确监测内容和流程,采取有效技术措施,实施持续性监测,对关键信息基础设施的网络安全风险进行感知、监测。Р安全监测的内容应包括但不限于漏洞利用攻击监测、间谍软件监测、病毒蠕虫攻击监测、木马后门攻击监测、异常流量监测、敏感信息泄露监测。Р运营者应按照安全保护工作部门网络安全监测预警和信息通报的要求,建立关键信息基础设施的预警信息响应处置程序。Р运营者在收到预警信息后,应按照预警信息响应处置程序,进行分析、研判和处置反馈。Р运营者应按照安全保护工作部门网络安全监测预警和信息通报的要求,做好与安全保护工作部门、研究机构、网络安全服务机构的网络安全信息共享工作,共享信息包括但不限于漏洞信息、威胁信息、最佳实践、前沿技术等。Р应急处置Р运营者应在国家网络安全事件应急预案的框架下,根据行业和地方的特殊要求,制定本单位的网络安全事件应急预案。应急预案应包括启动应急预案的条件、应急处理流程、系统恢复流程、事件报告流程、事后教育和培训等内容。应对关键信息基础设施网络安全应急预案定期进行评估修订,每年至少组织1次应急演练。Р运营者应指定专门网络安全应急支撑队伍、专家队伍,保障安全事件得到及时有效处置。Р运营者应制定灾难恢复计划,确保关键信息基础设施能及时从网络安全事件中恢复,并建立安全事件追溯机制。Р在网络安全事件发生后,运营者应按应急预案进行处置;事件处置完成后及时向安全保护工作部门书面报告事件情况,内容应至少包括:事件描述、原因和影响分析、处置方式等信息。Р运营者对关键信息基础设施中的重要系统和数据应采取GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》中的三级及以上要求进行处置。Р运营者应积极参与和配合国家网信部门、安全保护工作部门开展的网络安全应急演练、应急处置等工作。Р运营者应根据检测评估、监测预警中发现的安全问题及处置结果开展综合评估,重新开展风险识别,并更新安全策略。
全文预览
