10.10　應急演練

10.10.1　一般要求

10.10.1.1　評估內容

詳見GB/T31168－2014中10.10.1的a）、b）、c）、d）和e）。

10.10.1.2　評估方法

10.10.1.2.1 對a）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否要求至少每年制定或修訂應急演練計劃，是否要求與客戶充分協商；

——檢查應急演練計劃以及修訂記錄，查看其是否至少每年制定或修訂應急演練計劃；

——訪談系統安全負責人或應急響應小組等相關人員，詢問其制定應急演練計劃時與客戶的協商情況；

——檢查與客戶的協商記錄，查看其是否與客戶充分協商，并聽取客戶意見。

10.10.1.2.2 對b）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否定義了執行應急演練計劃的頻率，是否定義了在演練開始前多長時間需通知客戶和相關部門；

——訪談系統安全負責人或應急響應小組等相關人員，詢問其應急演練執行情況；

——檢查應急演練記錄及報告，查看其是否按照定義的頻率執行應急演練計劃；

——檢查通知客戶和相關部門的記錄，查看其是否在定義的時間之前通知了客戶和相關部門。

10.10.1.2.3 對c）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有與客戶和其他有關部門的溝通協調機制；

——訪談系統安全負責人或應急響應小組等相關人員，詢問其與客戶和其他有關部門的溝通協調情況；

——檢查與客戶和其他有關部門的溝通協調記錄，查看云服務商是否為應急演練提供了保障條件。

10.10.1.2.4 對d）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有應急演練結果的記錄和核查機 制，是否有根據需要修正應急響應計劃的要求；

——檢查應急演練記錄和報告，查看其是否按要求進行記錄和核查；

——訪談系統安全負責人或應急響應小組等相關人員，詢問其根據應急演練結果的需要修正應急響應計劃的情況；

——檢查應急演練計劃修訂記錄，查看其是否根據應急演練記錄和報告而修改的內容。

10.10.1.2.5 對e）的評估方法為：

——檢查應急響應與災備策略與規程等相關文檔，查看其是否有向客戶提供演練記錄、演練總結報告的要求；

——訪談系統安全負責人、應急響應小組或客戶等相關人員，詢問其演練記錄、演練總結報告等文檔的發送和接送情況。

10.10.2　增強要求

10.10.2.1　評估內容

詳見GB/T31168－2014的10.10.2。

10.10.2.2　評估方法

——檢查應急演練計劃，查看其是否有信息系統備份能力的演練內容，演練內容是否包括檢驗備份的可靠性和信息完整性；

——檢查應急演練記錄和報告，查看其是否將信息系統備份能力列入演練計劃，是否包括檢驗備份可靠性和信息完整性。