下载掌阅APP,畅读海量书库
立即打开
应急响应是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。而安全事件则是指影响一个系统正常工作的情况。应急响应计划是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程。
信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全事件的发生可以通过技术的、管理的、操作的方法予以消减,但没有任何一种信息安全策略或防护措施能够对信息系统提供绝对的保护,即便采取了措施,仍可能存在残留的弱点,使得信息安全防护可能被攻破,从而导致业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件发生,并对组织和业务的运行产生直接或间接的负面影响,因此,为了减小信息安全事件对组织和业务的影响,应对应急响应工作进行总结,并进行周密的策划,形成一套思路缜密的规范。
《信息安全技术 信息安全应急响应计划规范》(GB/T 24363—2009)(以下简称《规范》)确定了应急响应计划文档的编制依据,以协助相关人员制定和维护有效的信息安全计划。使得信息安全事件能得到及时有效的处理,并能及时总结应急响应过程中的经验教训,改进信息安全事件的预防措施,提高应急响应处理能力,将信息安全事件对系统造成的损失降低到最小。《规范》将为国家信息安全保障提供强有力的技术支撑。
信息安全应急响应计划的制定是一个周而复始、持续改进的过程,包含以下四个阶段:
(1)应急响应需求分析和应急响应策略的确定。
(2)编制应急响应计划文档。
(3)应急响应计划的测试、培训、演练。
(4)应急响应计划的管理和维护。
《规范》第五部分“应急响应计划的编制准备”规定业务影响分析是在风险评估的基础上,标识信息系统的资产价值,识别信息系统面临的自然和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性和各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标。分析业务功能和相关资源配置,确定信息系统相关资源,确定信息安全事件的影响,确定应急响应的恢复目标。
应急响应策略提供了在业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件发生后,快速有效地恢复信息系统运行的方法,这些策略应涉及在业务影响分析中确定的应急响应的恢复目标。
《规范》第六部分详细阐述了编制应急响应计划文档的规范,编制应急响应计划文档是应急响应规划中的关键一步,应急响应计划应描述支持应急操作的技术能力,并适应机构需求。应急响应计划需要在详细程度和灵活程度之间取得平衡,通常是计划越详细,其方法就越缺乏弹性和通用性。本标准说明了编制应急响应计划的要点。计划编制者应根据实际情况对其内容进行适当的调整、充实和本地化,以更好地满足特殊系统、操作和机构需求。应急响应计划文档包括总则、角色及职责、防护和预警机制、应急响应流程、应急响应保障措施和附件六个部分。
《规范》第七部分指出为了检验应急响应计划的有效性,同时使相关人员了解信息安全应急响应计划的目标和流程,熟悉应急响应的操作规程,组织应按以下要求组织应急响应计划的测试、培训和演练。
(1)预先制定测试、培训和演练的计划,在计划中说明测试和演练的场景。
(2)测试、培训和演练的整个过程应有详细的记录,并形成报告。
(3)测试和演练不能打断信息系统的正常业务运行。
(4)每年至少完成一次有最终用户参与的完整测试和演练。
《规范》第七部分规定经过审核和批准的应急响应计划文档的保存与分发应按照以下程序进行:
(1)由专人负责保存与分发。
(2)具有多份拷贝,并在不同的地点保存。
(3)分发给参与应急响应工作的所有人员。
(4)在每次修订后所有拷贝统一更新,并保留一套,以备查阅。
(5)旧版本应按有关规定销毁。
为了保证应急响应计划的有效性,应从以下三个方面对应急响应计划文档进行严格的维护:
(1)业务流程的变化、信息系统的变更、人员的变更,都应在应急响应文档中及时进行反应。
(2)应急响应计划在测试、演练和信息安全事件发生后实际执行时,其过程应有详细的记录,并应对测试、演练和执行效果进行评估,同时对应急响应计划文档进行相应的修订。
(3)应急响应计划文档应定期评审和修订,至少每年一次。