《信息技术 安全技术 信息安全应急响应计划规范》

1、信息技术 安全技术 信息安全应急响应计划规范（征求意见稿）编制说明一、任务来源信息技术 安全技术 信息安全应急响应计划规范是全国信息安全标准化技术委员会2006年度信息安全专项中标准制修订项目之一，属2006年国家标准制定项目。二、研究目标作为任何组织整体信息安全战略的一个关键部分，采用一种结构严谨、计划周全的方法对信息安全事件的应急响应和处理至关重要。信息技术 安全技术 信息安全应急响应计划规范将确定应急响应计划文档的编制规范，以协助相关人员制定和维护有效的信息安全应急响应计划。信息技术 安全技术 信息安全应急响应计划规范的制定将使信息安全事件能得到及时有效处理，并能及时总结应急响应过程中的

2、经验和教训，改进信息安全事件的预防措施和应急响应的处理能力，将损失降低到最少。信息技术 安全技术 信息安全应急响应计划规范预计将成为我国重要的信息安全技术标准，并为国家信息安全保障提供强有力的技术支持。三、国内外信息安全应急响应标准制定情况目前国内外主要有以下信息安全应急响应规范与标准：1. 计算机安全应急响应手册（第一版），1998年12月，CERT/CC制定；2. 计算机安全应急响应手册（第二版），2003年4月，CERT/CC制定；3. 建立计算机安全事件响应能力（NIST SP800-3），1991年11月，美国国家标准与技术协会NIST制定；4. 计算机安全事件处理指南（NIST S

3、P800-61），2004年1月，NIST制定；5. 信息技术系统应急响应计划指南（NIST SP800-34），2002年6月，NIST制定；6. 信息技术 安全技术 信息安全事件管理（GB/Z 20985-2007），2007年2月，信息产业部电子技术标准化研究所起草；7. 信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007），2007年2月,信息安全测评中心起草。计算机安全应急响应手册第一版与第二版是CERT/CC制定，它主要目的是为计算机安全应急响应小组（CSIRT）的组建和运行提供指导；计算机安全事件处理指南（NIST SP800-61）是建立计算机安全事件响应能力（

4、NIST SP800-3）的升级版本，它主要目的是为拒绝服务、恶意代码以及未授权访问等具体计算机安全提供处理指南；信息技术 安全技术 信息安全事件管理（GB/Z 20985-2007）描述了信息安全事件的管理过程，提供了规划和制定信息安全事件管理策略和方案的指南，给出了管理信息安全事件和开展后续工作的相关过程和规程；信息技术系统应急响应计划指南（NIST SP800-34）描述了信息系统应急响应计划的基本要素和过程，重点论述了应急响应计划对于不同信息系统类型的特殊考虑和影响，并且通过举例来协助用户制定自己的信息安全应急响应计划。四、编制原则中办发200327号文中强调了建设信息安全保障体系中信

5、息安全管理工作的重要性。作为各组织制定整体信息安全管理战略的一个关键部分，采用一种科学合理、结构严谨、计划周全的方法来进行各种信息安全的应急响应十分必要。本标准在研究信息技术系统应急计划指南（NIST SP 800-34）、计算机安全事件处理指南（NIST SP 800-61）、信息技术 安全技术 信息安全事件管理指南（GB/Z 20985-2007）、信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007）、信息安全技术 信息安全事件分类分级指南（GB/Z 20986-2007）、信息安全技术 信息安全风险评估规范（GB/T 20984-2007）、信息系统安全等级保护定级指南（

6、GB/T ××××）和信息系统安全等级保护基本要求（GB/T ××××）等国内外主要信息安全标准的基础上，结合“国家通信保障应急预案”与“上海市网络与信息安全事件专项应急预案”两个应急预案，本着下列原则开展工作：l 先进性科学的应急响应规程和先进的应急响应技术与方法能够对突发的信息安全事件采取快速有效的应急响应措施。因此，借鉴和参考国际国外标准的先进模式，学习信息安全应急响应的优秀理论，是我们编写本标准的原则之一。l 协调性作为一个指导制定和维护信息安全应急响应计划的规范，本标准充分考虑了与国内现有的其他信息安全应

7、急响应相关标准和规范的协调问题。l 可操作性标准的制定在与国际衔接的同时，充分结合国情，实现可操作性；充分考虑到了我国信息安全技术发展和应用的实际情况。五、主要工作过程1. 2006年2月，根据WG7工作组的安排，中科院研究生院国家计算机网络入侵防范中心完成了美国国家标准NIST SP 800-34：2002信息技术系统应急响应计划指南的翻译稿；2. 2006年12月，信息安全应急响应计划规范被全国信息安全标准化技术委员会正式立项，定性为国家推荐性标准；3. 2006年12月2007年1月，研究、分析相关国际标准及动态。研究应急响应背景，包括应急计划的目的、应急计划的各种类型、以及怎样把这些计

8、划综合到机构的风险管理和系统开发生命周期中去。4. 2007年2月2007年6月，对文本翻译稿进行再次校对；同时，在美国国家标准NIST SP 800-34：2002信息技术系统应急响应计划指南的基础上，对原文本的部分内容进行适当的调整和修改，并形成本标准初稿，同时完成标准宣贯指南提纲。5. 2007年7月2日在北京应物会议中心接受了WG7工作组的中期检查，和与会专家对标准初稿进行了分析和探讨。6. 2007年7月2007年10月，在广泛汲取专家意见的基础上，对标准进行了进一步的研究和分析，结合“国家通信保障应急预案”、“上海市网络与信息安全事件专项应急预案”两个应急预案，并参考GB/Z 20

9、985-2007信息技术 安全技术 信息安全事件管理指南、GB/T 20988-2007信息安全技术 信息系统灾难恢复规范、GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南和GB/T 20984-2007信息安全技术 信息安全风险评估规范等多个最新国家标准，对标准初稿进行了修订，形成标准初稿第二稿。7. 2007年10月18日在北京应物会议中心接受了WG7工作组的第二次检查，与会专家认可了修改后的标准主体内容和研究目标，同时与会专家对标准内容进行了进一步的细致分析和探讨，给出了很多宝贵意见。8. 2007年10月18日2007年11月12日，在汲取第二次检查与会专家意见的基

10、础上，对标准进行了进一步的修改，并就修改后的标准与公安部通报中心和北京知识安全工程中心进行了认真探讨，针对他们给出的相关意见，我们对标准进行了再一次的修改，从而形成标准征求意见稿。六、标准主要内容本标准概述了信息安全应急响应计划的制定过程，确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。本标准适合于对负责制定和维护信息安全应急响应计划的人提供指导。标准主要框架如下：1 范围2 规范性引用文件3 术语和定义4 缩略语5 应急响应需求分析和应急策略的确定（详述了风险评估、业务影响分析和制定应急策略几个问题，进而确定应急响应需求和应急策略。）6编制信息安全应急响应计划文档(根据第5章确定的应急响应需求和应急策略，重点论述信息安全应急响应计划文档所应包含的一些基本要素、内容要求和规范要求。)7信息安全应急响应计划的测试、演练与维护（论述为了保证信息安全应急响应计划的有效性而需要采取的测试、演练和维护方法。）附录A （资料性附录） 信息安全应急响应计划格式范例附录B （资料性附录） 业务影响分析（BIA）和BIA模板举例参考文献 七、下一步工作计划 时间进度安排2007.11.12提交信息安全应急响应计划规范征求意见稿2007.11.1