前言
2022年10月12日,市场监管总局(标准委)发布公告,批准国家标准——GB/T 39204 2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《要求》)正式发布,并已于2023年5月1日实施。《要求》的正式发布,是继《关保条例》后,我国首个发布的关键信息基础设施安全保护标准,对于我国关键信息基础设施安全保护有着极为重要的指导意义。此后,我国关基防护工作将呈现出体系化、系统化、实战化、常态化的趋势,也标志着绸缪八年的关键信息基础设施安全保护(简称关保)工作正式拉开帷幕。
本文带来《要求》中“事件处置”重点篇章,事件处置相关管理制度的建立包括制度总体文件设计、流程角色梳理、岗位职责设定、事件分类、事件分级、事件处理时限(SLA)设计、事件管理工具/平台建设、常见网络安全事件应急预案库设计、针对典型事件的应急演练和人员培训、事件沉淀知识库、事件分析溯源、事件结果通报、与监管单位的协同上报联动等具体工作内容。
12. 1 制度
制度要求包括:
a)应建立网络安全事件管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等网络安全事件管理文档,包括公司层面网络安全应急管理规范、应急响应预案、应急培训计划、应急演练计划等。事件处置制度应符合国家联防联控及电力行业相关要求,及时将信息共享给相关方;
b)应为网络安全事件处置提供相应资源,组织建立专门网络安全应急支撑队伍、专家队伍,应储备相关物资、技术装备,发现不足应及时调整补充,保障安全事件得到及时有效处置;
c) 应按规定参与和配合相关部门开展的网络安全应急演练、应急处置、案件侦办等工作,检查应急预案实用性和可操作性、完善应急储备、强化队伍处置能力、构建相关单位和人员联动机制、提升风险防范意识。
12.2应急预案和演练
应急预案和演练要求包括:
a)应在国家网络安全事件应急预案的框架下,根据电力行业负荷减载、电厂和重要变电站安全要求,制定网络安全事件应急预案;
b)应在应急预案中明确,一旦信息系统中断、受到损害或者发生故障时,需要维护的关键业务功能,并明确遭受破坏时恢复关键业务和恢复全部业务的时间。应急预案不仅应包括本组织应急事件的处理,也应包括电网间、厂网间的应急事件的处理;
c)在制定应急预案时,应同所涉及到的运营者内部相关计划(例如:业务持续性计划、灾难备份计划等)以及外部服务提供者的应急计划进行协调,以确保连续性要求得以满足;
d)应在应急预案中包括非常规时期(重大活动保障)、遭受大规模攻击时等处置流程;
e)应对网络安全应急预案定期进行评估修订,包括事件分级变动、处置流程完善、人员队伍构成、技术装备指引等;
f)应每年至少组织开展1次本组织的应急演练,每半年至少开展1次省间或网间的应急演练。关键信息基础设施跨组织、跨地域运行的,应定期组织或参加跨组织、跨地域的应急演练。
12. 3响应和处置
12.3.1事件报告
事件报告要求包括:
a)电力行业关键信息基础设施发生网络安全事件后,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,注意保护现场,并按照规定向有关主管部门报告;
b)当发生有可能危害关键业务的安全事件时,应及时向安全管理机构报告,并组织研判,形成事件报告;
c)应及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员,并按照规定向供应链涉及的、与事件相关的其他组织通报安全事件。
12.3.2事件处理和恢复
事件处理和恢复要求包括:
a)应按照事件处置流程、应急预案进行事件处理,恢复关键业务和信息系统到已知的状态;
b)应按照先应急处置、后调查评估的原则,在事件发生后尽快收集证据,按要求进行信息安全取证分析,并确保所有涉及的响应活动被适当记录,便于日后分析。在进行取证分析时,应与业务连续性计划相协调;
c)在事件处理完成后,应采用手工或者自动化机制形成完整的事件处理报告。事件处理报告包括:
不同部门对事件的处理记录、事件的状态和取证相关的其他必要信息、评估事件细节、趋势和处理;
d)在恢复关键业务和信息系统后,应对关键业务和信息系统恢复情况进行评估,查找事件原因,并采取措施防止关键业务和信息系统遭受再次破坏、危害或故障,重点评估应急指挥、应急响应、系统恢复、信息报告等环节。
e)应收集保存应急处置全过程资料,主动配合评估调查,并对应急处置评估调查报告相关建议和问题进行闭环整改。事件的处置评估工作原则上在应急响应结束后30天内完成;
f)应开展系统、设备安全隐患排查和治理工作,整理受损系统、设备资料,更新网络拓扑结构和设备台账信息,备份系统数据;
g)应恢复电力监控系统正常的部署和配置方式,恢复抢修主用系统取代应急响应中的临时措施。对于破坏严重且无法立即恢复的电力监控系统,应制订系统重建方案并实施;
h)在进行事件处理活动时,应协调组织内部多个部门]和外部相关组织,以更好的对事件进行处理,并将事件处理活动的经验教训纳入事件响应规程、培训以及测试,并进行相应变更。
12.3.3事件通报
应采用邮件、平台、专用App等技术手段,按照相关规定及时将安全事件及其处置情况进行通报,及时将安全事件及其处置情况通报到可能受影响的部门和相关人员,向供应链涉及的、与事件相关的其他组织提供安全事件信息,并按照法律政策规定报告相关部门。
12.4重新识别
应根据检测评估、主动防御、监测预警中发现的安全隐患和发生的安全事件,以及处置结果,结合安全威胁和风险变化情况开展评估,必要时重新开展业务、资产和风险识别工作,并更新安全策略。
网络安全事件处置流程图
《要求》的发布,为国家各行业关键基础设施运营者对自身关键信息基础设施的全生存周期安全保护提供了明确要求,也可供关键信息基础设施安全保护的其他相关方参考使用。武汉安域将严格按照《要求》,不断加强企业服务能力创新,提供符合要求的高质量服务,为国家关键信息基础设施的安全保驾护航。