ICS 35.020 L 09 DB 11 北 京 市 地 方 标 准 DB 11/T 1599—2018 政务部门信息安全应急预案编制指南 Preparation guidelines for government departments' information security emergency plans 2018 - 12 - 17 发布 北京市市场监督管理局 2019 - 04 - 01 实施 发 布 DB11/T 1599—2018 目 次 前言 ................................................................................ II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 应急预案体系 ....................................................................... 2 5 应急预案编制流程 ................................................................... 3 6 总体应急预案基本内容 ............................................................... 6 7 专项应急预案基本内容 ............................................................... 8 8 现场处置方案基本内容 .............................................................. 10 附 录 A （资料性附录） 北京市某局信息安全事件总体应急预案示例 ..................... 11 附 录 B （资料性附录） 北京市某局网页篡改事件专项应急预案示例 ..................... 18 附 录 C （资料性附录） 北京市某局网页篡改事件现场处置方案示例 ..................... 22 I DB11/T 1599—2018 前 言 本标准按照GB/T 1.1—2009 给出的规则起草。 本标准由北京市经济和信息化局提出并归口。 本标准由北京市经济和信息化局组织实施。 本规范起草单位：北京市政务信息安全应急处置中心、中国科学院信息工程研究所、北京邮电大学。 本规范主要起草人：王宗君、刘鹏、刘国伟、郭子亮、康振、魏彬、刘宝旭、王枞、刘建毅、刘涛、 郭立生、杨泽明、荣晓燕、肖静、王汉臣。 II DB11/T 1599—2018 政务部门信息安全应急预案编制指南 1 范围 本标准规定了政务部门信息安全应急预案的预案体系、编制流程、总体预案、专项预案和现场处置 方案的基本内容。 本标准适用于政务部门信息安全应急预案的编制与修订工作，其他社会组织和单位信息安全应急预 案的编制可参照本标准执行。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 20985.1—2017 信息技术 安全技术 信息安全事件管理 第1部分：事件管理原理 GB/Z 20986—2007 信息安全技术 信息安全事件分类分级指南 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240 信息安全技术 信息系统安全等级保护 定级指南 GB/T 24363—2009 信息安全技术 信息安全应急响应计划规范 GB/T 25069—2010 信息安全技术 术语 GB/T 31509 信息安全技术 信息安全风险评估实施指南 GB/T 32926 信息安全技术 政府部门信息技术服务外包信息安全管理规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 信息系统 information system 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进 行采集、加工、存储、传输、检索等处理的人机系统。 [GB/Z 20986—2007,定义2.2] 3.2 信息安全事件 information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影 响的事件。 [GB/Z 20986—2007,定义2.2] 1 DB11/T 1599—2018 3.3 应急预案 emergency plan 一种关于备份、应急响应和灾后恢复的计划。 [GB/T 25069—2010,定义2.2.3.4] 3.4 关键信息基础设施 critical information infrastructure 关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利 益的信息设施。 注：《中华人民共和国网络安全法》规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电 子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民 生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的 具体范围和安全保护办法由国务院制定，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络， 能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要 信息系统，重要互联网应用系统。 4 应急预案体系 4.1 应急预案体系架构 政务部门信息安全应急预案体系由部门信息安全总体应急预案、部门信息安全专项应急预案和现场 处置方案构成，如图1所示。 政务部门信息安全总体应急预案 政务部门信息安全总体应急预案 信息安全事件专项预案 关键信息基础设施专项预案 重大活动信息安全保障预案 有害程序事件应急预案 OA系统应急预案 节假日应急预案 网络攻击事件应急预案 门户网站应急预案 重大活动应急预案 信息破坏事件应急预案 业务系统应急预案 其他应急保障预案 信息内容安全事件应急预案 决策支持系统应急预案 设备设施故障事件应急预案 档案系统应急预案 灾难性事件应急预案 财务系统应急预案 其他事件应急预案 其他系统应急预案 政务部门信息安全专项应急预案 图1 政务部门信息安全应急预案体系 2 现 场 处 置 方 案 DB11/T 1599—2018 4.2 政务部门信息安全总体应急预案 4.2.1 政务部门信息安全总体应急预案是根据上级应急预案要求，针对信息安全事件综合性的应急响 应程序和要求。是政务部门信息安全应急预案体系的总纲，是管辖范围内所有专项预案、现场处置方案 的总体指导性文件。 4.2.2 政务部门信息安全总体应急预案应明确各政务部门信息安全应急工作的基本要求。 4.3 政务部门信息安全专项应急预案 4.3.1 政务部门信息安全专项应急预案是对某种类型或某几种类型的信息安全事件、对关键信息基础 设施而预先制定的应急响应预案，分为信息安全事件专项预案、关键信息基础设施专项预案和重大活动 信息安全保障预案三类。 4.3.2 政务部门信息安全专项应急预案是总体预案的细化，应对应急人员、应急流程、保障措施提出 具体要求，对技术要求进行专项设计。 4.4 现场处置方案 现场处置方案是在总体预案和专项预案的指导下，针对政务部门网络与信息系统制定的适合现场应 急处置的技术性方案，是专项应急预案的细化，具体指导现场工作人员对各个信息系统或信息安全事件 应急响应的工作。 5 应急预案编制流程 5.1 基本流程 应急预案编制的基本流程为启动应急预案编制、应急体系调查、风险评估、业务影响分析、应急资 源和能力评估、应急预案编制、应急预案评审及修订、应急预案发布及备案、应急预案管理与维护，应 急预案编制流程如图2所示。 启动应急预案编制 应急体系调查 风险评估 业务影响分析 应急资源和能力评估 应急预案编制 应急预案评审 应急预案发布及备案 应急预案管理与维护 图2 应急预案编制流程 3 DB11/T 1599—2018 5.2 启动应急预案编制 5.2.1 根据应急处置目标政务部门应成立由应急工作负责人员、相关专业的外部专家、专业技术队伍、 相关系统使用人员组成的应急预案编制工作组，应急预案编制工作组的组成，包括但不限于，各业务部 门、各信息部门、各保障小组、各专家组。 5.2.2 制定应急预案编制计划，明确各小组的职责及接口人，外聘专家名单；预案编制计划时间表及 各阶段的具体目标；预案编制工作开展的方式及方法。 5.2.3 提供开展应急预案编制工作所需的各项资源。 5.3 应急体系调查 5.3.1 收集了解政务部门的基本情况、组织环境、现有的应急体系等信息；收集已有的应急预案、已 发生应急事件及处置手段和方法及其他应急相关资料；评估现有应急体系的完备性。 5.3.2 应急体系调查应包括但不限于以下内容： ——已有的应急预案，包括正在使用及废弃的预案； ——应急处置事件总结，包括原因、过程、处置手段及方法； ——现有的应急体系情况，包括但不限于人力、物质、技术、制度； ——现有应急体系分析、评价。 5.4 风险评估 5.4.1 风险评估是编制应急预案关键过程，风险评估的结果是确定重点考虑的应急对象，划分应急响 应优先级的依据，政务部门应结合已有的安全措施和结合风险评估的结果确定应急响应工作的重点。 5.4.2 风险评估工作应按照 GB/T 20984 和 GB/T 31509 的要求，完成以下工作： ——对关键信息基础设施列表； ——确定风险评估的目标； ——制定风险评估的工作计划，确定工作方式方法； ——对资产、威胁和脆弱性进行识别； ——甄别现有安全措施； ——对残余风险及其可能导致的后果进行评估。 5.5 业务影响分析 业务影响分析应分析信息安全事件发生时所产生