信息安全技术 网络安全应急能力评估准则.docxVIP

ICS 35. 040 L80 中华人民共和 I家标准 GB/TXXXX—XXXX 信息安全技术网络安全应急能力评估准则 Information security techniques — Assessment criteria for cybersecurity emergencyresponse capability 在提交反馈意见时，请将您知道的相关专利连同支持文件一并附上。 （征求意见稿） 2020-07-07 XXXX-XX-XX 实施XXXX-XX- XXXX-XX-XX 实施 家市场监督管理总局家标准化管理委员会 漏洞管理 本项要求包括： a）应建立资产动态管理台账，应实现风险信息与资产的自动化比对； b）应进行挖掘系统安全漏洞的能力建设，宜具备独立挖掘漏洞的能力或采用网络安全众测服务等 方式拓展挖掘漏洞的渠道； c）应定期对漏洞管理能力进行评估并持续改进。 7. 5. 3宣传培训 本项要求包括： a）针对应急预案涉及的部门和人员应制定年度培训计划，应按计划开展培训，培训内容应至少包 括：网络安全基本知识、网络安全应急有关法规政策、应急预案、应急管理、应急技能等； b）最高管理层成员与各部门负责人应参加网络安全应急知识培训； c）应对参加培训的人员进行考核，考核通过才能继续任职； d）应定期组织应急人员参加网络与信息安全相关资质（如CISPTRE、CCSRP等）的培训与认证； e）每年应对培训计划与培训内容进行评估并持续更新。 应急演练 本项要求包括： a）针对网络安全事件总体应急预案与专项应急预案应制定相应的应急演练方案，演练方案应包括 演练的规模、方式、范围、内容、组织、评估、总结、演练脚本等内容； b）应制定年度应急演练计划，应按计划组织应急演练，每年应至少在仿真环境或真实环境下组织 1次应急预案的实战演练； c）网络安全应急技术支撑队伍应定期组建攻守双方，组织实战攻防演练； d）应定期组织跨组织、跨地域的应急演练； e）应按规定参与和配合主管部门或国家有关部门组织开展的网络安全应急演练； f）重要应急演练应由应急领导机构组织开展，应按照程序向主管部门或国家有关部门报告； g）应急演练过程应由专业人员采用自动化技术进行记录； h）应急演练效果评估与总结应有专家队伍成员参与； i）每年应对应急演练方案进行评估并持续完善。 8能力评估 8.1评估流程 网络安全应急能力评估流程如图2所示，包括评估准备、评估实施、分数评定、报告编制4个阶段。 图2网络安全应急能力评估流程 8.2评估准备 在评估准备阶段，评估方应组建评估小组，确定评估对象与范围，制定评估方案；被评估方应派相 关人员配合做好各方面评估准备工作。 8. 3评估实施 网络安全应急能力评估实施分为基本要求评估与增强能力评估两个阶段： 在基本要求评估阶段，评估小组根据第5章的基本要求按照附录A的基本要求评估表对被评估方进行 评估，给出每个评估项的符合性判定。如果有不符合项，则整体评估结论为不合格，评估终止；如果基 本要求全部符合，则评估小组进行第二阶段的增强能力评估。 在增强能力评估阶段，评估小组根据第6章的增强能力对被评估方进行评估，采用评分制对增强能 力进行计分，计分方法见第8. 4节，根据得分确定网络安全应急能力的评估等级。 评估小组在进行评估时，可采用查阅文档、现场查看、访谈问答、实际操作等评估方法，评估过程 中的文档依据、访谈过程等应进行详细记录。评估方法具体如下： —查阅文档：查阅应急管理制度、应急预案，历史事件处置、演练等相关文字、音像资料和数据 记录； —现场查看：现场查看应急值班场所、应急工具物资、应急系统平台等系统和设施； —访谈问答：主要面向应急领导机构成员、应急工作人员，了解其对本岗位应急工作职责、应急 预案、相关法律法规、工作规章、应急技术知识等的掌握程度； —实际操作：主要评估应急工作人员对应急工具的掌握程度。 .4分数评定 评估小组采用评分制对增强能力进行计分，每符合1条得1分，实际分数为所有增强能力评估项得分 之和，应得分数为全部增强能力的总条目数，按如下公式换算百分制后为最终得分： 最终得分二实际分数 应得分数 最终得分二 实际分数 应得分数 X100,应得分数为85。 应按照附录B进行增强能力评分，网络安全应急能力根据最终得分可划分为4个等级： 优： 85分W最终得分W100分； 良： 70分或最终得分〈85分； 合格：60分w最终得分〈70分； 不合格：0分W最终得分＜60分。 .5报告编制 编写评估报告应全面反映评估过程的全部工作，提供评估佐证资料，给出评估结论。报告内容应包 括： —编制依据； 目的和适用范围； —评估程序和方法； —评估结果分析； —评估结论； —改进措施及建议； ——报告附件，包括评估过程中