信息安全应急处理服务资质专业评价要求针对准备、检测、抑制、根除、恢复、总结六个过程进行,具体分级要求如下:
三级要求
一、 准备阶段
组织申报三级资质,应具有处理一般信息安全事件的能力(注:参考国家标准 GB/Z 20985-2007《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的对象所处的行业对信息安全事 件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件几 类),具体见以下要求:
a) 明确客户的应急需求。
b) 了解客户应急预案的内容。
c) 向客户提供应急处理服务流程。
d) 可提供本地 2 小时应急响应服务能力。
e) 配备有处理网络或信息安全事件的工具包,包括常用的系统命令、工具软件等。
f) 工具包应定期更新。
g) 配备应急处理服务人员。
h) 对在应急处理服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。
二、 检测阶段
a) 确定检测对象及范围。
b) 对发生异常的系统进行信息的收集与分析,判断是否真正发生了安全事件。
c) 与客户共同确定应急处理方案。
d) 应急处理方案应明确检测范围与检测行为规范,其检测范围应仅限于客户已授权的与安全 事件相关的数据,对客户的机密性数据信息未经授权不得访问。
e) 与客户充分沟通,并预测应急处理方案可能造成的影响。
f) 检测工作应在客户的监督与配合下完成。
三、 抑制阶段
a) 与客户充分沟通,使其了解所面临的首要问题及抑制处理的目的。
b) 在采取抑制措施之前,应告知客户可能存在的风险。
c) 严格执行抑制处理方案中规定的内容,如有必要更改,须获得客户的书面授权。
d) 抑制措施应能够限制受攻击的范围,抑制潜在的或进一步的攻击和破坏行为。
四、 根除阶段
a) 协助客户检查所有受影响的系统,提出根除的方案建议,并协助客户进行具体实施。
b) 应明确告知客户所采取的根除措施可能带来的风险。
c) 找出导致网络或信息安全事件发生的原因,并予以彻底消除。
五、恢复阶段
a) 告知客户网络或信息安全事件的恢复方法及可能存在的风险。
b) (如需重建系统时适用该条款)对于不能彻底恢复配置和彻底清除系统上的恶意文件,或 不能肯定系统经过根除处理后是否可恢复正常时,应选择重建系统。
c) (如需重建系统时适用该条款)应协助客户按照系统的初始化安全策略恢复系统。
d) (如需重建系统时适用该条款)应协助客户验证恢复后的系统是否运行正常,并确认与原 有系统配置保持一致。
e) (如需重建系统时适用该条款)在帮助客户重建系统前需进行全面的数据备份,备份的数 据要确保是没有被攻击者改变过的数据。
f) (不需重建系统时适用该条款)应建立重建系统的应急工作流程及规范,并开展重建系统 的应急演练工作。
六、总结阶段
a) 应保存完整的网络或信息安全事件处理记录,并对事件处理过程进行总结和分析。
b) 提供网络或信息安全事件处理报告。
c) 提供网络或信息安全方面的建议和意见,必要时指导和协助客户实施。
二级要求
组织申报二级资质,除满足三级要求外,还应满足具有处理较大信息安全事件的能力(注:参 考国家标准 GB/Z 20985-2007 《信息安全事件分类分级指南》,或参考组织所提供应急处理服务的 对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事件、信息破 坏事件、信息内容安全事件几类),具体见以下要求:
一、 准备阶段
a) 在客户应急需求基础上制定应急服务方案。
b) 应急服务方案应涉及客户应急预案的启动与执行。
c) 若客户未建立应急预案,可协助客户建立。
d) 可提供本地 1 小时、外地 8 小时应急响应服务能力。
e) 网络与信息安全事件工具包中应配备专业技术检测设备。
f) 对工具包实行制度化管理。
二、 检测阶段
a) 建立有针对常规应用系统、安全设备、常见网络与信息安全事件的检测技术规范。
b) 协助客户确定安全事件等级。
c) 应急处理方案应包含对安全事件的抑制、根除和恢复的详细处理步骤。
d) 应急处理方案应包含实施方案失败的应变和回退措施。
三、 恢复阶段
a) 与客户共同制定系统恢复方案,根据实际情况协助客户选择合理的恢复方法。
b) (如需重建系统时适用该条款)帮助客户为重建后的系统建立系统快照。
四、 总结阶段
a) 网络与信息安全事件处理记录应具备可追溯性。
b) 提供详实的网络与信息安全事件处理报告,完整展现应急处理服务的整个过程。
一级要求
组织申报一级资质,除满足二级要求外,还应满足具有处理重大及特别重大信息安全事件的能 力(注:参考国家标准 GB/Z 20985-2007 《信息安全事件分类分级指南》,或参考组织所提供应急 处理服务的对象所处的行业对信息安全事件的等级划分标准,主要考察有害程序事件、网络攻击事 件、信息破坏事件、信息内容安全事件几类。监审时,如无处理重大及特别重大安全事件的服务项 目案例,也可查验相关的应急演练记录,或说明所提供应急保障服务的系统的重要程度),具体见 以下要求:
一、准备阶段
a) 建立有体系化的应急处理服务流程。
c) 可提供本地 7*24 小时、外地 4 小时应急响应服务能力。
d) 与客户之间建立安全保密的信息传输渠道。
e) 具有自主开发专业检测工具的能力。
f)
二、 检测阶段
a) 建立有完善的检测技术规范及具有对高技术入侵的检测技术能力。
b) 具有挖掘系统设备及业务系统安全漏洞的能力。
c) 对确认的安全事件启动安全事件管理程序。
d) 应急处理方案中应对可能造成的影响进行分析,包括社会影响。
三、 抑制阶段
应使用可信的工具进行安全事件的抑制处理,不得使用受害系统已有的不可信文件。
四、根除阶段
应使用可信的工具进行安全事件的根除处理,不得使用受害系统已有的不可信文件。
五、恢复阶段
(如需重建系统时适用该条款)帮助客户对重建后的系统进行全面的安全加固。
六、总结阶段
a) 对网络与信息安全事件进行总结和分析后,针对典型案例存入事件知识库。
b) 提供关闭安全事件管理程序。
c) 告知客户所发事件可能涉及到的法律诉讼方面的法律要求或影响。
