從27號(hào)就要求重視信息安全應(yīng)急處理工作，到《網(wǎng)絡(luò)安全法》第二十五條明確了“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告?！?/p>

　　要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取措施，防范網(wǎng)絡(luò)入侵攻擊、計(jì)算機(jī)病毒爆發(fā)、系統(tǒng)漏洞隱患等網(wǎng)絡(luò)安全事件；針對(duì)各種網(wǎng)絡(luò)安全事件制定應(yīng)急預(yù)案，建立應(yīng)急處置機(jī)制，組織應(yīng)急處置隊(duì)伍，當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，及時(shí)啟動(dòng)預(yù)案，果斷進(jìn)行應(yīng)急處置，使危害降到最低；當(dāng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，要求保護(hù)現(xiàn)場(chǎng)和證據(jù)，并向公安機(jī)關(guān)、行業(yè)主管部門(mén)和有關(guān)部門(mén)報(bào)告。

　　發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，有關(guān)部門(mén)應(yīng)按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案要求，開(kāi)展應(yīng)急處置。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)單位還需要制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練。

　　這些都是《網(wǎng)絡(luò)安全法》明確的網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任和義務(wù)。然而，應(yīng)急處置工作又不是孤立的，內(nèi)部部門(mén)間需要協(xié)同工作，外部部門(mén)間需要加強(qiáng)協(xié)作，才能在應(yīng)急處置中更高效。

　　公安機(jī)關(guān)應(yīng)當(dāng)根據(jù)有關(guān)規(guī)定處置網(wǎng)絡(luò)安全事件，開(kāi)展事件調(diào)查，認(rèn)定事件責(zé)任，查處危害網(wǎng)絡(luò)安全的違法犯罪活動(dòng)。

　　電信業(yè)務(wù)經(jīng)營(yíng)者、互聯(lián)網(wǎng)服務(wù)提供者應(yīng)當(dāng)為重大網(wǎng)絡(luò)安全事件處置和恢復(fù)提供支持和協(xié)助。

　　應(yīng)急響應(yīng)與保障又可以分為應(yīng)急準(zhǔn)備、應(yīng)急監(jiān)測(cè)與響應(yīng)、后期評(píng)估與改進(jìn)、應(yīng)急保障等共四個(gè)階段。

　　第一階段：應(yīng)急準(zhǔn)備

　　應(yīng)急準(zhǔn)備需要輸入運(yùn)營(yíng)、使用單位組織機(jī)構(gòu)及職責(zé)分工，各類(lèi)安全事件列表等內(nèi)容，建立完善的應(yīng)急組織體系，保證應(yīng)急救援工作反應(yīng)迅速、協(xié)調(diào)有序。通過(guò)分析安全事件的等級(jí)，在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同安全事件的應(yīng)急預(yù)案，組織針對(duì)等級(jí)保護(hù)對(duì)象的應(yīng)急演練，可以有效檢驗(yàn)網(wǎng)絡(luò)安全應(yīng)急能力，并為消除或減小這些隱患與問(wèn)題提供有價(jià)值的參考信息，檢驗(yàn)應(yīng)急預(yù)案體系的完整性、應(yīng)急預(yù)案的可操作性、機(jī)構(gòu)和應(yīng)急人員的執(zhí)行、協(xié)調(diào)能力以及應(yīng)急保障資源的準(zhǔn)備情況等，從而有助于提高整體應(yīng)急能力。最終輸出應(yīng)急組織機(jī)構(gòu)圖，應(yīng)急組織職責(zé)分工，應(yīng)急組織內(nèi)、外部聯(lián)系表，安全事件報(bào)告程序，各類(lèi)專(zhuān)項(xiàng)應(yīng)急預(yù)案，應(yīng)急演練腳本，應(yīng)急演練總結(jié)等。

　　建立應(yīng)急組織應(yīng)注意：按照應(yīng)急救援的需要，建立應(yīng)急組織。應(yīng)急組織一般分為五個(gè)核心應(yīng)急功能機(jī)構(gòu)，即指揮、行動(dòng)、策劃、后勤和財(cái)務(wù)。

　　明確應(yīng)急工作職責(zé)應(yīng)注意：明確應(yīng)急管理的領(lǐng)導(dǎo)機(jī)構(gòu)、辦事機(jī)構(gòu)、專(zhuān)項(xiàng)應(yīng)急指揮機(jī)構(gòu)、基層應(yīng)急機(jī)構(gòu)、應(yīng)急專(zhuān)家組組成部門(mén)或人員、職責(zé)和權(quán)限。

　　進(jìn)行安全事件分類(lèi)分級(jí)應(yīng)注意：建立應(yīng)急組織參考《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》和GB/Z20986-2007，根據(jù)安全事件的類(lèi)型、安全事件對(duì)業(yè)務(wù)的影響范圍和程度以及安全事件的敏感程度等，對(duì)等級(jí)保護(hù)對(duì)象可能發(fā)生的安全事件進(jìn)行分類(lèi)分級(jí)，針對(duì)不同類(lèi)別和等級(jí)制定相應(yīng)的安全事件報(bào)告程序。

　　進(jìn)行確定應(yīng)急預(yù)案對(duì)象應(yīng)注意：針對(duì)安全事件的不同類(lèi)別和等級(jí)，考慮其發(fā)生的可能性及其對(duì)系統(tǒng)和業(yè)務(wù)產(chǎn)生的影響，確定需制定應(yīng)急預(yù)案的對(duì)象。

　　確定職責(zé)和應(yīng)急協(xié)調(diào)方式應(yīng)注意：在統(tǒng)一的應(yīng)急預(yù)案框架下，明確應(yīng)急預(yù)案中各部門(mén)的職責(zé)，以及各部門(mén)間的合作和分工協(xié)調(diào)方式。

　　制定應(yīng)急預(yù)案程序及其執(zhí)行條件應(yīng)注意：制定應(yīng)急預(yù)案程序及其執(zhí)行條件針對(duì)不同等級(jí)、不同類(lèi)別的安全事件制定相應(yīng)的應(yīng)急預(yù)案程序，確定不同等級(jí)、不同類(lèi)別事件的響應(yīng)和處置范圍、程度以及適用的管理制度，說(shuō)明應(yīng)急預(yù)案啟動(dòng)的條件，發(fā)生安全事件后要采取的流程和措施。

　　培訓(xùn)宣貫應(yīng)注意：針對(duì)應(yīng)急預(yù)案涉及的部門(mén)和人員制定專(zhuān)項(xiàng)培訓(xùn)計(jì)劃，培訓(xùn)宣貫內(nèi)容包括應(yīng)急職責(zé)、合作和分工、應(yīng)急預(yù)案啟動(dòng)條件和流程等。

　　應(yīng)急演練應(yīng)注意：明確應(yīng)急預(yù)案演練的規(guī)模、方式、范圍、內(nèi)容、組織、評(píng)估、總結(jié)等內(nèi)容，并按照預(yù)案定期開(kāi)展演練。

　　注：在團(tuán)體標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》T/ISEAA 001-2020中，若未對(duì)應(yīng)急預(yù)案進(jìn)行培訓(xùn)演練，作為第三級(jí)以上系統(tǒng)，則判定為“高風(fēng)險(xiǎn)”項(xiàng)。具體要求應(yīng)定期（建議至少每年一次）對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，根據(jù)不同的應(yīng)急預(yù)案進(jìn)行演練，提供應(yīng)急預(yù)案培訓(xùn)和演練記錄。

　　第二階段：應(yīng)急監(jiān)測(cè)與響應(yīng)

　　應(yīng)急監(jiān)測(cè)與響應(yīng)階段需要輸入網(wǎng)絡(luò)流量，日志信息，性能信息，安全事件報(bào)告程序，各類(lèi)專(zhuān)項(xiàng)應(yīng)急預(yù)案，網(wǎng)絡(luò)安全事件報(bào)送表，安全事件報(bào)告程序等，對(duì)等級(jí)保護(hù)對(duì)象的安全狀態(tài)進(jìn)行監(jiān)控，并根據(jù)應(yīng)急預(yù)案啟動(dòng)條件研判是否啟動(dòng)應(yīng)急程序。對(duì)監(jiān)控到的安全事件采取適當(dāng)?shù)姆椒ㄟM(jìn)行預(yù)處置，分析安全事件的影響程度和等級(jí)，啟動(dòng)相應(yīng)級(jí)別的應(yīng)急預(yù)案，開(kāi)展應(yīng)急響應(yīng)處置工作。最終輸出網(wǎng)絡(luò)安全事件報(bào)送表，安全狀態(tài)分析報(bào)告，安全事件處置報(bào)告。

　　異常狀態(tài)信息收集應(yīng)注意：收集來(lái)自監(jiān)控對(duì)象的各類(lèi)狀態(tài)信息，可能包括網(wǎng)絡(luò)流量、日志信息、安全報(bào)警和性能狀況等，或者來(lái)自外部環(huán)境的安全標(biāo)準(zhǔn)和法律法規(guī)的變更信息。

　　異常狀態(tài)分析應(yīng)注意：對(duì)安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)險(xiǎn)情、隱患或安全事件，并記錄這些安全事件，分析其發(fā)展趨勢(shì)及這些變化對(duì)安全狀態(tài)的影響，通過(guò)判斷他們的影響決定是否有必要作出響應(yīng)。

　　安全事件上報(bào)和共享應(yīng)注意：根據(jù)安全狀態(tài)分析和影響分析的結(jié)果，分析可能發(fā)生的安全事件，明確安全事件等級(jí)、影響程度以及優(yōu)先級(jí)等，形成安全狀態(tài)分析報(bào)告和網(wǎng)絡(luò)安全事件報(bào)送表，按照安全事件等級(jí)以及安全事件報(bào)告程序上報(bào)，需要共享的按照規(guī)定向特定對(duì)象共享安全事件。

　　安全事件處置應(yīng)注意：對(duì)于應(yīng)啟動(dòng)應(yīng)急預(yù)案的安全事件按照應(yīng)急預(yù)案響應(yīng)機(jī)制進(jìn)行安全事件處置。對(duì)未知安全事件的處置，應(yīng)根據(jù)安全事件的等級(jí)，制定安全事件處置方案，包括安全事件處置方法以及應(yīng)采取的措施等，并按照安全事件處置流程和方案對(duì)安全事件進(jìn)行處置。

　　安全事件總結(jié)和報(bào)告應(yīng)注意：一旦安全事件得到解決，對(duì)于未知的安全事件進(jìn)行事件記錄，分析記錄信息并補(bǔ)充所需信息，使安全事件成為已知事件，并文檔化；對(duì)安全事件處置過(guò)程進(jìn)行總結(jié)，制定安全事件處置報(bào)告，并保存。

　　第三階段：后期評(píng)估與改進(jìn)

　　后期評(píng)估與改進(jìn)需要輸入安全事件報(bào)告程序，各類(lèi)專(zhuān)項(xiàng)應(yīng)急預(yù)案，安全事件處置報(bào)告，對(duì)安全事件原因、處置過(guò)程進(jìn)行調(diào)查分析，并根據(jù)分析結(jié)果進(jìn)行責(zé)任認(rèn)定及制定改進(jìn)預(yù)防措施。最終輸出安全事件總結(jié)報(bào)告，安全事件改進(jìn)報(bào)告，應(yīng)急預(yù)案。

　　調(diào)查評(píng)估應(yīng)注意：對(duì)于應(yīng)急響應(yīng)過(guò)程進(jìn)行調(diào)查，評(píng)估應(yīng)急過(guò)程合規(guī)性、處置及時(shí)性等。通過(guò)事件重現(xiàn)調(diào)查網(wǎng)絡(luò)安全事件原因，追溯安全責(zé)任，并形成網(wǎng)絡(luò)安全調(diào)查評(píng)估報(bào)告。

　　改進(jìn)預(yù)防應(yīng)注意：調(diào)查評(píng)估根據(jù)網(wǎng)絡(luò)安全事件調(diào)查評(píng)估報(bào)告，制定改進(jìn)預(yù)防措施，修改相應(yīng)應(yīng)急預(yù)案，結(jié)合實(shí)際情況進(jìn)行落實(shí)，并組織開(kāi)展應(yīng)急預(yù)案相關(guān)培訓(xùn)。

　　第四階段：應(yīng)急保障

　　應(yīng)急保障需要輸入總體應(yīng)急預(yù)案，各類(lèi)專(zhuān)項(xiàng)應(yīng)急預(yù)案，進(jìn)而建立健全應(yīng)急保障體系，實(shí)現(xiàn)應(yīng)急預(yù)案保障工作科學(xué)化，最終輸出應(yīng)急保障物資清單。

　　針對(duì)各類(lèi)專(zhuān)項(xiàng)應(yīng)急預(yù)案進(jìn)行分析，制定應(yīng)急預(yù)案執(zhí)行所需通信、裝備、數(shù)據(jù)、隊(duì)伍、交通運(yùn)輸、經(jīng)費(fèi)和治安保障內(nèi)容。

　　應(yīng)急準(zhǔn)備階段的工作是由主管部門(mén)，運(yùn)營(yíng)、使用單位共同完成，其他三個(gè)階段則由運(yùn)營(yíng)、使用單位完成。

　　《網(wǎng)絡(luò)安全法》第五十九條網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。

　　《網(wǎng)絡(luò)安全法》第二十五條規(guī)定則是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告的要求，所以運(yùn)行與維護(hù)過(guò)程中，應(yīng)急保障工作也是一個(gè)重點(diǎn)。

　　做不好應(yīng)急保障工作，與未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度及未落實(shí)有關(guān)技術(shù)、管理措施一樣都可以依據(jù)《網(wǎng)絡(luò)安全法》第五十九條進(jìn)行處罰。當(dāng)然，我們也知道，處罰不是目的，目的則是通過(guò)提升網(wǎng)絡(luò)安全應(yīng)急處置能力，最大程度的保護(hù)網(wǎng)絡(luò)安全，維護(hù)社會(huì)公共利益，保護(hù)國(guó)家安全，讓老百姓在網(wǎng)絡(luò)世界里更有獲得感。

　　作為網(wǎng)絡(luò)運(yùn)營(yíng)者則需要將其與等級(jí)保護(hù)工作同等重要程度看待與落實(shí)。

　　本文主要涉及應(yīng)急工作的一個(gè)過(guò)程脈絡(luò)，是一個(gè)脈絡(luò)性的工作，但缺乏具體技術(shù)實(shí)現(xiàn)，需要具體參照《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《網(wǎng)絡(luò)安全事件應(yīng)急演練指南》《信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》《運(yùn)行維護(hù) 第3部分：應(yīng)急響應(yīng)規(guī)范》等國(guó)家政策文件和標(biāo)準(zhǔn)進(jìn)行制定。