信息安全應(yīng)急處理服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求

Date07 8 月 2019

信息安全應(yīng)急處理服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求針對(duì)準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)、總結(jié)六個(gè)過(guò)程
進(jìn)行，具體分級(jí)要求如下：
C1 信息安全應(yīng)急處理服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求
C1.1 準(zhǔn)備階段
組織申報(bào)三級(jí)資質(zhì)，應(yīng)具有處理一般信息安全事件的能力（注：參考國(guó)家標(biāo)準(zhǔn) GB/Z 20985-2007
《信息安全事件分類分級(jí)指南》，或參考組織所提供應(yīng)急處理服務(wù)的對(duì)象所處的行業(yè)對(duì)信息安全事
件的等級(jí)劃分標(biāo)準(zhǔn)，主要考察有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件幾
類），具體見(jiàn)以下要求：
a) 明確客戶的應(yīng)急需求。
b) 了解客戶應(yīng)急預(yù)案的內(nèi)容。
c) 向客戶提供應(yīng)急處理服務(wù)流程。
d) 可提供本地 2 小時(shí)應(yīng)急響應(yīng)服務(wù)能力。
e) 配備有處理網(wǎng)絡(luò)或信息安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等。
f) 工具包應(yīng)定期更新。
g) 配備應(yīng)急處理服務(wù)人員。
h) 對(duì)在應(yīng)急處理服務(wù)過(guò)程中可能會(huì)采取的操作、處理等行為，獲得用戶的書面授權(quán)。
C1.2 檢測(cè)階段
a) 確定檢測(cè)對(duì)象及范圍。
b) 對(duì)發(fā)生異常的系統(tǒng)進(jìn)行信息的收集與分析，判斷是否真正發(fā)生了安全事件。
c) 與客戶共同確定應(yīng)急處理方案。
d) 應(yīng)急處理方案應(yīng)明確檢測(cè)范圍與檢測(cè)行為規(guī)范，其檢測(cè)范圍應(yīng)僅限于客戶已授權(quán)的與安全
事件相關(guān)的數(shù)據(jù)，對(duì)客戶的機(jī)密性數(shù)據(jù)信息未經(jīng)授權(quán)不得訪問(wèn)。
e) 與客戶充分溝通，并預(yù)測(cè)應(yīng)急處理方案可能造成的影響。
f) 檢測(cè)工作應(yīng)在客戶的監(jiān)督與配合下完成。
C1.3 抑制階段
a) 與客戶充分溝通，使其了解所面臨的首要問(wèn)題及抑制處理的目的。
b) 在采取抑制措施之前，應(yīng)告知客戶可能存在的風(fēng)險(xiǎn)。
c) 嚴(yán)格執(zhí)行抑制處理方案中規(guī)定的內(nèi)容，如有必要更改，須獲得客戶的書面授權(quán)。
d) 抑制措施應(yīng)能夠限制受攻擊的范圍，抑制潛在的或進(jìn)一步的攻擊和破壞行為。
C1.4 根除階段
a) 協(xié)助客戶檢查所有受影響的系統(tǒng)，提出根除的方案建議，并協(xié)助客戶進(jìn)行具體實(shí)施。
b) 應(yīng)明確告知客戶所采取的根除措施可能帶來(lái)的風(fēng)險(xiǎn)。
c) 找出導(dǎo)致網(wǎng)絡(luò)或信息安全事件發(fā)生的原因，并予以徹底消除。
C1.5 恢復(fù)階段
a) 告知客戶網(wǎng)絡(luò)或信息安全事件的恢復(fù)方法及可能存在的風(fēng)險(xiǎn)。
b) （如需重建系統(tǒng)時(shí)適用該條款）對(duì)于不能徹底恢復(fù)配置和徹底清除系統(tǒng)上的惡意文件，或
不能肯定系統(tǒng)經(jīng)過(guò)根除處理后是否可恢復(fù)正常時(shí)，應(yīng)選擇重建系統(tǒng)。
c) （如需重建系統(tǒng)時(shí)適用該條款）應(yīng)協(xié)助客戶按照系統(tǒng)的初始化安全策略恢復(fù)系統(tǒng)。
d) （如需重建系統(tǒng)時(shí)適用該條款）應(yīng)協(xié)助客戶驗(yàn)證恢復(fù)后的系統(tǒng)是否運(yùn)行正常，并確認(rèn)與原
有系統(tǒng)配置保持一致。
e) （如需重建系統(tǒng)時(shí)適用該條款）在幫助客戶重建系統(tǒng)前需進(jìn)行全面的數(shù)據(jù)備份，備份的數(shù)
據(jù)要確保是沒(méi)有被攻擊者改變過(guò)的數(shù)據(jù)。
f) （不需重建系統(tǒng)時(shí)適用該條款）應(yīng)建立重建系統(tǒng)的應(yīng)急工作流程及規(guī)范，并開展重建系統(tǒng)
的應(yīng)急演練工作。
C1.6 總結(jié)階段
a) 應(yīng)保存完整的網(wǎng)絡(luò)或信息安全事件處理記錄，并對(duì)事件處理過(guò)程進(jìn)行總結(jié)和分析。
b) 提供網(wǎng)絡(luò)或信息安全事件處理報(bào)告。
c) 提供網(wǎng)絡(luò)或信息安全方面的建議和意見(jiàn)，必要時(shí)指導(dǎo)和協(xié)助客戶實(shí)施。