10.2　事件處理計劃

10.2.1　一般要求

10.2.1.1　評估內容

詳見GB/T31168－2014中10.2.1的a）、b）、c）、d）和e）。

10.2.1.2　評估方法

10.2.1.2.1 對a）的評估方法為：

——檢查應急響應與災備策略與規程，查看其是否有制定信息系統事件處理計劃的要求；

——檢查信息系統的事件處理計劃，查看其是否定義了審查和批準該計劃的人員或角色；

——檢查信息系統的事件處理計劃，查看其是否包含以下內容：

1）說明啟動事件處理計劃的條件和方法；

2）說明本組織內與事件處理有關的組織架構；

3）定義需要報告的安全事件；

4）提供事件處理能力的度量目標；

5）定義必要的資源和管理支持；

6）審查和批準的記錄。

10.2.1.2.2 對b）的評估方法為：

——檢查事件處理計劃，查看其是否定義了事件處理計劃的發布對象：人員、角色或部門；

——事件處理計劃發布記錄，查看其是否按要求發布；

——訪談所定義的人員、角色或部門人員，詢問其收到的事件處理計劃情況。

10.2.1.2.3 對c）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了審查事件處理計劃的頻率；

——檢查事件響應計劃的審查記錄，查看其是否按照定義的頻率進行審查。

10.2.1.2.4 對d）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了需通報到的人員、角色或部門；

——檢查應急響應與災備策略與規程等相關文檔，查看其是否要求在系統發生變更或事件響應計劃在實施、執行或測試中遇到問題時，及時修改事件處理計劃并通報云服務商定義的人員、角色或部門；

——檢查事件處理計劃修改記錄、通報記錄等相關文檔，查看其是否按照要求及時修改事件處理計劃并進行通報。

10.2.1.2.5 對e）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有防止事件處理計劃非授權泄露和更改的要求；

——訪談信息安全事件響應團隊等相關人員，詢問其防止事件處理計劃的非授權泄露和更改的措施。

10.2.2　增強要求

無。