10.8 應急響應計劃

10.8.1 一般要求

云服務商應：

a）制定信息系統的應急響應計劃，該計劃應：

1）標識出信息系統的基本業務功能及其應急響應需求。

2）進行業務影響分析，標識關鍵信息系統和組件及其安全風險，確定優先次序。

3）提供應急響應的恢復目標、恢復優先級和度量指標。

4）描述應急響應的結構和組織形式，明確應急響應責任人的角色、職責及其聯系信息。

5）由[賦值：云服務商定義的人員或角色]審查和批準。

b）將應急響應計劃向[賦值：云服務商定義的人員、角色或部門]進行通報。

c）按照[賦值：云服務商定義的頻率]更新應急響應計劃。

d）如系統發生變更或應急響應計劃在實施、執行或測試中遇到問題，及時修改應急響應計劃并向[賦值：云服務商定義的人員、角色或部門]及客戶進行通報。

e）防止應急響應計劃非授權泄露和更改。

f）在發生安全事件時，確保應急響應計劃的實施能夠維持信息系統的基本業務功能，并能最終完全恢復信息系統且不消弱原來的安全措施。

g）當本組織的管理架構、云計算平臺或運行環境發生變更時，及時更新應急響應計劃。

10.8.2 增強要求

云服務商應：

a）進行容量規劃，以確保應急操作過程中具備必要的信息處理容量、通信容量和環境支持能力。

b）列明用于支撐基本業務功能的關鍵信息系統資產。

c）能夠在應急響應計劃啟動后[賦值：云服務商定義的時間段]內，恢復信息系統的基本業務功能，以及應急響應計劃啟動后[賦值：云服務商定義的時間段]內，恢復信息系統的所有業務功能。