2024網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求管理要求

網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求管理要求目次TOC\o"1-2"\h\u24159前言 II23698引言 III296911范圍 1233372規(guī)范性引用文件 14973術(shù)語和定義 1216923.1網(wǎng)絡(luò)產(chǎn)品 152573.2應(yīng)急事件 123723.3應(yīng)急響應(yīng) 1144933.4風(fēng)險評估 2200504縮略語 2320495網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全管理框架、流程 2197746安全事件分類分級 3144086.1安全事件分類 3210026.2安全事件分級 4283747應(yīng)急響應(yīng)預(yù)案建立 5107937.1預(yù)案計劃編排準(zhǔn)備 549237.2基礎(chǔ)環(huán)境保障 7220957.3應(yīng)急演練 7255788應(yīng)急響應(yīng)處置管理 83898.1事件響應(yīng)上報 8134678.2制定和實施行動方案 866808.3技術(shù)分析前的應(yīng)急恢復(fù) 8179428.4遏阻 9252608.5消除威脅 9187888.6恢復(fù) 9177258.7響應(yīng)終止 920834附錄A（資料性）網(wǎng)絡(luò)產(chǎn)品的應(yīng)急響應(yīng)要求與不同類型活動的對應(yīng)關(guān)系 1012858參考文獻 11網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求管理要求范圍本文件規(guī)定了網(wǎng)絡(luò)產(chǎn)品在運行維護階段應(yīng)滿足的應(yīng)急響應(yīng)安全管理要求，主要從應(yīng)急預(yù)案建立、應(yīng)急響應(yīng)處置管理等方面提出針對網(wǎng)絡(luò)產(chǎn)品使用方的安全管理要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)產(chǎn)品的使用方建立和維護網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)管理體系，也可為網(wǎng)絡(luò)設(shè)備生產(chǎn)方和第三方機構(gòu)開展測評時提供參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險評估方法GB/T20985.2-2020信息技術(shù)安全技術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃與準(zhǔn)備指南GB/T20986信息安全技術(shù)信息安全事件分類分級指南GB/T22240-2020信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南術(shù)語和定義下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)產(chǎn)品networkproduct作為網(wǎng)絡(luò)組成部分以及實現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲、傳輸、交換和處理。[來源：GB/T39276—2020,3.2]應(yīng)急事件emergencyevent導(dǎo)致或即將導(dǎo)致運行維護服務(wù)對象運行中斷、運行質(zhì)量降低，以及需要實施重點時段保障的事件。[來源：GB/T28827.3—2012,3.2]應(yīng)急響應(yīng)emergencyresponse組織為預(yù)防、監(jiān)控、處置和管理應(yīng)急事件所采取的措施和活動。[來源：GB/T28827.3—2012,3.3]

風(fēng)險評估riskassessment特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害。[來源：GB/T28827.3—2012,3.2]縮略語下列縮略語適用于本文件。BIA：業(yè)務(wù)影響分析（BusinessImpactAnalysis）UPS：不間斷電源（UninterruptiblePowerSupply）網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全管理框架、流程在風(fēng)險管理的基礎(chǔ)上，本文件提出了一套基于業(yè)務(wù)連續(xù)性管理的網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全管理框架（如圖1所示）和應(yīng)急響應(yīng)安全管理流程（如圖2所示）。圖1應(yīng)急響應(yīng)安全管理框架應(yīng)急響應(yīng)安全管理框架以突發(fā)網(wǎng)絡(luò)安全事件為關(guān)注核心，以保障業(yè)務(wù)連續(xù)性、最大程度減少損失為目標(biāo)，在管理組織結(jié)構(gòu)和管理標(biāo)準(zhǔn)規(guī)范的基礎(chǔ)上，從事前（應(yīng)急響應(yīng)安全管理計劃編排準(zhǔn)備、基礎(chǔ)環(huán)境保障、應(yīng)急演練），事中（預(yù)案選擇、應(yīng)急響應(yīng)、預(yù)案評估）、事后（現(xiàn)場恢復(fù)、總結(jié)改進）以及貫穿整個應(yīng)急過程的安全培訓(xùn)出發(fā)，構(gòu)建完整的響應(yīng)處置體系。圖2應(yīng)急響應(yīng)安全管理流程應(yīng)急響應(yīng)安全管理流程是面向網(wǎng)絡(luò)產(chǎn)品在整個應(yīng)急響應(yīng)管理生命周期，流程貫穿于應(yīng)急預(yù)案準(zhǔn)備到啟動應(yīng)急響應(yīng)以及事后的現(xiàn)場恢復(fù)等各個方面。安全事件分類分級安全事件分類網(wǎng)絡(luò)產(chǎn)品安全事件分為惡意程序、網(wǎng)絡(luò)攻擊事件、數(shù)據(jù)攻擊事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障事件、違規(guī)操作事件、安全隱患事件、異常行為事件、不可抗力事件、其他事件等十個基本分類。參照GB/T20986，說明如下：惡意程序：指帶有惡意意圖所編寫的一段程序，該程序插入網(wǎng)絡(luò)損害網(wǎng)絡(luò)中的數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)，或影響網(wǎng)絡(luò)的正常運行；網(wǎng)絡(luò)攻擊事件：指通過技術(shù)手段對網(wǎng)絡(luò)實施攻擊而導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件；數(shù)據(jù)安全事件：通過技術(shù)或其他手段對數(shù)據(jù)實施篡改、假冒、泄露、竊取等導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件；信息內(nèi)容安全事件：指通過網(wǎng)絡(luò)傳播危害國家安全、社會穩(wěn)定、公共安全和利益的有害信息導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件；設(shè)備設(shè)施故障事件：指由于網(wǎng)絡(luò)自身出現(xiàn)故障或設(shè)備設(shè)施受到破壞或干擾而導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件；違規(guī)操作事件：是指人為故意或意外地損害網(wǎng)絡(luò)功能而導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件；安全隱患事件：指網(wǎng)絡(luò)中出現(xiàn)能被攻擊者利用的漏洞或隱患，一旦被利用可能對網(wǎng)絡(luò)造成破壞，進而導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件。提前發(fā)現(xiàn)這些漏洞或隱患能防范由此引起的其他網(wǎng)絡(luò)安全事件；異常行為事件：指網(wǎng)絡(luò)本身穩(wěn)定性不足或違規(guī)訪問網(wǎng)絡(luò)造成訪問、流量等異常行為，進而導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件；不可抗力事件：是指因突發(fā)事件損害網(wǎng)絡(luò)的可用性而導(dǎo)致業(yè)務(wù)損失或造成社會危害的網(wǎng)絡(luò)安全事件；其他事件：指未歸為上述分類的網(wǎng)絡(luò)安全事件。安全事件分級根據(jù)網(wǎng)絡(luò)產(chǎn)品的事件影響對象的重要程度、業(yè)務(wù)損失的嚴重程度、社會危害的嚴重程度，將網(wǎng)絡(luò)安全事件劃分為特大重大事件、重大事件、較大事件、一般事件四個等級。其中網(wǎng)絡(luò)產(chǎn)品的事件影響對象的重要程度、業(yè)務(wù)損失的嚴重程度、社會危害的嚴重程度如下所述。事件影響對象的重要程度事件影響對象的重要程度根據(jù)國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益以及業(yè)務(wù)對事件影響對象的依賴程度進行評估，分為3個等級：特別重要、重要和一般。參照GB/T22240-2020，說明如下：特別重要：受到破壞后，對國家安全造成危害，或?qū)ι鐣刃?、?jīng)濟建設(shè)和公共利益造成嚴重危害或特別嚴重危害；重要：受到破壞后，對社會秩序、經(jīng)濟建設(shè)和公共利益造成危害，或?qū)ο嚓P(guān)公民、法人和其他組織的合法權(quán)益造成嚴重或特別嚴重損害，但不危害國家安全；一般：指受到破壞后，對相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，但不危害國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益。業(yè)務(wù)損失的嚴重程度業(yè)務(wù)損失的嚴重程度由網(wǎng)絡(luò)的硬件/軟件、功能和數(shù)據(jù)的損壞導(dǎo)致業(yè)務(wù)中斷影響的嚴重程度進行評估，其大小可取決于恢復(fù)業(yè)務(wù)正常運行和消除網(wǎng)絡(luò)安全事件負面影響所需付出的代價，分為4個級別：特別嚴重、嚴重、較大和較小，說明如下：特別嚴重：造成網(wǎng)絡(luò)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或重要數(shù)據(jù)/敏感個人信息遭到嚴重破壞，恢復(fù)業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價巨大，對于事發(fā)組織是不可承受的；嚴重：造成網(wǎng)絡(luò)長時間中斷或局部業(yè)務(wù)癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或重要數(shù)據(jù)/敏感個人信息遭到破壞，恢復(fù)業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發(fā)組織是可承受的；較大：造成網(wǎng)絡(luò)中斷，導(dǎo)致業(yè)務(wù)處理能力受到較大影響，或數(shù)據(jù)/敏感個人信息受到損害，恢復(fù)業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；較?。涸斐删W(wǎng)絡(luò)短暫中斷，導(dǎo)致業(yè)務(wù)處理能力受到一定影響，或數(shù)據(jù)/敏感個人信息受到影響，恢復(fù)業(yè)務(wù)正常運行和消除安全事件負面影響所需付出的代價較小。社會危害的嚴重程度社會危害的嚴重程度根據(jù)對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益等方面的危害程度進行評估，分為4個級別：特別重大、重大、較大和一般，說明如下：特別重大：波及一個或多個省市的大部分地區(qū)，危害到國家安全，引起社會動蕩，對經(jīng)濟建設(shè)有極其惡劣的負面影響，或者特別嚴重損害公眾利益；重大：波及一個或多個地市的大部分地區(qū)，影響到國家安全，引起社會恐慌，對經(jīng)濟建設(shè)有惡劣的負面影響，或者嚴重損害公眾利益；較大：波及一個或多個地市的部分地區(qū)，不影響國家安全，但是擾亂社會秩序，對經(jīng)濟建設(shè)或者公眾利益造成一般損害，對相關(guān)公民、法人或其他組織的利益會造成嚴重損害或特別嚴重損害；一般：波及一個地市的部分地區(qū)，不影響國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益，但是對相關(guān)公民、法人或其他組織的利益會造成一般損害。安全事件等級劃分網(wǎng)絡(luò)安全事件等級劃分及對應(yīng)描述情況見表1。表1網(wǎng)絡(luò)安全事件等級劃分事件等級描述特大重大事件特別重大事件發(fā)生在特別重要的事件影響對象上，并且：a）導(dǎo)致特別嚴重的業(yè)務(wù)損失，或b）造成特別重大的社會危害。重大事件重大事件發(fā)生在特別重要或重要的事件影響對象上，并且：a）導(dǎo)致特別重要事件影響對象遭受嚴重的業(yè)務(wù)損失或?qū)е轮匾录绊憣ο笤馐芴貏e嚴重的業(yè)務(wù)損失，或b）造成重大的社會危害。較大事件較大事件發(fā)生在特別重要或一般的事件影響對象上，并且：a）導(dǎo)致特別重要事件影響對象遭受較大或較小的業(yè)務(wù)損失，或重要事件影響對象遭受嚴重或較大的業(yè)務(wù)損失，或?qū)е乱话闶录绊憣ο笤馐茌^大（含）以上級別的業(yè)務(wù)損失，或b）造成較大的社會危害。一般事件一般事件發(fā)生在重要或一般的事件影響對象上，并且：a）導(dǎo)致較小的業(yè)務(wù)損失，或b）造成一般的社會危害。應(yīng)急響應(yīng)預(yù)案建立預(yù)案計劃編排準(zhǔn)備應(yīng)急預(yù)案體系管理使用方在實施應(yīng)急預(yù)案體系管理時應(yīng)主要從梳理應(yīng)急預(yù)案需求、明確應(yīng)急預(yù)案目的、制定應(yīng)急預(yù)案計劃等方面考慮應(yīng)急預(yù)案體系管理是否完備。說明如下：梳理應(yīng)急預(yù)案需求結(jié)合應(yīng)急響應(yīng)安全管理計劃編排準(zhǔn)備，梳理實際網(wǎng)絡(luò)設(shè)備應(yīng)急預(yù)案需求，應(yīng)急預(yù)案的需求收集至少包含：網(wǎng)絡(luò)產(chǎn)品資產(chǎn)類型、網(wǎng)絡(luò)產(chǎn)品管理方式、網(wǎng)絡(luò)產(chǎn)品運行拓撲、網(wǎng)絡(luò)產(chǎn)品風(fēng)險脆弱點以及當(dāng)網(wǎng)絡(luò)產(chǎn)品發(fā)生故障后必要的應(yīng)急技術(shù)手段等。明確應(yīng)急預(yù)案目的明確網(wǎng)絡(luò)產(chǎn)品在組織機構(gòu)信息系統(tǒng)中的重要作用，確定網(wǎng)絡(luò)產(chǎn)品作為整個應(yīng)急預(yù)案管理體系中的關(guān)鍵要素，將網(wǎng)絡(luò)產(chǎn)品暴露在外的脆弱點、風(fēng)險點充分管理起來。制定應(yīng)急預(yù)案計劃在制定應(yīng)急預(yù)案計劃時應(yīng)考慮應(yīng)急能力分析評估、業(yè)務(wù)響應(yīng)分析、應(yīng)急策略制定、應(yīng)急預(yù)案的編制、審核和發(fā)布、實施和改進等。制定應(yīng)急響應(yīng)策略制定應(yīng)急響應(yīng)策略時應(yīng)考慮在業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等信息安全事件發(fā)生后，可以快速有效地恢復(fù)信息系統(tǒng)運行的方法。這些策略應(yīng)涉及在業(yè)務(wù)影響分析（BIA）中確定的應(yīng)急響應(yīng)的恢復(fù)目標(biāo)。風(fēng)險評估使用方應(yīng)標(biāo)識網(wǎng)絡(luò)產(chǎn)品的資產(chǎn)價值，識別網(wǎng)絡(luò)產(chǎn)品的脆弱性，分析各種威脅發(fā)生的可能性。風(fēng)險評估具體內(nèi)容見GB/T20984-2022的第5章風(fēng)險評估實施。業(yè)務(wù)影響分析使用方應(yīng)在風(fēng)險評估的基礎(chǔ)上，分析各種信息安全事件發(fā)生時對業(yè)務(wù)功能可能產(chǎn)生的影響，進而確定應(yīng)急響應(yīng)的恢復(fù)目標(biāo)。編制應(yīng)急響應(yīng)計劃文檔使用方應(yīng)編制詳盡的應(yīng)急響應(yīng)計劃文檔，應(yīng)急響應(yīng)計劃應(yīng)涵蓋網(wǎng)絡(luò)產(chǎn)品應(yīng)急操作的技術(shù)能力，并適應(yīng)業(yè)務(wù)需求?？筛鶕?jù)實際情況對其內(nèi)容進行適當(dāng)?shù)恼{(diào)整、充實和本地化，以滿足特定的系統(tǒng)、操作和需求。應(yīng)急響應(yīng)計劃應(yīng)明確、簡潔、易于在緊急情況下執(zhí)行。使用方在設(shè)計應(yīng)急響應(yīng)的計劃文檔時應(yīng)有完備的管理和維護流程?？蓞⒄誈B/Z20985.2-2020使用，說明如下：應(yīng)建立完備的應(yīng)急響應(yīng)計劃文檔，并由專人負責(zé)保持和分發(fā)；應(yīng)急響應(yīng)計劃文檔應(yīng)有多份拷貝，并在主要涉及的重要場所都有保存；應(yīng)設(shè)立多個應(yīng)急響應(yīng)人員（安全員）管理保存應(yīng)急響應(yīng)計劃文檔；針對應(yīng)急響應(yīng)計劃文檔中涉及對網(wǎng)絡(luò)產(chǎn)品應(yīng)急操作技術(shù)的相關(guān)內(nèi)容，應(yīng)確保一定的知悉范圍，可按照實際需求納入組織機構(gòu)自身的關(guān)鍵文檔質(zhì)量管理體系；應(yīng)保證應(yīng)急響應(yīng)計劃的有效性，業(yè)務(wù)流程的變化、系統(tǒng)的變更、人員的變更都應(yīng)在應(yīng)急響應(yīng)計劃文檔中及時反映；應(yīng)急響應(yīng)計劃在測試、演練和信息安全事件發(fā)生后實際執(zhí)行時，其過程均應(yīng)有詳細的記錄，并應(yīng)對測試、演練和執(zhí)行的效果進行評估，同時對應(yīng)急響應(yīng)計劃文檔進行相應(yīng)的修訂；應(yīng)急響應(yīng)計劃文檔應(yīng)定期評審和修訂，至少每年一次。應(yīng)急人員管理使用方在應(yīng)急響應(yīng)人員管理過程中應(yīng)按照領(lǐng)導(dǎo)小組、實施小組、日常運行小組等角色各司其職在日常工作、故障響應(yīng)、重點時段保障等不同類型活動中完成網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)工作，網(wǎng)絡(luò)產(chǎn)品的應(yīng)急響應(yīng)要求與不同類型活動的對應(yīng)關(guān)系參見附錄A。應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組：由組織機構(gòu)管理層及承擔(dān)網(wǎng)絡(luò)產(chǎn)品建設(shè)運維的主管領(lǐng)導(dǎo)干部組成，具體職責(zé)包括制定工作方案，提供人員和物質(zhì)保證，審核批準(zhǔn)應(yīng)急響應(yīng)策略，審核批準(zhǔn)應(yīng)急響應(yīng)預(yù)案，制定應(yīng)急演練方案，批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)預(yù)案的執(zhí)行，指導(dǎo)應(yīng)急響應(yīng)實施小組的應(yīng)急處置工作，啟動定期評審、修訂應(yīng)急響應(yīng)預(yù)案以及負責(zé)組織的外部協(xié)作。應(yīng)急響應(yīng)實施小組：由承擔(dān)網(wǎng)絡(luò)產(chǎn)品建設(shè)運維的主管領(lǐng)導(dǎo)干部及具體實施運維人員組成，當(dāng)由于網(wǎng)絡(luò)產(chǎn)品系統(tǒng)崩潰、病毒攻擊、非法入侵、異常宕機等原因造成網(wǎng)絡(luò)運行異常或癱瘓時，根據(jù)信息安全事件的發(fā)展態(tài)勢和實際控制需要提供網(wǎng)絡(luò)安全技術(shù)保障，具體負責(zé)現(xiàn)場應(yīng)急處置工作，盡快恢復(fù)網(wǎng)絡(luò)正常運行同時負責(zé)事件書面報告提交。應(yīng)急日常運行小組：由組織機構(gòu)信息中心相關(guān)人員組成，負責(zé)做好網(wǎng)絡(luò)產(chǎn)品信息安全的日常巡查及日志保存工作，以確保及早發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品異常。同時負責(zé)信息安全事件發(fā)生后的損失控制和損害評估，并協(xié)助應(yīng)急響應(yīng)實施小組快速實施應(yīng)急響應(yīng)工作?；A(chǔ)環(huán)境保障在應(yīng)急響應(yīng)工作中，應(yīng)提供一定的基礎(chǔ)環(huán)境保障，如數(shù)據(jù)保障、硬件保障、供電保障、信息保障等。數(shù)據(jù)保障應(yīng)定時對網(wǎng)絡(luò)產(chǎn)品的運行數(shù)據(jù)、配置文件和運行軟件進行備份。保證在網(wǎng)絡(luò)發(fā)生重大故障時，數(shù)據(jù)不丟失，業(yè)務(wù)不中斷。硬件保障在網(wǎng)絡(luò)建設(shè)環(huán)境對網(wǎng)絡(luò)數(shù)據(jù)可靠性要求較高時，宜具備硬件冗余、備份等保障措施。說明如下：中心網(wǎng)絡(luò)設(shè)備運行網(wǎng)為1+N套設(shè)備（一主多備），在參數(shù)配置和線路上完成備份的預(yù)備；對路由器、交換機、終端服務(wù)器等主要網(wǎng)絡(luò)設(shè)備、模塊，采取按照一定比例（具體比例需要根據(jù)實際情況調(diào)研）集中備份；一旦發(fā)生故障可立即切換到備品備件，不影響網(wǎng)絡(luò)正常運行；對出口鏈路采用多出口負載均衡的備份方式，防止單鏈路故障；對已過保修期的設(shè)備，為了確保設(shè)備正常運行，宜提前購買維保服務(wù)；對匯聚層多網(wǎng)絡(luò)設(shè)備采用集群系統(tǒng)，既協(xié)同工作又互為備份。供電保障在網(wǎng)絡(luò)建設(shè)環(huán)境對供電可靠性要求較高時，宜具備供電保障措施，如中心機房應(yīng)具備至少雙電路供電，機房內(nèi)UPS以并聯(lián)冗余方式鏈接，再輔以油機供電。通信保障在應(yīng)急響應(yīng)基礎(chǔ)環(huán)境保障中應(yīng)確保通信信息的準(zhǔn)確性和可連通性。說明如下：確保通信信息的準(zhǔn)確性，保證應(yīng)急日常運行小組人員和各負責(zé)人手機暢通；可連通性，保障業(yè)務(wù)期間信息通暢，能及時知曉和反饋信息。應(yīng)急演練網(wǎng)絡(luò)產(chǎn)品應(yīng)根據(jù)實際應(yīng)用需要開展應(yīng)急演練工作，以檢驗應(yīng)急響應(yīng)工作的有效性，每年保障至少一次應(yīng)急演練。在應(yīng)急演練管理實施過程中應(yīng)制定詳細的應(yīng)急演練實施方案，方案中應(yīng)包括以下內(nèi)容：應(yīng)急演練的背景、目的和假設(shè)。這一部分應(yīng)對應(yīng)急演練進行基本介紹，讓全體參與者對演練有初步的了解。應(yīng)急演練流程。該部分通過流程圖的方式，明確整個事件流程、需要完成的任務(wù)、可能出現(xiàn)的情況等。網(wǎng)絡(luò)架構(gòu)圖、應(yīng)急恢復(fù)策略及應(yīng)急故障處理。這一部分為技術(shù)人員提供指引，包括熟知網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及故障發(fā)生時所應(yīng)進行的行動。事故上報模板、任務(wù)分配表以及崗位職責(zé)。這一部分明確了應(yīng)急演練中各部門的職責(zé)和個人的任務(wù)，通過提供模板提高上報速度。應(yīng)急響應(yīng)處置管理在應(yīng)急響應(yīng)處置管理過程中應(yīng)涉及事件響應(yīng)上報、制定和實施行動方案、技術(shù)分析前的應(yīng)急恢復(fù)、遏阻、消除威脅、恢復(fù)、響應(yīng)終止等方面，在實施應(yīng)急響應(yīng)安全管理流程時可參考圖2應(yīng)急響應(yīng)安全管理流程。事件響應(yīng)上報各級別網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)上報總體要求見表2。表2事件響應(yīng)上報要求事件等級上報要求特大重大事件事件發(fā)生時，立即啟動應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)第一時間向應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報。事件發(fā)生后，應(yīng)急日常運行小組需每小時將應(yīng)急處置進展情況向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組匯報，直至處置結(jié)束。事件處置結(jié)束后，應(yīng)急響應(yīng)實施小組應(yīng)編制正式書面報告，并于12小時內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組。重大事件事件發(fā)生時，立即啟動應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)30分鐘內(nèi)向應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報。事件發(fā)生后，應(yīng)急日常運行小組需每2小時將應(yīng)急處置進展情況向應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組匯報，直至處置結(jié)束。事件處置結(jié)束后，應(yīng)急響應(yīng)實施小組應(yīng)編制正式書面報告，并于1天內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組。較大事件事件發(fā)生時，立即啟動應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)1小時內(nèi)向應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報。事件處置結(jié)束后，應(yīng)急響應(yīng)實施小組應(yīng)編制正式書面報告，并于3天內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，并備案。一般事件事件發(fā)生時，立即啟動應(yīng)急預(yù)案，開展處置工作，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)1小時內(nèi)向應(yīng)急響應(yīng)實施小組、應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組上報。事件處置結(jié)束后，應(yīng)急響應(yīng)實施小組應(yīng)編制正式書面報告，并于5天內(nèi)提交應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，并備案。制定和實施行動方案行動方案包括對網(wǎng)絡(luò)事件作出響應(yīng)、修復(fù)，恢復(fù)網(wǎng)絡(luò)系統(tǒng)至操作狀態(tài)，或評估信息網(wǎng)絡(luò)的風(fēng)險所必要的行動。技術(shù)分析前的應(yīng)急恢復(fù)進行技術(shù)分析前的網(wǎng)絡(luò)系統(tǒng)應(yīng)急恢復(fù)，應(yīng)仔細評估潛在的