首頁(yè) > 最新(xīn)動态 >正文(wén)

等保2.0标準執行之高風險判定(管理(lǐ)制度篇)

文(wén)章來源:等級保護測評 | 發布時間:2019-08-13
 

等級保護2.0标準中(zhōng),以三級要求為(wèi)例,技(jì )術部分(fēn)要求共計84項,管理(lǐ)部分(fēn)要求共計127項(占比達60%)。“三分(fēn)技(jì )術,七分(fēn)管理(lǐ)”一直是網絡安(ān)全領域的至理(lǐ)名(míng)言,足見管理(lǐ)在整個網絡安(ān)全中(zhōng)的重要性。然而,在等級測評過程中(zhōng),測評機構很(hěn)少将管理(lǐ)制度存在缺失或管理(lǐ)不到位的情況判定為(wèi)“高風險”。實際上,許多(duō)安(ān)全事件往往就發生在這些管理(lǐ)的缺失或者不到位上。根據以往發生嚴重安(ān)全事件的分(fēn)析,筆(bǐ)者對等級保護2.0标準中(zhōng),如落實不到位可(kě)能(néng)引發嚴重安(ān)全事故或存在重大安(ān)全隐患的管理(lǐ)要求,提出可(kě)判高風險的場景。例如,管理(lǐ)制度嚴重缺失、未建立網絡安(ān)全領導小(xiǎo)組、外包開發代碼審計措施缺失、上線(xiàn)前未通過安(ān)全測試、未将重要運維操作(zuò)納入變更管理(lǐ)制度、未對運維工(gōng)具(jù)進行管控、未制定應急預案及培訓演練等情況。

對于未建立網絡安(ān)全領導小(xiǎo)組或其最高領導由單位主管領導擔任或授權的情況:大量實踐證明,網絡信息安(ān)全的落實,需要從上至下的推動。因此,網絡安(ān)全領導小(xiǎo)組的最高領導是否由單位主要領導擔任或授權,将直接反映出該單位或企業對于信息安(ān)全保障工(gōng)作(zuò)的重視程度,有(yǒu)助于推進各項保障措施的落實。

對于外包開發代碼審計措施缺失的情況:長(cháng)期以來,外包開發一直存在着諸多(duō)不穩定的因素。例如,外包開發公(gōng)司的開發人員流動大、水平參差不齊、安(ān)全技(jì )能(néng)和意識弱。外包團隊往往隻注重對功能(néng)需求的完成,而不太顧及代碼質(zhì)量與安(ān)全問題,極有(yǒu)可(kě)能(néng)導緻相關程序存在重大安(ān)全隐患。因此,對外包開發進行代碼審計是保障程序安(ān)全、降低外包開發風險的重要手段。尤其是針對涉及金融、民(mín)生、基礎設施等重要核心領域的三級及以上系統。

對于上線(xiàn)前未通過安(ān)全測試的情況:上線(xiàn)前安(ān)全測試作(zuò)為(wèi)應用(yòng)系統正式運行前重要環節,在整個網絡安(ān)全保障活動中(zhōng)扮演者重要角色。通過上線(xiàn)前的安(ān)全測試,可(kě)以檢測相關應用(yòng)系統是否存在安(ān)全隐患,是否具(jù)備足夠安(ān)全保障措施,是否具(jù)備上線(xiàn)運行條件,最大限度的預防和減低重大網絡安(ān)全事件的發生。因此,在《高風險判定指引》中(zhōng),明确系統上線(xiàn)前未通過安(ān)全性測試,或未對相關高風險問題進行安(ān)全評估仍舊“帶病”上線(xiàn)的,可(kě)判定為(wèi)高風險。

對于未将重要運維操作(zuò)納入變更管理(lǐ)制度的情況:2015年攜程癱瘓事件,按照攜程一季度财報公(gōng)布的數據,攜程宕機的損失為(wèi)平均每小(xiǎo)時106.48萬美元。就其原因,就是運維操作(zuò)失誤導緻的。因此,變更管理(lǐ)制度中(zhōng)應明确重要運維操作(zuò)的相關流程。

對于未制定應急預案及培訓演練的情況:《網絡安(ān)全法》第二十五條已明确規定:網絡運營者應當制定網絡安(ān)全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安(ān)全風險;在發生危害網絡安(ān)全的事件時,立即啓動應急預案,采取相應的補救措施,并按照規定向有(yǒu)關主管部門報告;而僅僅制定一份應急預案是遠(yuǎn)遠(yuǎn)不夠的,還需要定期進行培訓和演練,不然應急預案是否能(néng)執行,是否能(néng)應急,都将打上一個問号。因此,《高風險判定指引》中(zhōng),明确指出未制定重要事件的應急預案,未明确重要事件的應急處理(lǐ)流程、系統恢複流程等内容,以及未定期對相關人員進行應急預案培訓,未根據不同的應急預案進行應急演練,無法提供應急預案培訓和演練記錄等情況,可(kě)判定為(wèi)高風險。

結束語

随着科(kē)技(jì )技(jì )術的發展以及新(xīn)形勢下安(ān)全威脅的變化,《高風險判定指引》并不可(kě)能(néng)覆蓋所有(yǒu)情況,部分(fēn)判例在執行過程中(zhōng)仍存在讨論的空間,但對于等級保護測評工(gōng)作(zuò)來說,卻是一次有(yǒu)益的嘗試。《高風險判定指引》如同提供給測評機構一把尺子。這把尺子,需要根據實際情況進行使用(yòng),不能(néng)生搬硬套;這把尺子,不僅讓實際風險能(néng)被真實揭露,也為(wèi)了讓網絡運營者能(néng)重視測評結果、認可(kě)測評結果,真正地提高排除高風險隐患,切實提高安(ān)全防範水平。

最後我們看到,提升測評認可(kě)度,不僅要統一風險判定的尺子,還需要确保尺子測量“标的物(wù)”的真實、準确,也就是提高每一條測評記錄準确度、不放過每一個安(ān)全問題。隻有(yǒu)這樣,才能(néng)發揮風險判定的真正作(zuò)用(yòng)。後期,上海測評中(zhōng)心将通過研究利用(yòng)人工(gōng)智能(néng)“語義傾向分(fēn)析”提升測評中(zhōng)的記錄質(zhì)量;通過研究不同安(ān)全要求之間的内在關聯,捕捉每一個可(kě)能(néng)遺漏的安(ān)全問題,為(wèi)最後的風險判定打好基礎。

《網絡安(ān)全等級保護測評高風險判定指引》——管理(lǐ)制度篇

安(ān)全管理(lǐ)制度

1、管理(lǐ)制度

對應要求:應對安(ān)全管理(lǐ)活動中(zhōng)的各類管理(lǐ)内容建立安(ān)全管理(lǐ)制度。

判例内容:未建立任何與安(ān)全管理(lǐ)活動相關的管理(lǐ)制度或相關管理(lǐ)制度無法适用(yòng)于當前被測系統的,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:所有(yǒu)系統。

滿足條件(任意條件):

1、未建立任何與安(ān)全管理(lǐ)活動相關的管理(lǐ)制度。

2、相關管理(lǐ)制度無法适用(yòng)于當前被測系統。

補償措施:無。

整改建議:建議按照等級保護的相關要求,建立包括總體(tǐ)方針、安(ān)全策略在内的各類與安(ān)全管理(lǐ)活動相關的管理(lǐ)制度。

安(ān)全管理(lǐ)機構

1、崗位設置

判例内容:未成立指導和管理(lǐ)信息安(ān)全工(gōng)作(zuò)的委員會或領導小(xiǎo)組,或其最高領導不是由單位主管領導委任或授權,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):1、3級及以上系統;2、未成立指導和管理(lǐ)信息安(ān)全工(gōng)作(zuò)的委員會或領導小(xiǎo)組,或領導小(xiǎo)組最高領導不是由單位主管領導委任或授權。

補償措施:無。

整改建議:建議成立指導和管理(lǐ)網絡安(ān)全工(gōng)作(zuò)的委員會或領導小(xiǎo)組,其最高領導由單位主管領導擔任或授權。

安(ān)全管理(lǐ)建設

1、産(chǎn)品采購(gòu)和使用(yòng)

1.1、網絡安(ān)全産(chǎn)品采購(gòu)和使用(yòng)

對應要求:應确保網絡安(ān)全産(chǎn)品采購(gòu)和使用(yòng)符合國(guó)家的有(yǒu)關規定。

判例内容:網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品的使用(yòng)違反國(guó)家有(yǒu)關規定,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:所有(yǒu)系統。

滿足條件:網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品的使用(yòng)違反國(guó)家有(yǒu)關規定。

補償措施:無。

整改建議:建議依據國(guó)家有(yǒu)關規定,采購(gòu)和使用(yòng)網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品。(《網絡安(ān)全法》第二十三條規定網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品應當按照相關國(guó)家标準的強制性要求,由具(jù)備資格的機構安(ān)全認證合格或者安(ān)全檢測符合要求後,方可(kě)銷售或者提供。國(guó)家網信部門會同國(guó)務(wù)院有(yǒu)關部門制定、公(gōng)布網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品目錄,并推動安(ān)全認證和安(ān)全檢測結果互認,避免重複認證、檢測。)


1.2  密碼産(chǎn)品與服務(wù)采購(gòu)和使用(yòng)

對應要求:應确保密碼産(chǎn)品與服務(wù)的采購(gòu)和使用(yòng)符合國(guó)家密碼管理(lǐ)主管部門的要求。

判例内容:密碼産(chǎn)品與服務(wù)的使用(yòng)違反國(guó)家密碼管理(lǐ)主管部門的要求,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:所有(yǒu)系統。

滿足條件:密碼産(chǎn)品與服務(wù)的使用(yòng)違反國(guó)家密碼管理(lǐ)主管部門的要求。

補償措施:無。

整改建議:建議依據國(guó)家密碼管理(lǐ)主管部門的要求,使用(yòng)密碼産(chǎn)品與服務(wù)。


2、外包軟件開發

2.1  外包開發代碼審計

對應要求:應保證開發單位提供軟件源代碼,并審查軟件中(zhōng)可(kě)能(néng)存在的後門和隐蔽信道。

判例内容:對于涉及金融、民(mín)生、基礎設施等重要行業的業務(wù)核心系統由外包公(gōng)司開發,上線(xiàn)前未對外包公(gōng)司開發的系統進行源代碼審查,外包商(shāng)也無法提供相關安(ān)全檢測證明,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:涉及金融、民(mín)生、基礎設施等重要核心領域的3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、涉及金融、民(mín)生、基礎設施等重要行業的業務(wù)核心系統;

3、被測單位為(wèi)對外包公(gōng)司開發的系統進行源代碼安(ān)全審查;

4、外包公(gōng)司也無法提供第三方安(ān)全檢測證明。

補償措施:

1、開發公(gōng)司可(kě)提供國(guó)家認可(kě)的第三方機構出具(jù)的源代碼安(ān)全審查報告/證明,可(kě)視為(wèi)等效措施,判符合。

2、可(kě)根據系統的用(yòng)途以及外包開發公(gōng)司的開發功能(néng)的重要性,根據實際情況,酌情提高/減低風險等級。

3、如第三方可(kě)提供軟件安(ān)全性測試證明(非源碼審核),可(kě)視實際情況,酌情減低風險等級。

4、如被測方通過合同等方式與外包開發公(gōng)司明确安(ān)全責任或采取相關技(jì )術手段進行防控的,可(kě)視實際情況,酌情降低風險等級。

5、如被測系統建成時間較長(cháng),但定期對系統進行安(ān)全檢測,當前管理(lǐ)制度中(zhōng)明确規定外包開發代碼審計的,可(kě)根據實際情況,酌情減低風險等級。

整改建議:建議對外包公(gōng)司開發的核心系統進行源代碼審查,檢查是否存在後門和隐蔽信道。如沒有(yǒu)技(jì )術手段進行源碼審查的,可(kě)聘請第三方專業機構對相關代碼進行安(ān)全檢測。


3、測試驗收

3.1  上線(xiàn)前安(ān)全測試

對應要求:應進行上線(xiàn)前的安(ān)全性測試,并出具(jù)安(ān)全測試報告,安(ān)全測試報告應包含密碼應用(yòng)安(ān)全性測試相關内容。

判例内容:系統上線(xiàn)前未通過安(ān)全性測試,或未對相關高風險問題進行安(ān)全評估仍舊帶病上線(xiàn)的,可(kě)判定為(wèi)高風險。安(ān)全檢查内容可(kě)以包括但不限于掃描滲透測試、安(ān)全功能(néng)驗證、源代碼安(ān)全審核。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、系統上線(xiàn)前未進行任何安(ān)全性測試,或未對相關高風險問題進行安(ān)全評估仍舊帶病上線(xiàn)。

補償措施:

1、如被測系統建成時間較長(cháng),定期對系統進行安(ān)全檢測,管理(lǐ)制度中(zhōng)相關的上線(xiàn)前安(ān)全測試要求,可(kě)根據實際情況,酌情減低風險等級。

2、如系統安(ān)全性方面是按照技(jì )術協議中(zhōng)的約定在開發過程中(zhōng)進行控制,并能(néng)提供相關控制的證明,可(kě)根據實際情況,酌情減低風險等級。

3、可(kě)視系統的重要程度,被測單位的技(jì )術實力,根據自檢和第三方檢測的情況,酌情提高/減低風險等級。

整改建議:建議在新(xīn)系統上線(xiàn)前,對系統進行安(ān)全性評估,及時修補評估過程中(zhōng)發現的問題,确保系統不帶病上線(xiàn)。

安(ān)全運維管理(lǐ)


1、漏洞和風險管理(lǐ)

1.1  安(ān)全漏洞和隐患的識别與修補

對應要求:應采取必要的措施識别安(ān)全漏洞和隐患,對發現的安(ān)全漏洞和隐患及時進行修補或評估可(kě)能(néng)的影響後進行修補。

判例内容:未對發現的安(ān)全漏洞和隐患及時修補,會導緻系統存在較大的安(ān)全隐患,黑客有(yǒu)可(kě)能(néng)利用(yòng)安(ān)全漏洞對系統實施惡意攻擊,如果安(ān)全漏洞和隐患能(néng)夠構成高危風險,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、通過漏洞掃描,發現存在可(kě)被利用(yòng)的高風險漏洞;

3、未對相關漏洞進行評估或修補,對系統安(ān)全構成重大隐患。

補償措施:如果安(ān)全漏洞修補可(kě)能(néng)會對系統的正常運行造成沖突,應對發現的安(ān)全漏洞和隐患進行評估,分(fēn)析被利用(yòng)的可(kě)能(néng)性,判斷安(ān)全風險的等級,在可(kě)接受的範圍内進行殘餘風險評估,明确風險等級,若無高危風險,可(kě)酌情降低風險。

整改建議:建議對發現的安(ān)全漏洞和隐患進行及時修補評估,對必須修補的安(ān)全漏洞和隐患進行加固測試,測試無誤後,備份系統數據,再從生産(chǎn)環境進行修補,對于剩餘安(ān)全漏洞和隐患進行殘餘風險分(fēn)析,明确安(ān)全風險整改原則。


2、網絡和系統安(ān)全管理(lǐ)

2.1  重要運維操作(zuò)變更管理(lǐ)

對應要求:應嚴格控制變更性運維,經過審批後才可(kě)改變連接、安(ān)裝(zhuāng)系統組件或調整配置參數,操作(zuò)過程中(zhōng)應保留不可(kě)更改的審計日志(zhì),操作(zuò)結束後應同步更新(xīn)配置信息庫。

判例内容:未對運維過程中(zhōng)改變連接、安(ān)裝(zhuāng)系統組件或調整配置參數進行變更審批,且未進行變更性測試,一旦安(ān)裝(zhuāng)系統組件或調整配置參數對系統造成影響,有(yǒu)可(kě)能(néng)導緻系統無法正常訪問,出現異常,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、未建立變更管理(lǐ)制度,對于重大變更性運維過程無審批流程;

3、變更過程未保留相關操作(zuò)日志(zhì)及備份措施,出現問題無法進行恢複還原。

補償措施:無。

整改建議:建議對需要作(zuò)出變更性運維的動作(zuò)進行審批,并對變更内容進行測試,在測試無誤後,備份系統數據和參數配置,再從生産(chǎn)環境進行變更,并明确變更流程以及回退方案,變更完成後進行配置信息庫更新(xīn)


2.2  運維工(gōng)具(jù)的管控

對應要求:應嚴格控制運維工(gōng)具(jù)的使用(yòng),經過審批後才可(kě)接入進行操作(zuò),操作(zuò)過程中(zhōng)應保留不可(kě)更改的審計日志(zhì),操作(zuò)結束後應删除工(gōng)具(jù)中(zhōng)的敏感數據。

判例内容:未對各類運維工(gōng)具(jù)(特别是未商(shāng)業化的運維工(gōng)具(jù))進行有(yǒu)效性檢查,未對運維工(gōng)具(jù)的接入進行嚴格的控制和審批,運維工(gōng)具(jù)中(zhōng)可(kě)能(néng)存在漏洞或後門,一旦被黑客利用(yòng)有(yǒu)可(kě)能(néng)造成數據洩露,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、未對各類運維工(gōng)具(jù)(特别是未商(shāng)業化的運維工(gōng)具(jù))進行有(yǒu)效性檢查,如病毒、漏洞掃描等;對運維工(gōng)具(jù)的接入也未進行嚴格的控制和審批;操作(zuò)結束後也未要求删除可(kě)能(néng)臨時存放的敏感數據。

補償措施:

1、如使用(yòng)官方正版商(shāng)用(yòng)化工(gōng)具(jù),或自行開發的,安(ān)全可(kě)供的運維工(gōng)具(jù),可(kě)根據實際情況,酌情降低風險等級。

2、如對于運維工(gōng)具(jù)的接入有(yǒu)嚴格的控制措施,且有(yǒu)審計系統對相關運維操作(zuò)進行審計,可(kě)根據實際情況,酌情降低風險等級。

整改建議:如果必須使用(yòng)運維工(gōng)具(jù),建議使用(yòng)商(shāng)業化的運維工(gōng)具(jù),嚴禁運維人員私自下載第三方未商(shāng)業化的運維工(gōng)具(jù)。


2.3  運維外聯的管控

對應要求:應保證所有(yǒu)與外部的連接均得到授權和批準,應定期檢查違反規定無線(xiàn)上網及其他(tā)違反網絡安(ān)全策略的行為(wèi)。

判例内容:制度上服務(wù)器及終端與外部連接的授權和批準制度,也未定期對相關違反網絡安(ān)全策略的行為(wèi)進行檢查,存在違規外聯的安(ān)全隐患,一旦内網服務(wù)器或終端違規外聯,可(kě)能(néng)造成涉密信息(商(shāng)密信息)的洩露,同時增加了感染病毒的可(kě)能(néng)性,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、管理(lǐ)制度上無關于外部連接的授權和審批流程,也未定期進行相關的巡檢;

3、無技(jì )術手段檢查違規上網及其他(tā)網絡安(ān)全策略的行為(wèi)。

補償措施:在網絡部署了相關的準入控制設備,可(kě)有(yǒu)效控制、檢查、阻斷違規無線(xiàn)上網及其他(tā)違反網絡安(ān)全策略行為(wèi)的情況下,如未建立相關制度,未定期進行巡檢,可(kě)酌情降低風險等級。

整改建議:建議制度上明确所有(yǒu)與外部連接的授權和批準制度,并定期對相關違反行為(wèi)進行檢查,可(kě)采取終端管理(lǐ)系統實現違規外聯和違規接入,設置合理(lǐ)的安(ān)全策略,在出現違規外聯和違規接入時能(néng)第一時間進行檢測和阻斷。


3、惡意代碼防範管理(lǐ)

對應要求:應提高所有(yǒu)用(yòng)戶的防惡意代碼意識,對外來計算機或存儲設備接入系統前進行惡意代碼檢查等。

判例内容:外來計算機或存儲設備本身可(kě)能(néng)已被感染病毒或木(mù)馬,未對其接入系統前進行惡意代碼檢查,可(kě)能(néng)導緻系統感染病毒或木(mù)馬,對信息系統造成極大的危害,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:所有(yǒu)系統。

滿足條件(同時):

1、未在管理(lǐ)制度或安(ān)全培訓手冊中(zhōng)明确外來計算機或存儲設備接入安(ān)全操作(zuò)流程;

2、外來計算機或存儲設備接入系統前未進行惡意代碼檢查。

補償措施:無。

整改建議:建議制定外來接入設備檢查制度,對任何外來計算機或存儲設備接入系統前必須經過惡意代碼檢查,再檢查無誤後,經過審批,設備方可(kě)接入系統。

4、變更管理(lǐ)

對應要求:應明确變更需求,變更前根據變更需求制定變更方案,變更方案經過評審、審批後方可(kě)實施。

判例内容:未明确變更管理(lǐ)流程,未對需要變更的内容進行分(fēn)析與論證,未制定詳細的變更方案,無法明确變更的需求與必要性;變更的同時也伴随着可(kě)能(néng)導緻系統無法正常訪問的風險,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時)

1、3級及以上系統;

2、無變更管理(lǐ)制度,或變更管理(lǐ)制度中(zhōng)無變更管理(lǐ)流程、變更内容分(fēn)析與論證、變更方案審批流程等相關内容。

補償措施:無。

整改建議:建議系統的任何變更均需要管理(lǐ)流程,必須組織相關人員(業務(wù)部門人員與系統運維人員等)進行分(fēn)析與論證,在确定必須變更後,制定詳細的變更方案,在經過審批後,先對系統進行備份,然後在實施變更。

5、備份與恢複管理(lǐ)


對應要求:應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢複策略、備份程序和恢複程序等。

判例内容:未明确數據備份策略和數據恢複策略,以及備份程序和恢複程序,無法實現重要數據的定期備份與恢複性測試,一旦系統出現故障,需要恢複數據,存在無數據可(kě)恢複的情況,或者備份的數據未經過恢複性測試,無法确保備份的數據可(kě)用(yòng),可(kě)判定為(wèi)高危風險。此外,如有(yǒu)相關制度,但未實施,視為(wèi)制度内容未落實,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、無備份與恢複等相關的安(ān)全管理(lǐ)制度,或未按照相關策略落實數據備份。

補償措施:

1、未建立相關數據備份制度,但若已實施數據備份措施,且備份機制符合業務(wù)需要,可(kě)酌情降低風險等級。

2、如系統還未正式上線(xiàn),則可(kě)檢查是否制定了相關的管理(lǐ)制度,目前的技(jì )術措施(如環境、存儲等)是否可(kě)以滿足制度中(zhōng)規定的備份恢複策略要求,可(kě)根據實際情況判斷風險等級。

整改建議:建議制定備份與恢複相關的制度,明确數據備份策略和數據恢複策略,以及備份程序和恢複程序,實現重要數據的定期備份與恢複性測試,保證備份數據的高可(kě)用(yòng)性與可(kě)恢複性。


6、應急預案管理(lǐ)

6.1  應急預案制定

對應要求:應制定重要事件的應急預案,包括應急處理(lǐ)流程、系統恢複流程等内容。

判例内容:未制定重要事件的應急預案,未明确重要事件的應急處理(lǐ)流程、系統恢複流程等内容,一旦出現應急事件,無法合理(lǐ)有(yǒu)序的進行應急事件處置過程,造成應急響應時間增長(cháng),導緻系統不能(néng)在最短的事件内進行恢複,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:所有(yǒu)系統。

滿足條件:未制定重要事件的應急預案。

補償措施:如制定了應急預演,但内容不全,可(kě)根據實際情況,酌情降低風險等級。

整改建議:建議制定重要事件的應急預案,明确重要事件的應急處理(lǐ)流程、系統恢複流程等内容,并對應急預案進行演練。


6.2  應急預案培訓演練

對應要求:應定期對系統相關的人員進行應急預案培訓,并進行應急預案的演練。

判例内容:未定期對相關人員進行應急預案培訓,未根據不同的應急預案進行應急演練,無法提供應急預案培訓和演練記錄,可(kě)判定為(wèi)高風險。

适用(yòng)範圍:3級及以上系統。

滿足條件(同時):

1、3級及以上系統;

2、未定期對系統相關的人員進行應急預案培訓;

3、未進行過應急預案的演練。

補償措施:如系統還未正式上線(xiàn),可(kě)根據培訓演練制度及相關培訓計劃,根據實際情況判斷風險等級。

整改建議:建議定期對相關人員進行應急預案培訓與演練,并保留應急預案培訓和演練記錄,使參與應急的人員熟練掌握應急的整個過程


附表:




注①《網絡安(ān)全等級保護測評高風險判定指引》由中(zhōng)關村信息安(ān)全測評聯盟組織,上海市信息安(ān)全測評認證中(zhōng)心主筆(bǐ),杭州安(ān)信檢測技(jì )術有(yǒu)限公(gōng)司、江蘇金盾檢測技(jì )術有(yǒu)限公(gōng)司、深圳市網安(ān)計算機安(ān)全檢測技(jì )術有(yǒu)限公(gōng)司、合肥天帷信息安(ān)全技(jì )術有(yǒu)限公(gōng)司、山(shān)東新(xīn)潮信息技(jì )術有(yǒu)限公(gōng)司、成都安(ān)美勤信息技(jì )術股份有(yǒu)限公(gōng)司、甘肅安(ān)信信息安(ān)全技(jì )術有(yǒu)限公(gōng)司、江蘇駿安(ān)信息測評認證有(yǒu)限公(gōng)司、安(ān)徽祥盾信息科(kē)技(jì )有(yǒu)限公(gōng)司等機構共同參與。

注②适用(yòng)範圍:本指引适用(yòng)于網絡安(ān)全等級保護測評活動、安(ān)全檢查等工(gōng)作(zuò)。信息系統建設單位亦可(kě)參考本指引描述的案例編制系統安(ān)全需求。

注③在判定過程中(zhōng),使用(yòng)者應知曉《高風險判定指引》是基于“一般場景”假設的編制思路。在具(jù)體(tǐ)風險判定中(zhōng),應根據被測對象的實際情況來綜合确定該風險嚴重程度是否為(wèi)“高”。如初步符合“适用(yòng)範圍”、“需滿足的條件”後,還需根據“補償措施”所引申的方向思考是否可(kě)降低風險嚴重程度;鼓勵根據實際情況對于補償措施中(zhōng)未涉及但确實能(néng)起到降低風險等級的安(ān)全措施進行深入分(fēn)析。