從27號要求重視信息安全應急處理工作，到《網(wǎng)絡安全法》第二十五條明確了“網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險；在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告?！?/p>

　　要求網(wǎng)絡運營者采取措施，防范網(wǎng)絡入侵攻擊、計算機病毒爆發(fā)、系統(tǒng)漏洞隱患等網(wǎng)絡安全事件；針對各種網(wǎng)絡安全事件制定應急預案，建立應急處置機制，組織應急處置隊伍，當發(fā)生網(wǎng)絡安全事件時，及時啟動預案，果斷進行應急處置，使危害降到最低；當發(fā)生網(wǎng)絡安全事件時，要求保護現(xiàn)場和證據(jù)，并向公安機關、行業(yè)主管部門和有關部門報告。發(fā)生重大網(wǎng)絡安全事件時，有關部門應按照國家網(wǎng)絡安全事件應急預案要求，開展應急處置。關鍵信息基礎設施保護單位還需要制定網(wǎng)絡安全事件應急預案，并定期進行演練。

　　這些都是《網(wǎng)絡安全法》服務網(wǎng)絡運營者的責任和義務。

　　公安機關應當根據(jù)有關規(guī)定處置網(wǎng)絡安全事件，開展事件調(diào)查，認定事件責任，查處危害網(wǎng)絡安全的違法犯罪活動。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)服務提供者應當為重大網(wǎng)絡安全事件處置和恢復提供支持和協(xié)助。

　　應急響應與保障又可以分為應急準備、應急監(jiān)測與響應、后期評估與改進、應急保障等共四個階段。

　　第一階段：應急準備

　　應急準備需要輸入運營、使用單位組織機構及職責分工，各類安全事件列表等內(nèi)容，建立完善的應急組織體系，保證應急救援工作反應迅速、協(xié)調(diào)有序。通過分析安全事件的等級，在統(tǒng)一的應急預案框架下制定不同安全事件的應急預案，組織針對等級保護對象的應急演練，可以有效檢驗網(wǎng)絡安全應急能力，并為消除或減小這些隱患與問題提供有價值的參考信息，檢驗應急預案體系的完整性、應急預案的可操作性、機構和應急人員的執(zhí)行、協(xié)調(diào)能力以及應急保障資源的準備情況等，從而有助于提高整體應急能力。最終輸出應急組織機構圖，應急組織職責分工，應急組織內(nèi)、外部聯(lián)系表，安全事件報告程序，各類專項應急預案，應急演練腳本，應急演練總結等。

　　建立應急組織應注意：按照應急救援的需要，建立應急組織。應急組織一般分為五個核心應急功能機構，即指揮、行動、策劃、后勤和財務。

　　明確應急工作職責應注意：明確應急管理的領導機構、辦事機構、專項應急指揮機構、基層應急機構、應急專家組組成部門或人員、職責和權限。

　　進行安全事件分類分級應注意：建立應急組織參考《國家網(wǎng)絡安全事件應急預案》和GB/Z20986-2007，根據(jù)安全事件的類型、安全事件對業(yè)務的影響范圍和程度以及安全事件的敏感程度等，對等級保護對象可能發(fā)生的安全事件進行分類分級，針對不同類別和等級制定相應的安全事件報告程序。

　　進行確定應急預案對象應注意：針對安全事件的不同類別和等級，考慮其發(fā)生的可能性及其對系統(tǒng)和業(yè)務產(chǎn)生的影響，確定需制定應急預案的對象。

　　確定職責和應急協(xié)調(diào)方式應注意：在統(tǒng)一的應急預案框架下，明確應急預案中各部門的職責，以及各部門間的合作和分工協(xié)調(diào)方式。

　　制定應急預案程序及其執(zhí)行條件應注意：制定應急預案程序及其執(zhí)行條件針對不同等級、不同類別的安全事件制定相應的應急預案程序，確定不同等級、不同類別事件的響應和處置范圍、程度以及適用的管理制度，說明應急預案啟動的條件，發(fā)生安全事件后要采取的流程和措施。

　　培訓宣貫應注意：針對應急預案涉及的部門和人員制定專項培訓計劃，培訓宣貫內(nèi)容包括應急職責、合作和分工、應急預案啟動條件和流程等。

　　應急演練應注意：明確應急預案演練的規(guī)模、方式、范圍、內(nèi)容、組織、評估、總結等內(nèi)容，并按照預案定期開展演練。

　　注：在團體標準《網(wǎng)絡安全等級保護測評高風險判定指引》T/ISEAA 001-2020中，若未對應急預案進行培訓演練，作為第三級以上系統(tǒng)，則判定為“高風險”項。具體要求應定期（建議至少每年一次）對相關人員進行應急預案培訓，根據(jù)不同的應急預案進行演練，提供應急預案培訓和演練記錄。

　　第二階段：應急監(jiān)測與響應

　　應急監(jiān)測與響應階段需要輸入網(wǎng)絡流量，日志信息，性能信息，安全事件報告程序，各類專項應急預案，網(wǎng)絡安全事件報送表，安全事件報告程序等，對等級保護對象的安全狀態(tài)進行監(jiān)控，并根據(jù)應急預案啟動條件研判是否啟動應急程序。對監(jiān)控到的安全事件采取適當?shù)姆椒ㄟM行預處置，分析安全事件的影響程度和等級，啟動相應級別的應急預案，開展應急響應處置工作。最終輸出網(wǎng)絡安全事件報送表，安全狀態(tài)分析報告，安全事件處置報告。

　　異常狀態(tài)信息收集應注意：收集來自監(jiān)控對象的各類狀態(tài)信息，可能包括網(wǎng)絡流量、日志信息、安全報警和性能狀況等，或者來自外部環(huán)境的安全標準和法律法規(guī)的變更信息。

　　異常狀態(tài)分析應注意：對安全狀態(tài)信息進行分析，及時發(fā)現(xiàn)險情、隱患或安全事件，并記錄這些安全事件，分析其發(fā)展趨勢及這些變化對安全狀態(tài)的影響，通過判斷他們的影響決定是否有必要作出響應。

　　安全事件上報和共享應注意：根據(jù)安全狀態(tài)分析和影響分析的結果，分析可能發(fā)生的安全事件，明確安全事件等級、影響程度以及優(yōu)先級等，形成安全狀態(tài)分析報告和網(wǎng)絡安全事件報送表，按照安全事件等級以及安全事件報告程序上報，需要共享的按照規(guī)定向特定對象共享安全事件。

　　安全事件處置應注意：對于應啟動應急預案的安全事件按照應急預案響應機制進行安全事件處置。對未知安全事件的處置，應根據(jù)安全事件的等級，制定安全事件處置方案，包括安全事件處置方法以及應采取的措施等，并按照安全事件處置流程和方案對安全事件進行處置。

　　安全事件總結和報告應注意：一旦安全事件得到解決，對于未知的安全事件進行事件記錄，分析記錄信息并補充所需信息，使安全事件成為已知事件，并文檔化；對安全事件處置過程進行總結，制定安全事件處置報告，并保存。

　　第三階段：后期評估與改進

　　后期評估與改進需要輸入安全事件報告程序，各類專項應急預案，安全事件處置報告，對安全事件原因、處置過程進行調(diào)查分析，并根據(jù)分析結果進行責任認定及制定改進預防措施。最終輸出安全事件總結報告，安全事件改進報告，應急預案。

　　調(diào)查評估應注意：對于應急響應過程進行調(diào)查，評估應急過程合規(guī)性、處置及時性等。通過事件重現(xiàn)調(diào)查網(wǎng)絡安全事件原因，追溯安全責任，并形成網(wǎng)絡安全調(diào)查評估報告。

　　改進預防應注意：調(diào)查評估根據(jù)網(wǎng)絡安全事件調(diào)查評估報告，制定改進預防措施，修改相應應急預案，結合實際情況進行落實，并組織開展應急預案相關培訓。

　　第四階段：應急保障

　　應急保障需要輸入總體應急預案，各類專項應急預案，進而建立健全應急保障體系，實現(xiàn)應急預案保障工作科學化，最終輸出應急保障物資清單。

　　針對各類專項應急預案進行分析，制定應急預案執(zhí)行所需通信、裝備、數(shù)據(jù)、隊伍、交通運輸、經(jīng)費和治安保障內(nèi)容。

　　應急準備階段的工作是由主管部門，運營、使用單位共同完成，其他三個階段則由運營、使用單位完成。

　　《網(wǎng)絡安全法》第五十九條網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

　　《網(wǎng)絡安全法》第二十五條規(guī)定則是對網(wǎng)絡運營者網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險；在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告的要求，所以運行與維護過程中，應急保障工作也是一個重點。

　　做不好應急保障工作，與未落實網(wǎng)絡安全等級保護制度及未落實有關技術、管理措施同等處罰。所以，作為網(wǎng)絡運營者則需要將其與等級保護工作同等重要程度看待與落實。

　　本文主要涉及應急工作的一個過程脈絡，需要具體參照《國家網(wǎng)絡安全事件應急預案》《網(wǎng)絡安全事件應急演練指南》《信息安全應急響應計劃規(guī)范》《運行維護 第3部分：應急響應規(guī)范》等國家政策文件和標準進行制定。

　　我也會在未來和大家一起探討相關標準的內(nèi)容。