GB/T 38645-2020
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 38645-2020.Information security techniques-Guide for cybersecurity incident emergency exercises.
1范围
GB/T 38645给出了网络安全事件应急演练实施的目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程。
GB/T 38645适用于指导相关组织实施网络安全事件应急演练活动。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069信息安全技术 术语
3术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
网络安全事件 cybersecurity incident
由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。
3.2
网络安全事件应急演练 cybersecurity incident emergency exercises
有关政府部门、企事业单位、社会团体组织相关人员,针对设定的突发事件模拟情景,按照应急预案所规定的职责和程序,在特定的时间和地域,开展应急处置的活动。
4应急演练目的
应急演练目的如下:
a)检验预案:通过开展应急演练,查找和验证应急预案中存在的问题,完善应急预案,提高应急预案的科学性、实用性和可操作性;
b) 完善准备:通过开展应急演练,检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作;
c) 锻炼队伍:通过开展应急演练,增强演练管理部门、指挥机构、参演机构和人员等对应急预案的熟悉程度,锻炼应急处置需要的技能,加强配合,提高其应急处置能力;
d) 磨合机制:通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导;
e)宣传教育:通过开展应急演练,普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识。
1范围
GB/T 38645给出了网络安全事件应急演练实施的目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程。
GB/T 38645适用于指导相关组织实施网络安全事件应急演练活动。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069信息安全技术 术语
3术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
网络安全事件 cybersecurity incident
由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。
3.2
网络安全事件应急演练 cybersecurity incident emergency exercises
有关政府部门、企事业单位、社会团体组织相关人员,针对设定的突发事件模拟情景,按照应急预案所规定的职责和程序,在特定的时间和地域,开展应急处置的活动。
4应急演练目的
应急演练目的如下:
a)检验预案:通过开展应急演练,查找和验证应急预案中存在的问题,完善应急预案,提高应急预案的科学性、实用性和可操作性;
b) 完善准备:通过开展应急演练,检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作;
c) 锻炼队伍:通过开展应急演练,增强演练管理部门、指挥机构、参演机构和人员等对应急预案的熟悉程度,锻炼应急处置需要的技能,加强配合,提高其应急处置能力;
d) 磨合机制:通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导;
e)宣传教育:通过开展应急演练,普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T38645—2020
信息安全技术
网络安全事件应急演练指南
Information security techniquesGuide for cybersecurity incidentemergency exercises
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38645—2020
规范性引用文件
术语和定义
应急演练目的
应急演练原则
应急演练形式
应急演练规划
应急演练组织架构
管理部门
指挥机构
参演机构
应急演练实施过程
准备阶段
实施阶段
评估与总结阶段
9.4成果运用阶段
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
参考文献
常用演练形式对照表
应急演练各步骤参考模板
演练场景库
参考案例
本标准按照GB/T1.1一2009给出的规则起草。GB/T38645—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:烽台科技(北京)有限公司、国家工业信息安全发展研究中心、国家电网有限公司、国家信息技术安全研究中心、中国证监会信息中心、中国电力科学研究院有限公司、中国电子技术标准化研究院、黑龙江省工业和信息化厅、清华大学、北京京航计算通讯研究所、北京理工大学、哈尔滨工业大学、哈尔滨工程大学、桂林电子科技大学、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、中国科学院信息工程研究所、中国电子科技网络信息安全有限公司、黑龙江省电子技术研究所、北京启明星辰信息安全技术有限公司、哈尔滨工大天创电子有限公司、国网山东省电力公司电力科学研究院、北京安天网络安全技术有限公司、北京网藤科技有限公司、哈尔滨工业大学软件工程股份有限公司、黑龙江信息技术职业学院、北京市政务信息安全应急处置中心、北京网御星云信息技术有限公司、北京卓识网安技术股份有限公司,本标准主要起草人:龚亮华、尹丽波、王磊、宫亚峰、刘莹、王东明、张格、刘迎、朱朝阳、魏钦志、周亮、李琳、张永静、张洪、李俊、于盟、王达、薛一波、祝烈煌、王佰伶、孙建国、丁勇、佟薇薇、孙立立、王启蒙、雷承霖、赵旭东、邱梓华、邹春明、贾若伦、皆立强、谢丰、杜红亮、何能强、李若愚、郝志宇、敖佳、刘慧晶、郑显生、孟雅辉、刘文跃、王文婷、李柏松、童志明、李佐民、郭宇亮、左晓英、范士喜、张涛、魏彬、杜君、刘健帅、刘韧。
GB/T38645—2020
建立网络安全事件应急工作机制,开展应急演练是减少和预防网络安全事件造成损失和危害的重要保证。为规范和指导网络安全事件应急演练工作,制定网络安全事件应急演练指南是必要的。SI
iiiKaeeiKAca
1范围
GB/T38645—2020
信息安全技术
网络安全事件应急演练指南
本标准给出了网络安全事件应急演练实施的目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程。
本标准适用于指导相关组织实施网络安全事件应急演练活动。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T25069信息安全技术术语
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件iee
网络安全事件cybersecurity incident由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。3.2
网络安全事件应急演练
cybersecurityincidentemergencyexercises有关政府部门、企事业单位、社会团体组织相关人员,针对设定的突发事件模拟情景,按照应急预案所规定的职责和程序,在特定的时间和地域,开展应急处置的活动应急演练目的
应急演练目的如下:
a)检验预案:通过开展应急演练,查找和验证应急预案中存在的问题,完善应急预案,提高应急预案的科学性、实用性和可操作性;b)完善准备:通过开展应急演练,检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作;c)
锻炼队伍:通过开展应急演练,增强演练管理部门、指挥机构、参演机构和人员等对应急预案的熟悉程度,锻炼应急处置需要的技能,加强配合,提高其应急处置能力;d)磨合机制:通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导:e)宣传教育:通过开展应急演练,普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识
GB/T38645—2020
5应急演练原则
应急演练原则如下:
a)结合实际:结合应急管理工作要求,明确演练目的,根据资源条件确定演练方式和规模;b)贴合实战:提高应急指挥机构的指挥协调能力和应急队伍的实操应急处置能力;c)提高实效:重视对演练流程及演练效果的评估、考核,总结推广经验,整改发现的问题;d)保证安全:围绕演练目的策划演练内容,科学制定演练方案,部署演练活动,制定并遵守有关安全措施,确保演练参与人员及演练设施安全:e)统筹规划:统筹规划应急演练活动,演与练有效互补,适当开展跨行业、跨地域的综合性演练,利用现有资源,提升应急演练效益。6应急演练形式
按照应急演练的组织形式、内容、目的和作用的不同,应急演练形式可以从多个维度进行划分:a)按照应急演练的组织形式,分为如下形式:1)桌面推演:参演人员根据应急预案,利用流程图、计算机模拟、视频会议等辅助手段,针对事先假定的演练场景进行模拟应急决策及现场处置的过程,验证应急预案的有效性,促进相关人员明确应急预案中有关职责,掌握应急流程及应急操作,提高指挥决策和各方协同配合能力。
模拟演练:参演人员利用网络与信息系统相关软硬件或靶场技术,模拟构建接近真实环境2)
的测试环境,模拟突发事件场景或场景片段,注重模拟演练技术操作的验证、演练过程中各方资源的协调和配合、演练过程中各类问题和风险的应对。3)实操演练:参演人员利用网络与信息系统真实环境模拟突发事件场景,完成判断、决策、处置等环节的应急响应过程检验和提高相关人员的临场组织指挥、应急处置和后勤保障能力。实操演练还可分为指定科目演练和预先不告知科目演练。b)按照应急演练的内容,分为如下形式:1)专项演练:指涉及应急预案中特定系统或应急响应功能的演练活动。针对一个或少数几个参与部门(岗位)的特定环节和功能进行检验。2)综合演练:指涉及应急预案中多项或全部应急响应功能的演练活动。对多个环节和功能进行检验。
c)按照应急演练的自的和作用,分为如下形式:1)检验性演练:为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练。示范性演练:为向观摩人员展示应急能力或提供示范教学,按照演练方案开展的表演性2)
演练。
研究性演练:为研究和解决突发事件应急处置的重点、难点问题,试验新方案、新技术、新3)
装备而组织的演练。
d)其他演练形式。
不同维度的演练相互组合,可以形成专项桌面推演、综合性桌面推演、专项实操演练、综合性实操演练、专项示范演练、综合性示范演练等常用演练形式,常用演练形式参见附录A。2
应急演练规划
GB/T38645—2020
有关组织根据实际情况,依据相关法律法规、应急预案的规定和管理部门的要求,对一定时期内各类应急演练活动做出总体规划,包括应急演练的频次、规模、形式、时间、地点、预算等。一般以一年为个周期制定演练规划。
应急演练组织架构
8.1综述
演练组织架构包括管理部门、指挥机构和参演机构。根据事件等级、演练规模、演练目的、演练形式等,组织机构可对相关机构人员和职责进行归并等调整,按实际情况进行相应组织细分8.2
管理部门
管理部门包括上级单位、国家有关网络安全监管部门等,主要职责如下:a)下发应急演练要求;
KaeeiKAca
审批或备案下级组织单位应急演练规划:c)必要情况下,宣布应急演练开始、结束或终止。8.3指挥机构
8.3.1指挥人员
主要职责如下:
对应急演练工作的承诺和支持包括发布正式文件、提供必要资源(人、财、物)等;a)
审核并批准应急演练方案;
审批决定应急演练重大事项;
部署、检查、指导和协调应急演练各项筹备工作:负责跨组织、跨领域应急演练的各项协调工作;对外联络相关单位,协调各单位在应急演练中的职责;指挥、调度应急演练现场工作;宣布应急演练开始、结束或终止;总结应急演练效果、完成演练总结报告;跟踪演练成果运用。
策划人员
主要职责如下:
策划、制定应急演练方案:
负责应急演练过程中的解说。
8.3.3督导人员
主要职责如下:
a)督查演练活动是否符合应急演练规划要求b)现场监督指导应急演练具体工作GB/T38645—2020
8.4参演机构
8.4.1顾问人员
由演练组织单位牵头相关参演机构领导及技术专家组成,在演练实施阶段赴各参演机构演练现场指导演练工作。
8.4.2实施人员
主要职责如下:
执行演练脚本;
按照应急预案对模拟触发的网络安全事件进行应急响应处置;对不设场景的预案模拟触发的网络安全事件进行实战应急响应处置;c
d)运用演练成果。
8.4.3保障人员
主要职责如下:
跟踪拟定演练人员按要求参与演练活动:负责调集演练过程需要的各项器材,并准备好通信、调度等技术支撑系统;b)
落实演练场地、物资,开展后勤保障工作;KaeeiKA
跟踪、落实演练规划中要求的经费;d)
负责演练现场的安全保障工作
8.4.4技术支持人员
主要职责如下:
为应急演练活动提供应急技术、演练技术咨询与支撑;调试演练过程需要的各项器材,并做好通信、调度等技术支撑系统的技术保障工作;b))
负责应急演练各环节包括监测、处置等环节的具体技术实现;c)
d)流
模拟触发网络安全事件。
8.4.5评估人员
主要职责如下:
记录演练过程与应急动作要领:评价演练效果、演练过程及动作要领,完成演练评估报告;b)
发现应急演练中存在的问题,及时向相关职责人员提出意见或建议,8.4.6其他人员
主要职责如下:
a)对外联络其他参演机构,协助完成应急演练工作;b)协调跨组织、跨领域参演人员完成应急演练工作:特邀相关单位领导及其他各类人员,观察演练过程等;e
负责应急演练的其他工作。
9应急演练实施过程
9.1准备阶段
9.1.1制定演练计划
9.1.1.1综述
GB/T38645—2020
应急指挥机构根据应急演练规划和应急预案制定演练计划,明确演练目的.分析演练要求,确定演练范围,起草日程计划,编制演练经费预算。应急演练计划模板参见附录B的B.1。2明确演练目的
明确开展应急演练的原因、演练要解决的间题和期望达到的效果。9.1.1.3分析演练要求
根据应急演练规划和应急预案要求,在对事先设定事件场景风险和应急预案认真分析的基础上,结合年度内发生网络安全事件的情况,发现存在的问题和薄弱环节,确定需调整的演练人员、需锻炼的技能、需检验的设备、需完善的应急处置流程、指挥调度程序以及需进一步明确的职责等,分析完成举办应急演练的要求
9.1.1.4确定演练范围
根据演练要求以及综合场地、资源(包括但不限于人力资源、财力资源、物力资源、技术资源、信息资源等)和时间等制约条件和因素,确定演练背景事件类型、等级、发生地域、演练组织架构(管理部门、指挥机构和参演机构)及人数、演练方式等。演练要求和演练范围往往互为影响。9.1.1.5起草日程计划
起草演练工作计划及日程,细化确定应急演练各阶段的主要任务和完成时限,包括各种演练文件编写与审定的期限、信息系统及技术物资准备的期限、演练实施的日期等。9.1.1.6编制演练经费预算
编制开展演练活动的各项经费、配套经费及保障措施。9.1.2制定演练方案
9.1.2.1编制工作方案
编制应急演练工作方案的步骤如下:a)确定目标
演练目标是需完成的主要演练任务及其达到的效果,一般说明“由谁在什么条件下完成什么任务,依据什么标准,取得什么效果”。演练目标应明确、具体、可量化、可实现。如一次演练有若干项演练目标,每项演练目标都要在演练方案中有相应的事件和演练活动予以实现,并在演练评估中有相应的评估项目判断该目标的实现情况
b)设计演练场景和实施步骤
演练场景宜为演练活动提供初始条件,还要通过一系列的情景事件引导演练活动继续,直至演练完成,演练场景库参见附录C。演练场景包括如下的演练场景概述和演练场景清单:GB/T38645—2020
演练场景概述。每一处演练场景的概要说明,宜说明事件类别、发生的时间地点、发展速1
度、受影响范围、人员和物资分布、已造成的损失、后续发展预测等。演练场景(步骤)清单。要明确演练过程中各场景(各步骤)的时间顺序列表和耗时情况。2)
演练场景之间的逻辑关联依赖于事件发展规律、控制消息和演练人员收到控制消息后应采取的行动。
c)拟定演练人员名单
应急演练的参演机构统一成立应急演练指挥机构。由指挥机构发起演练活动的,应急演练的应急指挥机构宜向管理部门备案。根据演练的形式、内容、组织范围等实际情况,演练组织机构和职能可适当调整。
演练活动应在指挥机构的督导、指挥下开展d)编写工作方案
应急演练工作方案内容宜包括:指导思想、工作原则、演练目的、演练场景、演练时间地点、指挥机构和参演机构、角色职责、演练实施过程、其他准备事项、工作要求及有关附件等,模板参见B.2。9.1.2.2编制保障方案
在编制演练保障方案时.从人员保障、经费保障、场地保障、基础设施保障、通信保障、技术保障、安全保障等方面制定详细、可行的方案,理清责任归属,科学预测演练活动过程中可能发生的意外或故障,制定相应意外或故障处理流程、措施等,模板参见B.3。9.1.2.3编制评估方案
演练评估是通过观察、体验和记录演练活动,比较演练实际效果与目标之间的差异,总结演练成效和不足的过程。演练评估宜以演练目标为基础。每项演练目标都要设计合理的评估项目方法、标准。根据演练目标的不同,可以用选择项(如:是/否判断,多项选择)、主观评分(如:1一一差、3一一合格、5一一优秀)、定量测量等方法进行评估。为便于演练评估操作,策划组通常事先设计好评估表格,包括演练自标、评估方法、评价标准和相关记录项等,也可采用专业评估软件等工具,模板参见B.4。9.1.2.4编写演练脚本
根据应急演练目的、内容和形式编制应急演练脚本。应急演练脚本是应急演练工作方案的具体操作手册,控制应急演练时间进程,对应急演练场景和响应程序进行详细说明,一般采用表格形式,以应急演练流程的各关键节点为骨干,描述应急演练的场景、起止时间、执行人员、处置行动、指令与对白、适时选用的技术设备、视频画面与字幕、解说词等,模板参见B.5。9.1.3评审与修订演练方案
对演练方案进行评审,确定演练方案科学可行,以确保应急演练工作的顺利进行。对涉密或不宜公开的演练内容,宜制订保密措施。应急演练方案的制定可参考附录D。9.1.4应急演练保障
9.1.4.1人员保障
保证相关人员参与演练活动的时间,确保所有参演人员已经通过演练培训,明确职责分工。6
9.1.4.2经费保障
GB/T38645—2020
每年宜根据应急演练规划编制应急演练的经费预算,纳入各参演机构的年度财政(财务)预算,并按照演练需要及时拨付经费。对经费使用情况进行监督检查,确保演练经费专款专用、节约高效。9.1.4.3场地保障
根据演练方式和内容,在经现场勘察后选择合适的演练场地。桌面推演一般可选择会议室或应急指挥中心等;实操演练宜选择与实际情况相似的机房或地点。9.1.4.4基础设施保障
提供必要的基础设施保障,包括但不限于电力、设备、物资、通信器材等。9.1.4.5
5通信保障
为应急演练过程提供及时可靠的信息传递渠道。根据演练需要,可以采用多种公用或专用通信系统,必要时可组建演练专用通信与信息网络,确保演练控制信息的快速传递9.1.4.6技术保障
根据应急演练方案,预先设计技术保障方案,保障应急演练所涉及的各类技术支撑系统的正常运转。当工作流程发生变化后,技术保障方案也需相应进行调整。根据组织的网络和信息系统类型,宜储备应急演练需要的漏洞、补丁等技术资源,并对技术资源进行合理的调配和使用。在对攻防工具、脚本等危险性技术资源的储备,调配和使用中,宜进行合理的安全风险管控。
9.1.4.7安全保障
充分考愿演练全过程的安全保障风险,尤其是大型或高风险演练,宜制定专门应急预案,采取预防措施,并对关键部位和环节可能出现的突发事件进行专项安全保障。对可能影响公众生活、易于引起公众误解和恐慌的应急演练(特别是可能造成业务中断的演练),宜提前向社会发布公告,告示演练内容、时间、地点和组织单位,并做好应对方案,避免造成负面影响。演练过程中涉及敏感系统的,宜满足相关保密要求。在做好数据备份的基础上,对其中的敏感数据应事先进行脱敏处理;在演练方案设计时,宜充分考虑在演练中可能突破其原有对敏感信息访间权限的人员及由此可能造成的后果。
演练现场宜有必要的安保措施,必要时对演练现场进行封闭或管制,保证演练安全进行。演练出现意外情况时,及时报告并批准后,提前终止演练。9.1.4.8保障检查
演练正式启动前,组织单位宜开展如下充分的保障检查:a)
检查参演人员到位情况;
b)检查演练方案中各项保障资源准备情况,确保各项保障措施到位;c)
检查参演系统配置和数据备份正确和完备,检查演练所需的工具、设备、设施、技术资料到位;d)应对应急演练所用各类设施、设备进行全面检查和调试,保证处于正常工作状态;e)其他保障检查工作。
参演机构完成保障检查后,向指挥机构确认。7
GB/T386452020
9.1.5演练动员与培训
在演练开始前宜组织演练动员和培训,确保所有参演人员已熟练掌握演练规则、演练情景,明确各自在演练中的职责分工。
9.1.6应急演练预演
为保证正式应急演练效果,宜在前期培训的基础上,在演练正式开始前安排一次或多次预演。对于大型综合性实操演练,可按照先易后难、先分解后合练、循序渐进的原则,采取分阶段推演形式,检查验证应急演练的局部或全部工作环节,强化参演机构与人员的协同配合意识,查找问题和不足,持续改进提升应急演练方案。为演练的成功举行奠定基础9.2实施阶段
9.2.1演练启动
检查演练各环节准备到位后,由管理部门派员或指挥机构宣布演练开始,启动演练活动。对演练实施全过程的指挥控制,随时掌握演练进展情况,按照演练方案要求对安全事件的发现及处置进展情况向指挥机构报告。
视情对演练过程进行解说。解说内容宜包括演练背景描述、进程讲解、案例介绍、环境染等。各参演机构按照演练方案开始进行应急演练。9.2.2安全事件模拟
演练实施过程中,根据演练指令,按照演练方案开展安全事件模拟。安全事件模拟分为如下现象模拟和机理模拟
a)现象模拟:通过可控的方法复现出安全事件在设备、网络、服务等方面表现出的现象;b)机理模拟:在演练场景中通过可控的方式真实触发安全事件。9.2.3演练执行
9.2.3.1综述
安全事件演练执行具体步骤分为监测预警、事件研判、事件通告、事件处置、系统确认五个阶段。9.2.3.2
监测预警
实时监测风险信息,将有效信息上报;组织专家进行研判,根据应急预案的要求,确定预警等级,发布预警信息。
9.2.3.3事件研判
监测或直接发现安全事件,宜对安全事件进行评估,确定安全事件的类别、级别,启动安全事件全面监测措施。此内容来自标准下载网
9.2.3.4事件通告
根据演练场景要求模拟进行组织内信息通报、组织外信息通报、信息上报和信息披露9.2.3.5事件处置
宜依据安全事件发展态势,快速分析评估安全事件,形成处置方案。现场处置方案宜参考安全事件8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T38645—2020
信息安全技术
网络安全事件应急演练指南
Information security techniquesGuide for cybersecurity incidentemergency exercises
2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38645—2020
规范性引用文件
术语和定义
应急演练目的
应急演练原则
应急演练形式
应急演练规划
应急演练组织架构
管理部门
指挥机构
参演机构
应急演练实施过程
准备阶段
实施阶段
评估与总结阶段
9.4成果运用阶段
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
参考文献
常用演练形式对照表
应急演练各步骤参考模板
演练场景库
参考案例
本标准按照GB/T1.1一2009给出的规则起草。GB/T38645—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:烽台科技(北京)有限公司、国家工业信息安全发展研究中心、国家电网有限公司、国家信息技术安全研究中心、中国证监会信息中心、中国电力科学研究院有限公司、中国电子技术标准化研究院、黑龙江省工业和信息化厅、清华大学、北京京航计算通讯研究所、北京理工大学、哈尔滨工业大学、哈尔滨工程大学、桂林电子科技大学、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、中国科学院信息工程研究所、中国电子科技网络信息安全有限公司、黑龙江省电子技术研究所、北京启明星辰信息安全技术有限公司、哈尔滨工大天创电子有限公司、国网山东省电力公司电力科学研究院、北京安天网络安全技术有限公司、北京网藤科技有限公司、哈尔滨工业大学软件工程股份有限公司、黑龙江信息技术职业学院、北京市政务信息安全应急处置中心、北京网御星云信息技术有限公司、北京卓识网安技术股份有限公司,本标准主要起草人:龚亮华、尹丽波、王磊、宫亚峰、刘莹、王东明、张格、刘迎、朱朝阳、魏钦志、周亮、李琳、张永静、张洪、李俊、于盟、王达、薛一波、祝烈煌、王佰伶、孙建国、丁勇、佟薇薇、孙立立、王启蒙、雷承霖、赵旭东、邱梓华、邹春明、贾若伦、皆立强、谢丰、杜红亮、何能强、李若愚、郝志宇、敖佳、刘慧晶、郑显生、孟雅辉、刘文跃、王文婷、李柏松、童志明、李佐民、郭宇亮、左晓英、范士喜、张涛、魏彬、杜君、刘健帅、刘韧。
GB/T38645—2020
建立网络安全事件应急工作机制,开展应急演练是减少和预防网络安全事件造成损失和危害的重要保证。为规范和指导网络安全事件应急演练工作,制定网络安全事件应急演练指南是必要的。SI
iiiKaeeiKAca
1范围
GB/T38645—2020
信息安全技术
网络安全事件应急演练指南
本标准给出了网络安全事件应急演练实施的目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程。
本标准适用于指导相关组织实施网络安全事件应急演练活动。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T25069信息安全技术术语
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件iee
网络安全事件cybersecurity incident由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。3.2
网络安全事件应急演练
cybersecurityincidentemergencyexercises有关政府部门、企事业单位、社会团体组织相关人员,针对设定的突发事件模拟情景,按照应急预案所规定的职责和程序,在特定的时间和地域,开展应急处置的活动应急演练目的
应急演练目的如下:
a)检验预案:通过开展应急演练,查找和验证应急预案中存在的问题,完善应急预案,提高应急预案的科学性、实用性和可操作性;b)完善准备:通过开展应急演练,检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作;c)
锻炼队伍:通过开展应急演练,增强演练管理部门、指挥机构、参演机构和人员等对应急预案的熟悉程度,锻炼应急处置需要的技能,加强配合,提高其应急处置能力;d)磨合机制:通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间分离、阻隔、配套应急联动机制,防范网络安全风险传导:e)宣传教育:通过开展应急演练,普及应急知识,不断增强网络安全管理的专业化程度,提高全员网络安全风险防范意识
GB/T38645—2020
5应急演练原则
应急演练原则如下:
a)结合实际:结合应急管理工作要求,明确演练目的,根据资源条件确定演练方式和规模;b)贴合实战:提高应急指挥机构的指挥协调能力和应急队伍的实操应急处置能力;c)提高实效:重视对演练流程及演练效果的评估、考核,总结推广经验,整改发现的问题;d)保证安全:围绕演练目的策划演练内容,科学制定演练方案,部署演练活动,制定并遵守有关安全措施,确保演练参与人员及演练设施安全:e)统筹规划:统筹规划应急演练活动,演与练有效互补,适当开展跨行业、跨地域的综合性演练,利用现有资源,提升应急演练效益。6应急演练形式
按照应急演练的组织形式、内容、目的和作用的不同,应急演练形式可以从多个维度进行划分:a)按照应急演练的组织形式,分为如下形式:1)桌面推演:参演人员根据应急预案,利用流程图、计算机模拟、视频会议等辅助手段,针对事先假定的演练场景进行模拟应急决策及现场处置的过程,验证应急预案的有效性,促进相关人员明确应急预案中有关职责,掌握应急流程及应急操作,提高指挥决策和各方协同配合能力。
模拟演练:参演人员利用网络与信息系统相关软硬件或靶场技术,模拟构建接近真实环境2)
的测试环境,模拟突发事件场景或场景片段,注重模拟演练技术操作的验证、演练过程中各方资源的协调和配合、演练过程中各类问题和风险的应对。3)实操演练:参演人员利用网络与信息系统真实环境模拟突发事件场景,完成判断、决策、处置等环节的应急响应过程检验和提高相关人员的临场组织指挥、应急处置和后勤保障能力。实操演练还可分为指定科目演练和预先不告知科目演练。b)按照应急演练的内容,分为如下形式:1)专项演练:指涉及应急预案中特定系统或应急响应功能的演练活动。针对一个或少数几个参与部门(岗位)的特定环节和功能进行检验。2)综合演练:指涉及应急预案中多项或全部应急响应功能的演练活动。对多个环节和功能进行检验。
c)按照应急演练的自的和作用,分为如下形式:1)检验性演练:为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练。示范性演练:为向观摩人员展示应急能力或提供示范教学,按照演练方案开展的表演性2)
演练。
研究性演练:为研究和解决突发事件应急处置的重点、难点问题,试验新方案、新技术、新3)
装备而组织的演练。
d)其他演练形式。
不同维度的演练相互组合,可以形成专项桌面推演、综合性桌面推演、专项实操演练、综合性实操演练、专项示范演练、综合性示范演练等常用演练形式,常用演练形式参见附录A。2
应急演练规划
GB/T38645—2020
有关组织根据实际情况,依据相关法律法规、应急预案的规定和管理部门的要求,对一定时期内各类应急演练活动做出总体规划,包括应急演练的频次、规模、形式、时间、地点、预算等。一般以一年为个周期制定演练规划。
应急演练组织架构
8.1综述
演练组织架构包括管理部门、指挥机构和参演机构。根据事件等级、演练规模、演练目的、演练形式等,组织机构可对相关机构人员和职责进行归并等调整,按实际情况进行相应组织细分8.2
管理部门
管理部门包括上级单位、国家有关网络安全监管部门等,主要职责如下:a)下发应急演练要求;
KaeeiKAca
审批或备案下级组织单位应急演练规划:c)必要情况下,宣布应急演练开始、结束或终止。8.3指挥机构
8.3.1指挥人员
主要职责如下:
对应急演练工作的承诺和支持包括发布正式文件、提供必要资源(人、财、物)等;a)
审核并批准应急演练方案;
审批决定应急演练重大事项;
部署、检查、指导和协调应急演练各项筹备工作:负责跨组织、跨领域应急演练的各项协调工作;对外联络相关单位,协调各单位在应急演练中的职责;指挥、调度应急演练现场工作;宣布应急演练开始、结束或终止;总结应急演练效果、完成演练总结报告;跟踪演练成果运用。
策划人员
主要职责如下:
策划、制定应急演练方案:
负责应急演练过程中的解说。
8.3.3督导人员
主要职责如下:
a)督查演练活动是否符合应急演练规划要求b)现场监督指导应急演练具体工作GB/T38645—2020
8.4参演机构
8.4.1顾问人员
由演练组织单位牵头相关参演机构领导及技术专家组成,在演练实施阶段赴各参演机构演练现场指导演练工作。
8.4.2实施人员
主要职责如下:
执行演练脚本;
按照应急预案对模拟触发的网络安全事件进行应急响应处置;对不设场景的预案模拟触发的网络安全事件进行实战应急响应处置;c
d)运用演练成果。
8.4.3保障人员
主要职责如下:
跟踪拟定演练人员按要求参与演练活动:负责调集演练过程需要的各项器材,并准备好通信、调度等技术支撑系统;b)
落实演练场地、物资,开展后勤保障工作;KaeeiKA
跟踪、落实演练规划中要求的经费;d)
负责演练现场的安全保障工作
8.4.4技术支持人员
主要职责如下:
为应急演练活动提供应急技术、演练技术咨询与支撑;调试演练过程需要的各项器材,并做好通信、调度等技术支撑系统的技术保障工作;b))
负责应急演练各环节包括监测、处置等环节的具体技术实现;c)
d)流
模拟触发网络安全事件。
8.4.5评估人员
主要职责如下:
记录演练过程与应急动作要领:评价演练效果、演练过程及动作要领,完成演练评估报告;b)
发现应急演练中存在的问题,及时向相关职责人员提出意见或建议,8.4.6其他人员
主要职责如下:
a)对外联络其他参演机构,协助完成应急演练工作;b)协调跨组织、跨领域参演人员完成应急演练工作:特邀相关单位领导及其他各类人员,观察演练过程等;e
负责应急演练的其他工作。
9应急演练实施过程
9.1准备阶段
9.1.1制定演练计划
9.1.1.1综述
GB/T38645—2020
应急指挥机构根据应急演练规划和应急预案制定演练计划,明确演练目的.分析演练要求,确定演练范围,起草日程计划,编制演练经费预算。应急演练计划模板参见附录B的B.1。2明确演练目的
明确开展应急演练的原因、演练要解决的间题和期望达到的效果。9.1.1.3分析演练要求
根据应急演练规划和应急预案要求,在对事先设定事件场景风险和应急预案认真分析的基础上,结合年度内发生网络安全事件的情况,发现存在的问题和薄弱环节,确定需调整的演练人员、需锻炼的技能、需检验的设备、需完善的应急处置流程、指挥调度程序以及需进一步明确的职责等,分析完成举办应急演练的要求
9.1.1.4确定演练范围
根据演练要求以及综合场地、资源(包括但不限于人力资源、财力资源、物力资源、技术资源、信息资源等)和时间等制约条件和因素,确定演练背景事件类型、等级、发生地域、演练组织架构(管理部门、指挥机构和参演机构)及人数、演练方式等。演练要求和演练范围往往互为影响。9.1.1.5起草日程计划
起草演练工作计划及日程,细化确定应急演练各阶段的主要任务和完成时限,包括各种演练文件编写与审定的期限、信息系统及技术物资准备的期限、演练实施的日期等。9.1.1.6编制演练经费预算
编制开展演练活动的各项经费、配套经费及保障措施。9.1.2制定演练方案
9.1.2.1编制工作方案
编制应急演练工作方案的步骤如下:a)确定目标
演练目标是需完成的主要演练任务及其达到的效果,一般说明“由谁在什么条件下完成什么任务,依据什么标准,取得什么效果”。演练目标应明确、具体、可量化、可实现。如一次演练有若干项演练目标,每项演练目标都要在演练方案中有相应的事件和演练活动予以实现,并在演练评估中有相应的评估项目判断该目标的实现情况
b)设计演练场景和实施步骤
演练场景宜为演练活动提供初始条件,还要通过一系列的情景事件引导演练活动继续,直至演练完成,演练场景库参见附录C。演练场景包括如下的演练场景概述和演练场景清单:GB/T38645—2020
演练场景概述。每一处演练场景的概要说明,宜说明事件类别、发生的时间地点、发展速1
度、受影响范围、人员和物资分布、已造成的损失、后续发展预测等。演练场景(步骤)清单。要明确演练过程中各场景(各步骤)的时间顺序列表和耗时情况。2)
演练场景之间的逻辑关联依赖于事件发展规律、控制消息和演练人员收到控制消息后应采取的行动。
c)拟定演练人员名单
应急演练的参演机构统一成立应急演练指挥机构。由指挥机构发起演练活动的,应急演练的应急指挥机构宜向管理部门备案。根据演练的形式、内容、组织范围等实际情况,演练组织机构和职能可适当调整。
演练活动应在指挥机构的督导、指挥下开展d)编写工作方案
应急演练工作方案内容宜包括:指导思想、工作原则、演练目的、演练场景、演练时间地点、指挥机构和参演机构、角色职责、演练实施过程、其他准备事项、工作要求及有关附件等,模板参见B.2。9.1.2.2编制保障方案
在编制演练保障方案时.从人员保障、经费保障、场地保障、基础设施保障、通信保障、技术保障、安全保障等方面制定详细、可行的方案,理清责任归属,科学预测演练活动过程中可能发生的意外或故障,制定相应意外或故障处理流程、措施等,模板参见B.3。9.1.2.3编制评估方案
演练评估是通过观察、体验和记录演练活动,比较演练实际效果与目标之间的差异,总结演练成效和不足的过程。演练评估宜以演练目标为基础。每项演练目标都要设计合理的评估项目方法、标准。根据演练目标的不同,可以用选择项(如:是/否判断,多项选择)、主观评分(如:1一一差、3一一合格、5一一优秀)、定量测量等方法进行评估。为便于演练评估操作,策划组通常事先设计好评估表格,包括演练自标、评估方法、评价标准和相关记录项等,也可采用专业评估软件等工具,模板参见B.4。9.1.2.4编写演练脚本
根据应急演练目的、内容和形式编制应急演练脚本。应急演练脚本是应急演练工作方案的具体操作手册,控制应急演练时间进程,对应急演练场景和响应程序进行详细说明,一般采用表格形式,以应急演练流程的各关键节点为骨干,描述应急演练的场景、起止时间、执行人员、处置行动、指令与对白、适时选用的技术设备、视频画面与字幕、解说词等,模板参见B.5。9.1.3评审与修订演练方案
对演练方案进行评审,确定演练方案科学可行,以确保应急演练工作的顺利进行。对涉密或不宜公开的演练内容,宜制订保密措施。应急演练方案的制定可参考附录D。9.1.4应急演练保障
9.1.4.1人员保障
保证相关人员参与演练活动的时间,确保所有参演人员已经通过演练培训,明确职责分工。6
9.1.4.2经费保障
GB/T38645—2020
每年宜根据应急演练规划编制应急演练的经费预算,纳入各参演机构的年度财政(财务)预算,并按照演练需要及时拨付经费。对经费使用情况进行监督检查,确保演练经费专款专用、节约高效。9.1.4.3场地保障
根据演练方式和内容,在经现场勘察后选择合适的演练场地。桌面推演一般可选择会议室或应急指挥中心等;实操演练宜选择与实际情况相似的机房或地点。9.1.4.4基础设施保障
提供必要的基础设施保障,包括但不限于电力、设备、物资、通信器材等。9.1.4.5
5通信保障
为应急演练过程提供及时可靠的信息传递渠道。根据演练需要,可以采用多种公用或专用通信系统,必要时可组建演练专用通信与信息网络,确保演练控制信息的快速传递9.1.4.6技术保障
根据应急演练方案,预先设计技术保障方案,保障应急演练所涉及的各类技术支撑系统的正常运转。当工作流程发生变化后,技术保障方案也需相应进行调整。根据组织的网络和信息系统类型,宜储备应急演练需要的漏洞、补丁等技术资源,并对技术资源进行合理的调配和使用。在对攻防工具、脚本等危险性技术资源的储备,调配和使用中,宜进行合理的安全风险管控。
9.1.4.7安全保障
充分考愿演练全过程的安全保障风险,尤其是大型或高风险演练,宜制定专门应急预案,采取预防措施,并对关键部位和环节可能出现的突发事件进行专项安全保障。对可能影响公众生活、易于引起公众误解和恐慌的应急演练(特别是可能造成业务中断的演练),宜提前向社会发布公告,告示演练内容、时间、地点和组织单位,并做好应对方案,避免造成负面影响。演练过程中涉及敏感系统的,宜满足相关保密要求。在做好数据备份的基础上,对其中的敏感数据应事先进行脱敏处理;在演练方案设计时,宜充分考虑在演练中可能突破其原有对敏感信息访间权限的人员及由此可能造成的后果。
演练现场宜有必要的安保措施,必要时对演练现场进行封闭或管制,保证演练安全进行。演练出现意外情况时,及时报告并批准后,提前终止演练。9.1.4.8保障检查
演练正式启动前,组织单位宜开展如下充分的保障检查:a)
检查参演人员到位情况;
b)检查演练方案中各项保障资源准备情况,确保各项保障措施到位;c)
检查参演系统配置和数据备份正确和完备,检查演练所需的工具、设备、设施、技术资料到位;d)应对应急演练所用各类设施、设备进行全面检查和调试,保证处于正常工作状态;e)其他保障检查工作。
参演机构完成保障检查后,向指挥机构确认。7
GB/T386452020
9.1.5演练动员与培训
在演练开始前宜组织演练动员和培训,确保所有参演人员已熟练掌握演练规则、演练情景,明确各自在演练中的职责分工。
9.1.6应急演练预演
为保证正式应急演练效果,宜在前期培训的基础上,在演练正式开始前安排一次或多次预演。对于大型综合性实操演练,可按照先易后难、先分解后合练、循序渐进的原则,采取分阶段推演形式,检查验证应急演练的局部或全部工作环节,强化参演机构与人员的协同配合意识,查找问题和不足,持续改进提升应急演练方案。为演练的成功举行奠定基础9.2实施阶段
9.2.1演练启动
检查演练各环节准备到位后,由管理部门派员或指挥机构宣布演练开始,启动演练活动。对演练实施全过程的指挥控制,随时掌握演练进展情况,按照演练方案要求对安全事件的发现及处置进展情况向指挥机构报告。
视情对演练过程进行解说。解说内容宜包括演练背景描述、进程讲解、案例介绍、环境染等。各参演机构按照演练方案开始进行应急演练。9.2.2安全事件模拟
演练实施过程中,根据演练指令,按照演练方案开展安全事件模拟。安全事件模拟分为如下现象模拟和机理模拟
a)现象模拟:通过可控的方法复现出安全事件在设备、网络、服务等方面表现出的现象;b)机理模拟:在演练场景中通过可控的方式真实触发安全事件。9.2.3演练执行
9.2.3.1综述
安全事件演练执行具体步骤分为监测预警、事件研判、事件通告、事件处置、系统确认五个阶段。9.2.3.2
监测预警
实时监测风险信息,将有效信息上报;组织专家进行研判,根据应急预案的要求,确定预警等级,发布预警信息。
9.2.3.3事件研判
监测或直接发现安全事件,宜对安全事件进行评估,确定安全事件的类别、级别,启动安全事件全面监测措施。此内容来自标准下载网
9.2.3.4事件通告
根据演练场景要求模拟进行组织内信息通报、组织外信息通报、信息上报和信息披露9.2.3.5事件处置
宜依据安全事件发展态势,快速分析评估安全事件,形成处置方案。现场处置方案宜参考安全事件8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。