信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

ICS35.030

CCSL80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安

全應(yīng)急體系框架

Informationsecuritytechnology—Frameworkforcybersecurityemergencysystem

ofcriticalinformationinfrastructure

（征求意見稿）

（本稿完成日期：2022年11月9日）

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX—XX—XX發(fā)布XXXX—XX—XX實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局

發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本文件起草單位：騰訊科技（北京）有限公司、國(guó)家工業(yè)信息安全發(fā)展研究中心、中國(guó)信息通信研

究院、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、公安部第三研究所、中國(guó)

網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家應(yīng)急管理部大數(shù)據(jù)中心、國(guó)家能源局信息中心、中國(guó)移動(dòng)通信集團(tuán)

有限公司、華為技術(shù)有限公司、阿里云計(jì)算有限公司、北京百度網(wǎng)訊科技有限公司、中國(guó)科學(xué)院信息工

程研究所、國(guó)家信息中心、國(guó)家信息技術(shù)安全研究中心、中國(guó)工業(yè)互聯(lián)網(wǎng)研究院、中國(guó)軟件評(píng)測(cè)中心、

中國(guó)交通通信信息中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心云南分中心、陜西省網(wǎng)絡(luò)與信息安全測(cè)

評(píng)中心、北京快手科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公

司、北京路云天網(wǎng)絡(luò)安全技術(shù)研究院有限公司、北京升鑫網(wǎng)絡(luò)科技有限公司。

本文件主要起草人：秦小偉、龔斌、郭臣、于盟、陳亮、孟楠、舒敏、王惠蒞、李雪瑩、吳波、落

紅衛(wèi)、王婷、王文磊、陳悅、任衛(wèi)紅、袁靜、杜紅亮、孫曉麗、韓言妮、邱勤、史波良、鮑文平、李沛

林、魏玉峰、黃玉釧、吳桐、董健、李安倫、張哲宇、韓曉露、應(yīng)志軍、李煥、王國(guó)宇、畢鈺、王二州、

王海棠、韓冬旭、趙呈東、卜哲、鮑旭華、陳蕾、王龑、李亞玲、王詩(shī)蕊。

II

GB/TXXXXX—XXXX

信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

1范圍

本文件給出了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架，包括機(jī)構(gòu)設(shè)立、分析識(shí)別、應(yīng)急預(yù)案、監(jiān)

測(cè)預(yù)警、應(yīng)急處置、事后恢復(fù)與總結(jié)、事件報(bào)告與信息共享、應(yīng)急保障、演練與培訓(xùn)。

本文件適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者建立健全網(wǎng)絡(luò)安全應(yīng)急體系、開展網(wǎng)絡(luò)安全應(yīng)急活動(dòng)，也可

供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/Z20986信息安全技術(shù)信息安全事件分類分級(jí)指南

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求

GB/TAAAAA—XXXX信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南

3術(shù)語(yǔ)和定義

GB/T25069—2022和GB/T39204—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)

和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共

利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

[來(lái)源：GB/T39204—2022，3.1]

3.2

網(wǎng)絡(luò)安全事件cybersecurityincident

由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造

成危害，對(duì)國(guó)家、社會(huì)、經(jīng)濟(jì)造成負(fù)面影響的事件。

[來(lái)源：GB/T38645—2020，3.1]

3.3

應(yīng)急響應(yīng)emergencyresponse

為了應(yīng)對(duì)網(wǎng)絡(luò)安全事件發(fā)生所做的準(zhǔn)備，以及在網(wǎng)絡(luò)安全事件發(fā)生后所采取的措施。

[來(lái)源：GB/T24363—2009，3.4，有修改]

1

GB/TXXXXX—XXXX

3.4

應(yīng)急預(yù)案emergencyplan

為了應(yīng)對(duì)網(wǎng)絡(luò)安全事件而編制的，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行維持、恢復(fù)，保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)

行的策略和規(guī)程。

3.5

網(wǎng)絡(luò)安全應(yīng)急相關(guān)方cybersecurityemergencyrelevantparty

負(fù)責(zé)、參與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)和應(yīng)急活動(dòng)的有關(guān)實(shí)體。

3.6

供應(yīng)鏈supplychain

將多個(gè)資源和過(guò)程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購(gòu)協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。

[來(lái)源：GB/T39204—2022，3.2]

3.7

關(guān)鍵業(yè)務(wù)鏈criticalbusinesschain

組織的一個(gè)或多個(gè)相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。

[來(lái)源：GB/T39204—2022，3.3]

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

CII：關(guān)鍵信息基礎(chǔ)設(shè)施（criticalinformationinfrastructure）

5總體架構(gòu)

CII運(yùn)營(yíng)者首先設(shè)立專門安全管理機(jī)構(gòu)，統(tǒng)籌負(fù)責(zé)本單位網(wǎng)絡(luò)安全應(yīng)急工作，依據(jù)對(duì)關(guān)鍵業(yè)務(wù)分析

識(shí)別結(jié)果，制定本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。在網(wǎng)絡(luò)安全事件發(fā)生前，通過(guò)技術(shù)監(jiān)測(cè)、情報(bào)收集等手段，

發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全威脅，及時(shí)消除風(fēng)險(xiǎn)并降低發(fā)生網(wǎng)絡(luò)安全事件的概率；在網(wǎng)絡(luò)安全事件發(fā)生時(shí)，

啟動(dòng)應(yīng)急預(yù)案，快速定位問(wèn)題并終止緊急狀態(tài)；在網(wǎng)絡(luò)安全事件得到控制后，開展后期處置，將CII恢

復(fù)到事前運(yùn)行狀態(tài)并進(jìn)行總結(jié)分析。

CII運(yùn)營(yíng)者發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或威脅時(shí)，按要求通過(guò)信息共享接口及時(shí)向國(guó)家網(wǎng)信部門、保護(hù)工作

部門、公安機(jī)關(guān)和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等共享信息；發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，按要求通過(guò)事件報(bào)告接口

向國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)報(bào)告。

CII網(wǎng)絡(luò)安全應(yīng)急體系框架的總體架構(gòu)見圖1。

2

GB/TXXXXX—XXXX

圖1關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

6機(jī)構(gòu)設(shè)立

CII運(yùn)營(yíng)者設(shè)立專門安全管理機(jī)構(gòu)，機(jī)構(gòu)的領(lǐng)導(dǎo)由CII運(yùn)營(yíng)者最高管理層的分管領(lǐng)導(dǎo)擔(dān)任，成員包括

各相關(guān)部門負(fù)責(zé)人、技術(shù)支撐人員、咨詢專家和對(duì)內(nèi)、對(duì)外聯(lián)絡(luò)人員等。CII專門安全管理機(jī)構(gòu)的職責(zé)

包括：

a）統(tǒng)籌協(xié)調(diào)，負(fù)責(zé)領(lǐng)導(dǎo)和決策本單位CII網(wǎng)絡(luò)安全應(yīng)急事項(xiàng)，在發(fā)生網(wǎng)絡(luò)安全事件期間負(fù)責(zé)指揮協(xié)

調(diào)；

b）制定應(yīng)急預(yù)案，依據(jù)分析識(shí)別結(jié)果，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案；

c）監(jiān)測(cè)預(yù)警，負(fù)責(zé)組織常態(tài)化網(wǎng)絡(luò)安全監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或威脅，并及時(shí)預(yù)

警；

d）事件報(bào)告，負(fù)責(zé)對(duì)接國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)，落實(shí)重大網(wǎng)絡(luò)安全事件報(bào)告要

求；

e）信息共享，負(fù)責(zé)對(duì)內(nèi)、對(duì)外聯(lián)絡(luò)，落實(shí)網(wǎng)絡(luò)安全信息共享要求；

f）應(yīng)急處置，負(fù)責(zé)組織現(xiàn)場(chǎng)應(yīng)急處置；

g）應(yīng)急保障，負(fù)責(zé)落實(shí)物資、人力、資金等保障事項(xiàng)。

3

GB/TXXXXX—XXXX

7分析識(shí)別

CII運(yùn)營(yíng)者需要對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行分析識(shí)別，確定本單位關(guān)鍵業(yè)務(wù)運(yùn)行情況以及對(duì)外部業(yè)務(wù)的依賴性、

重要性，以支撐編制網(wǎng)絡(luò)安全應(yīng)急預(yù)案、開展網(wǎng)絡(luò)安全應(yīng)急活動(dòng)。

a）基本情況梳理

梳理關(guān)鍵業(yè)務(wù)的服務(wù)對(duì)象、地域分布、組織結(jié)構(gòu)、管理模式、崗位設(shè)置等，明確關(guān)鍵業(yè)務(wù)的運(yùn)行特

征、業(yè)務(wù)邏輯、運(yùn)行架構(gòu)、業(yè)務(wù)范圍，確定關(guān)鍵業(yè)務(wù)的基本功能。

b）關(guān)鍵業(yè)務(wù)鏈識(shí)別

梳理與本單位關(guān)鍵業(yè)務(wù)相關(guān)聯(lián)的外部業(yè)務(wù)，識(shí)別支撐關(guān)鍵業(yè)務(wù)的CII分布、運(yùn)營(yíng)情況，確定對(duì)外部

業(yè)務(wù)的依賴性、重要性。

c）CII數(shù)據(jù)識(shí)別

分析關(guān)鍵業(yè)務(wù)在收集、存儲(chǔ)、使用、加工、傳輸、輸出、共享等環(huán)節(jié)中涉及到的數(shù)據(jù)情況，如配置

數(shù)據(jù)、運(yùn)行數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)等，明確數(shù)據(jù)的種類、作用，形成CII數(shù)據(jù)清單。

d）重要資產(chǎn)識(shí)別

識(shí)別關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等重要資產(chǎn)，厘清上述網(wǎng)絡(luò)設(shè)施、信息

系統(tǒng)的功能作用、結(jié)構(gòu)組成、網(wǎng)絡(luò)拓?fù)洹⒌乩砦恢靡约芭c關(guān)鍵業(yè)務(wù)之間的支撐作用、依賴關(guān)系，形成CII

資產(chǎn)清單。

e）供應(yīng)鏈識(shí)別

識(shí)別CII資產(chǎn)所依賴的重要零部件、服務(wù)等信息，確定主要供貨商，形成CII供應(yīng)鏈清單。

8應(yīng)急預(yù)案

CII運(yùn)營(yíng)者以關(guān)鍵業(yè)務(wù)為核心制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案。

a）在國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的框架下，CII專門安全管理機(jī)構(gòu)組織技術(shù)、安全、業(yè)務(wù)、運(yùn)維、

采購(gòu)等部門，建立健全本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案體系，包括總體應(yīng)急預(yù)案、專項(xiàng)應(yīng)急預(yù)案，規(guī)定統(tǒng)一的

應(yīng)急預(yù)案框架，明確應(yīng)急預(yù)案的適用范圍、啟動(dòng)預(yù)案的條件等；

b）應(yīng)急預(yù)案要素需要齊全，包括確定組織機(jī)構(gòu)職責(zé)，基于分析識(shí)別的結(jié)果，明確監(jiān)測(cè)預(yù)警、應(yīng)急

處置、事后恢復(fù)與總結(jié)、事件報(bào)告和信息共享的實(shí)施方法，明確應(yīng)急保障、演練與培訓(xùn)的落實(shí)細(xì)節(jié)；

c）明確應(yīng)急策略，在應(yīng)急預(yù)案中明確，一旦網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)受到損害或者發(fā)生故障時(shí)，需要

維護(hù)的關(guān)鍵業(yè)務(wù)功能，并明確遭受破壞時(shí)恢復(fù)關(guān)鍵業(yè)務(wù)的時(shí)間；

d）根據(jù)關(guān)鍵業(yè)務(wù)對(duì)連續(xù)性、安全性的不同要求，在應(yīng)急預(yù)案中明確重要資產(chǎn)功能的恢復(fù)順序、處

置方法，包括非常規(guī)時(shí)期、遭受大規(guī)模攻擊時(shí)等處置流程；

e）根據(jù)網(wǎng)絡(luò)安全事件的類型、敏感程度以及對(duì)業(yè)務(wù)的影響范圍等因素，在應(yīng)急預(yù)案中確定事件分

級(jí)、預(yù)警分級(jí)和響應(yīng)分級(jí)的標(biāo)準(zhǔn)，并與上位預(yù)案相銜接；

f）網(wǎng)絡(luò)安全應(yīng)急預(yù)案需要有聯(lián)系方式清單，包括應(yīng)急值班24小時(shí)聯(lián)系電話、重要資產(chǎn)責(zé)任人聯(lián)系

方式、專家名單與聯(lián)系方式、網(wǎng)絡(luò)安全應(yīng)急技術(shù)隊(duì)伍聯(lián)系方式、應(yīng)急相關(guān)方聯(lián)系方式等；

g）制定應(yīng)急預(yù)案操作手冊(cè)，明確培訓(xùn)內(nèi)容、頻率、方式和對(duì)象；

h）制定應(yīng)急演練手冊(cè)，明確演練頻率、組織方式和演練形式，評(píng)價(jià)預(yù)案內(nèi)容的針對(duì)性、實(shí)用性和

可操作性，實(shí)現(xiàn)應(yīng)急預(yù)案的科學(xué)管理和優(yōu)化更新。

4

GB/TXXXXX—XXXX

9監(jiān)測(cè)預(yù)警

9.1風(fēng)險(xiǎn)發(fā)現(xiàn)

CII運(yùn)營(yíng)者在風(fēng)險(xiǎn)發(fā)現(xiàn)方面：

a）建設(shè)網(wǎng)絡(luò)安全監(jiān)控中心，開展7*24h安全監(jiān)測(cè)，監(jiān)測(cè)內(nèi)容需要包括網(wǎng)絡(luò)流量、日志信息、運(yùn)行狀

態(tài)、性能狀況和異常行為等；

b）具備2種以上威脅信息收集渠道，收集內(nèi)外部網(wǎng)絡(luò)安全威脅信息，包括內(nèi)部報(bào)告的安全隱患、可

疑事件和外部發(fā)布的安全漏洞、網(wǎng)絡(luò)攻擊最新動(dòng)態(tài)等；

c）每年至少開展一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)CII面臨的風(fēng)險(xiǎn)和威脅；

d）留存重要監(jiān)測(cè)數(shù)據(jù)時(shí)間不少于6個(gè)月，并符合國(guó)家、行業(yè)或地方有關(guān)部門網(wǎng)絡(luò)安全應(yīng)急相關(guān)法規(guī)

的要求。

9.2風(fēng)險(xiǎn)分析

CII運(yùn)營(yíng)者在風(fēng)險(xiǎn)分析方面：

a）裝備分析工具、制定分析方法，全面分析日志、流量、漏洞和惡意代碼；

b）制定威脅模型，挖掘檢測(cè)規(guī)避、隱蔽通信、數(shù)據(jù)加密、欺騙繞過(guò)等高級(jí)網(wǎng)絡(luò)攻擊行為；

c）制定多源異構(gòu)數(shù)據(jù)、多業(yè)務(wù)場(chǎng)景分析方法，分析無(wú)文件攻擊、供應(yīng)鏈攻擊、賬戶憑據(jù)盜用等深

層網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；

d）制定多源信息融合分析方法，綜合研判CII業(yè)務(wù)、數(shù)據(jù)和供應(yīng)鏈面臨的網(wǎng)絡(luò)安全態(tài)勢(shì)；

e）按照GB/Z20986對(duì)網(wǎng)絡(luò)安全事件實(shí)施分級(jí)分類。

9.3風(fēng)險(xiǎn)預(yù)警

CII運(yùn)營(yíng)者在風(fēng)險(xiǎn)預(yù)警方面：

a）制定內(nèi)部預(yù)警通報(bào)制度，對(duì)發(fā)現(xiàn)或發(fā)生的風(fēng)險(xiǎn)、威脅，及時(shí)在內(nèi)部發(fā)出預(yù)警；

b）根據(jù)不同等級(jí)、不同類別的網(wǎng)絡(luò)安全事件制定相應(yīng)的預(yù)警響應(yīng)措施；

c）通過(guò)多種渠道及時(shí)采集內(nèi)外部網(wǎng)絡(luò)安全信息，并持續(xù)跟蹤網(wǎng)絡(luò)安全信息的變化情況，適時(shí)調(diào)整

預(yù)警響應(yīng)措施；

d）對(duì)于發(fā)現(xiàn)的可能造成較大影響的網(wǎng)絡(luò)安全威脅信息，及時(shí)向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告，并

根據(jù)網(wǎng)絡(luò)安全威脅信息的變化情況，及時(shí)補(bǔ)報(bào)最新網(wǎng)絡(luò)安全威脅信息。

10應(yīng)急處置

10.1概述

CII運(yùn)營(yíng)者需要組建專業(yè)應(yīng)急處置隊(duì)伍，建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制，確保危害CII業(yè)務(wù)、數(shù)據(jù)和供

應(yīng)鏈的事件得到及時(shí)處置，保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)行。

10.2應(yīng)急處置機(jī)制

CII運(yùn)營(yíng)者網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制包括：

a）建設(shè)網(wǎng)絡(luò)安全應(yīng)急指揮中心，制定指揮調(diào)度規(guī)范流程，實(shí)施7*24h值班值守；

b）制定抑制、根除、恢復(fù)網(wǎng)絡(luò)安全事件和威脅的方法；

c）針對(duì)網(wǎng)絡(luò)攻擊活動(dòng)，制定應(yīng)對(duì)方案，分析攻擊路線、攻擊目標(biāo)，采取捕獲、干擾、阻斷、封控、

加固等手段，快速切斷攻擊路線；

5

GB/TXXXXX—XXXX

d）部署自動(dòng)化安全響應(yīng)和自動(dòng)實(shí)施封禁技術(shù)，如自動(dòng)隔離有害程序事件、自動(dòng)阻止網(wǎng)絡(luò)攻擊事件

等；

e）制定協(xié)同處置方案，在國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)的指導(dǎo)下，開展或配合網(wǎng)絡(luò)安

全事件處置工作；

f）密切關(guān)注事件輿情，并根據(jù)國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)要求向社會(huì)公眾通告網(wǎng)絡(luò)

安全事件情況以及避免或減輕危害的措施，及時(shí)消除輿情；

g）對(duì)于未知類型的網(wǎng)絡(luò)安全事件，根據(jù)影響情況果斷采取措施，最大可能降低事件影響；

h）按要求，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行溯源、取證。

10.3業(yè)務(wù)應(yīng)急處置

CII運(yùn)營(yíng)者針對(duì)業(yè)務(wù)癱瘓情況，制訂業(yè)務(wù)專項(xiàng)應(yīng)急處置措施，具體內(nèi)容包括：

a）針對(duì)帶寬需求激增、網(wǎng)絡(luò)可用性受限等情況，緊急提升網(wǎng)絡(luò)容量，滿足業(yè)務(wù)運(yùn)行對(duì)網(wǎng)絡(luò)帶寬的

需求；

b）針對(duì)業(yè)務(wù)運(yùn)行中斷的情況，啟用備用網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)或者在多個(gè)備份點(diǎn)之間臨時(shí)轉(zhuǎn)移業(yè)務(wù)

負(fù)載；

c）針對(duì)辦公場(chǎng)所遭到網(wǎng)絡(luò)攻擊或者遭受火災(zāi)、水災(zāi)、地震等災(zāi)害時(shí)，臨時(shí)切換工作場(chǎng)所或采用線

上辦公。

10.4數(shù)據(jù)應(yīng)急處置

CII運(yùn)營(yíng)者針對(duì)數(shù)據(jù)被篡改、違規(guī)使用或者濫用、泄露（丟失）和被損毀等各類數(shù)據(jù)安全事件場(chǎng)景，

制定數(shù)據(jù)專項(xiàng)應(yīng)急處置措施，包括：

a）針對(duì)數(shù)據(jù)被篡改的情況，分析攻擊來(lái)源、攻擊路徑，針對(duì)性反制或抑制網(wǎng)絡(luò)攻擊，防止數(shù)據(jù)繼

續(xù)被篡改；

b）針對(duì)數(shù)據(jù)違規(guī)使用或者濫用情況，及時(shí)發(fā)布權(quán)威信息，消除數(shù)據(jù)違規(guī)使用或者濫用產(chǎn)生次生危

害；

c）針對(duì)數(shù)據(jù)泄露（丟失）的情況，及時(shí)下線或切斷相關(guān)業(yè)務(wù)系統(tǒng)外聯(lián)網(wǎng)絡(luò)，防止數(shù)據(jù)繼續(xù)泄露（丟

失）；

d）在數(shù)據(jù)被損毀時(shí)，從最近有效的備份中緊急恢復(fù)數(shù)據(jù)，保障業(yè)務(wù)運(yùn)行需要。

10.5供應(yīng)鏈應(yīng)急處置

CII運(yùn)營(yíng)者針對(duì)在網(wǎng)絡(luò)安全事件期間供應(yīng)鏈風(fēng)險(xiǎn)，制定專項(xiàng)應(yīng)急處置措施：

a）密切跟蹤供應(yīng)鏈?zhǔn)馨踩录蓴_和危害情況，及時(shí)有效的調(diào)節(jié)應(yīng)對(duì)措施，降低事件影響并防止

進(jìn)一步蔓延；

b）按照網(wǎng)絡(luò)安全事件發(fā)展情況，及時(shí)向供應(yīng)鏈供貨商共享與其相關(guān)的安全信息，獲得必要的信息、

技術(shù)等方面的支持；

c）與供應(yīng)鏈供貨商緊急聯(lián)系，確保在網(wǎng)絡(luò)安全事件發(fā)生期間可以得到必需的零部件供應(yīng)，避免供

應(yīng)鏈中斷。

11事后恢復(fù)與總結(jié)

CII運(yùn)營(yíng)者對(duì)于事后恢復(fù)與總結(jié)：

a）按照先應(yīng)急處置、后恢復(fù)的原則，在網(wǎng)絡(luò)安全事件得到控制以后，及時(shí)將關(guān)鍵業(yè)務(wù)、網(wǎng)絡(luò)設(shè)施、

信息系統(tǒng)恢復(fù)到事件之前的運(yùn)行狀態(tài)；

6

GB/TXXXXX—XXXX

b）針對(duì)未知類型的網(wǎng)絡(luò)安全事件，要詳細(xì)記錄處置過(guò)程、事件細(xì)節(jié)、事件發(fā)展趨勢(shì)、處置經(jīng)驗(yàn)等

相關(guān)信息；

c）妥善保存網(wǎng)絡(luò)訪問(wèn)日志、物理訪問(wèn)日志、審計(jì)日志等，以備溯源和調(diào)查取證；

d）對(duì)關(guān)鍵業(yè)務(wù)、網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)的恢復(fù)情況進(jìn)行評(píng)估，查找事件原因，并采取措施防止再次

發(fā)生同類事件；

e）對(duì)應(yīng)急處置過(guò)程進(jìn)行總結(jié)，分析應(yīng)急處置過(guò)程中是否存在需要完善的環(huán)節(jié)，并根據(jù)分析結(jié)果優(yōu)

化應(yīng)急預(yù)案；

f）在事件得到妥善處理后，形成完整的事件處理報(bào)告。

12事件報(bào)告與信息共享

12.1事件報(bào)告

CII運(yùn)營(yíng)者在事件報(bào)告方面：

a）針對(duì)特別重大網(wǎng)絡(luò)安全事件、重大網(wǎng)絡(luò)安全事件，按要求及時(shí)向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告，

簡(jiǎn)要說(shuō)明事件發(fā)生的時(shí)間、危害情況和采取的措施；

b）在事件得到妥善處置后，按要求向保護(hù)工作部門、公安機(jī)關(guān)提交詳細(xì)事件報(bào)告，包括事故發(fā)生

時(shí)間、終止時(shí)間、發(fā)生地點(diǎn)、起因、影響范圍、應(yīng)急處置情況、事后恢復(fù)情況、應(yīng)對(duì)經(jīng)驗(yàn)以及采取的防

范措施等；

c）在重大活動(dòng)期間，按照要求實(shí)施“邊處置、邊報(bào)告”。

12.2信息共享

12.2.1信息共享機(jī)制

CII運(yùn)營(yíng)者依據(jù)GB/TAAAAA—XXXX制定本單位網(wǎng)絡(luò)安全信息共享制度，及時(shí)向相關(guān)方共享CII網(wǎng)絡(luò)安

全信息。

a）按要求向國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)等國(guó)家主管部門及時(shí)共享網(wǎng)絡(luò)安全信息；

b）運(yùn)營(yíng)者可以根據(jù)本單位實(shí)際情況，與同一CII的其他運(yùn)營(yíng)者、關(guān)鍵業(yè)務(wù)鏈緊密相關(guān)的上下游運(yùn)營(yíng)

者、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、科研機(jī)構(gòu)、業(yè)界專家等之間建立信息共享渠道和合作機(jī)制；

c）當(dāng)網(wǎng)絡(luò)安全共享信息為漏洞信息時(shí)，需要符合國(guó)家關(guān)于漏洞管理制度的要求；

d）持續(xù)跟蹤事態(tài)變化情況，及時(shí)共享最新網(wǎng)絡(luò)安全事件信息；

e）定期對(duì)網(wǎng)絡(luò)安全信息共享模式、方法進(jìn)行評(píng)估并持續(xù)改進(jìn)。

12.2.2信息共享內(nèi)容

共享信息內(nèi)容參照GB/TAAAAA—XXXX，其中與網(wǎng)絡(luò)安全事件相關(guān)的信息可包括：

a)事件描述信息

描述網(wǎng)絡(luò)安全事件的信息，包括事件的起始時(shí)間、涉及對(duì)象、現(xiàn)象、攻擊原理、影響范圍等。

b)攻擊者描述信息

描述攻擊者的動(dòng)機(jī)、能力等相關(guān)的信息，包含攻擊者的意圖、與目標(biāo)對(duì)象的利益關(guān)系、攻擊者能使

用的手段和方法等。

c)應(yīng)對(duì)經(jīng)驗(yàn)信息

描述實(shí)施網(wǎng)絡(luò)安全威脅行為主體的歷史行為，以及在網(wǎng)絡(luò)安全防護(hù)和網(wǎng)絡(luò)安全事件響應(yīng)等方面積累

的成功經(jīng)驗(yàn)和失敗教訓(xùn)等。

d)應(yīng)對(duì)措施信息

7

GB/TXXXXX—XXXX

描述對(duì)網(wǎng)絡(luò)安全事件已實(shí)施的防御措施和處置措施等。

e)其他信息

如最佳實(shí)踐、前沿技術(shù)等。

13應(yīng)急保障

13.1基礎(chǔ)保障

CII運(yùn)營(yíng)者在基礎(chǔ)保障方面：

a）落實(shí)網(wǎng)絡(luò)安全應(yīng)急資源，包括通信、電力、物資、人力等方面的需求，確保一旦發(fā)生網(wǎng)絡(luò)安全

事件時(shí)，應(yīng)急響應(yīng)活動(dòng)所須的人、財(cái)、物等基本條件得到保障；

b）持續(xù)加強(qiáng)技術(shù)能力和技術(shù)隊(duì)伍建設(shè)，不斷提升在應(yīng)急管理規(guī)劃、監(jiān)測(cè)預(yù)警、事件分析、應(yīng)急處

置、數(shù)據(jù)備份、系統(tǒng)恢復(fù)、調(diào)查取證等方面的技術(shù)能力。

c）妥善管理應(yīng)急工具、裝備、設(shè)施，及時(shí)對(duì)軟硬件進(jìn)行升級(jí)維護(hù)，確保應(yīng)急工具裝備、備品備件

充足有效，確保應(yīng)急設(shè)施隨時(shí)可用。

13.2協(xié)同保障

CII運(yùn)營(yíng)者在協(xié)同保障方面：

a）保障本單位信息共享機(jī)制正常運(yùn)行，確保安全信息、威脅信息、預(yù)警信息和指揮協(xié)調(diào)信息等正

常流通；

b）確保制度、技術(shù)等方面符合國(guó)家有關(guān)規(guī)定，確保對(duì)安全漏洞、安全威脅、入侵攻擊、異常行為

等進(jìn)行協(xié)同處置時(shí)不發(fā)生技術(shù)沖突；

c）可以通過(guò)成立聯(lián)合工作組、組建聯(lián)合應(yīng)急處置隊(duì)伍等方式，強(qiáng)化組織間合作，提高應(yīng)對(duì)網(wǎng)絡(luò)安

全事件的水平和協(xié)同配合能力。

13.3業(yè)務(wù)保障

CII運(yùn)營(yíng)者在業(yè)務(wù)保障方面：

a）采用動(dòng)態(tài)網(wǎng)絡(luò)管理技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)容量彈性化，應(yīng)對(duì)網(wǎng)絡(luò)安全事件發(fā)生期間帶寬需求激增、可

用性受限的情況；

b）采用多模備份方案，針對(duì)關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)行不可或缺的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，宜實(shí)施

“雙節(jié)點(diǎn)”備份，或?qū)㈥P(guān)鍵業(yè)務(wù)托管到不同的云平臺(tái)上，在緊急情況下具備在備份點(diǎn)之間轉(zhuǎn)移業(yè)務(wù)的能

力；

c）定期對(duì)關(guān)鍵業(yè)務(wù)的信息化建設(shè)、信息化管理和信息化運(yùn)行情況進(jìn)行梳理，確保網(wǎng)絡(luò)安全監(jiān)測(cè)范

圍覆蓋關(guān)鍵業(yè)務(wù)的整個(gè)信息化部分，及時(shí)發(fā)現(xiàn)并處理風(fēng)險(xiǎn)；

d）定期開展分析識(shí)別，及時(shí)更新CII資產(chǎn)清單，確保容災(zāi)備份清單真實(shí)、有效。

13.4數(shù)據(jù)保障

CII運(yùn)營(yíng)者在數(shù)據(jù)安全保障方面：

a）對(duì)CII數(shù)據(jù)實(shí)施分類分級(jí)管理，制定重要數(shù)據(jù)和核心數(shù)據(jù)目錄臺(tái)賬，針對(duì)不同類型數(shù)據(jù)制定相專

項(xiàng)護(hù)措施；

b）建立數(shù)據(jù)備份機(jī)制，重要數(shù)據(jù)異地備份；

c）加強(qiáng)在收集、存儲(chǔ)、使用、加工、傳輸、輸出、共享等關(guān)鍵環(huán)節(jié)的數(shù)據(jù)保護(hù)措施，采取加密、

脫敏、去標(biāo)志化等手段保護(hù)敏感數(shù)據(jù)；

8

GB/TXXXXX—XXXX

d）在CII廢棄時(shí)，對(duì)其存儲(chǔ)的數(shù)據(jù)及時(shí)處理。

13.5供應(yīng)鏈保障

CII運(yùn)營(yíng)者在供應(yīng)鏈安全保障方面包括：

a）針對(duì)重要零部件，建立多級(jí)庫(kù)存聯(lián)動(dòng)+安全庫(kù)存多重保障，保持必要的供應(yīng)彈性儲(chǔ)備并自動(dòng)補(bǔ)貨；

b）建立供貨商審核制度，及時(shí)淘汰、更新供貨商名單；

c）制定設(shè)備、設(shè)施、系統(tǒng)等可替換方案，確保不少于2家以上獨(dú)立供貨渠道；

d）優(yōu)先采購(gòu)?fù)ㄟ^(guò)國(guó)家檢測(cè)認(rèn)證的設(shè)備和產(chǎn)品。

14演練與培訓(xùn)

14.1演練

CII運(yùn)營(yíng)者在應(yīng)急演練方面：

a）制定年度網(wǎng)絡(luò)安全應(yīng)急演練計(jì)劃，每年對(duì)應(yīng)急預(yù)案至少演練一次；

b）按要求參加由國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)等組織的跨組織、跨地域的網(wǎng)絡(luò)安全應(yīng)

急演練；

c）圍繞CII保護(hù)特點(diǎn)實(shí)施重點(diǎn)演練，如保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)行，同一CII不同運(yùn)營(yíng)者之間、關(guān)

鍵業(yè)務(wù)鏈上下游運(yùn)營(yíng)者之間的協(xié)同聯(lián)動(dòng)等。

14.2培訓(xùn)

CII運(yùn)營(yíng)者在宣傳培訓(xùn)方面：

a）針對(duì)網(wǎng)絡(luò)安全應(yīng)急預(yù)案涉及的部門和人員制定年度培訓(xùn)計(jì)劃，通過(guò)編發(fā)培訓(xùn)材料、舉辦培訓(xùn)班、

開展工作研討等方式，對(duì)與應(yīng)急預(yù)案實(shí)施密切相關(guān)的管理人員和專業(yè)救援人員等組織開展應(yīng)急預(yù)案培

訓(xùn)；

b）制定考評(píng)制度，對(duì)參加培訓(xùn)的網(wǎng)絡(luò)安全應(yīng)急工作人員進(jìn)行考評(píng)，通過(guò)后才能繼續(xù)擔(dān)任網(wǎng)絡(luò)安全

應(yīng)急工作崗位；

c）每年對(duì)培訓(xùn)計(jì)劃與培訓(xùn)內(nèi)容進(jìn)行評(píng)估并持續(xù)更新。

9

GB/TXXXXX—XXXX

參考文獻(xiàn)

[1]GB/T19001—2016質(zhì)量管理體系要求

[2]GB/T19004—2015質(zhì)量管理體系業(yè)績(jī)改進(jìn)指南

[3]GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

[4]GB/T20985.1—2017信息技術(shù)安全技術(shù)信息安全事件管理第1部分：事件管理原理

[5]GB/T20985.2—2020信息技術(shù)安全技術(shù)信息安全事件管理第2部分：事件響應(yīng)規(guī)劃

和準(zhǔn)備指南

[6]GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求

[7]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

[8]GB/T31496—2015信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南

[9]GB/T36466—2018信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南

[10]GB/T36635—2018信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南

[11]GB/T38645—2020信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南

[12]ISO/IEC25024:2015Systemsandsoftwareengineering—SystemsandsoftwareQuality

RequirementsandEvaluation(SQuaRE)—Measurementofdataquality

_________________________________

10

GB/TXXXXX—XXXX

目次

前言................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語(yǔ)和定義..........................................................................1

4縮略語(yǔ).............................................................................2

5總體架構(gòu)...........................................................................2

6機(jī)構(gòu)設(shè)立............................................................................3

7分析識(shí)別...........................................................................4

8應(yīng)急預(yù)案...........................................................................4

9監(jiān)測(cè)預(yù)警...........................................................................5

9.1風(fēng)險(xiǎn)發(fā)現(xiàn).......................................................................5

9.2風(fēng)險(xiǎn)分析.......................................................................5

9.3風(fēng)險(xiǎn)預(yù)警.......................................................................5

10應(yīng)急處置...........................................................................5

10.1概述...........................................................................5

10.2應(yīng)急處置機(jī)制...................................................................5

10.3業(yè)務(wù)應(yīng)急處置...................................................................6

10.4數(shù)據(jù)應(yīng)急處置...................................................................6

10.5供應(yīng)鏈應(yīng)急處置.................................................................6

11事后恢復(fù)與總結(jié).....................................................................6

12事件報(bào)告與信息共享.................................................................7

12.1事件報(bào)告.......................................................................7

12.2信息共享.......................................................................7

13應(yīng)急保障...........................................................................8

13.1基礎(chǔ)保障.......................................................................8

13.2協(xié)同保障.......................................................................8

13.3業(yè)務(wù)保障.......................................................................8

13.4數(shù)據(jù)保障.......................................................................8

13.5供應(yīng)鏈保障.....................................................................9

14演練與培訓(xùn).........................................................................9

14.1演練.........................................................................9

14.2培訓(xùn).........................................................................9

參考文獻(xiàn)............................................................................10

I

GB/TXXXXX—XXXX

信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

1范圍

本文件給出了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架，包括機(jī)構(gòu)設(shè)立、分析識(shí)別、應(yīng)急預(yù)案、監(jiān)

測(cè)預(yù)警、應(yīng)急處置、事后恢復(fù)與總結(jié)、事件報(bào)告與信息共享、應(yīng)急保障、演練與培訓(xùn)。

本文件適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者建立健全網(wǎng)絡(luò)安全應(yīng)急體系、開展網(wǎng)絡(luò)安全應(yīng)急活動(dòng)，也可

供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/Z20986信息安全技術(shù)信息安全事件分類分級(jí)指南

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求

GB/TAAAAA—XXXX信息安全技術(shù)網(wǎng)絡(luò)安全信息共享指南

3術(shù)語(yǔ)和定義

GB/T25069—2022和GB/T39204—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)

和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共

利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

[來(lái)源：GB/T39204—2022，3.1]

3.2

網(wǎng)絡(luò)安全事件cybersecurityincident

由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造

成危害，對(duì)國(guó)家、社會(huì)、經(jīng)濟(jì)造成負(fù)面影響的事件。

[來(lái)源：GB/T38645—2020，3.1]

3.3

應(yīng)急響應(yīng)emergencyresponse

為了應(yīng)對(duì)網(wǎng)絡(luò)安全事件發(fā)生所做的準(zhǔn)備，以及在網(wǎng)絡(luò)安全事件發(fā)生后所采取的措施。

[來(lái)源：GB/T24363—2009，3.4，有修改]

1

GB/TXXXXX—XXXX

3.4

應(yīng)急預(yù)案emergencyplan

為了應(yīng)對(duì)網(wǎng)絡(luò)安全事件而編制的，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行維持、恢復(fù)，保障關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)

行的策略和規(guī)程。

3.5

網(wǎng)絡(luò)安全應(yīng)急相關(guān)方cybersecurityemergencyrelevantparty

負(fù)責(zé)、參與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)和應(yīng)急活動(dòng)的有關(guān)實(shí)體。

3.6

供應(yīng)鏈supplychain

將多個(gè)資源和過(guò)程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購(gòu)協(xié)議建立連續(xù)供應(yīng)關(guān)系的組織系列。

[來(lái)源：GB/T39204—2022，3.2]

3.7

關(guān)鍵業(yè)務(wù)鏈criticalbusinesschain

組織的一個(gè)或多個(gè)相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。

[來(lái)源：GB/T39204—2022，3.3]

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

CII：關(guān)鍵信息基礎(chǔ)設(shè)施（criticalinformationinfrastructure）

5總體架構(gòu)

CII運(yùn)營(yíng)者首先設(shè)立專門安全管理機(jī)構(gòu)，統(tǒng)籌負(fù)責(zé)本單位網(wǎng)絡(luò)安全應(yīng)急工作，依據(jù)對(duì)關(guān)鍵業(yè)務(wù)分析

識(shí)別結(jié)果，制定本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。在網(wǎng)絡(luò)安全事件發(fā)生前，通過(guò)技術(shù)監(jiān)測(cè)、情報(bào)收集等手段，

發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全威脅，及時(shí)消除風(fēng)險(xiǎn)并降低發(fā)生網(wǎng)絡(luò)安全事件的概率；在網(wǎng)絡(luò)安全事件發(fā)生時(shí)，

啟動(dòng)應(yīng)急預(yù)案，快速定位問(wèn)題并終止緊急狀態(tài)；在網(wǎng)絡(luò)安全事件得到控制后，開展后期處置，將CII恢

復(fù)到事前運(yùn)行狀態(tài)并進(jìn)行總結(jié)分析。

CII運(yùn)營(yíng)者發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或威脅時(shí)，按要求通過(guò)信息共享接口及時(shí)向國(guó)家網(wǎng)信部門、保護(hù)工作

部門、公安機(jī)關(guān)和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等共享信息；發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，按要求通過(guò)事件報(bào)告接口

向國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)報(bào)告。

CII網(wǎng)絡(luò)安全應(yīng)急體系框架的總體架構(gòu)見圖1。

2

GB/TXXXXX—XXXX

圖1關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架

6機(jī)構(gòu)設(shè)立

CII運(yùn)營(yíng)者設(shè)立專門安全管理機(jī)構(gòu)，機(jī)構(gòu)的領(lǐng)導(dǎo)由CII運(yùn)營(yíng)者最高管理層的分管領(lǐng)導(dǎo)擔(dān)任，成員包括

各相關(guān)部門負(fù)責(zé)人、技術(shù)支撐人員、咨詢專家和對(duì)內(nèi)、對(duì)外聯(lián)絡(luò)人員等。CII專門安全管理機(jī)構(gòu)的職責(zé)

包括：

a）統(tǒng)籌協(xié)調(diào)，負(fù)責(zé)領(lǐng)導(dǎo)和決策本單位CII網(wǎng)絡(luò)安全應(yīng)急事項(xiàng)，在發(fā)生網(wǎng)絡(luò)安全事件期間負(fù)責(zé)指揮協(xié)

調(diào)；

b）制定應(yīng)急預(yù)案，依據(jù)分析識(shí)別結(jié)果，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案；

c）監(jiān)測(cè)預(yù)警，負(fù)責(zé)組織常態(tài)化網(wǎng)絡(luò)安全監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)CII面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或威脅，并及時(shí)預(yù)

警；

d）事件報(bào)告，負(fù)責(zé)對(duì)接國(guó)家網(wǎng)信部門、保護(hù)工作部門和公安機(jī)關(guān)，落實(shí)重大網(wǎng)絡(luò)安全事件報(bào)告要

求；

e）信息共享，負(fù)責(zé)對(duì)內(nèi)、對(duì)外聯(lián)絡(luò)，落實(shí)網(wǎng)絡(luò)安全信息共享要求；

f）應(yīng)急處置，負(fù)責(zé)組織現(xiàn)場(chǎng)應(yīng)急處置；

g）應(yīng)急保障，負(fù)責(zé)落實(shí)物資、人力、資金等保障事項(xiàng)。

3

GB/TXXXXX—XXXX

7分析識(shí)別

CII運(yùn)營(yíng)者需要對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行分析識(shí)別，確定本單位關(guān)鍵業(yè)務(wù)運(yùn)行情況以及對(duì)外部業(yè)務(wù)的依賴性、

重要性，以支撐編制網(wǎng)絡(luò)安全應(yīng)急預(yù)案、開展網(wǎng)絡(luò)安全應(yīng)急活動(dòng)。

a）基本情況梳理

梳理關(guān)鍵業(yè)務(wù)的服務(wù)對(duì)象、地域分布、組織結(jié)構(gòu)、管理模式、崗位設(shè)置等，明確關(guān)鍵業(yè)務(wù)的運(yùn)行特

征、業(yè)務(wù)邏輯、運(yùn)行架構(gòu)、業(yè)務(wù)范圍，確定關(guān)鍵業(yè)務(wù)的基本功能。

b）關(guān)鍵業(yè)務(wù)鏈識(shí)別

梳理與本單位關(guān)鍵業(yè)務(wù)相關(guān)聯(lián)的外部業(yè)務(wù)，識(shí)別支撐關(guān)鍵業(yè)務(wù)的CII分布、運(yùn)營(yíng)情況，確定對(duì)外部

業(yè)務(wù)的依賴性、重要性。

c）CII數(shù)據(jù)識(shí)別

分析關(guān)鍵業(yè)務(wù)在收集、存儲(chǔ)、使用、加工、傳輸、輸出、共享等環(huán)節(jié)中涉及到的數(shù)據(jù)情況，如配置

數(shù)據(jù)、運(yùn)行數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)等，明確數(shù)據(jù)的種類、作用，形成CII數(shù)據(jù)清單。

d）重要資產(chǎn)識(shí)別

識(shí)別關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等重要資產(chǎn)，厘清上述網(wǎng)絡(luò)設(shè)施、信息

系統(tǒng)的功能作用、結(jié)構(gòu)組成、網(wǎng)絡(luò)拓?fù)?、地理位置以及與關(guān)鍵業(yè)務(wù)之間的支撐作用、依賴關(guān)系，形成CII

資產(chǎn)清單。

e）供應(yīng)鏈識(shí)別

識(shí)別CII資產(chǎn)所依賴的重要零部件、服務(wù)等信息，確定主要供貨商，形成CII供應(yīng)鏈清單。

8應(yīng)急預(yù)案

CII運(yùn)營(yíng)者以關(guān)鍵業(yè)務(wù)為核心制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案。

a）在國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的框架下，CII專門安全管理機(jī)構(gòu)組織技術(shù)、安全、業(yè)務(wù)、運(yùn)維、

采購(gòu)等部門，建立健全本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案體系，包括總體應(yīng)急預(yù)案、專項(xiàng)應(yīng)急預(yù)案，規(guī)定統(tǒng)一的

應(yīng)急預(yù)案框架，明確應(yīng)急預(yù)案的適用范圍、啟動(dòng)預(yù)案的條件等；

b）應(yīng)急預(yù)案要素需要齊全，包括確定組織機(jī)構(gòu)職責(zé)，基于分析識(shí)別的結(jié)果，明確監(jiān)測(cè)預(yù)警、應(yīng)急

處置、事后恢復(fù)與總結(jié)、事件報(bào)告和信息共享的實(shí)施方法，明確應(yīng)急保障、演練與培訓(xùn)的落實(shí)細(xì)節(jié)；

c）明確應(yīng)急策略，在應(yīng)急預(yù)案中明確，一旦網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)受到損害或者發(fā)生故障時(shí)，需要

維護(hù)的關(guān)鍵業(yè)務(wù)功能，并明確遭受破壞時(shí)恢復(fù)關(guān)鍵業(yè)務(wù)的時(shí)間；

d）根據(jù)關(guān)鍵業(yè)務(wù)對(duì)連續(xù)性、安全性的不同要求，在應(yīng)急預(yù)案中明確重要資產(chǎn)功能的恢復(fù)順序、處

置方法，包括非常規(guī)時(shí)期、遭受大規(guī)模攻擊時(shí)等處置流程；

e）根據(jù)網(wǎng)絡(luò)安全事件的類型、敏感程度以及對(duì)業(yè)務(wù)的影響范圍等因素，在應(yīng)急預(yù)案中確定事件分

級(jí)、預(yù)警分級(jí)和響應(yīng)分級(jí)的標(biāo)準(zhǔn)，并與上位預(yù)案相銜接；

f）網(wǎng)絡(luò)安全應(yīng)急預(yù)案需要有聯(lián)系方式清單，包括應(yīng)急值班24小時(shí)聯(lián)系電話、重要資產(chǎn)責(zé)任人聯(lián)系

方式、專家名單與聯(lián)系方式、網(wǎng)絡(luò)安全應(yīng)急技術(shù)隊(duì)伍聯(lián)系方式、應(yīng)急相關(guān)方聯(lián)系方式等；

g）制定應(yīng)急預(yù)案操作手冊(cè)，明確培訓(xùn)內(nèi)容、頻率、方式和對(duì)象；

h）制定應(yīng)急演練手冊(cè)，明確演練頻率、組織方式和演練形式，評(píng)價(jià)預(yù)案內(nèi)容的針對(duì)性、實(shí)用性和

可操作性，實(shí)現(xiàn)應(yīng)急預(yù)案的科學(xué)管理和優(yōu)化更新。

4

GB/TXXXXX—XXXX

9監(jiān)測(cè)預(yù)警

9.1風(fēng)險(xiǎn)發(fā)現(xiàn)

CII運(yùn)營(yíng)者在風(fēng)險(xiǎn)發(fā)現(xiàn)方面：

a）建設(shè)網(wǎng)絡(luò)安全監(jiān)控中心，開展7*24h安全監(jiān)測(cè)，監(jiān)測(cè)內(nèi)容需要包括網(wǎng)絡(luò)流量、日志信