整性、電源、電信以及制熱、通風和空調(diào)的情況）的狀況； （ 5）系統(tǒng)設(shè)備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）； （ 6）系統(tǒng)設(shè)備及其存貨的損失類型（如水害、水災或熱能、物理以及電涌影響）； （ 7）被更換的項目（如硬件、軟件、固件或支持材料）； （ 8）估計恢復正常服務(wù)所需的時間。 我國信息安全事件分類方法 50 GB/Z 209862023《 信息安全事件分級分類指南 》 ?有害程序事件 MI ?網(wǎng)絡(luò)攻擊事件 NAI ?信息破壞事件 IDI ?信息內(nèi)容安全事件 ICSI ?設(shè)備設(shè)施故障 FF ?災害性事件 DI ?其他信息安全事件 OI 我國信息安全事件分級方法 51 ?分級要素 系統(tǒng)損失 社會影響 信息系統(tǒng)的重要程度 我國信息安全事件分級方法 52 特別重大事件是指能夠?qū)е绿貏e嚴重影響或破壞的信息安全事件，包括以下情況： ? 會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失 ? 產(chǎn)生特別重大的社會影響 重大事件是指能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录ㄒ韵虑闆r： ? 會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失 ? 產(chǎn)生重大的社會影響 較大事件是指能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录ㄒ韵虑闆r： ? 會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失，一般信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失 ? 產(chǎn)生較大的社會影響 一般事件是指不滿足以上條件的信息安全事件，包括以下情況： ? 會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失 ? 產(chǎn)生一般的社會影響 特別重大事件 (I級） 重 大 事 件 (II級） 較 大 事 件 (III級） 一 般 事 件 (IV級） 應(yīng)急啟動 ? （ 1）啟動原則 ——快速、有序； ? （ 2）啟動依據(jù) ——一般而言，對于導致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā) /重大信息安全事件應(yīng)立即啟動應(yīng)急。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對突發(fā) /重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動條件可能各不相同。啟動條件可以基于以下方面考慮：人員的安全和 /或設(shè)施損失的程度；系統(tǒng)損失的程度（如物理的、運作的或成本的）；系統(tǒng)對于組織使命的影響程度（如保護資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施）；預期的中斷持續(xù)時間等。只有當損害評估的結(jié)果顯示一個或多個系統(tǒng)啟動條件被滿足時，應(yīng)急響應(yīng)計劃才應(yīng)被啟動。 ? （ 3）啟動方法 ——由應(yīng)急響應(yīng)領(lǐng)導小