DB11/T 1599-2018 政务部门信息安全应急预案编制指南

ICS35.020

L09

DB11

北京市地方标准

DB11/T1599—2018

政务部门信息安全应急预案编制指南

Preparationguidelinesforgovernmentdepartments'informationsecurity

emergencyplans

2018-12-17发布2019-04-01实施

北京市市场监督管理局发布

DB11/T1599—2018

目次

前言................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4应急预案体系.......................................................................2

5应急预案编制流程...................................................................3

6总体应急预案基本内容...............................................................6

7专项应急预案基本内容...............................................................8

8现场处置方案基本内容..............................................................10

附录A（资料性附录）北京市某局信息安全事件总体应急预案示例.....................11

附录B（资料性附录）北京市某局网页篡改事件专项应急预案示例.....................18

附录C（资料性附录）北京市某局网页篡改事件现场处置方案示例.....................22

I

DB11/T1599—2018

前言

本标准按照GB/T1.1—2009给出的规则起草。

本标准由北京市经济和信息化局提出并归口。

本标准由北京市经济和信息化局组织实施。

本规范起草单位：北京市政务信息安全应急处置中心、中国科学院信息工程研究所、北京邮电大学。

本规范主要起草人：王宗君、刘鹏、刘国伟、郭子亮、康振、魏彬、刘宝旭、王枞、刘建毅、刘涛、

郭立生、杨泽明、荣晓燕、肖静、王汉臣。

II

DB11/T1599—2018

政务部门信息安全应急预案编制指南

1范围

本标准规定了政务部门信息安全应急预案的预案体系、编制流程、总体预案、专项预案和现场处置

方案的基本内容。

本标准适用于政务部门信息安全应急预案的编制与修订工作，其他社会组织和单位信息安全应急预

案的编制可参照本标准执行。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20984信息安全技术信息安全风险评估规范

GB/T20985.1—2017信息技术安全技术信息安全事件管理第1部分：事件管理原理

GB/Z20986—2007信息安全技术信息安全事件分类分级指南

GB/T22239信息安全技术信息系统安全等级保护基本要求

GB/T22240信息安全技术信息系统安全等级保护定级指南

GB/T24363—2009信息安全技术信息安全应急响应计划规范

GB/T25069—2010信息安全技术术语

GB/T31509信息安全技术信息安全风险评估实施指南

GB/T32926信息安全技术政府部门信息技术服务外包信息安全管理规范

3术语和定义

下列术语和定义适用于本文件。

3.1

信息系统informationsystem

由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进

行采集、加工、存储、传输、检索等处理的人机系统。

[GB/Z20986—2007,定义2.2]

3.2

信息安全事件informationsecurityincident

由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影

响的事件。

[GB/Z20986—2007,定义2.2]

1

DB11/T1599—2018

3.3

应急预案emergencyplan

一种关于备份、应急响应和灾后恢复的计划。

[GB/T25069—2010,定义2.2.3.4]

3.4

关键信息基础设施criticalinformationinfrastructure

关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利

益的信息设施。

注：《中华人民共和国网络安全法》规定：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电

子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民

生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的

具体范围和安全保护办法由国务院制定，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，

能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要

信息系统，重要互联网应用系统。

4应急预案体系

4.1应急预案体系架构

政务部门信息安全应急预案体系由部门信息安全总体应急预案、部门信息安全专项应急预案和现场

处置方案构成，如图1所示。

政政务务部部门门信信息息安安全全总总体体应应急急预预案案

信息安全事件专项预案关键信息基础设施专项预案重大活动信息安全保障预案

有害程序事件应急预案OA系统应急预案节假日应急预案

网络攻击事件应急预案门户网站应急预案重大活动应急预案

现

信息破坏事件应急预案业务系统应急预案其他应急保障预案

场

处

信息内容安全事件应急预案决策支持系统应急预案置

方

设备设施故障事件应急预案档案系统应急预案案

灾难性事件应急预案财务系统应急预案

其他事件应急预案其他系统应急预案

政务部门信息安全专项应急预案

图1政务部门信息安全应急预案体系

2

DB11/T1599—2018

4.2政务部门信息安全总体应急预案

4.2.1政务部门信息安全总体应急预案是根据上级应急预案要求，针对信息安全事件综合性的应急响

应程序和要求。是政务部门信息安全应急预案体系的总纲，是管辖范围内所有专项预案、现场处置方案

的总体指导性文件。

4.2.2政务部门信息安全总体应急预案应明确各政务部门信息安全应急工作的基本要求。

4.3政务部门信息安全专项应急预案

4.3.1政务部门信息安全专项应急预案是对某种类型或某几种类型的信息安全事件、对关键信息基础

设施而预先制定的应急响应预案，分为信息安全事件专项预案、关键信息基础设施专项预案和重大活动

信息安全保障预案三类。

4.3.2政务部门信息安全专项应急预案是总体预案的细化，应对应急人员、应急流程、保障措施提出

具体要求，对技术要求进行专项设计。

4.4现场处置方案

现场处置方案是在总体预案和专项预案的指导下，针对政务部门网络与信息系统制定的适合现场应

急处置的技术性方案，是专项应急预案的细化，具体指导现场工作人员对各个信息系统或信息安全事件

应急响应的工作。

5应急预案编制流程

5.1基本流程

应急预案编制的基本流程为启动应急预案编制、应急体系调查、风险评估、业务影响分析、应急资

源和能力评估、应急预案编制、应急预案评审及修订、应急预案发布及备案、应急预案管理与维护，应

急预案编制流程如图2所示。

启动应急预案编制

应急体系调查

风险评估

业务影响分析

应急资源和能力评估

应急预案编制

应急预案评审

应急预案发布及备案

应急预案管理与维护

图2应急预案编制流程

3

DB11/T1599—2018

5.2启动应急预案编制

5.2.1根据应急处置目标政务部门应成立由应急工作负责人员、相关专业的外部专家、专业技术队伍、

相关系统使用人员组成的应急预案编制工作组，应急预案编制工作组的组成，包括但不限于，各业务部

门、各信息部门、各保障小组、各专家组。

5.2.2制定应急预案编制计划，明确各小组的职责及接口人，外聘专家名单；预案编制计划时间表及

各阶段的具体目标；预案编制工作开展的方式及方法。

5.2.3提供开展应急预案编制工作所需的各项资源。

5.3应急体系调查

5.3.1收集了解政务部门的基本情况、组织环境、现有的应急体系等信息；收集已有的应急预案、已

发生应急事件及处置手段和方法及其他应急相关资料；评估现有应急体系的完备性。

5.3.2应急体系调查应包括但不限于以下内容：

——已有的应急预案，包括正在使用及废弃的预案；

——应急处置事件总结，包括原因、过程、处置手段及方法；

——现有的应急体系情况，包括但不限于人力、物质、技术、制度；

——现有应急体系分析、评价。

5.4风险评估

5.4.1风险评估是编制应急预案关键过程，风险评估的结果是确定重点考虑的应急对象，划分应急响

应优先级的依据，政务部门应结合已有的安全措施和结合风险评估的结果确定应急响应工作的重点。

5.4.2风险评估工作应按照GB/T20984和GB/T31509的要求，完成以下工作：

——对关键信息基础设施列表；

——确定风险评估的目标；

——制定风险评估的工作计划，确定工作方式方法；

——对资产、威胁和脆弱性进行识别；

——甄别现有安全措施；

——对残余风险及其可能导致的后果进行评估。

5.5业务影响分析

业务影响分析应分析信息安全事件发生时所产生的损失和恢复所需信息系统资源，并符合GB/T

22239和GB/T22240中所规定的要求，包括但不限于以下内容：

——业务现状分析，明确业务流程、功能、渠道和连续性；

——信息系统现状分析，明确功能、拓扑、关联关系、中断影响；

——分析信息安全事件影响分析；

——分析信息系统应急处置优先级及恢复目标的确定。

5.6应急资源和能力评估

应急资源和能力评估至少应包括物质资源、人力资源、技术资源、流程资源、外包服务商评估，具

体评估包括但不限于以下内容：

——物质资源评估：应评估可用于信息安全应急响应工作的各项工具、设备和设施资源，确定在应

急响应工作中可投入使用的物质资源，包括资源的类型、功能、作用和投入时间等；

4

DB11/T1599—2018

——人力资源评估：应评估在信息安全应急响应工作中可以投入的人力资源、组织架构、技术支撑

等，重点评估各应急岗位投入人员的数量、人员的技术能力和相关经验；

——技术资源评估：应评估在信息安全应急响应工作中的技术资源，包括采用的安全技术和安全产

品，以及安全产品之间的互补性及可能存在的缺陷等；

——流程资源评估：应评估信息安全应急响应工作中现有的流程资源，包括明确资产和安全风险、

应急响应工作的职责分配、现有的应急预案和灾难恢复计划、应急社会网络和其他应急机构的

应急支援流程、应急资源的统一调配流程、以往信息安全事件及处理经验等；

——外包服务商评估：评估外包服务商在实际操作中的能力和应急响应程度，包括但不限于服务商

资质、应急响应能力、应急响应物资等，并按照GB/T32926对外包服务商进行安全评估。

5.7应急预案编制

应急预案编制应符合信息安全相关法律法规、标准和其他应急预案编制的相关要求，政务部门应结

合实际工作，完成应急预案的编制。应急预案应符合以下要求：

——应符合信息安全相关法律法规，国家应合规国家、行业和地方标准的相关要求；

——应合规、准确、完整；

——应方便查阅；

——在紧急情况启用时应便于实施。

5.8应急预案评审

5.8.1应急预案编制完成后，政务部门应对应急预案的适用性、科学性、合理性、针对性及规范性进

行审核。应急预案的审核分为内部审核和专家评审，审核后应及时根据评审意见对应急预案进行修订。

5.8.2政务部门内与信息安全应急管理相关的人员对应急预案应进行内部审查，审查应包括但不限于

以下内容：

——应急组织体系；

——应急需求；

——预案可操作性；

——信息一致性；

——有效性；

——可控性；

——文字内容可读性。

5.8.3应组织政务部门外信息安全、应急保障、应急管理等领域的专业人员成立的预案评审组对应急

预案进行专家审查，评审组专家应不少于5人，审查应包括但不限于以下内容：

——应急预案规范性；

——应急预案体系的合理性；

——应急处置过程风险可控性；

——应急处置流程的科学性。

5.9应急预案发布及备案

评审通过后的应急预案应按规定审批并正式发布。应急预案发布后，政务部门应组织相关人员进行

应急预案培训和演练，明确职责、分工、安全事件处置方法和流程等，并根据相关要求将应急预案报有

关部门备案。

5

DB11/T1599—2018

5.10应急预案管理和维护

5.10.1正式发布的应急预案文档的管理，应符合以下要求：

——专人负责保存与发放应急预案；

——应急预案修订后应统一更新；

——最新版本的应急预案应及时发放给参与应急响应工作的相关人员；

——应急预案废止版本应按有关规定处理。

5.10.2为确保应急预案的有效性，应急预案的维护应包括但不限于以下情况：

——业务流程的变化、信息系统的变更、组织机构调整、人员的变更及时在应急预案文档中反映；

——应急预案在测试、演练和实际执行