信息安全技术 关键信息基础设施网络安全保护基本要求（报批稿）【2020.09.10】.docx

《信息安全技术 关键信息基础设施网络安全保护基本要求（报批稿）【2020.09.10】.docx》由会员分享，可在线阅读，更多相关《信息安全技术 关键信息基础设施网络安全保护基本要求（报批稿）【2020.09.10】.docx（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 关键信息基础设施安全保护要求Information security technology -Security requirements for critical information infrastructure protection （报批稿）(本稿完成日期：2020-08-15)XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次目次I前言III引言IV信息安全技术 关键信息基础设施安全保护要求11 范围12 规范性引用文件13 术语和定义13.114 概

2、述14.1 安全保护目标14.2 关键信息基础设施构成24.3 主要环节及活动25 分析识别35.1 业务识别35.2 资产识别35.3 风险识别35.4 重大变更36 安全防护36.1 网络安全等级保护制度46.2 安全管理制度46.3 安全管理机构46.4 安全管理人员46.5 安全通信网络56.6 安全计算环境56.7 安全建设管理66.8 安全运维管理77 检测评估77.1 检测评估制度77.2 检测评估方式和内容78 监测预警78.1 监测预警制度78.2 监测88.3 预警88.4 对抗89 事件处置99.1 事件管理制度99.2 应急预案99.3 响应和处置99.4 重新识别10

3、参考文献11前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国电子技术标准化研究院、公安部网络安全保卫局、北京赛西科技发展有限责任公司、中国信息安全测评中心、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、公安部第三研究所、公安部第一研究所、中国信息安全研究院有限公司、国家工业信息安全发展研究中心、中国网络安全审查技术与认证中心、中国互联网络信息中心。本标准主要起草人

4、：。引言为落实中华人民共和国网络安全法关于保护关键信息基础设施运行安全的要求，在国家网络安全等级保护制度基础上，充分借鉴我国相关部门在重要领域开展网络安全审查、网络安全检查等重点工作的成熟经验，充分吸纳国外在关键信息基础设施安全保护方面的举措，结合我国现有信息安全保障体系等成果，按照实战化、体系化和常态化要求，从分析识别、安全防护、检测评估、监测预警、事件处置等环节，提出关键信息基础设施安全保护要求，采取一切必要措施保护关键信息基础设施业务连续运行，及其重要数据不受破坏，切实加强关键信息基础设施安全保护。III信息安全技术 关键信息基础设施安全保护要求1 范围本标准规定了关键信息基础设施分析识

5、别、安全防护、检测评估、监测预警、事件处置等环节的安全要求。本标准用于关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等阶段的安全保护工作，主要适用于关键信息基础设施运营者，也可供关键信息基础设施安全保护的其他相关方参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20984信息安全技术 信息安全风险评估规范GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 25069信息安全技术 术语3 术语和定义GB/T 20984

6、和GB/T 25069中界定的以及下列术语和定义适用于本文件。3.1关键信息基础设施 critical information infrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统。4 概述4.1 安全保护目标关键信息基础设施安全保护应立足应对大规模网络攻击威胁，加强安全保卫、保护和保障，按照实战化、体系化、常态化要求，落实动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控措施,采取可信计算、人工智能、大数据分析、密码等新技术，

7、加强技术保护和管理措施，建立网络安全综合防御体系。整体防控：以保护关键业务链为目标，进行整体安全设计，建立协同联动、高效统一的安全防护架构。纵深防御：实行分区分域管理，区域间进行安全隔离和认证，实现由外到内、从边界到核心的多重保护以及对攻击的层层阻击。主动防御：基于可信计算技术、密码技术等实现主动安全防护，结合威胁情报、态势感知，及时发现和处置未知威胁，落实主动防护措施。动态防御：以风险管理为指导，针对攻击方法、攻击途径的变化，实现网络安全状态持续监测、及时反馈，动态调整防御策略、技术和手段。精准防护：基于资产的自动化管理，综合利用内外部威胁信息，实现对核心资产的快速有效防护。联防联控：建立与

8、国家监管部门、保护工作部门以及其他相关组织的信息共享、协同联动的共同防护机制，建设“打防管控”一体化网络安全综合防控体系，提升国家整体应对网络攻击威胁能力。注：保护工作部门即负责关键信息基础设施安全保护工作的部门。4.2 关键信息基础设施构成本标准所指的关键信息基础设施运营者（以下简称运营者）负责关键信息基础设施的运行、管理，对本组织关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任。一个关键信息基础设施可能涉及一个或多个运营者，这些运营者都应符合本标准相关要求。注：当一个关键信息基础设施涉及多个运营者时，一般有一个主运营者和一个或多个子运营者。一个关键信息

9、基础设施可能包含一个或多个网络安全等级保护对象。若包含多个网络安全等级保护对象，则至少含有一个第三级（含）以上等级保护对象。4.3 主要环节及活动关键信息基础设施安全保护包括分析识别、安全防护、检测评估、监测预警、事件处置五个环节。图1所示为一般情况下的环节之间的关系图。当开展关键信息基础设施安全保护时，环节之间的关系根据实际情况会有所变动。分析识别安全防护检测评估监测预警事件处置图1 关键信息基础设施网络安全保护各环节关系图关键信息基础设施安全保护各环节基本含义如下：a） 分析识别：运营者按照相关规定开展关键信息基础设施分析和识别活动，围绕关键信息基础设施承载的关键业务，开展业务依赖性识别、

10、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。b）安全防护：运营者根据已识别的关键业务和资产、安全风险，实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施，确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。c）检测评估：为检验安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度，确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。d）监测预警：运营者制定并实施网络安全监测预警和信息通报制度，针

11、对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示。建立威胁情报和信息共享机制，落实相关措施，提高关键信息基础设施主动防御能力。e）事件处置：对网络安全事件进行报告和处置，并根据检测评估、监测预警环节发现的问题，运营者制定并实施适当的应对措施，恢复由于网络安全事件而受损的功能或服务。5 分析识别5.1 业务识别运营者应：a）识别关键业务及其所依赖的内外部支撑业务，识别其对关键业务的重要性。b）当关键业务为外部业务提供服务时，识别关键业务对外部业务的重要性。c）梳理关键业务链，明确支撑关键业务的关键信息基础设施分布和运营情况。5.2 资产识别运营者应：a）识别关键业务链所依赖的资产

12、，建立关键业务链相关的网络、系统、服务和其他资产的资产清单。b）基于资产类别、资产重要性和支撑业务的重要性，对资产进行优先排序，确定资产防护的优先级。c）对关键信息基础设施相关资产进行标识，并实现自动化资产管理，根据关键业务链所依赖资产的实际情况实时动态更新。5.3 风险识别运营者应根据关键业务链开展安全风险及其影响分析，识别关键业务链各环节的威胁、脆弱性、已有安全控制措施及主要安全风险点，确定风险处置的优先级，形成安全风险报告。注：风险分析的方法可参照GB/T 20984。5.4 重大变更运营者应在关键信息基础设施发生改建、扩建、所有人变更等重大变化有可能影响认定结果时，例如网络拓扑改变、业

13、务链改变等，重新开展识别工作，并更新资产清单。6 安全防护6.1 网络安全等级保护制度运营者应落实符合国家网络安全等级保护制度相关要求，开展定级、备案、相应等级的安全建设整改和等级测评工作。6.2 安全管理制度运营者应：a） 建立适合本组织的网络安全保护计划，结合关键业务链的安全风险报告，明确关键信息基础设施网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施、实施细则及资源保障等，形成文档并经审批后发布至相关人员。建立保障制度，加强机构、编制、人员、经费、装备、工程、资源等保障，支撑关键信息基础设施安全保护工作。网络安全保护计划应至少每年修订一次，或发生重大变化时进行修订。注1：安

14、全策略包括但不限于：安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略（配置、漏洞、补丁、病毒库等）、供应链安全管理策略、安全运维策略等。注2：管理制度包括但不限于：风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度（安全措施同步规划、同步建设和同步使用）、供应链安全管理制度等。b）基于关键业务链、供应链等安全需求建立或完善安全策略和制度，并根据关键信息基础设施面临的安全风险和威胁的变化相应调整。6.3 安全管理机构运营者应：a） 成立指导和管理网络安全工作的委员会或领导小组，由组织主要负

15、责人担任其领导职务，设置专门的网络安全管理机构（以下简称“安全管理机构”），建立首席网络安全官制度，建立并实施网络安全考核及监督问责机制。b） 安全管理机构主要人员应参与本组织信息化决策。c） 安全管理机构相关人员应参加国家、行业或业界网络安全相关活动，及时获取网络安全动态，并传达到相关部门及人员。6.4 安全管理人员运营者应：a）对安全管理机构的负责人和关键岗位的人员进行安全背景和安全技能审查，符合要求的人员方能上岗，关键岗位包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应专人负责，并配备2人以上共同管理。b）运营者应建立网络安全教育培训制度，定期开展基于岗位的网络

16、安全教育培训和技能考核，应规定适当的关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长，教育培训内容应包括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识等。c）在上岗前对人员进行安全背景审查，当必要时或人员的身份、安全背景等发生变化时（例如取得非中国国籍）应根据情况重新进行安全背景审查。应在人员发生内部岗位调动时，重新评估调动人员对关键信息基础设施的逻辑和物理访问权限，修改访问权限并通知相关人员或角色。应在人员离岗时，及时终止离岗人员的所有访问权限，收回与身份鉴别相关的软硬件设备，进行离职面谈并通知相关人员或角色。d）明确从业人员安全保密职责和义务，包括安全职责、奖惩

17、机制、离岗后的脱密期限等。必要时，签订安全保密协议。6.5 安全通信网络6.5.1 互联安全运营者应：a） 建立或完善不同等级系统、不同业务系统、不同区域、多个运营者之间的安全互联策略。b） 保持相同的用户其用户身份、安全标记、访问控制策略等在不同等级系统、不同业务系统、不同区域中的一致性。例如，可以使用统一身份与授权管理系统/平台。c） 对不同局域网之间远程通信时采取安全防护措施，例如在通信前基于密码技术对通信的双方进行验证或鉴别。6.5.2 边界防护运营者应：a） 对不同网络安全等级系统、不同业务系统、不同区域、多个运营者之间的互操作、数据交换和信息流向进行严格控制。例如：采取措施限制数据

18、从高网络安全等级系统流向低网络安全等级系统。b） 应对未授权设备进行动态检测及管控，只允许通过运营者自身授权和安全评估的软硬件运行。 6.5.3 安全审计运营者应：a） 加强网络审计措施，监测、记录系统运行状态、日常操作、故障维护、远程运维等，留存相关日志数据不少于12个月。b） 对分散在多个运营者的审计数据进行收集汇总和集中分析，以便及时发现安全隐患和风险。6.6 安全计算环境6.6.1 鉴别与授权运营者应：a） 明确重要业务操作或异常用户操作行为，并形成清单。b） 对设备、用户、服务或应用、数据进行安全管控，对于重要业务操作或异常用户操作行为，建立动态的身份鉴别方式，或者采用多因子身份鉴别

19、等方式。c） 针对重要业务数据资源的操作，基于安全标记等技术实现访问控制。6.6.2入侵入侵防范防范运营者应：a） 实现对新型网络攻击行为（如APT攻击）的入侵防范。b） 具备系统主动防护能力，及时识别并阻断入侵和病毒行为。6.6.3数据安全防护运营者应：a） 建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训。b） 制定数据安全管理策略，明确数据和个人信息保护的相应措施。c） 将在我国境内运营中收集和产生的个人信息和重要数据存储在境内，因业务需要，确需向境外提供数据的，应当按照国

20、家相关规定和标准进行安全评估，法律、行政法规另有规定的，依照其规定。对数据的全生命周期进行安全管理，基于数据分类分级实现相应的数据安全保护。d） 严格控制重要数据的公开、分析、交换、共享和导出等关键环节，并采取加密、脱敏、去标识化等技术手段保护敏感数据安全。e） 建立业务连续性管理及容灾备份机制，重要系统和数据库实现异地备份。f） 业务数据安全性要求高的实现数据的异地实时备份。g） 业务连续性要求高的实现业务的异地实时切换，确保关键信息基础设施一旦被破坏，可及时进行恢复和补救。6.6.4自动化工具运营者应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁，应在经过验

21、证后及时修补。6.7 安全建设管理6.7.1网络安全与信息化同步要求运营者应：a） 在新建或改建、扩建关键信息基础设施时，充分考虑网络安全因素，在规划、建设和投入使用阶段保证安全措施的有效性，并采取测试、评审、攻防演练等多种形式验证。必要时，可建设关键业务的仿真验证环境。b） 当关键信息基础设施退役废弃时，按照数据安全管理策略对存储的数据进行处理。6.7.2供应链安全保护 运营者应：a） 制定供应链安全管理策略，包括：风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等。b） 建立供应链安全管理制度，设置相应的供应链安全管理部门，提供用于供应链安全管理的资金、人员和权限等可用资

22、源。c） 保证产品的设计、研发、交付、使用、废弃等各阶段，以及制造设备、工艺等的供应链安全风险基本可控。d） 选择有保障的供应商，防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。e） 在能提供相同产品的多个不同供应商中做选择，以防范供应商锁定风险。f） 要求供应商承诺不非法获取用户数据、控制和操纵用户系统和设备，或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。g） 采购、使用的网络关键设备和网络安全专用产品，应通过国家规定的检测认证。h） 采购、使用的网络产品和服务，应符合法律、行政法规的规定和相关国家标准的要求，可能影响国家安全的，应当通过国家网络安全审查。i

23、） 发现使用的网络产品、服务存在安全缺陷、漏洞等风险时，及时采取措施消除风险隐患，涉及重大风险的应当按规定向相关部门报告。j） 采购网络产品和服务时，明确提供者的安全责任和义务，要求提供者做出必要安全承诺，并签订安全保密协议，协议内容应包括安全职责、保密内容、奖惩机制、有效期等。6.8 安全运维管理运营者应：a） 保证关键信息基础设施的运维地点位于中国境内，如确需境外运维，应当符合我国相关规定。b） 应要求维护人员签订安全保密协议。c） 确保优先使用已登记备案的运维工具，如确需使用由维护人员带入关键信息基础设施内部的维护工具，应在使用前通过恶意代码检测等测试。7 检测评估7.1 检测评估制度运

24、营者应建立健全关键信息基础设施安全检测评估制度，应包括但不限于检测评估流程、方式方法、周期、人员组织、资金保障等。7.2 检测评估方式和内容运营者应：a） 自行或者委托网络安全服务机构对关键信息基础设施安全性和可能存在的风险每年至少进行一次检测评估，并及时整改发现的问题。b） 涉及多个运营者的，定期组织跨运营者的关键信息基础设施安全检测评估，并及时整改发现的问题。c） 检测评估内容包括但不限于网络安全制度（国家和行业相关法律法规政策文件及运营者制定的制度）落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全

25、评估情况、风险评估情况、应急演练情况、攻防演练情况等，尤其关注关键信息基础设施跨系统、跨区域间的信息流动，及其关键业务流动过程中所经资产的安全防护情况。d） 新建关键信息基础设施，或关键信息基础设施在改建、扩建中发生重大变化时，应自行或者委托网络安全服务机构进行检测评估，分析关键业务链以及关键资产等方面的变更，评估上述变更给关键信息基础设施带来的风险变化情况，并依据风险变化以及发现的安全问题进行有效整改后方可上线。e） 针对特定的业务系统或系统资产，采取不正式告知的、模拟的网络攻击方式检测关键信息基础设施在面对实际网络攻击时的防护和响应能力。f） 在安全风险抽查检测工作中，提供网络安全管理制度

26、、网络拓扑图、重要资产清单、关键业务介绍、网络日志等必要的资料和技术支持，针对抽查检测工作中发现的安全问题和风险进行及时整改。8 监测预警8.1 监测预警制度运营者应：a） 建设网络安全监控指挥中心和关键信息基础设施安全保护平台，建立并落实常态化监测预警、快速处置机制。制定自身的监测预警和信息通报制度，确定网络安全预警分级标准，明确监测策略、监测内容和预警流程，对关键信息基础设施的网络安全风险进行监测预警。b） 关注国内外及行业关键信息基础设施安全事件、安全漏洞、解决方法和发展趋势，并对涉及到的关键信息基础设施安全性进行研判分析，必要时发出预警。c）建立关键信息基础设施的预警信息响应处置程序，

27、明确不同级别预警的报告、响应和处置流程。d）建立通报预警及协作处置机制，建立和维护外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。e）建立与外部组织之间、多个运营者之间，以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的沟通与合作机制，定期召开协调会议，共同研判、处置网络安全问题。f）建立网络安全信息共享渠道，例如建立与保护工作部门、同一关键信息基础设施的其他运营者、研究机构、网络安全服务机构、业界专家之间的沟通与合作机制，共享的信息可以是漏洞信息、威胁信息、最佳实践、前沿技术等。8.2 监测运营者应：a）对关键业务所涉及的信息系统进行监测（例如：对加密通信

28、进行监测，对应用层进行监测，对不同等级系统、不同业务系统、不同区域之间的信息流动进行监测等），对监测获得的信息采取保护措施，防止其受到未授权的访问、修改和删除。b）分析信息系统通信流量或事态的模式，建立常见系统通信流量或事态的模型，并使用这些模型调整监测设备，以减少误报和漏报。c）采用自动化机制对关键业务所涉及的信息系统的所有监测信息进行整合分析，以便及时关联、分析关键信息基础设施的网络安全态势。d）将关键业务运行所涉及的各类信息进行关联，并分析整体安全态势。包括：分析不同存储库的审计日志并使之关联；系统内多个组件的审计记录进行关联；将取自审计记录的信息与得自物理访问监控的信息关联；将来自非技

29、术源的信息（例如供应链活动信息、关键岗位人员信息等）与审计信息关联；网络安全共享信息的信息关联等。e）通过安全态势分析结果来确定安全策略和安全控制措施是否合理有效，必要时进行更新。8.3 预警运营者应：a）在发现可能危害关键业务的迹象时，监测机制应能采用自动化的方式及时报警，并自动化地采取对关键业务破坏性最小的行动。例如：恶意代码防御机制、入侵检测设备或者防火墙等弹出对话框、发出声音或者向相关人员发出电子邮件等方式进行报警。b）对网络安全共享信息和报警信息等进行综合分析、研判，必要时生成内部预警信息。对于可能造成较大影响的，应按照相关部门要求进行通报。内部预警信息的内容应包括：基本情况描述、可

30、能产生的危害及程度、可能影响的用户及范围、建议采取的应对措施等。c）当内部预警信息发出之后，情况出现新的变化，运营者应向有关人员和组织及时补发最新内部预警信息。d）能持续获取预警发布机构的安全预警信息，分析、研判相关事件或威胁对自身网络安全保护对象可能造成损害的程度，必要时启动应急预案。获取的安全预警信息应按照规定通报给相关人员和相关部门。e）采取相关措施对预警进行响应，当安全隐患得以控制或消除时，应执行预警解除流程。8.4 对抗 运营者应： a）收敛互联网暴露面，加强攻击点管控，层层设防。 b）在网络关键节点部署监测设备，发现并处置网络攻击和未知威胁。 c）布设密罐、沙箱等设备，实现对网络攻

31、击的诱捕和溯源。 d）采取对抗性和反制措施，提升攻防对抗能力。9 事件处置9.1 事件管理制度运营者应：a）具备网络安全事件的处理能力，建立网络安全事件管理制度，明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等，制定应急预案等网络安全事件管理文档。b）为网络安全事件处置提供相应资源，指定专门网络安全应急支撑队伍、专家队伍，保障安全事件得到及时有效处置。c）按规定参与和配合相关部门开展的网络安全应急演练、应急处置、案件侦办等工作。9.2 应急预案运营者应：a) 在国家网络安全事件应急预案的框架下，根据行业和地方的特殊要求，制定网络安全事件应急预案。应急预案中应明确，一旦信息系统中断

32、、受到损害或者发生故障时，需要维护的关键业务功能，并明确遭受破坏时恢复关键业务和恢复全部业务的时间。应急预案不仅应包括本组织应急事件的处理，也应包括多个运营者间的应急事件的处理。b) 在制定应急预案时，同所涉及到的运营者内部相关计划（例如业务持续性计划、灾难备份计划等）以及外部服务提供者的应急计划进行协调，以确保连续性要求得以满足。c) 在应急预案中包括非常规时期、遭受大规模攻击时等处置流程。d) 对网络安全应急预案定期进行评估修订，并持续改进。e) 每年至少组织1次跨组织、跨地域的应急演练。f）定期组织开展攻防演练；涉及多个运营者的，定期组织跨运营者的攻防演练。9.3 响应和处置9.3.1

33、事件报告运营者应：a） 当发生有可能危害关键业务的安全事件时，应及时向安全管理机构报告，并组织研判，形成事件报告单。b）及时将可能危害关键业务的安全事件通报到可能受影响的内部部门和人员，并按照规定向关键业务供应链涉及的、与事件相关的其他组织通报安全事件。9.3.2 事件处理和恢复运营者应：a） 按照事件处置流程、应急预案进行事件处理，恢复关键业务和信息系统到已知的状态。b）在事件发生后尽快收集证据，按要求进行信息安全取证分析，并确保所有涉及的响应活动被适当记录，便于日后分析。在进行取证分析时，应与业务连续性计划相协调。c）在事件处理完成后，应采用手工或者自动化机制形成完整的事件处理报告。事件处

34、理报告包括：不同部门对事件的处理记录、事件的状态和取证相关的其他必要信息、评估事件细节、趋势和处理。d）在恢复关键业务和信息系统后，应对关键业务和信息系统恢复情况进行评估，查找事件原因，并采取措施防止关键业务和信息系统遭受再次破坏、危害或故障。e）在进行事件处理活动时，协调组织内部多个部门和外部相关组织，以更好的对事件进行处理，并将事件处理活动的经验教训纳入事件响应规程、培训以及测试，并进行相应变更。 10.3.3 事件通报 运营者应及时将安全事件及其处置情况通报到可能受影响的部门和相关人员，向关键业务供应链涉及的、与事件相关的其他组织提供安全事件信息，并按照规定通报相关部门。9.4 重新识别

35、运营者应根据检测评估、监测预警中发现的安全隐患和发生的安全事件，以及处置结果，并结合安全威胁和风险变化情况开展评估，必要时重新开展业务、资产和风险识别工作，并更新安全策略。13参考文献1 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南2 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范3 GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南4 GB/T 32921-2016 信息安全技术 信息技术产品供应方行为安全准则5 GB/T 32924-2016 信息安全技术 网络安全预警指南6 中华人民共和国网络安全法 （2016年11月7

36、日第十二届全国人民代表大会常务委员会第二十四次会议通过）7 关键信息基础设施安全保护条例（征求意见稿）（2017年7月10日国家互联网信息办公室关于关键信息基础设施安全保护条例（征求意见稿）公开征求意见的通知）8 个人信息和重要数据出境安全评估办法（征求意见稿）（2017年4月11日国家互联网信息办公室关于个人信息和重要数据出境安全评估办法（征求意见稿）公开征求意见的通知）9 国家网络安全事件应急预案 （2017年1月10日中央网络安全和信息化领导小组办公室20174号文公布）10 Framework for Improving Critical Infrastructure Cybersecurity，NIST，2018 11 NIST SP800-53 Rev.4：2013 Security and Privacy Controls for Federal Information Systems and Organizations_