信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安

全應(yīng)急體系框架

Informationsecuritytechnology—Frameworkforcybersecurityemergencysystem

ofcriticalinformationinfrastructure

（征求意見稿）

（本稿完成日期：2022年11月9日）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX—XX—XX發(fā)布XXXX—XX—XX實施

國家市場監(jiān)督管理總局

發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本文件起草單位：騰訊科技（北京）有限公司、國家工業(yè)信息安全發(fā)展研究中心、中國信息通信研

究院、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、公安部第三研究所、中國

網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國家應(yīng)急管理部大數(shù)據(jù)中心、國家能源局信息中心、中國移動通信集團

有限公司、華為技術(shù)有限公司、阿里云計算有限公司、北京百度網(wǎng)訊科技有限公司、中國科學(xué)院信息工

程研究所、國家信息中心、國家信息技術(shù)安全研究中心、中國工業(yè)互聯(lián)網(wǎng)研究院、中國軟件評測中心、

中國交通通信信息中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心云南分中心、陜西省網(wǎng)絡(luò)與信息安全測

評中心、北京快手科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公

司、北京路云天網(wǎng)絡(luò)安全技術(shù)研究院有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司。

本文件主要起草人：秦小偉、龔斌、郭臣、于盟、陳亮、孟楠、舒敏、王惠蒞、李雪瑩、吳波、落

紅衛(wèi)、王婷、王文磊、陳悅、任衛(wèi)紅、袁靜、杜紅亮、孫曉麗、韓言妮、邱勤、史波良、鮑文平、李沛

林、魏玉峰、黃玉釧、吳桐、董健、李安倫、張哲宇、韓曉露、應(yīng)志軍、李煥、王國宇、畢鈺、王二州、

王海棠、韓冬旭、趙呈東、卜哲、鮑旭華、陳蕾、王龑、李亞玲、王詩蕊。

II

GB/TXXXXX—XXXX

信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

1范圍

本文件給出了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架，包括機構(gòu)設(shè)立、分析識別、應(yīng)急預(yù)案、監(jiān)

測預(yù)警、應(yīng)急處置、事后恢復(fù)與總結(jié)、事件報告與信息共享、應(yīng)急保障、演練與培訓(xùn)。

本文件適用于關(guān)鍵信息基礎(chǔ)設(shè)施運營者建立健全網(wǎng)絡(luò)安全應(yīng)急體系、開展網(wǎng)絡(luò)安全應(yīng)急活動，也可

供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的其他相關(guān)方參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/Z20986信息安全技術(shù)信息安全事件分類分級指南

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求

GB/TAAAAA—XXXX信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南

3術(shù)語和定義

GB/T25069—2022和GB/T39204—2022界定的以及下列術(shù)語和定義適用于本文件。

3.1

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)

和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共

利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

[來源：GB/T39204—2022，3.1]

3.2

網(wǎng)絡(luò)安全事件cybersecurityincident

由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造

成危害，對國家、社會、經(jīng)濟造成負(fù)面影響的事件。

[來源：GB/T38645—2020，3.1]

3.3

應(yīng)急響應(yīng)emergencyresponse

為了應(yīng)對網(wǎng)絡(luò)安全事件發(fā)生所做的準(zhǔn)備，以及在網(wǎng)絡(luò)安全事件發(fā)生后所采取的措施。

[來源：GB/T24363—2009，3.4，有修改]

1

GB/TXXXXX—XXXX

3.4

應(yīng)急預(yù)案emergencyplan

為了應(yīng)對網(wǎng)絡(luò)安全事件而編制的，對關(guān)鍵信息基礎(chǔ)設(shè)施進行維持、恢復(fù)，保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運

行的策略和規(guī)程。

3.5

網(wǎng)絡(luò)安全應(yīng)急相關(guān)方cybersecurityemergencyrelevantparty

負(fù)責(zé)、參與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護和應(yīng)急活動的有關(guān)實體。

3.6

供應(yīng)鏈supplychain

將多個資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。

[來源：GB/T39204—2022，3.2]

3.7

關(guān)鍵業(yè)務(wù)鏈criticalbusinesschain

組織的一個或多個相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。

[來源：GB/T39204—2022，3.3]

4縮略語

下列縮略語適用于本文件。

CII：關(guān)鍵信息基礎(chǔ)設(shè)施（criticalinformationinfrastructure）

5總體架構(gòu)

CII運營者首先設(shè)立專門安全管理機構(gòu)，統(tǒng)籌負(fù)責(zé)本單位網(wǎng)絡(luò)安全應(yīng)急工作，依據(jù)對關(guān)鍵業(yè)務(wù)分析

識別結(jié)果，制定本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。在網(wǎng)絡(luò)安全事件發(fā)生前，通過技術(shù)監(jiān)測、情報收集等手段，

發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全威脅，及時消除風(fēng)險并降低發(fā)生網(wǎng)絡(luò)安全事件的概率；在網(wǎng)絡(luò)安全事件發(fā)生時，

啟動應(yīng)急預(yù)案，快速定位問題并終止緊急狀態(tài)；在網(wǎng)絡(luò)安全事件得到控制后，開展后期處置，將CII恢

復(fù)到事前運行狀態(tài)并進行總結(jié)分析。

CII運營者發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或威脅時，按要求通過信息共享接口及時向國家網(wǎng)信部門、保護工作

部門、公安機關(guān)和網(wǎng)絡(luò)安全服務(wù)機構(gòu)等共享信息；發(fā)生重大網(wǎng)絡(luò)安全事件時，按要求通過事件報告接口

向國家網(wǎng)信部門、保護工作部門和公安機關(guān)報告。

CII網(wǎng)絡(luò)安全應(yīng)急體系框架的總體架構(gòu)見圖1。

2

GB/TXXXXX—XXXX

圖1關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

6機構(gòu)設(shè)立

CII運營者設(shè)立專門安全管理機構(gòu)，機構(gòu)的領(lǐng)導(dǎo)由CII運營者最高管理層的分管領(lǐng)導(dǎo)擔(dān)任，成員包括

各相關(guān)部門負(fù)責(zé)人、技術(shù)支撐人員、咨詢專家和對內(nèi)、對外聯(lián)絡(luò)人員等。CII專門安全管理機構(gòu)的職責(zé)

包括：

a）統(tǒng)籌協(xié)調(diào)，負(fù)責(zé)領(lǐng)導(dǎo)和決策本單位CII網(wǎng)絡(luò)安全應(yīng)急事項，在發(fā)生網(wǎng)絡(luò)安全事件期間負(fù)責(zé)指揮協(xié)

調(diào)；

b）制定應(yīng)急預(yù)案，依據(jù)分析識別結(jié)果，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案；

c）監(jiān)測預(yù)警，負(fù)責(zé)組織常態(tài)化網(wǎng)絡(luò)安全監(jiān)測，及時發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全風(fēng)險或威脅，并及時預(yù)

警；

d）事件報告，負(fù)責(zé)對接國家網(wǎng)信部門、保護工作部門和公安機關(guān)，落實重大網(wǎng)絡(luò)安全事件報告要

求；

e）信息共享，負(fù)責(zé)對內(nèi)、對外聯(lián)絡(luò)，落實網(wǎng)絡(luò)安全信息共享要求；

f）應(yīng)急處置，負(fù)責(zé)組織現(xiàn)場應(yīng)急處置；

g）應(yīng)急保障，負(fù)責(zé)落實物資、人力、資金等保障事項。

3

GB/TXXXXX—XXXX

7分析識別

CII運營者需要對關(guān)鍵業(yè)務(wù)進行分析識別，確定本單位關(guān)鍵業(yè)務(wù)運行情況以及對外部業(yè)務(wù)的依賴性、

重要性，以支撐編制網(wǎng)絡(luò)安全應(yīng)急預(yù)案、開展網(wǎng)絡(luò)安全應(yīng)急活動。

a）基本情況梳理

梳理關(guān)鍵業(yè)務(wù)的服務(wù)對象、地域分布、組織結(jié)構(gòu)、管理模式、崗位設(shè)置等，明確關(guān)鍵業(yè)務(wù)的運行特

征、業(yè)務(wù)邏輯、運行架構(gòu)、業(yè)務(wù)范圍，確定關(guān)鍵業(yè)務(wù)的基本功能。

b）關(guān)鍵業(yè)務(wù)鏈識別

梳理與本單位關(guān)鍵業(yè)務(wù)相關(guān)聯(lián)的外部業(yè)務(wù)，識別支撐關(guān)鍵業(yè)務(wù)的CII分布、運營情況，確定對外部

業(yè)務(wù)的依賴性、重要性。

c）CII數(shù)據(jù)識別

分析關(guān)鍵業(yè)務(wù)在收集、存儲、使用、加工、傳輸、輸出、共享等環(huán)節(jié)中涉及到的數(shù)據(jù)情況，如配置

數(shù)據(jù)、運行數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)等，明確數(shù)據(jù)的種類、作用，形成CII數(shù)據(jù)清單。

d）重要資產(chǎn)識別

識別關(guān)鍵業(yè)務(wù)安全穩(wěn)定運行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等重要資產(chǎn)，厘清上述網(wǎng)絡(luò)設(shè)施、信息

系統(tǒng)的功能作用、結(jié)構(gòu)組成、網(wǎng)絡(luò)拓?fù)?、地理位置以及與關(guān)鍵業(yè)務(wù)之間的支撐作用、依賴關(guān)系，形成CII

資產(chǎn)清單。

e）供應(yīng)鏈識別

識別CII資產(chǎn)所依賴的重要零部件、服務(wù)等信息，確定主要供貨商，形成CII供應(yīng)鏈清單。

8應(yīng)急預(yù)案

CII運營者以關(guān)鍵業(yè)務(wù)為核心制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案。

a）在國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的框架下，CII專門安全管理機構(gòu)組織技術(shù)、安全、業(yè)務(wù)、運維、

采購等部門，建立健全本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案體系，包括總體應(yīng)急預(yù)案、專項應(yīng)急預(yù)案，規(guī)定統(tǒng)一的

應(yīng)急預(yù)案框架，明確應(yīng)急預(yù)案的適用范圍、啟動預(yù)案的條件等；

b）應(yīng)急預(yù)案要素需要齊全，包括確定組織機構(gòu)職責(zé)，基于分析識別的結(jié)果，明確監(jiān)測預(yù)警、應(yīng)急

處置、事后恢復(fù)與總結(jié)、事件報告和信息共享的實施方法，明確應(yīng)急保障、演練與培訓(xùn)的落實細(xì)節(jié)；

c）明確應(yīng)急策略，在應(yīng)急預(yù)案中明確，一旦網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)受到損害或者發(fā)生故障時，需要

維護的關(guān)鍵業(yè)務(wù)功能，并明確遭受破壞時恢復(fù)關(guān)鍵業(yè)務(wù)的時間；

d）根據(jù)關(guān)鍵業(yè)務(wù)對連續(xù)性、安全性的不同要求，在應(yīng)急預(yù)案中明確重要資產(chǎn)功能的恢復(fù)順序、處

置方法，包括非常規(guī)時期、遭受大規(guī)模攻擊時等處置流程；

e）根據(jù)網(wǎng)絡(luò)安全事件的類型、敏感程度以及對業(yè)務(wù)的影響范圍等因素，在應(yīng)急預(yù)案中確定事件分

級、預(yù)警分級和響應(yīng)分級的標(biāo)準(zhǔn)，并與上位預(yù)案相銜接；

f）網(wǎng)絡(luò)安全應(yīng)急預(yù)案需要有聯(lián)系方式清單，包括應(yīng)急值班24小時聯(lián)系電話、重要資產(chǎn)責(zé)任人聯(lián)系

方式、專家名單與聯(lián)系方式、網(wǎng)絡(luò)安全應(yīng)急技術(shù)隊伍聯(lián)系方式、應(yīng)急相關(guān)方聯(lián)系方式等；

g）制定應(yīng)急預(yù)案操作手冊，明確培訓(xùn)內(nèi)容、頻率、方式和對象；

h）制定應(yīng)急演練手冊，明確演練頻率、組織方式和演練形式，評價預(yù)案內(nèi)容的針對性、實用性和

可操作性，實現(xiàn)應(yīng)急預(yù)案的科學(xué)管理和優(yōu)化更新。

4

GB/TXXXXX—XXXX

9監(jiān)測預(yù)警

9.1風(fēng)險發(fā)現(xiàn)

CII運營者在風(fēng)險發(fā)現(xiàn)方面：

a）建設(shè)網(wǎng)絡(luò)安全監(jiān)控中心，開展7*24h安全監(jiān)測，監(jiān)測內(nèi)容需要包括網(wǎng)絡(luò)流量、日志信息、運行狀

態(tài)、性能狀況和異常行為等；

b）具備2種以上威脅信息收集渠道，收集內(nèi)外部網(wǎng)絡(luò)安全威脅信息，包括內(nèi)部報告的安全隱患、可

疑事件和外部發(fā)布的安全漏洞、網(wǎng)絡(luò)攻擊最新動態(tài)等；

c）每年至少開展一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估，發(fā)現(xiàn)CII面臨的風(fēng)險和威脅；

d）留存重要監(jiān)測數(shù)據(jù)時間不少于6個月，并符合國家、行業(yè)或地方有關(guān)部門網(wǎng)絡(luò)安全應(yīng)急相關(guān)法規(guī)

的要求。

9.2風(fēng)險分析

CII運營者在風(fēng)險分析方面：

a）裝備分析工具、制定分析方法，全面分析日志、流量、漏洞和惡意代碼；

b）制定威脅模型，挖掘檢測規(guī)避、隱蔽通信、數(shù)據(jù)加密、欺騙繞過等高級網(wǎng)絡(luò)攻擊行為；

c）制定多源異構(gòu)數(shù)據(jù)、多業(yè)務(wù)場景分析方法，分析無文件攻擊、供應(yīng)鏈攻擊、賬戶憑據(jù)盜用等深

層網(wǎng)絡(luò)安全風(fēng)險；

d）制定多源信息融合分析方法，綜合研判CII業(yè)務(wù)、數(shù)據(jù)和供應(yīng)鏈面臨的網(wǎng)絡(luò)安全態(tài)勢；

e）按照GB/Z20986對網(wǎng)絡(luò)安全事件實施分級分類。

9.3風(fēng)險預(yù)警

CII運營者在風(fēng)險預(yù)警方面：

a）制定內(nèi)部預(yù)警通報制度，對發(fā)現(xiàn)或發(fā)生的風(fēng)險、威脅，及時在內(nèi)部發(fā)出預(yù)警；

b）根據(jù)不同等級、不同類別的網(wǎng)絡(luò)安全事件制定相應(yīng)的預(yù)警響應(yīng)措施；

c）通過多種渠道及時采集內(nèi)外部網(wǎng)絡(luò)安全信息，并持續(xù)跟蹤網(wǎng)絡(luò)安全信息的變化情況，適時調(diào)整

預(yù)警響應(yīng)措施；

d）對于發(fā)現(xiàn)的可能造成較大影響的網(wǎng)絡(luò)安全威脅信息，及時向保護工作部門、公安機關(guān)報告，并

根據(jù)網(wǎng)絡(luò)安全威脅信息的變化情況，及時補報最新網(wǎng)絡(luò)安全威脅信息。

10應(yīng)急處置

10.1概述

CII運營者需要組建專業(yè)應(yīng)急處置隊伍，建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機制，確保危害CII業(yè)務(wù)、數(shù)據(jù)和供

應(yīng)鏈的事件得到及時處置，保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運行。

10.2應(yīng)急處置機制

CII運營者網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機制包括：

a）建設(shè)網(wǎng)絡(luò)安全應(yīng)急指揮中心，制定指揮調(diào)度規(guī)范流程，實施7*24h值班值守；

b）制定抑制、根除、恢復(fù)網(wǎng)絡(luò)安全事件和威脅的方法；

c）針對網(wǎng)絡(luò)攻擊活動，制定應(yīng)對方案，分析攻擊路線、攻擊目標(biāo)，采取捕獲、干擾、阻斷、封控、

加固等手段，快速切斷攻擊路線；

5

GB/TXXXXX—XXXX

d）部署自動化安全響應(yīng)和自動實施封禁技術(shù)，如自動隔離有害程序事件、自動阻止網(wǎng)絡(luò)攻擊事件

等；

e）制定協(xié)同處置方案，在國家網(wǎng)信部門、保護工作部門和公安機關(guān)的指導(dǎo)下，開展或配合網(wǎng)絡(luò)安

全事件處置工作；

f）密切關(guān)注事件輿情，并根據(jù)國家網(wǎng)信部門、保護工作部門和公安機關(guān)要求向社會公眾通告網(wǎng)絡(luò)

安全事件情況以及避免或減輕危害的措施，及時消除輿情；

g）對于未知類型的網(wǎng)絡(luò)安全事件，根據(jù)影響情況果斷采取措施，最大可能降低事件影響；

h）按要求，對網(wǎng)絡(luò)攻擊進行溯源、取證。

10.3業(yè)務(wù)應(yīng)急處置

CII運營者針對業(yè)務(wù)癱瘓情況，制訂業(yè)務(wù)專項應(yīng)急處置措施，具體內(nèi)容包括：

a）針對帶寬需求激增、網(wǎng)絡(luò)可用性受限等情況，緊急提升網(wǎng)絡(luò)容量，滿足業(yè)務(wù)運行對網(wǎng)絡(luò)帶寬的

需求；

b）針對業(yè)務(wù)運行中斷的情況，啟用備用網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)或者在多個備份點之間臨時轉(zhuǎn)移業(yè)務(wù)

負(fù)載；

c）針對辦公場所遭到網(wǎng)絡(luò)攻擊或者遭受火災(zāi)、水災(zāi)、地震等災(zāi)害時，臨時切換工作場所或采用線

上辦公。

10.4數(shù)據(jù)應(yīng)急處置

CII運營者針對數(shù)據(jù)被篡改、違規(guī)使用或者濫用、泄露（丟失）和被損毀等各類數(shù)據(jù)安全事件場景，

制定數(shù)據(jù)專項應(yīng)急處置措施，包括：

a）針對數(shù)據(jù)被篡改的情況，分析攻擊來源、攻擊路徑，針對性反制或抑制網(wǎng)絡(luò)攻擊，防止數(shù)據(jù)繼

續(xù)被篡改；

b）針對數(shù)據(jù)違規(guī)使用或者濫用情況，及時發(fā)布權(quán)威信息，消除數(shù)據(jù)違規(guī)使用或者濫用產(chǎn)生次生危

害；

c）針對數(shù)據(jù)泄露（丟失）的情況，及時下線或切斷相關(guān)業(yè)務(wù)系統(tǒng)外聯(lián)網(wǎng)絡(luò)，防止數(shù)據(jù)繼續(xù)泄露（丟

失）；

d）在數(shù)據(jù)被損毀時，從最近有效的備份中緊急恢復(fù)數(shù)據(jù)，保障業(yè)務(wù)運行需要。

10.5供應(yīng)鏈應(yīng)急處置

CII運營者針對在網(wǎng)絡(luò)安全事件期間供應(yīng)鏈風(fēng)險，制定專項應(yīng)急處置措施：

a）密切跟蹤供應(yīng)鏈?zhǔn)馨踩录蓴_和危害情況，及時有效的調(diào)節(jié)應(yīng)對措施，降低事件影響并防止

進一步蔓延；

b）按照網(wǎng)絡(luò)安全事件發(fā)展情況，及時向供應(yīng)鏈供貨商共享與其相關(guān)的安全信息，獲得必要的信息、

技術(shù)等方面的支持；

c）與供應(yīng)鏈供貨商緊急聯(lián)系，確保在網(wǎng)絡(luò)安全事件發(fā)生期間可以得到必需的零部件供應(yīng)，避免供

應(yīng)鏈中斷。

11事后恢復(fù)與總結(jié)

CII運營者對于事后恢復(fù)與總結(jié)：

a）按照先應(yīng)急處置、后恢復(fù)的原則，在網(wǎng)絡(luò)安全事件得到控制以后，及時將關(guān)鍵業(yè)務(wù)、網(wǎng)絡(luò)設(shè)施、

信息系統(tǒng)恢復(fù)到事件之前的運行狀態(tài)；

6

GB/TXXXXX—XXXX

b）針對未知類型的網(wǎng)絡(luò)安全事件，要詳細(xì)記錄處置過程、事件細(xì)節(jié)、事件發(fā)展趨勢、處置經(jīng)驗等

相關(guān)信息；

c）妥善保存網(wǎng)絡(luò)訪問日志、物理訪問日志、審計日志等，以備溯源和調(diào)查取證；

d）對關(guān)鍵業(yè)務(wù)、網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)的恢復(fù)情況進行評估，查找事件原因，并采取措施防止再次

發(fā)生同類事件；

e）對應(yīng)急處置過程進行總結(jié)，分析應(yīng)急處置過程中是否存在需要完善的環(huán)節(jié)，并根據(jù)分析結(jié)果優(yōu)

化應(yīng)急預(yù)案；

f）在事件得到妥善處理后，形成完整的事件處理報告。

12事件報告與信息共享

12.1事件報告

CII運營者在事件報告方面：

a）針對特別重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件，按要求及時向保護工作部門、公安機關(guān)報告，

簡要說明事件發(fā)生的時間、危害情況和采取的措施；

b）在事件得到妥善處置后，按要求向保護工作部門、公安機關(guān)提交詳細(xì)事件報告，包括事故發(fā)生

時間、終止時間、發(fā)生地點、起因、影響范圍、應(yīng)急處置情況、事后恢復(fù)情況、應(yīng)對經(jīng)驗以及采取的防

范措施等；

c）在重大活動期間，按照要求實施“邊處置、邊報告”。

12.2信息共享

12.2.1信息共享機制

CII運營者依據(jù)GB/TAAAAA—XXXX制定本單位網(wǎng)絡(luò)安全信息共享制度，及時向相關(guān)方共享CII網(wǎng)絡(luò)安

全信息。

a）按要求向國家網(wǎng)信部門、保護工作部門和公安機關(guān)等國家主管部門及時共享網(wǎng)絡(luò)安全信息；

b）運營者可以根據(jù)本單位實際情況，與同一CII的其他運營者、關(guān)鍵業(yè)務(wù)鏈緊密相關(guān)的上下游運營

者、網(wǎng)絡(luò)安全服務(wù)機構(gòu)、科研機構(gòu)、業(yè)界專家等之間建立信息共享渠道和合作機制；

c）當(dāng)網(wǎng)絡(luò)安全共享信息為漏洞信息時，需要符合國家關(guān)于漏洞管理制度的要求；

d）持續(xù)跟蹤事態(tài)變化情況，及時共享最新網(wǎng)絡(luò)安全事件信息；

e）定期對網(wǎng)絡(luò)安全信息共享模式、方法進行評估并持續(xù)改進。

12.2.2信息共享內(nèi)容

共享信息內(nèi)容參照GB/TAAAAA—XXXX，其中與網(wǎng)絡(luò)安全事件相關(guān)的信息可包括：

a)事件描述信息

描述網(wǎng)絡(luò)安全事件的信息，包括事件的起始時間、涉及對象、現(xiàn)象、攻擊原理、影響范圍等。

b)攻擊者描述信息

描述攻擊者的動機、能力等相關(guān)的信息，包含攻擊者的意圖、與目標(biāo)對象的利益關(guān)系、攻擊者能使

用的手段和方法等。

c)應(yīng)對經(jīng)驗信息

描述實施網(wǎng)絡(luò)安全威脅行為主體的歷史行為，以及在網(wǎng)絡(luò)安全防護和網(wǎng)絡(luò)安全事件響應(yīng)等方面積累

的成功經(jīng)驗和失敗教訓(xùn)等。

d)應(yīng)對措施信息

7

GB/TXXXXX—XXXX

描述對網(wǎng)絡(luò)安全事件已實施的防御措施和處置措施等。

e)其他信息

如最佳實踐、前沿技術(shù)等。

13應(yīng)急保障

13.1基礎(chǔ)保障

CII運營者在基礎(chǔ)保障方面：

a）落實網(wǎng)絡(luò)安全應(yīng)急資源，包括通信、電力、物資、人力等方面的需求，確保一旦發(fā)生網(wǎng)絡(luò)安全

事件時，應(yīng)急響應(yīng)活動所須的人、財、物等基本條件得到保障；

b）持續(xù)加強技術(shù)能力和技術(shù)隊伍建設(shè)，不斷提升在應(yīng)急管理規(guī)劃、監(jiān)測預(yù)警、事件分析、應(yīng)急處

置、數(shù)據(jù)備份、系統(tǒng)恢復(fù)、調(diào)查取證等方面的技術(shù)能力。

c）妥善管理應(yīng)急工具、裝備、設(shè)施，及時對軟硬件進行升級維護，確保應(yīng)急工具裝備、備品備件

充足有效，確保應(yīng)急設(shè)施隨時可用。

13.2協(xié)同保障

CII運營者在協(xié)同保障方面：

a）保障本單位信息共享機制正常運行，確保安全信息、威脅信息、預(yù)警信息和指揮協(xié)調(diào)信息等正

常流通；

b）確保制度、技術(shù)等方面符合國家有關(guān)規(guī)定，確保對安全漏洞、安全威脅、入侵攻擊、異常行為

等進行協(xié)同處置時不發(fā)生技術(shù)沖突；

c）可以通過成立聯(lián)合工作組、組建聯(lián)合應(yīng)急處置隊伍等方式，強化組織間合作，提高應(yīng)對網(wǎng)絡(luò)安

全事件的水平和協(xié)同配合能力。

13.3業(yè)務(wù)保障

CII運營者在業(yè)務(wù)保障方面：

a）采用動態(tài)網(wǎng)絡(luò)管理技術(shù)，實現(xiàn)網(wǎng)絡(luò)容量彈性化，應(yīng)對網(wǎng)絡(luò)安全事件發(fā)生期間帶寬需求激增、可

用性受限的情況；

b）采用多模備份方案，針對關(guān)鍵業(yè)務(wù)安全穩(wěn)定運行不可或缺的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，宜實施

“雙節(jié)點”備份，或?qū)㈥P(guān)鍵業(yè)務(wù)托管到不同的云平臺上，在緊急情況下具備在備份點之間轉(zhuǎn)移業(yè)務(wù)的能

力；

c）定期對關(guān)鍵業(yè)務(wù)的信息化建設(shè)、信息化管理和信息化運行情況進行梳理，確保網(wǎng)絡(luò)安全監(jiān)測范

圍覆蓋關(guān)鍵業(yè)務(wù)的整個信息化部分，及時發(fā)現(xiàn)并處理風(fēng)險；

d）定期開展分析識別，及時更新CII資產(chǎn)清單，確保容災(zāi)備份清單真實、有效。

13.4數(shù)據(jù)保障

CII運營者在數(shù)據(jù)安全保障方面：

a）對CII數(shù)據(jù)實施分類分級管理，制定重要數(shù)據(jù)和核心數(shù)據(jù)目錄臺賬，針對不同類型數(shù)據(jù)制定相專

項護措施；

b）建立數(shù)據(jù)備份機制，重要數(shù)據(jù)異地備份；

c）加強在收集、存儲、使用、加工、傳輸、輸出、共享等關(guān)鍵環(huán)節(jié)的數(shù)據(jù)保護措施，采取加密、

脫敏、去標(biāo)志化等手段保護敏感數(shù)據(jù)；

8

GB/TXXXXX—XXXX

d）在CII廢棄時，對其存儲的數(shù)據(jù)及時處理。

13.5供應(yīng)鏈保障

CII運營者在供應(yīng)鏈安全保障方面包括：

a）針對重要零部件，建立多級庫存聯(lián)動+安全庫存多重保障，保持必要的供應(yīng)彈性儲備并自動補貨；

b）建立供貨商審核制度，及時淘汰、更新供貨商名單；

c）制定設(shè)備、設(shè)施、系統(tǒng)等可替換方案，確保不少于2家以上獨立供貨渠道；

d）優(yōu)先采購?fù)ㄟ^國家檢測認(rèn)證的設(shè)備和產(chǎn)品。

14演練與培訓(xùn)

14.1演練

CII運營者在應(yīng)急演練方面：

a）制定年度網(wǎng)絡(luò)安全應(yīng)急演練計劃，每年對應(yīng)急預(yù)案至少演練一次；

b）按要求參加由國家網(wǎng)信部門、保護工作部門和公安機關(guān)等組織的跨組織、跨地域的網(wǎng)絡(luò)安全應(yīng)

急演練；

c）圍繞CII保護特點實施重點演練，如保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運行，同一CII不同運營者之間、關(guān)

鍵業(yè)務(wù)鏈上下游運營者之間的協(xié)同聯(lián)動等。

14.2培訓(xùn)

CII運營者在宣傳培訓(xùn)方面：

a）針對網(wǎng)絡(luò)安全應(yīng)急預(yù)案涉及的部門和人員制定年度培訓(xùn)計劃，通過編發(fā)培訓(xùn)材料、舉辦培訓(xùn)班、

開展工作研討等方式，對與應(yīng)急預(yù)案實施密切相關(guān)的管理人員和專業(yè)救援人員等組織開展應(yīng)急預(yù)案培

訓(xùn)；

b）制定考評制度，對參加培訓(xùn)的網(wǎng)絡(luò)安全應(yīng)急工作人員進行考評，通過后才能繼續(xù)擔(dān)任網(wǎng)絡(luò)安全

應(yīng)急工作崗位；

c）每年對培訓(xùn)計劃與培訓(xùn)內(nèi)容進行評估并持續(xù)更新。

9

GB/TXXXXX—XXXX

參考文獻

[1]GB/T19001—2016質(zhì)量管理體系要求

[2]GB/T19004—2015質(zhì)量管理體系業(yè)績改進指南

[3]GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險評估方法

[4]GB/T20985.1—2017信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理

[5]GB/T20985.2—2020信息技術(shù)安全技術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃

和準(zhǔn)備指南

[6]GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求

[7]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

[8]GB/T31496—2015信息技術(shù)安全技術(shù)信息安全管理體系實施指南

[9]GB/T36466—2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險評估實施指南

[10]GB/T36635—2018信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南

[11]GB/T38645—2020信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南

[12]ISO/IEC25024:2015Systemsandsoftwareengineering—SystemsandsoftwareQuality

RequirementsandEvaluation(SQuaRE)—Measurementofdataquality

_________________________________

10

GB/TXXXXX—XXXX

目次

前言................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語和定義..........................................................................1

4縮略語.............................................................................2

5總體架構(gòu)...........................................................................2

6機構(gòu)設(shè)立............................................................................3

7分析識別...........................................................................4

8應(yīng)急預(yù)案...........................................................................4

9監(jiān)測預(yù)警...........................................................................5

9.1風(fēng)險發(fā)現(xiàn).......................................................................5

9.2風(fēng)險分析.......................................................................5

9.3風(fēng)險預(yù)警.......................................................................5

10應(yīng)急處置...........................................................................5

10.1概述...........................................................................5

10.2應(yīng)急處置機制...................................................................5

10.3業(yè)務(wù)應(yīng)急處置...................................................................6

10.4數(shù)據(jù)應(yīng)急處置...................................................................6

10.5供應(yīng)鏈應(yīng)急處置.................................................................6

11事后恢復(fù)與總結(jié).....................................................................6

12事件報告與信息共享.................................................................7

12.1事件報告.......................................................................7

12.2信息共享.......................................................................7

13應(yīng)急保障...........................................................................8

13.1基礎(chǔ)保障.......................................................................8

13.2協(xié)同保障.......................................................................8

13.3業(yè)務(wù)保障.......................................................................8

13.4數(shù)據(jù)保障.......................................................................8

13.5供應(yīng)鏈保障.....................................................................9

14演練與培訓(xùn).........................................................................9

14.1演練.........................................................................9

14.2培訓(xùn).........................................................................9

參考文獻............................................................................10

I

GB/TXXXXX—XXXX

信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

1范圍

本文件給出了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架，包括機構(gòu)設(shè)立、分析識別、應(yīng)急預(yù)案、監(jiān)

測預(yù)警、應(yīng)急處置、事后恢復(fù)與總結(jié)、事件報告與信息共享、應(yīng)急保障、演練與培訓(xùn)。

本文件適用于關(guān)鍵信息基礎(chǔ)設(shè)施運營者建立健全網(wǎng)絡(luò)安全應(yīng)急體系、開展網(wǎng)絡(luò)安全應(yīng)急活動，也可

供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的其他相關(guān)方參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/Z20986信息安全技術(shù)信息安全事件分類分級指南

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求

GB/TAAAAA—XXXX信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南

3術(shù)語和定義

GB/T25069—2022和GB/T39204—2022界定的以及下列術(shù)語和定義適用于本文件。

3.1

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)

和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共

利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

[來源：GB/T39204—2022，3.1]

3.2

網(wǎng)絡(luò)安全事件cybersecurityincident

由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造

成危害，對國家、社會、經(jīng)濟造成負(fù)面影響的事件。

[來源：GB/T38645—2020，3.1]

3.3

應(yīng)急響應(yīng)emergencyresponse

為了應(yīng)對網(wǎng)絡(luò)安全事件發(fā)生所做的準(zhǔn)備，以及在網(wǎng)絡(luò)安全事件發(fā)生后所采取的措施。

[來源：GB/T24363—2009，3.4，有修改]

1

GB/TXXXXX—XXXX

3.4

應(yīng)急預(yù)案emergencyplan

為了應(yīng)對網(wǎng)絡(luò)安全事件而編制的，對關(guān)鍵信息基礎(chǔ)設(shè)施進行維持、恢復(fù)，保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運

行的策略和規(guī)程。

3.5

網(wǎng)絡(luò)安全應(yīng)急相關(guān)方cybersecurityemergencyrelevantparty

負(fù)責(zé)、參與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護和應(yīng)急活動的有關(guān)實體。

3.6

供應(yīng)鏈supplychain

將多個資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。

[來源：GB/T39204—2022，3.2]

3.7

關(guān)鍵業(yè)務(wù)鏈criticalbusinesschain

組織的一個或多個相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。

[來源：GB/T39204—2022，3.3]

4縮略語

下列縮略語適用于本文件。

CII：關(guān)鍵信息基礎(chǔ)設(shè)施（criticalinformationinfrastructure）

5總體架構(gòu)

CII運營者首先設(shè)立專門安全管理機構(gòu)，統(tǒng)籌負(fù)責(zé)本單位網(wǎng)絡(luò)安全應(yīng)急工作，依據(jù)對關(guān)鍵業(yè)務(wù)分析

識別結(jié)果，制定本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。在網(wǎng)絡(luò)安全事件發(fā)生前，通過技術(shù)監(jiān)測、情報收集等手段，

發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全威脅，及時消除風(fēng)險并降低發(fā)生網(wǎng)絡(luò)安全事件的概率；在網(wǎng)絡(luò)安全事件發(fā)生時，

啟動應(yīng)急預(yù)案，快速定位問題并終止緊急狀態(tài)；在網(wǎng)絡(luò)安全事件得到控制后，開展后期處置，將CII恢

復(fù)到事前運行狀態(tài)并進行總結(jié)分析。

CII運營者發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或威脅時，按要求通過信息共享接口及時向國家網(wǎng)信部門、保護工作

部門、公安機關(guān)和網(wǎng)絡(luò)安全服務(wù)機構(gòu)等共享信息；發(fā)生重大網(wǎng)絡(luò)安全事件時，按要求通過事件報告接口

向國家網(wǎng)信部門、保護工作部門和公安機關(guān)報告。

CII網(wǎng)絡(luò)安全應(yīng)急體系框架的總體架構(gòu)見圖1。

2

GB/TXXXXX—XXXX

圖1關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

6機構(gòu)設(shè)立

CII運營者設(shè)立專門安全管理機構(gòu)，機構(gòu)的領(lǐng)導(dǎo)由CII運營者最高管理層的分管領(lǐng)導(dǎo)擔(dān)任，成員包括

各相關(guān)部門負(fù)責(zé)人、技術(shù)支撐人員、咨詢專家和對內(nèi)、對外聯(lián)絡(luò)人員等。CII專門安全管理機構(gòu)的職責(zé)

包括：

a）統(tǒng)籌協(xié)調(diào)，負(fù)責(zé)領(lǐng)導(dǎo)和決策本單位CII網(wǎng)絡(luò)安全應(yīng)急事項，在發(fā)生網(wǎng)絡(luò)安全事件期間負(fù)責(zé)指揮協(xié)

調(diào)；

b）制定應(yīng)急預(yù)案，依據(jù)分析識別結(jié)果，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案；

c）監(jiān)測預(yù)警，負(fù)責(zé)組織常態(tài)化網(wǎng)絡(luò)安全監(jiān)測，及時發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全風(fēng)險或威脅，并及時預(yù)

警；

d）事件報告，負(fù)責(zé)對接國家網(wǎng)信部門、保護工作部門和公安機關(guān)，落實重大網(wǎng)絡(luò)安全事件報告要

求；

e）信息共享，負(fù)責(zé)對內(nèi)、對外聯(lián)絡(luò)，落實網(wǎng)絡(luò)安全信息共享要求；

f）應(yīng)急處置，負(fù)責(zé)組織現(xiàn)場應(yīng)急處置；

g）應(yīng)急保障，負(fù)責(zé)落實物資、人力、資金等保障事項。

3

GB/TXXXXX—XXXX

7分析識別

CII運營者需要對關(guān)鍵業(yè)務(wù)進行分析識別，確定本單位關(guān)鍵業(yè)務(wù)運行情況以及對外部業(yè)務(wù)的依賴性、

重要性，以支撐編制網(wǎng)絡(luò)安全應(yīng)急預(yù)案、開展網(wǎng)絡(luò)安全應(yīng)急活動。

a）基本情況梳理

梳理關(guān)鍵業(yè)務(wù)的服務(wù)對象、地域分布、組織結(jié)構(gòu)、管理模式、崗位設(shè)置等，明確關(guān)鍵業(yè)務(wù)的運行特

征、業(yè)務(wù)邏輯、運行架構(gòu)、業(yè)務(wù)范圍，確定關(guān)鍵業(yè)務(wù)的基本功能。

b）關(guān)鍵業(yè)務(wù)鏈識別

梳理與本單位關(guān)鍵業(yè)務(wù)相關(guān)聯(lián)的外部業(yè)務(wù)，識別支撐關(guān)鍵業(yè)務(wù)的CII分布、運營情況，確定對外部

業(yè)務(wù)的依賴性、重要性。

c）CII數(shù)據(jù)識別

分析關(guān)鍵業(yè)務(wù)在收集、存儲、使用、加工、傳輸、輸出、共享等環(huán)節(jié)中涉及到的數(shù)據(jù)情況，如配置

數(shù)據(jù)、運行數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)等，明確數(shù)據(jù)的種類、作用，形成CII數(shù)據(jù)清單。

d）重要資產(chǎn)識別

識別關(guān)鍵業(yè)務(wù)安全穩(wěn)定運行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等重要資產(chǎn)，厘清上述網(wǎng)絡(luò)設(shè)施、信息

系統(tǒng)的功能作用、結(jié)構(gòu)組成、網(wǎng)絡(luò)拓?fù)?、地理位置以及與關(guān)鍵業(yè)務(wù)之間的支撐作用、依賴關(guān)系，形成CII

資產(chǎn)清單。

e）供應(yīng)鏈識別

識別CII資產(chǎn)所依賴的重要零部件、服務(wù)等信息，確定主要供貨商，形成CII供應(yīng)鏈清單。

8應(yīng)急預(yù)案

CII運營者以關(guān)鍵業(yè)務(wù)為核心制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案。

a）在國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的框架下，CII專門安全管理機構(gòu)組織技術(shù)、安全、業(yè)務(wù)、運維、

采購等部門，建立健全本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案體系，包括總體應(yīng)急預(yù)案、專項應(yīng)急預(yù)案，規(guī)定統(tǒng)一的

應(yīng)急預(yù)案框架，明確應(yīng)急預(yù)案的適用范圍、啟動預(yù)案的條件等；

b）應(yīng)急預(yù)案要素需要齊全，包括確定組織機構(gòu)職責(zé)，基于分析識別的結(jié)果，明確監(jiān)測預(yù)警、應(yīng)急

處置、事后恢復(fù)與總結(jié)、事件報告和信息共享的實施方法，明確應(yīng)急保障、演練與培訓(xùn)的落實細(xì)節(jié)；

c）明確應(yīng)急策略，在應(yīng)急預(yù)案中明確，一旦網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)受到損害或者發(fā)生故障時，需要

維護的關(guān)鍵業(yè)務(wù)功能，并明確遭受破壞時恢復(fù)關(guān)鍵業(yè)務(wù)的時間；

d）根據(jù)關(guān)鍵業(yè)務(wù)對連續(xù)性、安全性的不同要求，在應(yīng)急預(yù)案中明確重要資產(chǎn)功能的恢復(fù)順序、處

置方法，包括非常規(guī)時期、遭受大規(guī)模攻擊時等處置流程；

e）根據(jù)網(wǎng)絡(luò)安全事件的類型、敏感程度以及對業(yè)務(wù)的影響范圍等因素，在應(yīng)急預(yù)案中確定事件分

級、預(yù)警分級和響應(yīng)分級的標(biāo)準(zhǔn)，并與上位預(yù)案相銜接；

f）網(wǎng)絡(luò)安全應(yīng)急預(yù)案需要有聯(lián)系方式清單，包括應(yīng)急值班24小時聯(lián)系電話、重要資產(chǎn)責(zé)任人聯(lián)系

方式、專家名單與聯(lián)系方式、網(wǎng)絡(luò)安全應(yīng)急技術(shù)隊伍聯(lián)系方式、應(yīng)急相關(guān)方聯(lián)系方式等；

g）制定應(yīng)急預(yù)案操作手冊，明確培訓(xùn)內(nèi)容、頻率、方式和對象；

h）制定應(yīng)急演練手冊，明確演練頻率、組織方式和演練形式，評價預(yù)案內(nèi)容的針對性、實用性和

可操作性，實現(xiàn)應(yīng)急預(yù)案的科學(xué)管理和優(yōu)化更新。

4

GB/TXXXXX—XXXX

9監(jiān)測預(yù)警

9.1風(fēng)險發(fā)現(xiàn)

CII運營者在風(fēng)險發(fā)現(xiàn)方面：

a）建設(shè)網(wǎng)絡(luò)安全監(jiān)控中心，開展7*24h安全監(jiān)測，監(jiān)測內(nèi)容需要包括網(wǎng)絡(luò)流量、日志信