網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法

1、ICs3304040M呀Y(jié)ftl串華人民翱國(guó)通信行業(yè)標(biāo)準(zhǔn)隹VYD/T1799-2008108.EvaluationMethodsforQualificationof$etworkand.InformatiQnEvaluationMethodsforQualificationofNetworkandInformationSecurityEmergencyResponserviqeSecurityEmergencyResponseService2008-05-04發(fā)布2008-05-04發(fā)布2008-08-01實(shí)施2008-08-01實(shí)施中華人民共和國(guó)工業(yè)和信息化部發(fā)布中華人民共和國(guó)工業(yè)和信息化部

2、發(fā)布YD9下1799-2'008,-18&26I言范圍規(guī)范性引用文件件術(shù)語(yǔ)和縮略語(yǔ)'IP義網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)概述網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)等級(jí)三級(jí)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)商資質(zhì)要求-6.1基本要求口；1一：6.12人員構(gòu)成與素質(zhì)要求6.3規(guī)模與資產(chǎn)要求6：14設(shè)備、設(shè)施與環(huán)境要求6.5環(huán)境要求6.6應(yīng)急響應(yīng)時(shí)間要求6 .7業(yè)績(jī)要求6.18質(zhì)量保證要求嘰求619應(yīng)急二級(jí)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)商資質(zhì)要求務(wù)能力711基本要求-7：12人員構(gòu)成與素觸求恚進(jìn)理脈務(wù)羽資壓婪求713規(guī)模與資產(chǎn)要求714設(shè)備、設(shè)施與環(huán)境要求R715項(xiàng)目管理要求7.6應(yīng)急響應(yīng)時(shí)間要求更

3、求7 7業(yè)績(jī)要證要求務(wù)能力要求求7.8質(zhì)量保證要7.6應(yīng)倉(cāng)匸7. 9應(yīng)急服務(wù)能一級(jí)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)商資質(zhì)要求85基本要求陽(yáng)人員構(gòu)成與素質(zhì)要求求8.3規(guī)模與資產(chǎn)要求肖處嗎服務(wù)麗陸坎芟求8. 4設(shè)備、設(shè)施與環(huán)境要求8.4人員構(gòu)成與素質(zhì)要求規(guī)模與資產(chǎn)要求設(shè)備、設(shè)施與環(huán)境耍求33勺色AJ4t4-4474專(zhuān)計(jì)""A屛乩5'55'55-6-'56岳YD廠(chǎng)ri1799h0O8°8845頊目管理要t求68&6應(yīng)急響應(yīng)時(shí)間要蜜求6847業(yè)績(jī)要t-78公8質(zhì)量保證要t7§49應(yīng)急服服縛力要婁78鶯與信息安全應(yīng)急處理服務(wù)過(guò)瞬力要t7跖

4、1應(yīng)急處理服務(wù)的原！79.2應(yīng)急處理服務(wù)過(guò)程79衛(wèi)3準(zhǔn)制89：X檢測(cè)階段9945抑制階段1O946根除#段1W鮎8總結(jié)階段947恢復(fù)階段Ill121°評(píng)估方法投101°4汾文檔審核184210.3過(guò)程各個(gè)階小13131314附錄A（規(guī)范性附錄）網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)*13附錄B（資料性附錄）網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)分級(jí)資質(zhì)要求F表附錄B（資料性附錄）網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)分級(jí)資質(zhì)要求簡(jiǎn)表20'參署文"獻(xiàn)202115參考文獻(xiàn)I1YD廠(chǎng)r199-20088本標(biāo)準(zhǔn)根據(jù)我國(guó)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)管理的需求，w時(shí)考慮i陰網(wǎng)絡(luò)與信息安全應(yīng)急處j需求，同時(shí)

5、考慮到國(guó)內(nèi)網(wǎng)絡(luò)與仁息安全應(yīng)急處理服務(wù)提供商的實(shí)際情況，參考価和1"16212007網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則、計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)管理辦法、計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)等級(jí)評(píng)定條件等文件和相關(guān)國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)制定制速而成。本標(biāo)準(zhǔn)的評(píng)估方法面向?qū)ο笫菫樾畔⑾到y(tǒng)所有者提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織。本標(biāo)準(zhǔn)的附錄錄A為規(guī)范性附錄錄附錄錄百為資料性附錄。本標(biāo)準(zhǔn)由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。有信.公威京綠盟領(lǐng)技有陽(yáng)司徐公司、華為技術(shù)有限公司、武漢郵電科學(xué)研究巒技有限公司、沈陽(yáng)東軟軟件股份有限公本標(biāo)準(zhǔn)主要起草人：黃元飛、舒敏、紀(jì)玉春、孫蔚敏、楊臻、王明華、布寧W亞紅、翟爽、屮科網(wǎng)威王紅陽(yáng)、彭

6、新春、徐懿巍、李宗洋、劉院清、萬(wàn)振華科桑梓勤本標(biāo)準(zhǔn)主要起草人：黃元飛、舒敏、紀(jì)玉春、孫蔚敏、楊臻、王明華、布寧、翟亞紅、翟爽、王紅陽(yáng)、彭新春、徐懿巍、李宗洋、劉院清、萬(wàn)振華、桑梓勤辰計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技杏處理協(xié)調(diào)中心、中國(guó)信息安全認(rèn)證中心、北京啟明星辰公司、沈陽(yáng)東軟軟件股份IllinYD,丁1799-200008網(wǎng)絡(luò)與信息安全應(yīng)急製理服務(wù)資質(zhì)評(píng)估方法方法1范圍圍與信務(wù)組可為提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織改進(jìn)自身能力提供指導(dǎo)。務(wù)的組織進(jìn)行管理的技術(shù)性規(guī)范，也刊規(guī)范性引用文件甩一2規(guī)范性引用文件下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘

7、鐲的內(nèi)容D或修訂版唧不適用于本標(biāo)準(zhǔn)。然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究亍有的是否可使呢些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。蹩?jī)娪狆嬘?毀件的質(zhì)量管理和呻保證標(biāo)準(zhǔn)第3郵分：限/'I'OO1在計(jì)算機(jī)軟件開(kāi)發(fā)、供應(yīng)、安裝GB/T19000.3-2001GB/T19001一2000GB/T19004.21994GB/T19001-2000/t19004.41994南樂(lè)形嘔心喘礪肛16202鮎】如4GB/憶19716孑術(shù)語(yǔ)酈略野GB/T197163.1術(shù)語(yǔ)和定義質(zhì)量管量準(zhǔn)第3部分:GB/T19001在計(jì)算機(jī)軟件開(kāi)發(fā)、供應(yīng)、安裝和要素第2部分：服務(wù)指南GB

8、質(zhì)量體系要素第4部分：質(zhì)量改進(jìn)指信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南勾網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則處傾信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則脂南網(wǎng)絡(luò)與信息安全服務(wù)資質(zhì)評(píng)估準(zhǔn)則信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則3戀肖!F527?語(yǔ)8-2001中的術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)，另外以下術(shù)語(yǔ)和定義也適用于本標(biāo)準(zhǔn)。玄11;-網(wǎng)絡(luò)與信息安全事件慣輅斟店岀乎唧securiti艸踝話(huà)網(wǎng)絡(luò)與信息安全事件（以下簡(jiǎn)稱(chēng)安全事件）是指由于自然或者人為的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件。網(wǎng)絡(luò)與信恵安全事件networkandinformationsecurityincident312網(wǎng)絡(luò)

9、與信息安全應(yīng)急處理服嗣昭侖制nd賺帥。朋?純卩瞌e訓(xùn)"ipon謬統(tǒng)s勲燼雷或在網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)兀細(xì)以下簡(jiǎn)稱(chēng)應(yīng)急處理服務(wù)）是指在處置網(wǎng)絡(luò)與信息安全事件時(shí)提供緊急現(xiàn)場(chǎng)或遠(yuǎn)程援助的一系列技術(shù)的和非技術(shù)的措施和行動(dòng)，以降低安全事件給用戶(hù)造成的損失或影響。危害,網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)networkandinformationsecurityemergencyresponseservice網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)（以下簡(jiǎn)稱(chēng)應(yīng)急處理服務(wù)）是指在處置網(wǎng)絡(luò)與信息安全事件時(shí)提供緊急現(xiàn)場(chǎng)或遠(yuǎn)程援助的一系列技術(shù)的和非技術(shù)的措施和行動(dòng)，以降低安全事件給用戶(hù)造成的損失或影響。1廠(chǎng)1/799200

10、83M.3網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)提供霜提供者netWorkMkandifrwtitiensecurityemerge虧ncyresponsesesvegprovideter網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)提供犧-（以下簡(jiǎn)稱(chēng)應(yīng)急服務(wù)提供.）是指按照一定的合同或協(xié)議，為議，為信息系統(tǒng)所有者提供網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)的組織，也巒為網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)商。51,4系統(tǒng)快照湄emsn鯛t關(guān)于指定數(shù)據(jù)集合的一個(gè)完全可丿的映像?？煺湛?勺吟縮略語(yǔ)“泊扎所*比如和宀用J巳寂出下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)。漏囂ifie/InformsCISSPXIDSsspifosIPMPISMSp!T朋PMPIT4網(wǎng)絡(luò)與信

11、息、安全應(yīng)急處理服務(wù)概述"仙網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)指通過(guò)制定應(yīng)急計(jì):劃使，得影;響網(wǎng)絡(luò)占骯勺數(shù)據(jù)網(wǎng)副本曙以口口。（拷貝第的時(shí)間洽onSecurityAuditorCertifiedInformationalSystemssecur-ittyrProfessional捺堀麗?珀山冊(cè)s&ysenisSecurityProfessionalInternet冊(cè)慄氐Intlernati0a|m£SOjectManagementProfessionalInformationInternationals豆uri總ctManagementFsSfessionalInformat

12、iqn,Information"SdtnsEiyManagementSystemProjectManagement.ProfessionalInformationlecnhology,rp.oilniormmion怦罪洽箱盤(pán)鶴礙芹一SecurityEngineer注冊(cè)信息安全審核員注冊(cè)信息系統(tǒng)安全專(zhuān)家入侵檢測(cè)系統(tǒng)如網(wǎng)際互連協(xié)議國(guó)際項(xiàng)曲理專(zhuān)業(yè)資質(zhì)認(rèn)證信息安全管理體系衛(wèi)資質(zhì)認(rèn)旺信息技術(shù)業(yè)人員資格認(rèn)證項(xiàng)目管54瞬信息系統(tǒng)疑的安全事件能夠得到及時(shí)的過(guò)k務(wù)全事件常設(shè)的過(guò)程。這里的安全事彳隸為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備'設(shè)施故障、災(zāi)害性事件和其他信息

13、安全事件等七大類(lèi)，見(jiàn)gB灣觀(guān)286。¥網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)是保障業(yè)務(wù)連續(xù)性的重要手段之息，涵蓋了在安全事件發(fā)生后為了維役備持和敝復(fù)關(guān)鍵的應(yīng)用所進(jìn)行的系列活動(dòng)。:夠得與應(yīng)急處理服務(wù)容易發(fā)生混淆的是災(zāi)難恢復(fù)服務(wù)性災(zāi)難恢復(fù)服務(wù)指的是將信息系統(tǒng)從災(zāi)難造成的故丁細(xì)障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行的狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)的活動(dòng)和流程性與應(yīng)急處理服務(wù)相比，災(zāi)難恢復(fù)服務(wù)的應(yīng)用范鬧較窄，襖常應(yīng)用于重大的，特別是的故災(zāi)難性觸唳成長(zhǎng)時(shí)間無(wú)法正常酬系統(tǒng)和設(shè)施的事件性支持5網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)等級(jí)務(wù)札比，災(zāi):低恢復(fù)服務(wù)的應(yīng)用范!用較葷.通常應(yīng)用電人的特別是

14、夾心網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)等級(jí)是衡量服務(wù)提供者應(yīng)急處理服務(wù)資格和能力的尺度。網(wǎng)絡(luò)與5離息安全應(yīng)融理服務(wù)資質(zhì)等級(jí)分為三級(jí)，一級(jí)最高，三級(jí)最低。在本標(biāo)準(zhǔn)中，高等級(jí)資質(zhì)的要求本標(biāo)準(zhǔn)中等級(jí)H與信息11急處理服務(wù)資質(zhì)評(píng)估辣包含分級(jí)資質(zhì)要求和過(guò)程能力要求兩部分。分級(jí)資質(zhì)要求包含基本要求、人員構(gòu)成與素質(zhì)要求、規(guī)模與資產(chǎn)要求、設(shè)備設(shè)施與環(huán)境要求、項(xiàng)目管理莊圧的要求涵蓋了低等級(jí)資質(zhì)要求的所有方面。2在本標(biāo)準(zhǔn)中，網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估要求包含分級(jí)資質(zhì)要求和過(guò)程能力要求兩部分。分級(jí)資質(zhì)要求包含基本要求、人員構(gòu)成與素質(zhì)要求、規(guī)模與資產(chǎn)耍求、設(shè)備設(shè)施與環(huán)境要求、項(xiàng)目管理yDPO1799-200808

15、要求、應(yīng)急響應(yīng)時(shí)間要求、業(yè)績(jī)要求、質(zhì)量保證要求、應(yīng)急服務(wù)能力等，具體要求見(jiàn)規(guī)籍、7、8牽過(guò)程能力要求包含準(zhǔn)錮、檢測(cè)、抑制制、根除除恢復(fù)復(fù)總結(jié)等等6禰階段，117個(gè)主要安全控制點(diǎn)，具體要求見(jiàn)第9章。6三級(jí)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)商資醐求要求頒發(fā)的合法經(jīng)營(yíng)資為組或）：應(yīng)遵守國(guó)家現(xiàn)行法律、法規(guī)的規(guī)定;相應(yīng)的組織監(jiān)管6討1基本要求求從事應(yīng)急處理服務(wù)的組織：a）應(yīng)是一個(gè)獨(dú)立的實(shí)體，具有獨(dú)立法人資格，具有相關(guān)部門(mén)密關(guān)的資質(zhì).證;凝;'c）從事涉及國(guó)家秘密的應(yīng)急服務(wù)提密制度和建立的資存、"料進(jìn)行單獨(dú)保管，篠用安全的措施存放有關(guān)紙介文檔和其他媒體介質(zhì)資料，準(zhǔn)備獨(dú)立且不聯(lián)網(wǎng)的計(jì)算機(jī)以存放有保

16、購(gòu)求的電子文檔。6-2人員榆磁與素質(zhì)要求甘從事應(yīng)急處理服務(wù)的組織：境,a）至辨應(yīng)有2名安全人負(fù)貢將事件處理厭務(wù)的賈料進(jìn)冊(cè)工程師，包括用CS跑的ISSP存觸禪懸介唆直接從事安全服務(wù)的人員不.備獨(dú)立且不聯(lián)網(wǎng)的訃算機(jī)以存低于彳10人，大學(xué)本科以上學(xué)歷不少于8°%；c）至少有項(xiàng)目經(jīng)蘇3名，其中2人具有安全應(yīng)急處理服務(wù)項(xiàng)目的成功案例，且項(xiàng)目金額不低于10萬(wàn)元人民幣m-一d）應(yīng)有一批相對(duì)穩(wěn)定的技術(shù)隊(duì)伍，至少有曲人具有統(tǒng)以上的安全應(yīng)急處理服務(wù)項(xiàng)目經(jīng)驗(yàn)。6'31規(guī)模與資慮求安全從必急處理服務(wù)的組0織：a）公司人員應(yīng)不少于5°人；b）注注冊(cè)資金應(yīng)不低于吒護(hù)萬(wàn)，元人民幣。心辻總枷成Jg

17、例，王琉口金額不低門(mén)0力元人底帚;、立、6,4從事1急處理8111織:茍應(yīng)有固定的椚人具有2年以上的安全歸處理服錚項(xiàng)目經(jīng)瓠&3辦公場(chǎng)所?產(chǎn)霜應(yīng)有處理網(wǎng)絡(luò)安全事件的工具或軟件理腿觸有進(jìn)行服務(wù)所必需的實(shí)驗(yàn)環(huán)境。6.5項(xiàng)目管理要臉應(yīng)從事應(yīng)急處理服務(wù)的組織:。a）應(yīng)有成文的6.4項(xiàng)攣理制度，3并符合相關(guān)項(xiàng)目管理標(biāo)準(zhǔn);b）應(yīng)建立健全監(jiān)督檢查機(jī)制狼務(wù)的組織:a）應(yīng)有固定的辦公場(chǎng)所；b）應(yīng)有處理網(wǎng)絡(luò)安全事件的工具或軟件；c）應(yīng)有進(jìn)行服務(wù)所必需的實(shí)驗(yàn)環(huán)境。6.5項(xiàng)目管理要求從事應(yīng)急處理服務(wù)的組織：a）應(yīng)有成文的項(xiàng)目管理制度，并符合相關(guān)項(xiàng)目管理標(biāo)準(zhǔn);b）應(yīng)建立健全監(jiān)督檢查機(jī)制。詢(xún)廠(chǎng)r117799-200

18、8086.6應(yīng)急響應(yīng)時(shí)間要求從事應(yīng)急處理服務(wù)的組織：湘M牛支持應(yīng)在6小時(shí)內(nèi)回復(fù)。.從事應(yīng)急處理服務(wù)的組織：a）從:躱年以上相應(yīng)從業(yè)時(shí)間；i規(guī)模：至少有2個(gè)項(xiàng)目中涉及應(yīng)急處理服務(wù)的金額超過(guò)io萬(wàn)元人民d）完成結(jié)果評(píng)價(jià):a）應(yīng)提供供7）X:24J',時(shí)應(yīng)急處理熱線(xiàn)、支持崗位及相應(yīng)人員要員；b）應(yīng)保證在設(shè)有辦事機(jī)構(gòu)的城市同城現(xiàn)場(chǎng)響應(yīng)在4命小時(shí)之內(nèi)，其他城市現(xiàn)場(chǎng)響應(yīng):諭蟹8個(gè)小時(shí)之內(nèi)要c此他城市電子郵件支持應(yīng)在疔ft；時(shí)內(nèi)回復(fù)6.7業(yè)績(jī)要求業(yè)時(shí)間目規(guī)模:耕幣；柳項(xiàng)目數(shù)量:雀少完成卷個(gè)以上應(yīng)急處理服務(wù)項(xiàng)目；至少有賊的項(xiàng)目成功率。6. 8C質(zhì)量保證要求：從事應(yīng)急處理服務(wù)應(yīng)急處理服務(wù)項(xiàng)目；的組織成鄒

19、應(yīng)建立并落實(shí)質(zhì)量管的項(xiàng)目成功率u6.8理體系要證要2a）應(yīng)有專(zhuān)門(mén)的技術(shù)人員關(guān)注國(guó)內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全一標(biāo)準(zhǔn)的動(dòng)向般有能力掌握信息安全的最新技術(shù)和標(biāo)準(zhǔn)要應(yīng)有一定的研究能力，具有對(duì)信息系統(tǒng)面臨的安全威脅、存在的安全隱患進(jìn)行信息收集、識(shí)6.9別、分析和提供防范措施的能力；d）能夠定期對(duì)負(fù)責(zé)網(wǎng)絡(luò)安全事件處理服務(wù)的，.專(zhuān)職技術(shù)人員進(jìn)行培訓(xùn)要養(yǎng)瘟有對(duì)突發(fā)性安全事件進(jìn)行分析和解決的能力要斛煮門(mén)女仝技術(shù)、標(biāo)珥心用円，爪m嚴(yán)挖仁艮r(nóng)旳彊劭龍s右準(zhǔn)：旬）應(yīng)具備快速的事件消除、疇件恢復(fù)和事件追蹤能力全威脅、存在的安全隱患進(jìn)行信息收集、識(shí)別、分析馴應(yīng)具有完善的應(yīng)急處理工作流程和操作規(guī)范；h）應(yīng)具有切實(shí)可鹼應(yīng)急服務(wù)方

20、案。事件處理服務(wù)的妒職技術(shù)人員進(jìn)行堵訂；7二級(jí)網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)商資質(zhì)要求決的能力：k備快速的事件消除、事件恢復(fù)和事件追蹤能力；b）能夠自行評(píng)°估蹄質(zhì)!量的狀況，并能對(duì)服務(wù)質(zhì)量進(jìn)行持續(xù)改進(jìn)。6-9應(yīng)急服務(wù)能力落從事應(yīng)急處理服務(wù)的組織：公告及漏洞公告要戚潮信息安全技術(shù)7.7.1基應(yīng)達(dá)加f有要求。2】人員構(gòu)成與素質(zhì)要求舊從事應(yīng)急處理服務(wù)的組織；a）至少應(yīng)有4名安全注為工程師，包括eNCSE、処埋服、CISA等要求）至少有1名高級(jí)網(wǎng)絡(luò)認(rèn)證工程師；C）宜接從事安全服務(wù)的人員不低于30人，大學(xué)本科以上學(xué)歷不少7-1于8Wd）至少有項(xiàng)目經(jīng)理人（具有IPMP、PMP認(rèn)證），至少4人具有大型

21、安全應(yīng)急擲理服醐目的成功案例，項(xiàng)目金額不低于100萬(wàn)元人民幣；至少應(yīng)有4名安全注冊(cè)工程師，包括NCSE、CISSP、CISA等；至少有I名高級(jí)網(wǎng)絡(luò)認(rèn)證工程師；直接從事安全服務(wù)的人員不低于30人，大學(xué)本科以上學(xué)歷不少于80%：至少有項(xiàng)目經(jīng)理4人、高級(jí)項(xiàng)目經(jīng)理2人I具有EPMP、PMP認(rèn)證），至少4人具有大型安全應(yīng)急從事應(yīng)急處理服務(wù)的組織：4b）c）d）處理服務(wù)項(xiàng)目的成功案例，項(xiàng)目金額不低于100萬(wàn)元人民幣；YDD丌1799辭08e）應(yīng)有一批相對(duì)穩(wěn)定的技術(shù)隊(duì)伍，至少至側(cè)人具有3年以上的安全應(yīng)急處:理服務(wù)項(xiàng)目經(jīng)驗(yàn)。7,33規(guī)模與資產(chǎn)要要求從事應(yīng)急處理服務(wù)的組織:急a）公司人員不少于100人姑注冊(cè)資金

22、不低于00吧0萬(wàn)元人0至少在'5個(gè)?。ㄖ陛犑?、自治區(qū)氣內(nèi)設(shè)有固定的辦事機(jī)構(gòu)。7.4咯備、設(shè)施與環(huán)境要瀘從事應(yīng)急處理服務(wù)的組織定曙7.4具有實(shí)施應(yīng)急處理服務(wù)所必需的研究和實(shí)驗(yàn)環(huán)境；b）應(yīng)有處理網(wǎng)絡(luò)安全事件的工具或軟件。7. 5咖管理要憑應(yīng)從事應(yīng)急處理服務(wù)的組織：第應(yīng)具有成文的項(xiàng)目管理制度，并符合相關(guān)項(xiàng)目管理標(biāo)械軟件075b）應(yīng)提供證據(jù)，證明項(xiàng)目管理制度能成功管理50萬(wàn)元以上人民幣規(guī)模的安全工程項(xiàng)目;9C）建立健全監(jiān)督檢查機(jī)制。7.6a應(yīng)急響應(yīng)時(shí)間要求項(xiàng)從事應(yīng)急處理服務(wù)的組織相關(guān)項(xiàng)提供標(biāo)準(zhǔn)；分附時(shí)應(yīng)急處理熱線(xiàn)、支持崗位及相應(yīng)人員管理50萬(wàn)元以上人民幣規(guī)模的安全工程項(xiàng)目;b）應(yīng)保證在設(shè)有辦事

23、機(jī)構(gòu)的城市同城現(xiàn)場(chǎng)響應(yīng)在4個(gè)小時(shí)之內(nèi)，其他城市現(xiàn)場(chǎng)響應(yīng)在48個(gè)小時(shí)之內(nèi)；應(yīng)急響應(yīng)時(shí)間要求7.克郵件支持鹿在服聲"時(shí)內(nèi)回復(fù)。7業(yè)績(jī)要求"從事應(yīng)急處理服務(wù)的組織：a）從亠業(yè)時(shí)間:應(yīng)護(hù)3年以上相應(yīng)從業(yè)時(shí)齡唆b）項(xiàng)目規(guī)模：至少有熠個(gè)項(xiàng)目中涉及安全服務(wù)的金額超過(guò)售萬(wàn)元人民幣，至少卿個(gè)項(xiàng)目中涉及的安全服務(wù)金額超過(guò)50萬(wàn)元人民幣：c）項(xiàng)Pl數(shù)量：至少完成15個(gè)以上應(yīng)急處理服務(wù)項(xiàng)目：冋復(fù)-d）完成結(jié)果評(píng)價(jià)：至，求的項(xiàng)目成功率。7. 8礦量保證要求服務(wù)的組織:從事應(yīng)急處理服務(wù)的組織應(yīng)通過(guò)1：相GB歡mn9001認(rèn)證。7. 9應(yīng)急服務(wù)能力要求從事應(yīng)急處理服務(wù)的組織：a）有專(zhuān)門(mén)的技術(shù)人員關(guān)注國(guó)內(nèi)

24、少2個(gè)項(xiàng)目中涉及的安全服外權(quán)威機(jī)構(gòu)發(fā)布的安全公告及漏洞公告；b）了解信息安全技術(shù)、標(biāo)準(zhǔn)的動(dòng)向，有能力掌握信息安全的最新技術(shù)和標(biāo)準(zhǔn)；M有專(zhuān)門(mén)的人員持續(xù)對(duì)最新的網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究?jī)r(jià)宀能夠定期對(duì)負(fù)責(zé)網(wǎng)絡(luò)安全事件處理服務(wù)的專(zhuān)職技術(shù)人員進(jìn)78彳行培訓(xùn)訓(xùn);證g能夠獨(dú)立完成信息安全滲透測(cè)試；從事應(yīng)急處理服務(wù)的組織應(yīng)通過(guò)GB19001認(rèn)證。7.9應(yīng)急服務(wù)能力要求從事應(yīng)急處理服務(wù)的組織；a）有專(zhuān)門(mén)的技術(shù)人員關(guān)注國(guó)內(nèi)外權(quán)威機(jī)構(gòu)發(fā)布的安全公告及漏洞公告；b）了解信息安全技術(shù)、標(biāo)準(zhǔn)的動(dòng)向，有能力掌握信息安全的最新技術(shù)和標(biāo)準(zhǔn);c）有專(zhuān)門(mén)的人員持續(xù)對(duì)最新的網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究；d）能夠定期對(duì)負(fù)責(zé)網(wǎng)絡(luò)安全事件處理服務(wù)的專(zhuān)

25、職技術(shù)人員進(jìn)行培訓(xùn)；e）能夠獨(dú)立完成信息安全滲透測(cè)試；YD。17999=20088f）具有對(duì)突發(fā)性安全事件進(jìn)行分析和解決的能能力勺能力；g）應(yīng)具備快速的事件消除、事件恢復(fù)和事件追蹤能力聊件追跌詭堀具有完善的應(yīng)急事件處蹩勺工作流程和操作規(guī)范；鮒范；1應(yīng)具有切實(shí)可行的應(yīng)急服務(wù)方案。峯”8一級(jí)網(wǎng)絡(luò)與聞安全應(yīng)急處劃務(wù)商資質(zhì)要求質(zhì)要求8. 2人員構(gòu)成與素質(zhì)要求、從事應(yīng)急處理服務(wù)的組織：a）至少應(yīng)有6名安全注豳佔(zhàn)師，歸質(zhì)NCSE、CISSP、CISA等；b）至少有3名高級(jí)網(wǎng)絡(luò)認(rèn)證工程師；:C）直接從事安全服務(wù)的人員不低于50人，大學(xué)本科咀上學(xué)歷不少于80至少應(yīng)有6名安全注冊(cè)工程師，包括NCSE、CISSP

26、、CISA等；d）至少有項(xiàng)目經(jīng)理網(wǎng)人認(rèn)高級(jí)項(xiàng)目經(jīng)理3人（具有IPMP、PMP認(rèn)證），至少6人具有大型安全應(yīng)急處理服務(wù)項(xiàng)目成功案例，項(xiàng)目金額不低于低予00灰元人民耶科以上學(xué)歷不少于紀(jì);e）應(yīng)有一批相對(duì)穩(wěn)定的技術(shù)隊(duì)衞，有至少20人具有n%年以上的安全應(yīng)急處理服服務(wù)項(xiàng)目經(jīng)驗(yàn)。型安全應(yīng)急觥蠅f規(guī)模與資產(chǎn)要求例從事應(yīng)急處理服務(wù)的組織：暫注冊(cè)資金在卿萬(wàn)元人民幣仔以./-：b）公司人員在300人以8,3樣模C）至少在響個(gè)?。ㄖ陛犑?、自治區(qū)）內(nèi)毆有固定的辦事機(jī)構(gòu)。8. 4設(shè)備、設(shè)購(gòu)環(huán)境要求,從事應(yīng)急處理服務(wù)的組織；P具旅施應(yīng)急處理服務(wù)必需的研究和實(shí)驗(yàn)環(huán)境；b）應(yīng)有處理網(wǎng)絡(luò)安全事件的工具或軟件。內(nèi)沒(méi)仃固定的辦専

27、機(jī)松U鼠45項(xiàng)管理要求與從事應(yīng)急處理服務(wù)的組織:a）應(yīng)具有成文的項(xiàng)目管理制度，并符合相關(guān)項(xiàng)目管理標(biāo)準(zhǔn);b）應(yīng)提供證據(jù)，證明項(xiàng)目管理制度能成功管理頃:驗(yàn)猱覽萬(wàn)元人民幣以上規(guī)模的安全工程項(xiàng)目岀有項(xiàng)目風(fēng)險(xiǎn)預(yù)防或規(guī)避制度與措施；礙鍥監(jiān)督檢查機(jī)制。8.6應(yīng)急響應(yīng)時(shí)間要求務(wù)芮從事應(yīng)急處理服務(wù)的組織：a）應(yīng)提供7*24,小時(shí)應(yīng)急處理熱線(xiàn)、支持崗位及相應(yīng)人員；_b）應(yīng)保證在沒(méi)有辦事機(jī)構(gòu)的城市同城現(xiàn)場(chǎng)響應(yīng)在4課小小時(shí)之內(nèi)，其他城市現(xiàn)場(chǎng)響應(yīng)在48個(gè)小時(shí)之內(nèi)；一8.5d響應(yīng)在4個(gè)小c）郵件支持應(yīng)在僉軍小時(shí)內(nèi)回復(fù)。度與攔施；d）建立健全監(jiān)督檢査機(jī)制。8.6應(yīng)急響應(yīng)時(shí)間要求6從事應(yīng)急處理服務(wù)的組織:a）應(yīng)提供7X24小

28、時(shí)應(yīng)急處理熱線(xiàn)、支持崗位及相應(yīng)人員；b）應(yīng)保證在設(shè)有辦事機(jī)構(gòu)的城市同城現(xiàn)場(chǎng)響應(yīng)在4個(gè)小時(shí)之內(nèi)，其他城市現(xiàn)場(chǎng)響應(yīng)在48個(gè)小時(shí)之c）郵件支持應(yīng)在1小時(shí)內(nèi)回復(fù)。8.7業(yè)績(jī)要求從事應(yīng)急處理服務(wù)的組織：a）從業(yè)時(shí)間:應(yīng)有理服年以上相應(yīng)從業(yè)時(shí)問(wèn)；b）項(xiàng)目規(guī)模：完成的安全服務(wù)項(xiàng)目規(guī)模至少有5個(gè)項(xiàng)目步及安全服務(wù)的金額超過(guò)100萬(wàn)元人民幣；C）項(xiàng)目數(shù)量:至少完成於0個(gè)以上應(yīng)急處理服務(wù)項(xiàng)目;以完成結(jié)果評(píng)價(jià):至少有萬(wàn)兇臾的項(xiàng):8.8°質(zhì)量保證要求從事應(yīng)急處理服務(wù)勵(lì)織:呼應(yīng)通過(guò)88GBfr19001認(rèn)正；b）應(yīng)參考GB最'r第詢(xún)716建立信息安全管理體系。8.9a應(yīng)急服務(wù)能級(jí)要求90從事應(yīng)急處理服務(wù)

29、的組織：a）有專(zhuān)門(mén)的技術(shù)人員關(guān)注國(guó)內(nèi)外權(quán)威組織.機(jī)構(gòu)發(fā)布的安全公告及漏洞公告系.，b）有專(zhuān)門(mén)的人員持續(xù)對(duì)最新8,9的網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究；c）能夠定期對(duì)負(fù)責(zé)網(wǎng)絡(luò)安全事件處理服務(wù)的專(zhuān)職'技術(shù)人員進(jìn)行培訓(xùn)訓(xùn)的犁）能夠定期組織或參與各種形式的網(wǎng)絡(luò)與信息安全領(lǐng)域的學(xué)術(shù)交流活動(dòng)）能夠快速的事件消除、事件設(shè)復(fù)、事件追蹤和事件預(yù)防能力系心）具有完善的應(yīng)急事件處理的工作流程和操作規(guī)范：安全i）應(yīng)具有切實(shí)可行的應(yīng)急服務(wù)方案。9網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)過(guò)程能力要求；g）具有對(duì)發(fā)生的突發(fā)性安全事件進(jìn)行分析和解決的能力；件消除、事件恢復(fù)、事件追蹤和事件預(yù)防能力；應(yīng)對(duì)應(yīng)急處理服務(wù)過(guò)程中獲知的任何服務(wù)對(duì)象的系統(tǒng)

30、信息承擔(dān)保密:至少完成30個(gè)以上應(yīng)急處理服務(wù)項(xiàng)目;矗活挖磁鞘立完成信息安全滲透測(cè)試發(fā)生的突發(fā)性安全."的安全公告及漏洞公告;件進(jìn)行|析和解決的能力系.時(shí)9.1應(yīng)芻得泄露給用這理7言息進(jìn)行任俺侵害服務(wù)對(duì)象的行為。2）規(guī)范性原則全尼應(yīng)急服務(wù)提供者應(yīng)要求服務(wù)人員依照規(guī)范的操作流程進(jìn)行應(yīng)急處理服務(wù)，所有服務(wù)人員必須對(duì)各自的操作過(guò)程和和結(jié)結(jié)蒯行詳細(xì)記錄，最終按照規(guī)范的報(bào)告格式提供完整的服務(wù)報(bào)告。3）最小影響原則應(yīng)急處理服務(wù)工作應(yīng)盡可能卿對(duì)原系統(tǒng)和網(wǎng)絡(luò)正常運(yùn)行的影響，盡量避免對(duì)原網(wǎng)絡(luò)運(yùn)行和業(yè)務(wù)正-不常運(yùn)轉(zhuǎn)產(chǎn)生顯著影響或包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷尊彖紐，如無(wú)法避免，則必須向服務(wù)對(duì)象予

31、以說(shuō)明。掠則9.2j應(yīng)急處理服務(wù)過(guò)程耍網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)過(guò)程包括也6個(gè)階段務(wù)17所冇服務(wù)人員必級(jí)對(duì)各自旳樣個(gè)主要安全控制點(diǎn)。咄乂，前十3）最小影響原則應(yīng)急處理服務(wù)工作應(yīng)盡可能減少對(duì)原系統(tǒng)和網(wǎng)絡(luò)正常運(yùn)行的影響，盡量避免對(duì)原網(wǎng)絡(luò)運(yùn)行和業(yè)務(wù)正常運(yùn)轉(zhuǎn)產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)陰塞、服務(wù)中斷等），如無(wú)法避免，則必須向服務(wù)對(duì)象予以說(shuō)明。9.2應(yīng)急處理月艮務(wù)過(guò)程網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)過(guò)程包括6個(gè)階段，17個(gè)主要安全控制點(diǎn)。YD廠(chǎng)I179鈕200808表1網(wǎng)絡(luò)與信息安全應(yīng)急處理服服務(wù)過(guò)程控制點(diǎn)列翳列表階段控制點(diǎn)數(shù)量t-饕糕蠢o才。炸廠(chǎng)準(zhǔn)備階段41務(wù)需求界定定服務(wù)合IN務(wù)戔協(xié)議簽訂議簽

32、訂服務(wù)方案制魅人員和工具準(zhǔn)備備檢測(cè)對(duì)象及范圍確檢測(cè)階段3定檢測(cè)方案確定圍確定檢測(cè)方案確定檢測(cè)實(shí)旆抑制階段3抑制方法確定定抑制方法認(rèn)可!抑制實(shí)施根根除階段扌除方法確定定根H伽恢復(fù)方法確定一恢復(fù)階段恢復(fù)階段22鶴系統(tǒng)確定總結(jié)系統(tǒng)總結(jié)階段總結(jié)階段控制占定義滿(mǎn)足控制目標(biāo)的要22點(diǎn)以及支持控制點(diǎn)的最佳實(shí)報(bào)告嚥告其中某些內(nèi)容可能不適用于所有情況，有可能其他實(shí)現(xiàn)控制點(diǎn)的方法可能礙為合適。播控制點(diǎn)的最佳實(shí)踐,；H中蔑些穴容町能不適用工所有情況,9邛離備階段|控制點(diǎn)你法可能更為會(huì)返9.31準(zhǔn)目標(biāo)：在安全事件真正發(fā)生之前為處理事件做好準(zhǔn)備工作加32控制點(diǎn):壘務(wù)解界定°應(yīng)急服務(wù)提供者應(yīng)明響務(wù)對(duì)象的應(yīng)急需求

33、；2）應(yīng)急服務(wù)提供者宜了解眼務(wù)對(duì)象的各項(xiàng)業(yè)務(wù)功能及各項(xiàng)業(yè)務(wù)功能之間的相關(guān)性，確定支持各種業(yè)務(wù)功能的相應(yīng)信息系統(tǒng)資源及其它資源，明確相關(guān)信息的保密性、完整性和可用性要求；3）應(yīng)急服務(wù)提供者宜幫助服務(wù)對(duì)象建立系統(tǒng)快照；業(yè)務(wù)4）應(yīng)急服務(wù)提供者宜對(duì)服務(wù)對(duì)象的信息系統(tǒng)進(jìn)行評(píng)估，確定系統(tǒng)所執(zhí)行關(guān)鍵功能，并確定執(zhí)行這些功能所需的特定系統(tǒng)資源：幫；突發(fā)安全事件執(zhí)行這竊）應(yīng)急服務(wù)提供者宜采用定量或定性的方法系對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱造成的影響進(jìn)行評(píng)估:系統(tǒng)資源:應(yīng)急服務(wù)提供者宜協(xié)助腿務(wù)對(duì)象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略，應(yīng)急策略應(yīng)提供在業(yè)務(wù)中斷突系統(tǒng)全爭(zhēng)件.宕機(jī)的網(wǎng)絡(luò)癱瘓等突發(fā)安全事件發(fā)生后，快速有效地恢復(fù)信息系統(tǒng)

34、運(yùn)行的方法；7）應(yīng)急服務(wù)提供者宜為1務(wù)對(duì)象提供相關(guān)的培半"口嶺務(wù)，超提高服務(wù)對(duì)象的安全意識(shí)，便于相關(guān)人員明確自己的角色和責(zé)任占解常見(jiàn)的安全事件和入侵行為,熟悉應(yīng)急響應(yīng)策略。急服服務(wù)合同或協(xié)議：必隔服務(wù)対象的安全意識(shí)，便于相關(guān)人"應(yīng)急員明礦一2）應(yīng)急1務(wù)933）事先批準(zhǔn)；n屮；2）應(yīng)急服務(wù)合同或亦議應(yīng)明確雙方的職責(zé)和責(zé)任；3）應(yīng)急服務(wù)合同或協(xié)議宜明確哪些類(lèi)型安全事件的應(yīng)急響應(yīng)行為需要系統(tǒng)管理者批準(zhǔn)，哪些需要事先批準(zhǔn)；務(wù)提供9-務(wù)應(yīng)急員呷應(yīng)急服邈同或協(xié)議應(yīng)應(yīng)急1務(wù)合同或濟(jì)議宣明確哪哪些類(lèi)型安全事件的應(yīng)急響應(yīng)行為需要系統(tǒng)管理者批準(zhǔn)，哪些需要yDP卩停2008084）應(yīng)急服務(wù)合同或

35、協(xié)議應(yīng)明確服務(wù)提供者的保密責(zé)任。仃”9：3岀4控制點(diǎn)：服務(wù)方案制定1）應(yīng)急服務(wù)提供者應(yīng)在了解服務(wù)對(duì)象應(yīng)急需求的基礎(chǔ)上制定服務(wù)方案。臉務(wù)辦案”豹服務(wù)方案應(yīng)根據(jù)業(yè)務(wù)影響分析的結(jié)果，明確應(yīng)急響應(yīng)的恢復(fù)目標(biāo)，包括：-關(guān)鍵業(yè)務(wù)功臺(tái)匕序阿帶有應(yīng)帶有一恢3）服務(wù)常見(jiàn)的檢測(cè)技術(shù)規(guī)范有備不限于：技術(shù)規(guī)范檢測(cè)技術(shù)規(guī)范寶少包禽檢測(cè)目的、一韜腐s嚟統(tǒng)檢測(cè)技術(shù)規(guī)范；一UNIX1系統(tǒng)檢測(cè)技術(shù)規(guī)范；規(guī)曙數(shù)據(jù)庫(kù)系統(tǒng)檢測(cè)技術(shù)規(guī)范術(shù)昭常用應(yīng)用系統(tǒng)檢測(cè)技術(shù)規(guī)范;捌t一常見(jiàn)網(wǎng)絡(luò)安全事件檢測(cè)技術(shù)羯范。檢測(cè)9.3控制點(diǎn)人員工具準(zhǔn)備9351）應(yīng)急服務(wù)提供者應(yīng)根據(jù)服務(wù)對(duì)象的需求準(zhǔn)備處置網(wǎng)絡(luò)安全事件的工具包，包括常用的系統(tǒng)命令、工具軟件等；急

36、肢一；一具2）應(yīng)急服務(wù)提供者的工具包應(yīng)保存在不可更改的移動(dòng)介質(zhì)上，如一次性可寫(xiě)光盤(pán)；4）應(yīng)急服務(wù)提供者應(yīng)能隨時(shí)調(diào)動(dòng)一定數(shù)量的應(yīng)急服務(wù)人貫。從19.4檢測(cè)階段艮務(wù)提供者的工具包應(yīng)定期更新，并有完善的版本控制；9.4.F）目標(biāo)：對(duì)網(wǎng)絡(luò)安全事件做出初步的動(dòng)作和和響應(yīng)，根據(jù)獲得的初步材料和分析結(jié)果，預(yù)估事件的范圍和影響程度殳制定進(jìn)一步的響應(yīng)策略，并且保留相關(guān)證據(jù)9-44.2輛點(diǎn)對(duì)檢測(cè)對(duì)象皺范圍確定1）應(yīng)急服務(wù)提供者應(yīng)對(duì)逋生異常的系統(tǒng)進(jìn)行初步分析證判斷是否真正發(fā)生了安全事件；2）應(yīng)急服務(wù)提供者應(yīng)與服務(wù)對(duì)象共同確定檢測(cè)對(duì)象及范圍；3）檢測(cè)對(duì)、象及范圍應(yīng)得到服服務(wù)對(duì)象的書(shū)面授權(quán)。初步分析，判斷是苛頁(yè)正發(fā)生r

37、安全事件；94343控制點(diǎn):檢測(cè)方.$應(yīng)急服務(wù)提供者應(yīng)和月服務(wù)對(duì)象共同確定對(duì)象已授權(quán)的與安全事件相關(guān)的數(shù)據(jù)證對(duì)服務(wù)對(duì)象的機(jī)密性數(shù)據(jù)信息未經(jīng)授權(quán)不得訪(fǎng)問(wèn)；4）應(yīng)急服癱供者制定的檢測(cè)方案應(yīng)包含實(shí)施方案失敗的應(yīng)變和咆措施；5）應(yīng)急服務(wù)提供者應(yīng)與服務(wù)對(duì)象充分溝通證并預(yù)測(cè)應(yīng)急處理方案可能造成的影響。測(cè)范刖應(yīng)僅限=服務(wù)時(shí)象44控制點(diǎn)：邈測(cè)實(shí)施幼應(yīng)急服務(wù)提供者應(yīng)按照檢測(cè)方案實(shí)施檢測(cè)禽實(shí)施2）檢測(cè)宜包含儷不限于以下幾個(gè)方面充分呦收集并記錄系統(tǒng)信息證特別是在執(zhí)行備份的過(guò)程中可能94塞失或無(wú)法捕獲的信息1）應(yīng)急服務(wù)提供者應(yīng)按照檢測(cè)方案實(shí)施檢測(cè)。2）檢測(cè)宜包含但不限于以下幾個(gè)方面：一收集并記錄系統(tǒng)信息，特別是在執(zhí)行

38、備份的過(guò)程中可能遺失或無(wú)法捕獲的信息，如所有當(dāng)前網(wǎng)范，檢測(cè)技術(shù)規(guī)范至少包含檢測(cè)目的、工具、步驟等內(nèi)容。工具、步驟等內(nèi)容。完善的版本控制；如-次性可寫(xiě)光盤(pán):上案確定冷：；應(yīng)和確定檢急服務(wù)務(wù)L?（宀f務(wù)提供者制定的檢測(cè)方案應(yīng)明確應(yīng)急服務(wù)提供者的檢測(cè)范圍，其檢測(cè)范圍應(yīng)僅限于服務(wù)月服力提供，如所有當(dāng)前網(wǎng)提供者所使用的檢測(cè)規(guī)范;11妙799厠08廠(chǎng)117992008絡(luò)連接；所有當(dāng)前進(jìn)黔；當(dāng)前登陸的活動(dòng)用戶(hù)：所有打開(kāi)了打的文件，在附開(kāi)網(wǎng)絡(luò)連接時(shí)可能有些文件會(huì)會(huì)被刪除：其他所有容易丟失的數(shù)據(jù)，如內(nèi)存和緩存中的數(shù)據(jù)。一備份被入侵的系統(tǒng)，至少應(yīng)備份己確認(rèn)被攻擊了的系統(tǒng)及系統(tǒng)上的用戶(hù)數(shù)據(jù)。已£一隔離被入

39、侵的系統(tǒng)。把備份的文件傳到與生產(chǎn)系統(tǒng)相隔離的測(cè)試系統(tǒng)，奔在測(cè)試系統(tǒng)上恢復(fù)被入侵系統(tǒng)，或者斷開(kāi)被破壞的系統(tǒng)許且直接在這系統(tǒng)上進(jìn)行分析。毎他系統(tǒng)3防!1ro或事件，并且確定哪些系統(tǒng)已經(jīng)被攻擊。.'一確定攻擊者的入侵路徑和方法。分析系統(tǒng)的日志或通過(guò)使用工具，判斷攻擊者的入侵路徑和方確定攻擊者的入侵路徑和方法。分析系統(tǒng)的日志或通過(guò)使用工具，判斷攻擊者的入侵路徑和方刃"一確定入侵者進(jìn)入系統(tǒng)后的行為。分析各種日志文件或借用一些檢測(cè)工具和分析工具，確定入侵者如何實(shí)施攻擊并獲磁潮訪(fǎng)問(wèn)權(quán)限。.者如荷應(yīng)急服務(wù)提供者的檢測(cè)工作應(yīng)在服務(wù)對(duì)象的監(jiān)督與配合下完成。4）應(yīng)急服務(wù)提供稱(chēng)配合服務(wù)對(duì)象，謹(jǐn)所檢測(cè)

40、到的安全事件向有關(guān)部門(mén)和人員通報(bào)或報(bào)告。9-54抑制階段廠(chǎng)二型控制點(diǎn)：抑制方法確定11）應(yīng)急服務(wù)提供者應(yīng)在檢測(cè)分析的基礎(chǔ)上確定與安全事件相應(yīng)的抑制方法。1）在確定抑制方法時(shí)，需要考慮：一全面評(píng)估入侵范圍急入侵帶來(lái)的影響和損失；用一通過(guò)分析得到安全卯相應(yīng)的抑制方氷的其它結(jié)論，例如入侵者的來(lái)源：慮:一服務(wù)對(duì)象的業(yè)務(wù)和重點(diǎn)決策過(guò)程范H一服務(wù)對(duì)象的業(yè)務(wù)連續(xù)性。；9.5.3控制點(diǎn)分抑制方法認(rèn)可它結(jié)論，例如入侵者的來(lái)源：1）應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)腳所面臨的首要問(wèn)題；2）應(yīng)急服務(wù)提供者所確定的抑制方法和相應(yīng)的措施應(yīng)得到服務(wù)對(duì)象的認(rèn)可；3）在采取抑制一變和回退措施，9.5“4控制點(diǎn)法。的入侵痕跡。其疇統(tǒng)包括

41、同一口地址段或同一網(wǎng)段的系統(tǒng)、處于同一域的其域約其s服務(wù)的系蠶設(shè)備的日操作系統(tǒng)的系些臼志信息源于以前從未注意到的系統(tǒng)連接和跣由器等設(shè)備的口志，分析哪些日志信息源于以前從未注意到的系統(tǒng)連接的入侵痕_服務(wù)路系器、具有同一操統(tǒng)已經(jīng)被攻擊。誌擊的范聽(tīng)抑制潛在的或進(jìn)一步踽擊和破壞件命關(guān)部門(mén)和人員通燼命.2，告知可能存在的風(fēng)險(xiǎn)，制定應(yīng)魚(yú)羈服務(wù)對(duì)象所面臨的首要問(wèn)題；_1）應(yīng)急服務(wù)提供者應(yīng)嚴(yán)格按照相關(guān)約定實(shí)施抑制的不得隨意更改抑制措施騙圍，如有必要更改，須獲得服務(wù)對(duì)象的授權(quán)'2）抑制措施宜包含但不般辦嘆F以下幾個(gè)方面：9.5,4監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)；一提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別I供:苗修

42、改暢扌火墻、路由器等施抑制，不得通總更改抑制措施和范國(guó)，如有必要史改,須獲設(shè)備的過(guò)濾規(guī)則權(quán)。一盡可能停用系統(tǒng)服務(wù)；2）IO抑制措施宜包含但不限干以下幾個(gè)方面:監(jiān)視系統(tǒng)和網(wǎng)絡(luò)活動(dòng)；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別；修改防火墻、路由器等設(shè)備的過(guò)濾規(guī)則;盡可能停用系統(tǒng)服務(wù)；17一停止文件共享;一改變口令；一停用或刪除被攻破的登錄賬號(hào)；二將被攻陷系統(tǒng)從網(wǎng)絡(luò)斷開(kāi)；暫時(shí)關(guān)閉被攻陷系統(tǒng)：一系，。蜜罐系統(tǒng)：陷反擊3）應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)行安全事件的抑制處理，不得使用受害系統(tǒng)已有的不可信反擊攻擊者的系統(tǒng)。6,根除階段陸心自共衆(zhòng)"侯月小肓兀丁氓進(jìn)仃安仝忙牛的引制處臥小得便用受害系統(tǒng)已自的Z備姦件

43、"目標(biāo)：在事件被抑制之后，通過(guò)對(duì)有關(guān)惡意代碼或行為的分析，找出導(dǎo)致安全事件發(fā)生的根源，并予以徹底消除9.62控制點(diǎn)：根除方法確定并予1）應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象檢查所有受影響的系統(tǒng)，在準(zhǔn)確判斷安全事件原因的基礎(chǔ)上，提出根除的方案建議;方法；此在確定根入侵塞屮瓚控制隱1）應(yīng)急服務(wù)提供者應(yīng)明確告知服務(wù)對(duì)象所采取的根除措施可能帶來(lái)獗險(xiǎn)，制定應(yīng)變和回退措施，跖因并獲得服務(wù)對(duì)象的書(shū)面授權(quán):.2）應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象進(jìn)行根除方法的具體實(shí)施。96J4|控制點(diǎn)：根蛻*實(shí)施-叫誦廿加計(jì)齊時(shí)條棄茉范可的人險(xiǎn)用莊2芒和戸上忙旌,并獲1）應(yīng)急服務(wù)提供者應(yīng)使用可信的工具進(jìn)行安全事件的根除處理，不得

44、使用受害系統(tǒng)已有的不可信系統(tǒng)。3）應(yīng)急文件；9.除萬(wàn)法時(shí)，一；為置陷攻擊者的除方法認(rèn)可礎(chǔ)上,文件“1一9£申根除措施宜包含但不限于以下幾個(gè)方面：去除變有部入侵受路鍛IB的口令心一注咖根除沁不得使用受害系統(tǒng)已時(shí)不可時(shí)文件一修補(bǔ)系統(tǒng)和網(wǎng)絡(luò)漏洞；一增強(qiáng)防護(hù)功能，復(fù)查所有防護(hù)措施（如防火墻）的配置，并依照不同的入侵行為進(jìn)行調(diào)整嘟限于以下幾個(gè)方面；受防護(hù)或者防護(hù)不夠的系統(tǒng)增加新的防護(hù)措施;片一提高檢測(cè)能力，及時(shí)更新諸如受FiDS和其他入侵報(bào)告工其等的檢測(cè)策略，以保證將來(lái)對(duì)類(lèi)似的入侵進(jìn)行檢測(cè)；一重新安裝系統(tǒng)，并對(duì)系統(tǒng)進(jìn)行調(diào)整，包括打補(bǔ)丁、修改系統(tǒng)錯(cuò)誤等，似保證系統(tǒng)不會(huì)出現(xiàn)新的，對(duì)未漏洞。一；9.

45、 7恢復(fù)階段片:二；一侵7址行鍛標(biāo)：恢復(fù)安全事件所涉及到的系統(tǒng)，并還原到正常狀態(tài)?；謴?fù)工作應(yīng)十分小心，避免出現(xiàn)誤操作導(dǎo)致數(shù)數(shù)據(jù)據(jù)的丟上沁統(tǒng)仁仃廳也心丁打補(bǔ)！、皆廿系芒仁汕皿卅用漏洞。9.7恢復(fù)階段9.7.1目標(biāo)：恢復(fù)安全事件所涉及到的系統(tǒng)，井還原到正常狀態(tài)?；謴?fù)工作應(yīng)十分小心，避免出現(xiàn)誤操作導(dǎo)致數(shù)據(jù)的丟失件;；業(yè)務(wù)一件;作系統(tǒng)和應(yīng)一如何成功9.772控制點(diǎn)：恢復(fù)方法確定定D應(yīng)急服務(wù)提供者應(yīng)告知服務(wù)對(duì)象一個(gè)或多個(gè)能從安全事件中恢復(fù)系統(tǒng)的方法統(tǒng)以及每種方法可討印口選總適龍；二；導(dǎo)打;rm能存在的風(fēng)險(xiǎn)。2）應(yīng)急服務(wù)提供者應(yīng)與服務(wù)對(duì)象共同制定系統(tǒng)恢復(fù)的方案統(tǒng)統(tǒng)根據(jù)抑制和根除的情況，協(xié)刪務(wù)對(duì)況，勸助阜務(wù)

46、對(duì)象選舶理的恢復(fù)方法?；謴?fù)方案涉及到以下方面下方j(luò)一如何通知二如何獲得訪(fǎng)聞受損設(shè)施或地理區(qū)域的授隈權(quán)；口!何獲得安裝-如何»»的內(nèi)部和-務(wù)裝載備份介質(zhì)安懸如何恢復(fù)關(guān)鍵操用軟件：孵如何恢復(fù)系統(tǒng)數(shù)據(jù)；運(yùn)行備用設(shè)備盯如果涉磨矗密數(shù)據(jù)統(tǒng)確定恢復(fù)方法時(shí)應(yīng)遵守相關(guān)的保密要求。9,773控制點(diǎn)：恢復(fù)系統(tǒng)用設(shè)備：護(hù)應(yīng)急服務(wù)提供者應(yīng)按照系統(tǒng)的初始始化安全策略恢復(fù)系統(tǒng)的.要求"9一7,獸）恢復(fù)系統(tǒng)時(shí)恢應(yīng)根瞬統(tǒng)中各子系統(tǒng)的重要性，確定系統(tǒng)恢復(fù)的順序。一開(kāi)啟一將恢3）系統(tǒng)恢復(fù)過(guò)程宜包含但不限于：一利田正確的備份恢復(fù)用戶(hù)數(shù)據(jù)和配置信息；新開(kāi)放（糸頸旳初妬化妄、-一一.”一侵紳疑存在漏洞而關(guān)

47、閉的豔統(tǒng)修改復(fù)丿口的J系、I網(wǎng)絡(luò)。4）對(duì)于不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，或不能肯定系統(tǒng)經(jīng)過(guò)根除處理后是否已恢復(fù)正常時(shí)？'徹底重建系統(tǒng)。復(fù)用凡5）應(yīng)急服務(wù)提供者應(yīng)協(xié)助服務(wù)對(duì)象驗(yàn)證恢復(fù)后的系統(tǒng)是否運(yùn)行正常。關(guān)用的服塞修改厲重新開(kāi)放；喬應(yīng)急服務(wù)提供者宜幫助服務(wù)對(duì)象對(duì)重建后的系統(tǒng)進(jìn)行安全加固。7）應(yīng)急服務(wù)提供者宜幫助服務(wù)對(duì)象為重建后的系統(tǒng)建立系統(tǒng)快照。不能肯定務(wù)統(tǒng)逬過(guò)抿琢處理后是否己茨復(fù)匪壽口總結(jié)階段抒徹底重鋌系統(tǒng)9.&巧）目標(biāo)：回顧安全事件處理的全過(guò)程，整理與事件相關(guān)的各種信息，進(jìn)行總結(jié)，并盡可能地把所有情況記錄到文檔中1供O帖岀技齊列迫苛車(chē)隹?jī)黑嘣张?:人兒M982控制點(diǎn)

48、：總結(jié)1）應(yīng)急服務(wù)提供者應(yīng)及時(shí)檢查安全事件處理記錄是否齊理與事件相關(guān)的各種信息，進(jìn)行總結(jié)，井盡可能地把所有將受到網(wǎng)絡(luò)，是否具備可追溯性，并對(duì)事件處理過(guò)9.8程進(jìn)行總結(jié)和分析。+人32）應(yīng)急處理總結(jié)的具溝件攻一事件發(fā)生原因分析；982一事件現(xiàn)象總結(jié)：一系統(tǒng)的損害程度評(píng)（估；廳槍杳安仝事件處理記靈是否務(wù)全，是否具備可遲溯性.井對(duì)事杵處理過(guò)程辺事件損失估計(jì)；一形成總結(jié)報(bào)告：網(wǎng)口心JLi訃丄rm*:-事件發(fā)生原因分析；事件現(xiàn)象總結(jié)；一系統(tǒng)的損害程度評(píng)估；一事件損失估計(jì)；一形成總結(jié)報(bào)告；一相關(guān)工具畋檔機(jī)如記錄V?方案隸告騁等歸檔。.9.8833擔(dān)制點(diǎn)：報(bào)骷1）應(yīng)急服務(wù)提供者應(yīng)向|服務(wù)對(duì)礙完備的網(wǎng)絡(luò)安全事

49、件處理報(bào)告報(bào)告；2）應(yīng)急服務(wù)提供者應(yīng)向服務(wù)對(duì)象提供網(wǎng)絡(luò)安全方面的建議和意見(jiàn)韻要時(shí)指導(dǎo)和協(xié)助服務(wù)對(duì)象實(shí)對(duì)紂、:3.影S。；晌1910評(píng)估方法10評(píng)估方法10. 1文檔審核文檔審核是對(duì)申請(qǐng)?jiān)u估的應(yīng)急服務(wù)提供者（以下簡(jiǎn)稱(chēng)評(píng)估申請(qǐng)者）提供的申請(qǐng)材料進(jìn)行審查。解估申請(qǐng)者應(yīng)先確定需要申請(qǐng)的資質(zhì)等級(jí)，提交符合相應(yīng)等級(jí)要求的材料（具體要求見(jiàn)6、7、8章）。血匸討屮清評(píng)估詢(xún)爪心也務(wù)夷供者I漢x簡(jiǎn)稱(chēng)評(píng)忙由請(qǐng)考；提供的中請(qǐng)材科辺乃審會(huì).提交的證明材料至少應(yīng)包含：要中請(qǐng)的資辰等級(jí)，提交符含相應(yīng)等級(jí)要求的材料具體要求見(jiàn)6、7、8章）。1）獨(dú)立法人資格證明;包含t2）從事安全服務(wù)的相關(guān)資質(zhì)證明;+3）工作保密制度及相應(yīng)組

50、織監(jiān)管體系業(yè)已建立的證明材料；-型與應(yīng)急處理服務(wù)人員簽訂的保密協(xié)議復(fù)印件包立的證明材糾；會(huì)人員禮成與素質(zhì)證明材料包6）Clllfi!證8）具備固定辦公場(chǎng)所的證明材料；9）項(xiàng)目管理制度文檔包M應(yīng)急響應(yīng)時(shí)間書(shū)面承諾包證明材料；11）項(xiàng)目案例及業(yè)瞰證明材料；12）質(zhì)量管理體系文件包承諾；13）應(yīng)急處理能力證明材料。述評(píng)審機(jī)構(gòu)審查評(píng)估申請(qǐng)者提交的申請(qǐng)材料，并判斷所提交的證明材料是否滿(mǎn)足相應(yīng)資質(zhì)等級(jí)的要求，應(yīng)急如果滿(mǎn)足則燼審核為通過(guò)，否則為不通過(guò)。求.10.證其應(yīng)急處理能豹?，F(xiàn)場(chǎng)審核主要以第香章規(guī)定的應(yīng)急處理服務(wù)過(guò)程各個(gè)階段的關(guān)鍵控制點(diǎn)為依據(jù)，對(duì)服務(wù)過(guò)程進(jìn)行評(píng)估。評(píng)審機(jī)構(gòu)在文檔審核通過(guò)后，將對(duì)評(píng)估申請(qǐng)者

51、進(jìn)行現(xiàn)場(chǎng)審核，見(jiàn)證評(píng)估申請(qǐng)者的應(yīng)急服務(wù)過(guò)程，驗(yàn)現(xiàn)場(chǎng)評(píng)審結(jié)論分為通過(guò)、基本通過(guò)但需要整改和不通過(guò)三種?，F(xiàn)場(chǎng)審核結(jié)果滿(mǎn)足所有必備要求和可選要求的，其評(píng)審結(jié)論為通過(guò)包只滿(mǎn)足必備要求，部分可選要關(guān)鉗-求不滿(mǎn)足，其評(píng)審結(jié)論為基本通過(guò)但需要整改；不完全滿(mǎn)足必備要求，其評(píng)審結(jié)論為不通過(guò)。附錄聊列出了應(yīng)急處理服務(wù)過(guò)程各術(shù)階段的必儼求與可選要求現(xiàn)場(chǎng)審核結(jié)果滿(mǎn)足所有必備耍求和可選要求的，其評(píng)審結(jié)論為通過(guò)；只滿(mǎn)足必備要求，部分可選要求不滿(mǎn)足，其評(píng)審結(jié)論為基本通過(guò)但需要整改；不完全滿(mǎn)足必備要求.其評(píng)審結(jié)論為不通過(guò)。附錄A列岀了應(yīng)急處理服務(wù)過(guò)程各個(gè)階段的必備要求與可選要求。YD廠(chǎng)r179凰2008。810.33評(píng)估報(bào)告

52、評(píng)審機(jī)構(gòu)根據(jù)文檔審核和現(xiàn)場(chǎng)審核的結(jié)果出具評(píng)估報(bào)告。若文檔審核或現(xiàn)場(chǎng)審核的結(jié)論為不通過(guò)，據(jù)齊：；則評(píng)估結(jié)軌不合格。對(duì)于評(píng)估結(jié)論為不合格的組織，評(píng)審機(jī)構(gòu)應(yīng)提出整改建議，評(píng)估申請(qǐng)者需要在其X能力達(dá)到相關(guān)資質(zhì)要求后重新申請(qǐng)?jiān)u估?！焙?79920理21附錄a（規(guī)范性附錄）網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)過(guò)程各個(gè)階段要求A.1網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)過(guò)程各個(gè)階段要求分類(lèi)過(guò)程各個(gè)階段要求A-1表A緡13列出了網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)過(guò)程各個(gè)階段要求是必備要求，還是可選要求。是必備要求，則在必備欄目打“暮”，是可選要求，則在可選欄目打“悴階求則在必備欄冃打“J表A-兒網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)過(guò)程各個(gè)階段要求列

53、表要息安求應(yīng)怠處理服務(wù)過(guò)程各個(gè)階段要求列表準(zhǔn)備階段要求應(yīng)急服務(wù)提供者應(yīng)明確服務(wù)對(duì)象的應(yīng)急需求-準(zhǔn)備階段出臂馴了應(yīng)急服務(wù)提供者宜了解服務(wù)對(duì)象的各項(xiàng)業(yè)務(wù)功能及各項(xiàng)業(yè)務(wù)功能之間的相關(guān)性，應(yīng)確定相應(yīng)信息系統(tǒng)資源及其它資源,明確相關(guān)信息的保密性、完整性和可用性要求供者宜了解服務(wù)對(duì)象的各項(xiàng)業(yè)務(wù)功能及各項(xiàng)業(yè)務(wù)功能之間的相關(guān)性，應(yīng)確定應(yīng)急服務(wù)提供者宜幫助服務(wù)對(duì)象建立系統(tǒng)快照及其它資源，明確相關(guān)信息的保密性、完整性和應(yīng)急1服務(wù)提供者宜對(duì)服務(wù)對(duì)象的信息系統(tǒng)進(jìn)行評(píng)估，確定系統(tǒng)所執(zhí)行關(guān)鍵功能，并確定執(zhí)行這些功能所需的特定系統(tǒng)資源象建立系統(tǒng)快照服務(wù)需求界定需求界定應(yīng)急服務(wù)提供者宜采用定量或定性的方法，對(duì)業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)網(wǎng)能，并側(cè)運(yùn)絡(luò)安全事件造成的影響進(jìn)行評(píng)估統(tǒng)笛源服務(wù)合同或協(xié)議簽訂服務(wù)方案制定范醉方案制定及恢持各種業(yè)務(wù)功能的應(yīng)急腿提供者宜協(xié)助服務(wù)對(duì)象建立適當(dāng)?shù)膽?yīng)急響應(yīng)策略。應(yīng)急鐿略應(yīng)提供在業(yè)務(wù)中癱瘓等究發(fā)網(wǎng)斷系統(tǒng)宕機(jī)、絡(luò)癱瘓等突發(fā)信