信息安全应急处理服务资质一级评价要求

Date05 8月 2019

信息安全应急处理服务资质专业评价要求针对准备、检测、抑制、根除、恢复、总结六个过程
进行，具体分级要求如下：

C3 信息安全应急处理服务资质一级评价要求
组织申报一级资质，除满足二级要求外，还应满足具有处理重大及特别重大信息安全事件的能
力（注：参考国家标准 GB/Z 20985-2007 《信息安全事件分类分级指南》，或参考组织所提供应急
处理服务的对象所处的行业对信息安全事件的等级划分标准，主要考察有害程序事件、网络攻击事
件、信息破坏事件、信息内容安全事件几类。监审时，如无处理重大及特别重大安全事件的服务项
目案例，也可查验相关的应急演练记录，或说明所提供应急保障服务的系统的重要程度），具体见
以下要求：
C3.1 准备阶段
a) 建立有体系化的应急处理服务流程。
b) 可提供本地 7*24 小时、外地 4 小时应急响应服务能力。
c) 与客户之间建立安全保密的信息传输渠道。
d) 具有自主开发专业检测工具的能力。
C3.2 检测阶段
a) 建立有完善的检测技术规范及具有对高技术入侵的检测技术能力。
b) 具有挖掘系统设备及业务系统安全漏洞的能力。
c) 对确认的安全事件启动安全事件管理程序。
d) 应急处理方案中应对可能造成的影响进行分析，包括社会影响。
C3.3 抑制阶段
应使用可信的工具进行安全事件的抑制处理，不得使用受害系统已有的不可信文件。
C3.4 根除阶段
应使用可信的工具进行安全事件的根除处理，不得使用受害系统已有的不可信文件。
C3.5 恢复阶段
（如需重建系统时适用该条款）帮助客户对重建后的系统进行全面的安全加固。
C3.6 总结阶段
a) 对网络与信息安全事件进行总结和分析后，针对典型案例存入事件知识库。
b) 提供关闭安全事件管理程序。
c) 告知客户所发事件可能涉及到的法律诉讼方面的法律要求或影响。