《信息技術(shù) 安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》

1、信息技術(shù) 安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范（征求意見(jiàn)稿）編制說(shuō)明一、任務(wù)來(lái)源信息技術(shù) 安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2006年度信息安全專項(xiàng)中標(biāo)準(zhǔn)制修訂項(xiàng)目之一，屬2006年國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。二、研究目標(biāo)作為任何組織整體信息安全戰(zhàn)略的一個(gè)關(guān)鍵部分，采用一種結(jié)構(gòu)嚴(yán)謹(jǐn)、計(jì)劃周全的方法對(duì)信息安全事件的應(yīng)急響應(yīng)和處理至關(guān)重要。信息技術(shù) 安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范將確定應(yīng)急響應(yīng)計(jì)劃文檔的編制規(guī)范，以協(xié)助相關(guān)人員制定和維護(hù)有效的信息安全應(yīng)急響應(yīng)計(jì)劃。信息技術(shù) 安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范的制定將使信息安全事件能得到及時(shí)有效處理，并能及時(shí)總結(jié)應(yīng)急響應(yīng)過(guò)程中的

2、經(jīng)驗(yàn)和教訓(xùn)，改進(jìn)信息安全事件的預(yù)防措施和應(yīng)急響應(yīng)的處理能力，將損失降低到最少。信息技術(shù) 安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范預(yù)計(jì)將成為我國(guó)重要的信息安全技術(shù)標(biāo)準(zhǔn)，并為國(guó)家信息安全保障提供強(qiáng)有力的技術(shù)支持。三、國(guó)內(nèi)外信息安全應(yīng)急響應(yīng)標(biāo)準(zhǔn)制定情況目前國(guó)內(nèi)外主要有以下信息安全應(yīng)急響應(yīng)規(guī)范與標(biāo)準(zhǔn)：1. 計(jì)算機(jī)安全應(yīng)急響應(yīng)手冊(cè)（第一版），1998年12月，CERT/CC制定；2. 計(jì)算機(jī)安全應(yīng)急響應(yīng)手冊(cè)（第二版），2003年4月，CERT/CC制定；3. 建立計(jì)算機(jī)安全事件響應(yīng)能力（NIST SP800-3），1991年11月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)協(xié)會(huì)NIST制定；4. 計(jì)算機(jī)安全事件處理指南（NIST S

3、P800-61），2004年1月，NIST制定；5. 信息技術(shù)系統(tǒng)應(yīng)急響應(yīng)計(jì)劃指南（NIST SP800-34），2002年6月，NIST制定；6. 信息技術(shù) 安全技術(shù) 信息安全事件管理（GB/Z 20985-2007），2007年2月，信息產(chǎn)業(yè)部電子技術(shù)標(biāo)準(zhǔn)化研究所起草；7. 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007），2007年2月,信息安全測(cè)評(píng)中心起草。計(jì)算機(jī)安全應(yīng)急響應(yīng)手冊(cè)第一版與第二版是CERT/CC制定，它主要目的是為計(jì)算機(jī)安全應(yīng)急響應(yīng)小組（CSIRT）的組建和運(yùn)行提供指導(dǎo)；計(jì)算機(jī)安全事件處理指南（NIST SP800-61）是建立計(jì)算機(jī)安全事件響應(yīng)能力（

4、NIST SP800-3）的升級(jí)版本，它主要目的是為拒絕服務(wù)、惡意代碼以及未授權(quán)訪問(wèn)等具體計(jì)算機(jī)安全提供處理指南；信息技術(shù) 安全技術(shù) 信息安全事件管理（GB/Z 20985-2007）描述了信息安全事件的管理過(guò)程，提供了規(guī)劃和制定信息安全事件管理策略和方案的指南，給出了管理信息安全事件和開(kāi)展后續(xù)工作的相關(guān)過(guò)程和規(guī)程；信息技術(shù)系統(tǒng)應(yīng)急響應(yīng)計(jì)劃指南（NIST SP800-34）描述了信息系統(tǒng)應(yīng)急響應(yīng)計(jì)劃的基本要素和過(guò)程，重點(diǎn)論述了應(yīng)急響應(yīng)計(jì)劃對(duì)于不同信息系統(tǒng)類型的特殊考慮和影響，并且通過(guò)舉例來(lái)協(xié)助用戶制定自己的信息安全應(yīng)急響應(yīng)計(jì)劃。四、編制原則中辦發(fā)200327號(hào)文中強(qiáng)調(diào)了建設(shè)信息安全保障體系中信

5、息安全管理工作的重要性。作為各組織制定整體信息安全管理戰(zhàn)略的一個(gè)關(guān)鍵部分，采用一種科學(xué)合理、結(jié)構(gòu)嚴(yán)謹(jǐn)、計(jì)劃周全的方法來(lái)進(jìn)行各種信息安全的應(yīng)急響應(yīng)十分必要。本標(biāo)準(zhǔn)在研究信息技術(shù)系統(tǒng)應(yīng)急計(jì)劃指南（NIST SP 800-34）、計(jì)算機(jī)安全事件處理指南（NIST SP 800-61）、信息技術(shù) 安全技術(shù) 信息安全事件管理指南（GB/Z 20985-2007）、信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007）、信息安全技術(shù) 信息安全事件分類分級(jí)指南（GB/Z 20986-2007）、信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T 20984-2007）、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（

6、GB/T ××××）和信息系統(tǒng)安全等級(jí)保護(hù)基本要求（GB/T ××××）等國(guó)內(nèi)外主要信息安全標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合“國(guó)家通信保障應(yīng)急預(yù)案”與“上海市網(wǎng)絡(luò)與信息安全事件專項(xiàng)應(yīng)急預(yù)案”兩個(gè)應(yīng)急預(yù)案，本著下列原則開(kāi)展工作：l 先進(jìn)性科學(xué)的應(yīng)急響應(yīng)規(guī)程和先進(jìn)的應(yīng)急響應(yīng)技術(shù)與方法能夠?qū)ν话l(fā)的信息安全事件采取快速有效的應(yīng)急響應(yīng)措施。因此，借鑒和參考國(guó)際國(guó)外標(biāo)準(zhǔn)的先進(jìn)模式，學(xué)習(xí)信息安全應(yīng)急響應(yīng)的優(yōu)秀理論，是我們編寫(xiě)本標(biāo)準(zhǔn)的原則之一。l 協(xié)調(diào)性作為一個(gè)指導(dǎo)制定和維護(hù)信息安全應(yīng)急響應(yīng)計(jì)劃的規(guī)范，本標(biāo)準(zhǔn)充分考慮了與國(guó)內(nèi)現(xiàn)有的其他信息安全應(yīng)

7、急響應(yīng)相關(guān)標(biāo)準(zhǔn)和規(guī)范的協(xié)調(diào)問(wèn)題。l 可操作性標(biāo)準(zhǔn)的制定在與國(guó)際銜接的同時(shí)，充分結(jié)合國(guó)情，實(shí)現(xiàn)可操作性；充分考慮到了我國(guó)信息安全技術(shù)發(fā)展和應(yīng)用的實(shí)際情況。五、主要工作過(guò)程1. 2006年2月，根據(jù)WG7工作組的安排，中科院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心完成了美國(guó)國(guó)家標(biāo)準(zhǔn)NIST SP 800-34：2002信息技術(shù)系統(tǒng)應(yīng)急響應(yīng)計(jì)劃指南的翻譯稿；2. 2006年12月，信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范被全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式立項(xiàng)，定性為國(guó)家推薦性標(biāo)準(zhǔn)；3. 2006年12月2007年1月，研究、分析相關(guān)國(guó)際標(biāo)準(zhǔn)及動(dòng)態(tài)。研究應(yīng)急響應(yīng)背景，包括應(yīng)急計(jì)劃的目的、應(yīng)急計(jì)劃的各種類型、以及怎樣把這些計(jì)

8、劃綜合到機(jī)構(gòu)的風(fēng)險(xiǎn)管理和系統(tǒng)開(kāi)發(fā)生命周期中去。4. 2007年2月2007年6月，對(duì)文本翻譯稿進(jìn)行再次校對(duì)；同時(shí)，在美國(guó)國(guó)家標(biāo)準(zhǔn)NIST SP 800-34：2002信息技術(shù)系統(tǒng)應(yīng)急響應(yīng)計(jì)劃指南的基礎(chǔ)上，對(duì)原文本的部分內(nèi)容進(jìn)行適當(dāng)?shù)恼{(diào)整和修改，并形成本標(biāo)準(zhǔn)初稿，同時(shí)完成標(biāo)準(zhǔn)宣貫指南提綱。5. 2007年7月2日在北京應(yīng)物會(huì)議中心接受了WG7工作組的中期檢查，和與會(huì)專家對(duì)標(biāo)準(zhǔn)初稿進(jìn)行了分析和探討。6. 2007年7月2007年10月，在廣泛汲取專家意見(jiàn)的基礎(chǔ)上，對(duì)標(biāo)準(zhǔn)進(jìn)行了進(jìn)一步的研究和分析，結(jié)合“國(guó)家通信保障應(yīng)急預(yù)案”、“上海市網(wǎng)絡(luò)與信息安全事件專項(xiàng)應(yīng)急預(yù)案”兩個(gè)應(yīng)急預(yù)案，并參考GB/Z 20

9、985-2007信息技術(shù) 安全技術(shù) 信息安全事件管理指南、GB/T 20988-2007信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范、GB/Z 20986-2007信息安全技術(shù) 信息安全事件分類分級(jí)指南和GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范等多個(gè)最新國(guó)家標(biāo)準(zhǔn)，對(duì)標(biāo)準(zhǔn)初稿進(jìn)行了修訂，形成標(biāo)準(zhǔn)初稿第二稿。7. 2007年10月18日在北京應(yīng)物會(huì)議中心接受了WG7工作組的第二次檢查，與會(huì)專家認(rèn)可了修改后的標(biāo)準(zhǔn)主體內(nèi)容和研究目標(biāo)，同時(shí)與會(huì)專家對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了進(jìn)一步的細(xì)致分析和探討，給出了很多寶貴意見(jiàn)。8. 2007年10月18日2007年11月12日，在汲取第二次檢查與會(huì)專家意見(jiàn)的基

10、礎(chǔ)上，對(duì)標(biāo)準(zhǔn)進(jìn)行了進(jìn)一步的修改，并就修改后的標(biāo)準(zhǔn)與公安部通報(bào)中心和北京知識(shí)安全工程中心進(jìn)行了認(rèn)真探討，針對(duì)他們給出的相關(guān)意見(jiàn)，我們對(duì)標(biāo)準(zhǔn)進(jìn)行了再一次的修改，從而形成標(biāo)準(zhǔn)征求意見(jiàn)稿。六、標(biāo)準(zhǔn)主要內(nèi)容本標(biāo)準(zhǔn)概述了信息安全應(yīng)急響應(yīng)計(jì)劃的制定過(guò)程，確立了信息安全應(yīng)急響應(yīng)計(jì)劃文檔的基本要素、內(nèi)容要求和格式規(guī)范。本標(biāo)準(zhǔn)適合于對(duì)負(fù)責(zé)制定和維護(hù)信息安全應(yīng)急響應(yīng)計(jì)劃的人提供指導(dǎo)。標(biāo)準(zhǔn)主要框架如下：1 范圍2 規(guī)范性引用文件3 術(shù)語(yǔ)和定義4 縮略語(yǔ)5 應(yīng)急響應(yīng)需求分析和應(yīng)急策略的確定（詳述了風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析和制定應(yīng)急策略幾個(gè)問(wèn)題，進(jìn)而確定應(yīng)急響應(yīng)需求和應(yīng)急策略。）6編制信息安全應(yīng)急響應(yīng)計(jì)劃文檔(根據(jù)第5章確定的應(yīng)急響應(yīng)需求和應(yīng)急策略，重點(diǎn)論述信息安全應(yīng)急響應(yīng)計(jì)劃文檔所應(yīng)包含的一些基本要素、內(nèi)容要求和規(guī)范要求。)7信息安全應(yīng)急響應(yīng)計(jì)劃的測(cè)試、演練與維護(hù)（論述為了保證信息安全應(yīng)急響應(yīng)計(jì)劃的有效性而需要采取的測(cè)試、演練和維護(hù)方法。）附錄A （資料性附錄） 信息安全應(yīng)急響應(yīng)計(jì)劃格式范例附錄B （資料性附錄） 業(yè)務(wù)影響分析（BIA）和BIA模板舉例參考文獻(xiàn) 七、下一步工作計(jì)劃 時(shí)間進(jìn)度安排2007.11.12提交信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范征求意見(jiàn)稿2007.11.1