1、前言

中国工业企业正在加速数字化转型的进程，随着企业工业化和信息化融合程度、互联互通程度、综合集成程度的不断加深，对安全运营人员的管理能力提出越来越高的要求，关键信息基础设施运营者（以下简称“CII运营者”）作为主要负责人，对关键信息基础设施安全保护负总责，承担领导关键信息基础设施安全保护和重大网络安全事件处置工作。2023年5月1日正式实施的《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）给出了关键信息基础设施安全保护的三项基本原则、六个方面活动。

图 关基保护要求的六个方面活动

本篇文章参考《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022），梳理了CII运营者开展事件处置的四部曲：“制度建设”、“应急预案和演练的建设”、“响应和处置建设”、“重新识别建设”，可以满足并落地关键信息基础设施（以下简称“CII”）安全防护中“事件处置”活动18条要求内容的建设要求，“事件处置”活动主要内容如下表：

表 “事件处置”活动

2、事件处置四部曲

2.1 制度建设

满足《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）事件处置活动中制度的建设要求：

a)应建立网络安全事件管理制度，明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等，制定应急预案等网络安全事件管理文档。事件处置制度应符合国家联防联控相关要求，及时将信息共享给相关方。

网络安全事件应急处置和报告制度的第一步是报告和认定，该过程包括网络安全事件的发现和报告，安全事件的认定、等级评估和分类等。在这个过程中需要对事件的性质进行判断随后进行预警和通报，把信息通报到相应的部门、企业或个人，确保事件快速处置和有效应对。2023年5月23日，国家市场监督管理总局和国家标准化管理委员会联合发布了《GB/T 20986-2023信息安全技术 网络安全事件分类分级指南》（下称“《指南》”）。

CII运营者应参考《指南》中“第五章-网络安全事件分类”、“附录A-网络安全事件类别和级别的关联关系示例”，网络安全事件分类方法为综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素，对网络安全事件进行分类，包括恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件设备设施故障事件、违规操作事件、安全隐患事件异常行为事件、不可抗力事件和其他事件等10类，每类之下再分若干子类。

CII运营者应参考《指南》中“第六章-网络安全事件分级”、“附录B-网络安全事件分类代码表(续)”，在开展网络安全事件分级工作时，应根据事件影响对象的重要程度、业务损失的严重程度、社会危害的严重程度3个分级要素进行评定，网络安全事件分为4个级别：特别重大事件(一级)、重大事件(二级)、较大事件(三级)、包括一般事件(四级)。

b)应为网络安全事件处置提供相应资源，组织建立专门网络安全应急支撑队伍、专家队伍，保障安全事件得到及时有效处置。

c)应按规定参与和配合相关部门开展的网络安全应急演练、应急处置、案件侦办等工作。

依据《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、各省（区、市）《网络安全事件应急预案》，将由各省（区、市）网信办组织网络安全应急处置支撑单位遴选工作，CII运营者可参与申报各省（区、市）网络安全应急技术支撑单位，各个网络安全应急技术支撑单位上报技术专家，参与各省（区、市）网络安全应急支撑专家库的组建。

各省（区、市）、各部门网信办为主要负责人，每年至少组织一次预案演练，组织相关单位（如CII运营者）按照网络安全事件应急预案，依照主体责任和责任分工，依次展开推演，并将演练情况报中央网信办。

2.2 应急预案及演练建设

满足《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）事件处置活动中应急预案和演练的建设要求：

a)应在国家网络安全事件应急预案的框架下，根据行业和地方的特殊要求，制定网络安全事件应急预案。

CII运营者的应急预案框架及相关应急预案应符合国家、行业和地方的相关要求，在应急预案框架下，针对特定场景形成专项应急预案，专项预案场景包括非常规时期、遭受大规模攻击时等处置流程，基本覆盖CII对象所面临的重大威胁，应急预案框架内容包括编制目的、编制依据、适用范围、组织机构及职责、运行机制、事件分类分级等信息，专项预案内容包括编制目的、适用范围、响应流程、处置步骤等信息；当涉及多个CII运营者时，应核查所有CII运营者的应急预案（包括各CII运营者责任范围内可能出现场景的专项应急预案），均符合以上情况。

b)应在应急预案中明确，一旦信息系统中断、受到损害或者发生故障时，需要维护的关键业务功能，并明确遭受破坏时恢复关键业务和恢复全部业务的时间。应急预案不仅应包括本组织应急事件的处理，也应包括多个运营者间的应急事件的处理。

CII运营者的应急预案框架和应急预案应明确了一旦信息系统中断、受到损害或者发生故障时，需要维护的关键业务功能，应明确遭受破坏时恢复关键业务和恢复全部业务的时间，应急演练范围应覆盖所有关键业务；演练后应根据演练情况对应急预案进行修订；

CII运营者的应急预案内容应完善（覆盖需要维护的关键业务功能；考虑到多个CII运营者之间的协同合作；内容包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训、应急处理流程、系统恢复流程等；包括非常规时期、遭受大规模攻击时等处置流程；明确遭受破坏时恢复关键业务和恢复全部业务的时间；能够有效指导工业企业开展应急处置工作等）。

c）在制定应急预案时，应同所涉及的运营者内部相关计划(例如:业务持续性计划、灾难备份计划等)以及外部服务提供者的应急计划进行协调，以确保连续性要求得以满足。

CII运营者的应急预案应覆盖到了本单位、外部组织（应急支撑队伍、供应链相关组织、外部专家等）、相关主管部门等；应同所涉及到的CII运营者内部相关计划（例如业务持续性计划、灾难备份计划等）以及外部服务提供者的应急计划进行协调，连续性要求应能够满足；当涉及多个CII运营者时，应核查所有CII运营者的应急预案，应均符合以上情况。

d）应在应急预案中包括非常规时期、遭受大规模攻击时等处置流程。

CII运营者的应急预案内容应完善（覆盖需要维护的关键业务功能；考虑到多个CII运营者之间的协同合作；内容包括启动预案的条件、应急组织构成、应急资源保障、事后教育和培训、应急处理流程、系统恢复流程等；包括非常规时期、遭受大规模攻击时等处置流程；应明确遭受破坏时恢复关键业务和恢复全部业务的时间；能够有效指导CII运营者开展应急处置工作等）。

e）应对网络安全应急预案定期进行评估修订，并持续改进。

CII运营者的应急预案、评估记录、修订记录、培训记录等应定期进行评估修订，持续改进；当涉及多个CII运营者时，应检查所有CII运营者的应急预案、评估记录、修订记录、培训记录等，所有CII运营者的应急预案均定期评估修订，持续改进。

f）应每年至少组织开展 1次本组织的应急演练。关键信息基础设施跨组织、跨地域运行的，应定期组织或参加跨组织、跨地域的应急演练。

CII运营者的应急演练方案和应急演练记录应符合应急预案流程，处置结果和演练结果应达到预期目标，应每年至少组织1次应急演练，若CII跨组织、跨地域运行的，应定期组织或参加跨组织、跨地域CII运营者的应急演练，演练范围应覆盖所有相关的CII运营者，应覆盖所有关键业务；演练后应根据演练情况对应急预案进行修订。

2.3 响应和处置建设

满足《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）事件处置活动中响应和处置的建设要求：

（一）事件报告

a）当发生有可能危害关键业务的安全事件时，应及时向安全管理机构报告，并组织研判，形成事件报告；

事件报告单、研判记录、监测记录等对安全事件的分析研判结果应准确，应在发生有可能危害关键业务的安全事件时，及时向安全管理机构报告；

b)应及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员，并按照规定向供应链涉及的、与事件相关的其他组织通报安全事件。

安全事件通报记录应将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员，按照规定向关键业务供应链涉及的、与事件相关的其他组织通报安全事件，通报应及时；

（二）事件处理和恢复

a)应按照事件处置流程、应急预案进行事件处理，恢复关键业务和信息系统到已知的状态;

b）应按照先应急处置、后调查评估的原则，在事件发生后尽快收集证据，按要求进行信息安全取证分析，并确保所有涉及的响应活动被适当记录，便于日后分析，在进行取证分析时，应与业务连续性计划相协调;

c）在事件处理完成后，应采用手工或者自动化机制形成完整的事件处理报告。事件处理报告包括:不同部门对事件的处理记录、事件的状态和取证相关的其他必要信息、评估事件细节、趋势和处理；

d）在恢复关键业务和信息系统后，应对关键业务和信息系统恢复情况进行评估，查找事件原因并采取措施防止关键业务和信息系统遭受再次破坏、危害或故障；

e）在进行事件处理活动时，应协调组织内部多个部门和外部相关组织以更好地对事件进行处理，并将事件外理活动的经验教训纳入事件响应规程、培训以及测试，并进行相应变更。

• CII运营者的事件处理记录（当涉及到多个CII运营者时，应核查所有CII运营者的事件处理记录），应按照事件处置流程进行事件处理，当符合应急预案启动条件时应按照应急预案处置流程处理，应按照预期目标恢复关键业务和信息系统到已知的状态（如上一次备份状态）；当涉及到多个CII运营者时，多个CII运营者应对事件进行删除协调处理；

在发生应急事件时，按照预期目标恢复关键业务通常需要耗费企业大量的人力、物力和财力，甚至有些数据是无法恢复的，企业要恢复或者重建这些关键业务数据从技术上依赖于备份系统的建设，威努特数据备份与恢复系统能够提供重要数据的本地备份和恢复功能。

图 数据备份与恢复系统核心功能

数据的安全及业务的连续性是一个应用系统最基本的保证，关键业务数据的丢失或业务的中断可能会给企业带来不可估量的损失。威努特数据备份与恢复系统的数据库复制软件通过建立实时或准实时的容灾数据库，在出现数据损失时不仅可以保证关键业务数据的及时恢复，也可以确保应用程序的及时接管，将故障对应用系统的影响降到最低。

图 数据备份与恢复系统应用级容灾功能

• CII运营者应做好取证记录、审计记录、业务连续性计划等，按要求进行信息安全取证分析，并对所有涉及的响应活动进行适当记录，取证分析应综合考虑对关键业务的业务连续性带来的影响；
• CII运营者的事件处理报告，报告内容应符合要求，包含所涉及部门对事件的处理记录、事件的状态和取证相关的必要信息、评估事件细节、趋势和处理过程及结果等内容；
• 事件处理报告或事件分析记录以及整改记录，应在恢复关键业务和信息系统后，对关键业务和信息系统恢复情况进行评估，对事件进行溯源查找事件原因，并采取措施防止关键业务和信息系统再次遭受破坏或危害，应对采取措施的有效性进行验证测试；
• 事件处理报告、事件分析记录、事件处置流程、应急预案、培训课程等，应协调组织内部多个部门和外部相关组织进行事件处理活动，并将事件处理活动的经验教训纳入事件处置流程、培训以及测试等；
• 访谈安全管理机构人员应了解事件处理相关过程；
• 核查事件处理和恢复的相关制度文档中应针对以上内容进行明确规定和要求，并提供相应的工作表单模板等，相关制度文档应已有效通知到相关方。

（二）事件通报

应及时将安全事件及处置情况通报到可能受影响的部门和相关人员，向供应链涉及的、与事件相关的其他组织提供安全事件信息，并按照法律政策规定报告相关部门。

安全事件通报记录应及时地将安全事件及处置情况通报到受影响的部门和人员，应向关键业务供应链涉及的、与事件相关的其他组织提供安全事件信息，并按照法律政策规定通报相关部门。

2.4 重新识别建设

满足《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）事件处置活动中重新识别的建设要求：

应根据检测评估、监测预警、主动防御中发现的安全隐患或发生的安全事件，以及处置结果，并结合安全威胁和风险变化情况开展评估，必要时重新开展业务、资产和风险识别工作，并更新安全策略。

• 检测评估报告、安全态势分析记录、预警信息、威胁信息、事件报告单、事件处理报告等，要结合所发现的安全隐患和发生的安全事件，以及处置结果，并结合安全威胁和风险变化情况对CII运营者整体运行情况进行评估，并做出是否重新开展业务、资产和风险识别工作的结论；
• 重新识别记录要结合评估结果重新开展业务、资产和风险识别工作；
• CII运营者要根据风险识别结果及时更新安全策略。

CII运营者可以通过建设关键信息基础设施的态势分析与安全运营管理平台，用于开展网络安全监测预警和应急处置。通过布设流量探针、日志信息数据推送等多种方式，将各类网络安全数据资源汇聚到态势分析与安全运营管理平台，依托大数据、人工监测等方式开展实时监测、通报预警、应急处置、安全防护、安全调度等工作。同时，态势分析与安全运营管理平台应与公安机关相关工作平台对接联动，构建联合预警、协同防御体系，形成纵横联通、协同作战的立体化关键信息基础设施安全保护大平台。

图 态势分析与安全运营管理平台告警处置功能

威努特态势分析与安全运营管理平台能对系统内资产和设备运行状态、网络链路、安全状况进行监测，通过综合分析研判生成预警信息。整合多维监测数据，构建多种数据模型，通过关联分析引擎基于流式处理框架进行分析，能够在大数据量级下对各维度安全数据进行实时关联分析，发现更复杂的、更具价值的威胁事件，并支持对输出结果进行回溯分析。

3、总结

针对《信息安全技术 关键信息基础设施安全保护要求》中对于“事件处置”的细节要求，通过制度建设、应急预案及演练建设、响应和处置建设、重新识别建设四部曲内容有助于CII运营者加强对信息安全事件的管理，规范安全事件的响应和操作流程。

附：《信息安全技术 关键信息基础设施安全保护要求》，“事件处置”活动实施建议

原文始发于微信公众号（关键信息基础设施安全保护联盟）：“事件处置”活动18条要求内容的落地措施