解读《信息安全技术 网络安全应急能力评估准则》，2024年6月1日起正式实施

2023年11月27日，国家市场监督管理总局、国家标准化管理委员会官方重磅发布GB/T 43269-2023《信息安全技术网络安全应急能力评估准则》，给出了网络安全应急能力的评估准则。对网络安全应急响应工作提出明确要求，指导网络安全应急响应工作并及时发现工作中存在的问题，促进网络安全应急能力提升。该标准将于2024年6月1日起正式实施。

该标准明确了网络安全应急能力的评估准则，立足于各行业、各地区、各系统网络安全应急响应工作，规定了网络安全应急能力要求，给出了相应评估流程。适用于各类组织进行网络安全应急能力建设与评估。

标准范围

该标准规定了网络安全应急能力要求，给出了相应评估流程。

该标准适用于各类组织进行网络安全应急能力建设与评估。

网络安全应急能力要求

网络安全应急能力分为三个级别，从低到高依次是一级、二级和三级，每个级别的网络安全应急能力要求包括应急组织与人员、应急制度、监测预警、应急处置、预防保障5个方面共15个部分，如下图所示：

一级、二级、三级的网络安全应急能力的具体要求如下：

应急能力评估项统计

评估小组根据被评估方的网络安全应急能力级别，对该级别的各项能力要求进行符合性判定，每项能力要求的符合性判定结果都分为符合、部分符合和不符合。各级网络安全应急能力要求分为关键能力要求和扩展能力要求两类，各级能力要求的关键能力要求和扩展能力指标数量见下表：

应急安全定级

网络安全应急能力级别分级标准需要与GB/T20986以及主管部门或国家有关部门要求相符，分级标准对应等保相应级别。

GB/T20986 《信息安全技术网络安全事件分类分级指南》依据GB/T22240-2020描述的网络安全等级保护定级方法，根据事件影响对象的重要程度，根据国家安全、社会秩序、经济建设和公众利益以及业务对事件影响对象的依赖程度进行评估，分为3个等级：特别重要、重要和一般，具体如下：

序号	分级情况	等级保护定级要求	应急安全定级要求
1	一级	一级网络安全应急能力适用于：组织所属网络与信息系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益。	一级网络安全应急能力适用于：组织所属网络与信息系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益。
2	二级	二级网络安全应急能力适用于：组织所属网络与信息系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。	二级网络安全应急能力适用于：组织所属网络与信息系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。
3	三级	三级网络安全应急能力适用于：组织所属网络与信息系统受到破坏后,会对社会秩序和公共利益造成严重损害或特别严重损害,或者对国家安全造成危害或严重危害。	三级网络安全应急能力适用于：组织所属网络与信息系统受到破坏后,会对社会秩序和公共利益造成严重损害或特别严重损害,或者对国家安全造成危害或严重危害。

应急能力评估流程

网络安全应急能力评估流程应包括评估准备、评估实施、评估结论、报告编制4个阶段。

评估准备阶段

评估方应组建评估小组，评估小组根据被评估方的能力级别进行评估。评估小组需要准备评估文档材料等；被评估方需要提供配合人员，待审核的佐证文档资料等。

评估实施阶段

在实施网络安全应急能力评估时，评估小组根据被评估方的能力级别，采用适宜的评估方法进行评估，评估方法包括：现场查看、访谈问答、实际操作、应急演练等。

具体评估方法细节见准则附录B，附录C和附录D中内容。

评估结论阶段

评估小组根据被评估方的网络安全应急能力级别，对该级别的各项能力要求进行符合性判定，每项能力要求的符合性判定结果都分为符合、部分符合、不符合。评估小组综合被评估方各项能力要求的符合性判定结果，并进行风险分析后给出该级别的整体评估结论：

‍合格：该级别的所有能力要求都为符合项；
基本合格：该级别的所有关键能力都为符合项，扩展能力要求有部分符合项或不符合项，但经风险分析，部分符合项或不符合项不涉及被评估方的关键网络安全应急能力因素，不会导致被评估方面临严重网络安全风险；
不合格：该级别的能力要求有部分符合项或不符合项，且经风险分析，部分符合项或不符合项涉及被评估方的关键网络安全应急能力因素，会导致被评估方面临严重网络安全风险。

当被评估方为基本合格时，被评估方可对部分符合项与不符合项进行整改，在一年内申请对部分符合项与不符合项进行再评估，如果全部符合要求，则变更评估结论为合格。

报告编制阶段

编写评估报告需要全面反映评估过程的工作，提供评估佐证资料，给出评估结论。报告内容应包括:

编制依据；
目的和适用范围；
评估程序和方法；
评估结果与分析；
改进措施及建议；

报告附件，包括评估过程中产生的数据、表格、图片和记录，评估过程中会议记录和评估意见其他必要说明等。

具体评估方法

具体评估方法详见《信息安全技术网络安全应急能力评估准则》中的：

附录B 一级网络安全应急能力评估方法

附录C 二级网络安全应急能力评估方法

附录D 三级网络安全应急能力评估方法

全部内容请到帮会中下载，感谢支持！！

END

来源：天地和兴

加入帮会—下载

「一起聊安全」公众号及帮会致力于网络安全材料汇总与分享，围绕网络安全标准、安全政策法规、安全报告及白皮书、安全新技术等方向，与FREEBUF知识大陆共建【一起聊安全】帮会，目前相关内容已有2600+，安全标准涵盖国标、行标、团标等，包括等保、关基、商密、数据安全、云计算、物联网、工业互联网、移动安全、风险评估、安全攻防等30+方向内容，覆盖最新安全政策法规、安全报告及白皮书等，为网安人提供最新最全资料。