1 范圍

      本標準規(guī)定了編制信息安全應急響應計劃的前期準備，確立了信息安全應急響應計劃文檔的基本要素、內容要求和格式規(guī)范。

      本標準適用于包括整個組織、組織中的部門和組織的信息系統(tǒng)（包括網絡系統(tǒng)）的各層面上的信息安全應急響應計劃。

      本標準為負責制定和維護信息安全應急響應計劃的人員提供指導。

2 規(guī)范性引用文件

      下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。

      GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范

      GB/Z 20985-2007 信息技術 安全技術 信息安全事件管理指南

      GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南

      GB/T 20988-2007 信息安全技術 信息系統(tǒng)災難恢復規(guī)范

      GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求

      GB/T 22240-2008 信息安全技術 信息系統(tǒng)安全等級保護定級指南

3 術語和定義

      下列術語和定義適用于本標準。

3.1

      信息系統(tǒng) information system

      由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

      [GB/Z 20986-2007]

3.2

      信息安全事件 information security incident

      由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或在信息系統(tǒng)內發(fā)生對社會造成負面影響的事件。

      [GB/Z 20986-2007]

3.3

      業(yè)務影響分析 business impact analysis

      對業(yè)務功能及其相關信息系統(tǒng)資源進行分析，評估特定信息安全事件對各種業(yè)務功能的影響的過程。

3.4

      應急響應 emergency response

      組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，以及在事件發(fā)生后所采取的措施。

3.5

      應急響應計劃 emergency response plan

      組織為了應對突發(fā)/重大信息安全事件而編制的，對包括信息系統(tǒng)運行在內的業(yè)務運行進行維持或恢復的策略和規(guī)程。

3.6

      災難恢復 disaster recovery

      為了將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)、并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)而設計的活動和流程。

      [GB/T 20988-2007]

3.7

      風險評估 risk assessment

      依據有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。

      [GB/T 20984-2007]

3.8

      恢復時間目標 recovery time objective

      信息安全事件發(fā)生后，信息系統(tǒng)或業(yè)務功能從停頓到恢復的時間要求。

      [GB/T 20988-2007]

3.9

      恢復點目標 recovery point objective

      信息安全事件發(fā)生后，系統(tǒng)和數(shù)據應恢復到的時間點的要求。

      [GB/T 20988-2007]

4 縮略語

      BIA 業(yè)務影響分析（Business Impact Analysis）

      POC 聯(lián)系點（Point of Contact）

      RTO 恢復時間目標（Recovery Time Objective）

      RPO 恢復點目標（Recovery Point Objective）

      SLA 服務水平協(xié)議（Service Level Agreement）

5 應急響應計劃的編制準備

5.1 風險評估

      標識信息系統(tǒng)的資產價值，識別信息系統(tǒng)面臨的自然的和人為的威脅，識別信息系統(tǒng)的脆弱性，分析各種威脅發(fā)生的可能性。風險評估具體內容見GB/T 20984-2007的第5章風險評估實施和第6章信息系統(tǒng)生命周期各階段的風險評估。

5.2 業(yè)務影響分析

5.2.1 概述

      業(yè)務影響分析（BIA）是在風險評估的基礎上，分析各種信息安全事件發(fā)生時對業(yè)務功能可能產生的影響，進而確定應急響應的恢復目標。

5.2.2 分析業(yè)務功能和相關資源配置

      對單位或者部門的各項業(yè)務功能及各項業(yè)務功能之間的相關性進行分析，確定支持各種業(yè)務功能的相應信息系統(tǒng)資源及其他資源，明確相關信息的保密性、完整性和可用性要求。

5.2.3 確定信息系統(tǒng)關鍵資源

      對信息系統(tǒng)進行評估，以確定系統(tǒng)所執(zhí)行的關鍵功能，并確定執(zhí)行這些功能所需的特定系統(tǒng)資源。

5.2.4 確定信息安全事件影響

      應采用如下的定量和/或定性的方法，對業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等信息安全事件造成的影響進行評估：

      a) 定量分析-以量化方法，評估業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等可能給組織帶來的直接經濟損失和間接經濟損失；

      b) 定性分析-運用歸納與演繹、分析與綜合以及抽象與概括等方法，評估業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等可能給組織帶來的非經濟損失，包括組織的聲譽、顧客的忠誠度、員工的信心、社會和政治影響等。

5.2.5 確定應急響應的恢復目標

      根據業(yè)務影響分析的結果，同時結合GB/T 22239和GB/T 22240，確定應急響應的恢復目標，包括：

      a）關鍵業(yè)務功能及恢復的優(yōu)先順序；

      b）恢復時間范圍，即恢復時間目標（RTO）和恢復點目標（RPO）的范圍。

5.3 制定應急響應策略

5.3.1 概述

      應急響應策略提供了在業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等信息安全事件發(fā)生后，快速有效地恢復信息系統(tǒng)運行的方法。這些策略應涉及到在業(yè)務影響分析（BIA）中確定的應急響應的恢復目標。

5.3.2 系統(tǒng)恢復能力等級劃分

      系統(tǒng)恢復能力可以劃分為基本支持、備用場地支持、電子傳輸和部分設備支持、電子傳輸及完整設備支持、實時數(shù)據傳輸及完整設備支持、數(shù)據零丟失及遠程集群支持等6個等級，具體劃分遵照GB/T 20988-2007的附錄A災難恢復能力等級劃分。

5.3.3 系統(tǒng)恢復資源的要求

      系統(tǒng)恢復資源的要求遵照GB/T 20988-2007的6.3災難恢復資源的要求。

5.3.4 費用考慮

      信息系統(tǒng)的使用或管理組織（以下簡稱“組織”）應確保有足夠的人員和資金執(zhí)行所選擇的策略。各種類型的備用站點、設備更換和存儲方式的費用應與預算限制相平衡。

      應保證預算充足，應包括軟件、硬件、差旅及運送、測試、計劃培訓項目、意識培訓項目、勞務、其他合同服務以及任何其他適用資源的費用。

      組織應進行成本效益分析，以確定最佳應急響應策略。

6 編制應急響應計劃文檔

6.1 概述

      編制信息安全應急響應計劃文檔是應急響應規(guī)劃過程中的關鍵一步。應急響應計劃應描述支持應急操作的技術能力，并適應機構需求。應急響應計劃需要在詳細程度和靈活程度之間取得平衡，通常是計劃越詳細，其方法就越缺乏彈性和通用性。本標準說明了編制應急響應計劃的要點。計劃編制者應根據實際情況對其內容進行適當?shù)卣{整、充實和本地化，以更好地滿足組織特定的系統(tǒng)、操作和機構需求。同時可以參考GB/Z20985-2007的第8章使用。

      應急響應計劃應能為信息安全事件中不熟悉計劃的人員或要求進行恢復操作的系統(tǒng)提供快速明確的指導。計劃應明確、簡潔、易于在緊急情況下執(zhí)行，并盡量使用檢查列表和詳細規(guī)程。

      應急響應計劃文檔包括總則、角色及職責、預防和預警機制、應急響應流程、應急響應保障措施和附件6個部分。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。