1. 标准内容
1)定义了网络安全应急能力的基本要求和增强能力要求,其中基本要求为必须满足项,增强能力为扩展项,通过增强能力评估可确定最终应急能力等级。
2)定义了应急能力评估流程与应急能力等级划分方法。
2. 适用范围
本标准适用于对网络运营者开展网络安全应急能力评估,可由网络运营者进行自评估,也可由评估机构进行第三方评估。
3. 能力要求
网络安全应急能力评估项
网络安全应急能力基本要求与增强能力都包括应急组织机构、应急制度、监测预警、应急处置、预防保障5个方面共15个评估项。基本要求对应急能力中各评估项提出了基线要求,增强能力是对基本要求的进一步细化和扩展,以监测预警-监测评估项内容为例:
基本要求为:
a) 应具备网络安全事件监测技术措施,应对重要系统进行7*24小时实时监测,应形成监测记录;
b) 监测日志留存时间应不少于6个月。
增强能力要求为:
a) 应对资产变更、网络流量、日志信息、运行状态、性能状况等进行监测;
b) 应对资产脆弱性、异常行为、安全事件等安全报警进行监测;
c) 重要监测数据留存时间应不少于6个月;
d) 应设有监控中心与专业技术团队;
e) 对于监测发现的安全隐患和可疑事件,应及时进行处理,留存处理记录,如研判可能发生安全事件应及时进行事件报告,应定期形成监测情况汇总报告(月报、季报、年报);
f) 应定期对网络安全监测能力进行评估并持续改进,提升准确率、降低误报率。
网络运营者只需具备对“重要系统”网络安全事件进行7*24小时监测的能力即可满足基本要求。而增强能力除对网络安全事件进行监测外进一步扩展对“资产脆弱性、异常行为”的监测,同时还需对网络基础设施的“资产变更、网络流量、日志信息、运行状态、性能状况”进行监测,不但强调安全事件发生时的监测发现能力,还着重强调网络安全事件发生前的资产监测管控能力。
另外,增强能力要求还对网络安全事件发生后事件的汇总报告提出了要求,并定期对网络安全事件的监测过程、方法、工具等进行持续改进降低误报。
4. 评估过程
网络安全应急能力评估流程
网络安全应急能力评估流程包括评估准备、评估实施、分数评定、报告编制4个阶段。
1) 准备阶段:
在评估准备阶段,评估方应组建评估小组,确定评估对象与范围,制定评估方案;被评估方应派相关人员配合做好各方面评估准备工作。
2) 实施阶段
网络安全应急能力评估实施分为基本要求评估与增强能力评估两个阶段,在基本要求评估中如果有不符合项,则整体评估结论为不合格,评估终止;如果基本要求全部符合,则评估小组进行第二阶段的增强能力评估。
在增强能力评估阶段,评估小组根据增强能力要求对被评估方进行评估,采用评分制对增强能力进行计分,根据得分确定网络安全应急能力的评估等级。
实施阶段评估方法如下:
>查阅文档:查阅应急管理制度、应急预案,历史事件处置、演练等相关文字、音像资料和数据记录;
>现场查看:现场查看应急值班场所、应急工具物资、应急系统平台等系统和设施;
>访谈问答:主要面向应急领导机构成员、应急工作人员,了解其对本岗位应急工作职责、应急预案、相关法律法规、工作规章、应急技术知识等的掌握程度;
>实际操作:主要评估应急工作人员对应急工具的掌握程度。
3) 分数评定
评估小组采用评分制对增强能力进行计分,每符合1条得1分,实际分数为所有增强能力评估项得分之和,应得分数为全部增强能力的总条目数,按如下公式换算百分制后为最终得分:
网络安全应急能力根据最终得分可划分为4个等级:
优: 85分≤最终得分≤100分;
良: 70分≤最终得分<85分;
合格: 60分≤最终得分<70分;
不合格:0分≤最终得分<60分。
4) 报告编制
报告内容应包括:
>编制依据;
>目的和适用范围;
>评估程序和方法;
>评估结果分析;
>评估结论;
>改进措施及建议;
>报告附件,包括评估过程中产生的数据、表格、图片和记录、评估过程中会议记录和评估意见、其他必要说明等。
5. 附件
标准提供了两个规范性评估表和一个资料性适用关系表,可根据表格内容对相应要求进行比对评估。
附件如下:
表A.1 《基本要求评估表》
表B.1 《增强能力评分表》
表C.1 《国家网络安全应急政策法规及国家标准与本标准评估项的适用关系》