信息安全技術關鍵信息基礎設施安全保護要求2022-10-12發布I前言 2規范性引用文件 13術語和定義 l4安全保護基本原則 15主要內容及活動 26分析識別 26.1業務識別 26.2資產識別 26.3風險識別 36.4重大變更 37安全防護 37.1網絡安全等級保護 37.2安全管理制度 37.3安全管理機構 37.4安全管理人員 37.5安全通信網絡 47.6安全計算環境 47.7安全建設管理 57.8安全運維管理 57.9供應鏈安全保護 57.10數據安全防護 68檢測評估 68.1制度 68.2方式和內容 69監測預警 79.1制度 7 79.3預警 810主動防御 810.1收斂暴露面 810.2攻擊發現和阻斷 810.3攻防演練 810.4威脅情報 9Ⅱ11事件處置 11.1制度 11.2應急預案和演練 11.3響應和處置 11.4重新識別 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中央網信辦網絡安全協調局、公安部網絡安全保衛局、中國電子技術標準化研究院、中國信息安全測評中心、國家信息技術安全研究中心、國家計算機網絡應急技術處理協調中心、公安部第三研究所、公安部第一研究所、北京賽西科技發展有限責任公司、中國信息安全研究院有限公司、國家工業信息安全發展研究中心、中國網絡安全審查技術與認證中心、中國互聯網絡信息中心。為落實《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》關于保護關鍵信息基礎設施運行安全的要求，在國家網絡安全等級保護制度基礎上，借鑒我國相關部門在重要行業和領域開展網絡安全保護工作的成熟經驗，吸納國內外在關鍵信息基礎設施安全保護方面的舉措，結合我國現有網絡鍵信息基礎設施安全保護要求，采取必要措施保護關鍵信息基礎設施業務連續運行，及其重要數據不受破壞，切實加強關鍵信息基礎設施安全保護。1信息安全技術關鍵信息基礎設施安全保護要求1范圍本文件規定了關鍵信息基礎設施分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等方面的安全要求。本文件適用于指導運營者對關鍵信息基礎設施進行全生存周期安全保護，也可供關鍵信息基礎設施安全保護的其他相關方參考使用。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T20984信息安全技術信息安全風險評估方法GB/T25069信息安全技術術語3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。關鍵信息基礎設施criticalinformationinfrastructure域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。將多個資源和過程聯系在一起，并根據服務協議或其他采購協議建立連續供應關系的組織系列。注：其中每一組織充當需方、供方或雙重角色。關鍵業務鏈criticalbusinesschain組織的一個或多個相互關聯的業務構成的關鍵業務流程。4安全保護基本原則關鍵信息基礎設施安全保護應在網絡安全等級保護制度基礎上，實行重點保護，應遵循以下基本原則。——以關鍵業務為核心的整體防控。關鍵信息基礎設施安全保護以保護關鍵業務為目標，對業務所涉及的一個或多個網絡和信息系統進行體系化安全設計，構建整體安全防控體系。2——以風險管理為導向的動態防護。根據關鍵信息基礎設施所面臨的安全威脅態勢進行持續監測和安全控制措施的動態調整，形成動態的安全防護機制，及時有效地防范應對安全風險。——以信息共享為基礎的協同聯防。積極構建相關方廣泛參與的信息共享、協同聯動的共同防護機制，提升關鍵信息基礎設施應對大規模網絡攻擊能力。5主要內容及活動關鍵信息基礎設施安全保護包括分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置六個方面。a)分析識別：圍繞關鍵信息基礎設施承載的關鍵業務，開展業務依賴性識別、關鍵資產識別、風險識別等活動。本活動是開展安全防護、檢測評估、監測預警、主動防御、事件處置等活動的基礎。b)安全防護：根據已識別的關鍵業務、資產、安全風險，在安全人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面實施安全管理和技術保護措施，確保關鍵信息基礎設施的運行安全。c)檢測評估：為檢驗安全防護措施的有效性，發現網絡安全風險隱患，應建立相應的檢測評估制度，確定檢測評估的流程及內容等，開展安全檢測與風險隱患評估，分析潛在安全風險可能引發的安全事件。d)監測預警：建立并實施網絡安全監測預警和信息通報制度，針對發生的網絡安全事件或發現的網絡安全威脅，提前或及時發出安全警示。建立威脅情報和信息共享機制，落實相關措施，提高主動發現攻擊能力。e)主動防御：以應對攻擊行為的監測發現為基礎，主動采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作，提升對網絡威脅與攻擊行為的識別、分析和主動防御能力。f)事件處置：運營者對網絡安全事件進行報告和處置，并采取適當的應對措施，恢復由于網絡安全事件而受損的功能或服務。6分析識別6.1業務識別業務識別要求包括：a)應識別本組織的關鍵業務和與其相關聯的外部業務；b)應分析本組織關鍵業務對外部業務的依賴性；c)應分析本組織關鍵業務對外部業務的重要性；d)應梳理關鍵業務鏈，明確支撐關鍵業務的關鍵信息基礎設施分布和運營情況。6.2資產識別資產識別要求包括：a)應識別關鍵業務鏈所依賴的資產，建立關鍵業務鏈相關的網絡、系統、數據、服務和其他類資產的資產清單；b)應基于資產類別、資產重要性和支撐業務的重要性，確定資產防護的優先級；c)應采用資產探測技術識別資產，并根據關鍵業務鏈所依賴資產的實際情況動態更新。36.3風險識別應按照GB/T20984等風險評估標準，對關鍵業務鏈開展安全風險分析，識別關鍵業務鏈各環節的威脅、脆弱性，確認已有安全控制措施，分析主要安全風險點，確定風險處置的優先級，形成安全風險報告。6.4重大變更在關鍵信息基礎設施發生改建、擴建、所有人變更等較大變化時，應重新開展識別工作，可能影響認定結果的，應及時將相關情況報告保護工作部門，并更新資產清單。注：保護工作部門指公共通信和信息服務、能源、交通、水利、金融、公共和領域的主管部門、監督管理部門，也是負責關鍵信息基礎設施安全保護工作的部門。7安全防護7.1網絡安全等級保護應落實國家網絡安全等級保護制度相關要求，開展網絡和信息系統的定級、備案、安全建設整改和等級測評等工作。7.2安全管理制度安全管理制度要求包括：a)應制定適合本組織的網絡安全保護計劃，明確關鍵信息基礎設施安全保護工作的目標，從管理支撐關鍵信息基礎設施安全保護工作。網絡安全保護計劃應形成文檔并經審批后發送至相關人員。網絡安全保護計劃應每年至少修訂一次，或發生重大變化時進行修訂。b)應建立管理制度和安全策略，重點考慮基于關鍵業務鏈安全需求，并根據關鍵信息基礎設施面臨的安全風險和威脅的變化進行相應調整。注1:安全策略包括但不限于：安全互聯策略、安全審計策略、身份管理策略、入侵防范策略、數據安全防護策略、自注2:管理制度包括但不限于：風險管理制度、網絡安全考核及監督問責制度、網絡安全教育培訓制度、人員管理制度、業務連續性管理及容災備份制度、三同步制度(安全措施同步規劃、同步建設和同步使用)、供應鏈安全管理制度等。7.3安全管理機構安全管理機構要求包括：a)應成立網絡安全工作委員會或領導小組，由組織主要負責人擔任其領導職務，明確一名領導班子成員作為首席網絡安全官，專職管理或分管關鍵信息基礎設施安全保護工作；b)應設置專門的網絡安全管理機構(以下簡稱“安全管理機構”),明確機構負責人及崗位，建立并實施網絡安全考核及監督問責機制；c)應為每個關鍵信息基礎設施明確一名安全管理責任人；d)應將安全管理機構人員納入本組織信息化決策體系。7.4安全管理人員安全管理人員要求包括：4a)應對安全管理機構的負責人和關鍵崗位的人員進行安全背景審查和安全技能考核，符合要求的人員方能上崗。安全管理機構明確關鍵崗位，通常包括與關鍵業務系統直接相關的系統管理、網絡管理、安全管理等崗位。關鍵崗位應配備專人，并配備2人以上共同管理。b)應定期安排安全管理機構人員參加國家、行業或業界網絡安全相關活動，及時獲取網絡安全動態。c)應建立網絡安全教育培訓制度，定期開展網絡安全教育培訓和技能考核，關鍵信息基礎設施從業人員每人每年教育培訓時長不得少于30個學時。教育培訓內容應包括網絡安全相關法律法規、政策標準，以及網絡安全保護技術、網絡安d)當安全管理機構的負責人和關鍵崗位人員的身份、安全背景等發生變化(例如：取得非中國國籍)或必要時，應根據情況重新按照相關要求進行安全背景審查。應在人員發生內部崗位調動時，重新評估調動人員對關鍵信息基礎設施的邏輯和物理訪問權限，修改訪問權限并通知相關人員或角色。應在人員離崗時，及時終止離崗人員的所有訪問權限，收回與身份鑒別相關的軟硬件設備，進行面談并通知相關人員或角色。e)應明確從業人員安全保密職責和義務，包括安全職責、獎懲機制、離崗后的脫密期限等，并簽訂安全保密協議。7.5安全通信網絡應實現通信線路“一主雙備”的多電信運營商多路由保護，宜對網絡關鍵節點和重要設施實施“雙節互聯安全要求包括：a)應建立或完善不同網絡安全等級保護系統之間、不同業務系統之間、不同區域的系統之間、不同運營者運營的系統之間的安全互聯策略；b)應保持同一用戶其用戶身份和訪問控制策略等在不同網絡安全等級保護系統、不同業務系統、不同區域中的一致性；c)對不同局域網之間遠程通信時應采取安全防護措施，例如：在通信前基于密碼技術對通信的雙方進行驗證或鑒別。邊界防護要求包括：a)應對不同網絡安全等級保護系統之間、不同業務系統之間、不同區域的系統之間、不同運營者運營的系統之間的互操作、數據交換和信息流向進行嚴格控制；b)應對未授權設備進行動態發現及管控，只允許通過運營者授權的軟硬件運行。據不少于6個月。7.6安全計算環境鑒別與授權要求包括：5a)應明確重要業務操作、重要用戶操作或異常用戶操作行為，并形成清單；b)應對設備、用戶、服務或應用、數據進行安全管控，對于重要業務操作、重要用戶操作或異常用戶操作行為，建立動態的身份鑒別方式，或者采用多因子身份鑒別等方式；c)針對重要業務數據資源的操作，應基于安全標記等技術實現訪問控制。入侵防范要求包括：a)應采取技術手段，提高對高級可持續威脅(APT)等網絡攻擊行為的入侵防范能力；b)應采取技術手段，實現系統主動防護，及時識別并阻斷入侵和病毒行為。驗證后及時修補。7.7安全建設管理應在關鍵信息基礎設施建設、改造、升級等環節，實現網絡安全技術措施與關鍵信息基礎設施主體業務的仿真驗證環境，予以驗證。7.8安全運維管理安全運維管理要求包括：a)應保證關鍵信息基礎設施的運維地點位于中國境內，如確需境外運維，應符合我國相關規定；b)應在運維前與維護人員簽訂安全保密協議；c)應確保優先使用已在本組織登記備案的運維工具，如確需使用未登記備案的運維工具，應在使用前通過惡意代碼檢測等測試。7.9供應鏈安全保護供應鏈安全保護要求包括：a)應建立供應鏈安全管理策略，包括：風險管理策略、供應方選擇和管理策略、產品開發采購策略、安全維護策略等。建立供應鏈安全管理制度，提供用于供應鏈安全管理的資金、人員和權限等可用資源。b)采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時，應采購通過國家檢測認證的設備和產品。c)應形成年度采購的網絡產品和服務清單。采購、使用的網絡產品和服務應符合相關國家標準的要求。可能影響國家安全的，應通過國家網絡安全審查。d)應建立和維護合格供應方目錄。應選擇有保障的供應方，防范出現因政治、外交、貿易等非技術因素導致產品和服務供應中斷的風險。e)應強化采購渠道管理，保持采購的網絡產品和服務來源的穩定或多樣性。f)采購網絡產品和服務時，應明確提供者的安全責任和義務，要求提供者對網絡產品和服務的設計、研發、生產、交付等關鍵環節加強安全管理。要求提供者聲明不非法獲取用戶數據、控制和操縱用戶系統和設備，或利用用戶對產品的依賴性謀取不正當利益或者迫使用戶更新換代。g)應與網絡產品和服務的提供者簽訂安全保密協議，協議內容應包括安全職責、保密內容、獎懲6h)應要求網絡產品和服務的提供者對網絡產品和服務研發、制造過程中涉及的實體擁有或控制的已知技術專利等知識產權獲得10年以上授權，或在網絡產品和服務使用期內獲得持續授權。i)應要求網絡產品和服務的提供者提供中文版運行維護、二次開發等技術資料。j)應自行或委托第三方網絡安全服務機構對定制開發的軟件進行源代碼安全檢測，或由供應方提供第三方網絡安全服務機構出具的代碼安全檢測報告。k)使用的網絡產品和服務存在安全缺陷、漏洞等風險時，應及時采取措施消除風險隱患，涉及重大風險的應按規定向相關部門報告。7.10數據安全防護數據安全防護要求包括：a)應建立數據安全管理責任和評價考核制度，編制數據安全保護計劃，實施數據安全技術防護，開展數據安全風險評估，制定數據安全事件應急預案，及時處置安全事件，組織數據安全教育、培訓。b)應建立基于數據分類分級的數據安全保護策略，明確重要數據和個人信息保護的相應措施。c)將在我國境內運營中收集和產生的個人信息和重要數據存儲在境內。因業務需要，確需向境外提供數據的，應當按照國家相關規定和標準進行安全評估。法律、行政法規另有規定的，依照其規定。等技術手段保護敏感數據安全。e)應建立業務連續性管理及容災備份機制，重要系統和數據庫實現異地備份。f)數據可用性要求高的，應采取數據庫異地實時備份措施。業務連續性要求高的，應采取系統異地實時備份措施，確保關鍵信息基礎設施一旦被破壞，可及時進行恢復和補救。g)應在關鍵信息基礎設施退役廢棄時，按照數據安全保護策略對存儲的數據進行處理。h)應建立數據處理活動全流程的安全能力，并符合相關國家標準關于數據安全保護的要求。8檢測評估應建立健全關鍵信息基礎設施安全檢測評估制度，包括但不限于檢測評估流程、方式方法、周期、人8.2方式和內容方式和內容要求包括：a)應自行或者委托網絡安全服務機構對關鍵信息基礎設施安全性和可能存在的風險，每年至少進行一次檢測評估，并及時整改發現的問題；b)在涉及多個運營者時，應定期組織或參加跨運營者的關鍵信息基礎設施安全檢測評估，并及時整改發現的問題；c)在檢測評估時，內容應包括但不限于網絡安全制度(國家和行業相關法律、法規、政策文件及運營者制定的制度)落實情況、組織機構建設情況、人員和經費投入情況、教育培訓情況、網絡安全等級保護制度落實情況、商用密碼應用安全性評估情況、技術防護情況、數據安全防護情況、供應鏈安全保護情況、云計算服務安全評估情況(適用時)、風險評估情況、應急演練情況、攻防演練情況等，尤其關注關鍵信息基礎設施跨系統、跨區域間的信息流動，及其資產的安全防護7情況；d)在關鍵信息基礎設施發生改建、擴建、所有人變更等較大變化時，應自行或者委托網絡安全服務機構進行檢測評估，分析關鍵業務鏈以及關鍵資產等方面的變更，評估上述變更給關鍵信息基礎設施帶來的風險變化情況，并依據風險變化以及發現的安全問題進行有效整改后方可上線；e)應針對特定的業務系統或系統資產，經有關部門批準或授權，采取模擬網絡攻擊方式，檢測關鍵信息基礎設施在面對實際網絡攻擊時的防護和響應能力；f)在安全風險抽查檢測工作中，應配合提供網絡安全管理制度、網絡拓撲圖、重要資產清單、關鍵業務鏈、網絡日志等必要的資料和技術支持，針對抽查檢測工作中發現的安全隱患和風險建立9監測預警制度要求包括：a)應建立并落實常態化監測預警、快速響應機制。制定自身的監測預警和信息通報制度，確定網絡安全預警分級準則，明確監測策略、監測內容和預警流程，對關鍵信息基礎設施的安全風險進行監測預警。b)應關注國內外及行業關鍵信息基礎設施安全事件、安全漏洞、解決方法和發展趨勢，并對涉及的關鍵信息基礎設施安全性進行研判分析，必要時發出預警。c)應建立關鍵信息基礎設施的預警信息報告和響應處置程序，明確不同級別預警的報告、響應和處置流程。d)應建立通報預警及協作處置機制，建立和維護外聯單位聯系列表，包括外聯單位名稱、合作內容、聯系人和聯系方式等信息。e)應建立與外部組織之間、與其他運營者之間，以及運營者內部管理人員、內部網絡安全管理機構與內部其他部門之間的溝通與合作機制，定期召開協調會議，共同研判、處置網絡安全問題。f)應建立網絡安全信息共享機制，例如：建立與保護工作部門、同一關鍵信息基礎設施的其他運營者、研究機構、網絡安全服務機構、業界專家之間的溝通與合作機制，網絡安全共享信息可以是漏洞信息、威脅信息、最佳實踐、前沿技術等。當網絡安全共享信息為漏洞信息時，應符合國家關于漏洞管理制度的要求。9.2監測監測要求包括：a)應在網絡邊界、網絡出入口等網絡關鍵節點部署攻擊監測設備，發現網絡攻擊和未知威脅；b)應對關鍵業務所涉及的系統進行監測(例如：對不同網絡安全等級保護系統、不同區域的系統之間的網絡流量進行監測等),對監測信息采取保護措施，防止其受到未授權的訪問、修改和刪除；c)應分析系統通信流量或事態的模式，建立常見系統通信流量或事態的模型，并使用這些模型調整監測工具參數，以減少誤報和漏報；d)應全面收集網絡安全日志，構建違規操作模型、攻擊入侵模型、異常行為模型，強化監測預警能力；e)應采用自動化機制，對關鍵業務所涉及的系統的所有監測信息進行整合分析，以便及時關聯資產、脆弱性、威脅等，分析關鍵信息基礎設施的網絡安全態勢。關鍵信息基礎設施跨組織、跨地8域建設時，構建集中統一指揮、多點全面監測、多級聯動處置的動態感知能力；f)應將關鍵業務運行所涉及的各類信息進行關聯，并分析整體安全態勢，包括：分析不同存儲庫的審計日志并使之關聯；將多個信息系統內多個組件的審計記錄關聯；將信息系統審計記錄信息與物理訪問監控的信息關聯；將來自非技術源的信息(例如：供應鏈信息、關鍵崗位人員信息等)與信息系統審計信息關聯；網絡安全共享信息的信息關聯等；g)應通過安全態勢分析結果來確定安全策略和安全控制措施是否合理有效，必要時進行更新。9.3預警預警要求包括：a)應將監測工具設置為自動模式。當發現可能危害關鍵業務的跡象時，能自動報警，并自動采取相應措施，降低關鍵業務被影響的可能性。例如：惡意代碼防御機制、入侵檢測設備或者防火墻等彈出對話框、發出聲音或者向相關人員發出電子郵件等方式進行報警。b)應對網絡安全共享信息和報警信息等進行綜合分析、研判，必要時生成內部預警信息。對于可能造成較大影響的，應按照相關部門要求進行通報。內部預警信息的內容應包括：基本情況描述、可能產生的危害及程度、可能影響的用戶及范圍、宜采取的應對措施等。c)應能持續獲取預警發布機構的安全預警信息，分析、研判相關事件或威脅對自身網絡安全保護對象可能造成損害的程度，必要時啟動應急預案。獲取的安全預警信息應按照規定通報給相關人員和相關部門。d)采取相關措施對預警進行響應，當安全隱患得以控制或消除時，應執行預警解除流程。10主動防御10.1收斂暴露面收斂暴露面要求包括：a)應識別和減少互聯網和內網資產的互聯網協議地址、端口、應用服務等暴露面，壓縮互聯網出口數量；b)應減少對外暴露組織架構、郵箱賬號、組織通信錄等內部信息，防范社會工程學攻擊；c)不應在公共存儲空間(例如：代碼托管平臺、文庫、網盤等)存儲可能被攻擊者利用的技術文檔。10.2攻擊發現和阻斷攻擊發現和阻斷要求包括：a)應分析網絡攻擊的方法、手段，針對拒絕服務攻擊等各類攻擊，采取有針對性的防護策略和技術措施，制定總體技術應對方案；b)應針對監測發現的攻擊活動，分析攻擊路線、攻擊目標，設置多道防線，采取捕獲、干擾、阻斷、封控、加固等多種技術手段，切斷攻擊路徑，快速處置網絡攻擊；c)應及時對網絡攻擊活動開展溯源，對攻擊者進行畫像，為案件偵查、事件調查、完善防護策略和措施提供支持；d)應系統全面地分析網絡攻擊意圖、技術與過程，進行關聯分析與還原，并以此改進安全保護策攻防演練要求包括：9a)應圍繞關鍵業務的可持續運行設定演練場景，定期組織開展攻防演練，關鍵信息基礎設施跨組織、跨地域運行的，組織或參加實網攻防演練。在不適合開展實網攻防演練場景下，采取沙盤推演的方式進行攻防演練。b)應將關鍵信息基礎設施核心供應鏈、緊密上下游產業鏈等業務相關單位納入演練范疇。c)應針對攻防演練中發現的安全問題及風險進行及時整改，消除結構性、全局性風險。威脅情報要求包括：a)應建立本部門、本單位網絡威脅情報共享機制，組織聯動上下級單位，開展威脅情報搜集、加b)應建立外部協同網絡威脅情報共享機制，與權威網絡威脅情報機構開展協同聯動，實現跨行業領域網絡安全聯防聯控。11事件處置制度要求包括：a)應建立網絡安全事件管理制度，明確不同網絡安全事件的分類分級、不同類別和級別事件處置的流程等，制定應急預案等網絡安全事件管理文檔。事件處置制度應符合國家聯防聯控相關要求，及時將信息共享給相關方。b)應為網絡安全事件處置提供相應資源，組織建立專門網絡安全應急支撐隊伍、專家隊伍，保障安全事件得到及時有效處置。c)應按規定參與和配合相關部門開展的網絡安全應急演練、應急處置、案件偵辦等工作。11.2應急預案和演練應急預案和演練要求包括：a)應在國家網絡安全事件應急預案的框架下，根據行業和地方的特殊要求，制定網絡安全事件應急預案。b)應在應急預案中明確，一旦信息系統中斷、受到損害或者發生故障時，需要維護的關鍵業務功能，并明確遭受破壞時恢復關鍵業務和恢復全部業務的時間。應急預案不僅應包括本組織應急事件的處理，也應包括多個運營者間的應急事件的處理。c)在制定應急預案時，應同所涉及的運營者內部相關計劃(例如：業務持續性計劃、災難備份計劃等)以及外部服務提供者的應急計劃進行協調，以確保連續性要求得以滿足。d)應在應急預案中包括非常規時期、遭受大規模攻擊時等處置流程。e)應對網絡安全應急預案定期進行評估修訂，并持續改進。f)應每年至少組織開展1次本組織的應急演練。關鍵信息基礎設施跨組織、跨地域運行的，應定期組織或參加跨組織、跨地域的應急演練。11.3響應和處置事件報告要求包括：a)當發生有可能危害關鍵業務的安全事件時，應及時向安全管理機構報告，并組織研判，形成事b)應及時將可能危害關鍵業務的安全事件通報到可能受影響的內部部門和人員，并按照規定向供應鏈涉及的、與事件相關的其他組織通報安全事件。事件處理和恢復要求包括：a)應按照事件處置流程、應急預案進行事件處理，恢復關鍵業務和信息系統到已知的狀態；b)應按照先應急處置、后調查評估的原則，在事件發生后盡快收集證據，按要求進行信息安全取證分析，并確保所有涉及的響應活動被適當記錄，便于日后分析，在進行取證分析時，應與業務連續性計劃相協調；c)