10.8　應急響應計劃

10.8.1　一般要求

10.8.1.1　評估內容

詳見GB/T31168－2014中10.8.1的a）、b）、c）、d）、e）、f）和g）。

10.8.1.2　評估方法

10.8.1.2.1 對a）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有制定信息系統的應急響應計劃的要求；

——檢查信息系統的應急響應計劃，查看其是否包含以下內容：

1）標識了信息系統的基本業務功能及其應急響應需求；

2）進行業務影響分析，標識了關鍵信息系統和組件及其安全風險，確定優先次序；

3）提供了應急響應的恢復目標、恢復優先級和度量指標；

4）描述了應急響應的結構和組織形式，明確應急響應責任人的角色、職責及其聯系信息；

5）定義了負責審查和批準應急響應計劃的人員審查和批準的記錄。

——訪談所定義的審查和批準應急響應計劃的人員，詢問其審查和批準情況。

10.8.1.2.2 對b）的評估方法為：

——檢查應急響應計劃，查看其是否定義了需將應急響應計劃通報給的人員、角色或部門；

——檢查通報記錄，查看其是否按要求進行了通報；

——訪談所定義的人員、角色或部門，詢問其應急響應計劃的通報情況。

10.8.1.2.3 對c）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了更新應急響應計劃的頻率；

——檢查應急響應計劃更新的記錄，查看其是否按照定義的頻率進行更新。

10.8.1.2.4 對d）的評估方法為：

——檢查應急響應計劃，查看其是否有在系統發生變更或事件響應計劃在實施、執行或測試中遇到問題時，及時修改應急響應計劃的要求，查看其是否定義了修改應急響應計劃后應通報的人員、角色或部門；

——檢查應急響應計劃修改記錄、通報記錄等相關記錄，查看其是否按照要求進行通報。

10.8.1.2.5 對e）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有防止事件處理計劃非授權泄露和更改的要求；

——訪談安全管理員或應急響應小組等相關人員，詢問其防止應急響應計劃的非授權泄露和更改的措施。

10.8.1.2.6 對f）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有保證在發生安全事件時維持系統基本業務功能，且不消弱原來的安全措施的機制直至最終完全恢復信息系統的機制；

——訪談安全管理員或應急響應小組等相關人員，詢問其上述機制的落實情況。

10.8.1.2.7 對g）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有當組織的管理架構、云計算平臺或運行環境發生變更時，及時更新應急響應計劃的機制；

——訪談安全管理員或應急響應小組等相關人員，詢問其更新應急響應計劃機制的落實情況；

——檢查更新應急響應計劃的記錄，查看其是否按照要求進行更新。

10.8.2　增強要求

10.8.2.1　評估內容

詳見GB/T31168－2014中10.8.2的a）、b）和c）。

10.8.2.2　評估方法

10.8.2.2.1 對 a）的評估方法為：

——檢查應急響應與災備策略與規程、系統設計說明書等相關文檔，查看其是否有容量規劃的機制；

——訪談安全管理員或應急響應小組等相關人員，詢問其容量規劃的情況。

10.8.2.2.2 對b）的評估方法為：

——檢查應急響應與災備策略與規程、應急響應計劃等相關文檔，查看其是否列明了用于支撐基本業務功能的關鍵信息系統資產。

10.8.2.2.3 對c）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了能夠恢復信息系統基本業務功能的時間段，是否定義了能夠恢復信息系統的所有業務功能的時間段；

——檢查應急響應記錄等文檔，查看其是否在規定時間內，恢復信息系統的基本業務功能和所有業務功能。