什么是国家网络信息安全等级?

信息安全应急处理服务资质的专业评价要求包括六个过程：准备、检查、抑制、根除、恢复和总结。

C1三级要求

C1.1准备阶段

a)明确客户的应急需求。

b)了解客户应急计划的内容。

c)为客户提供应急处理服务流程。

d)可提供本地2小时应急服务能力。

e)配有处理网络或信息安全事件的工具包，包括常用的系统命令、软件工具等。

f)应定期更新工具包。

g)配置应急处理人员。

h)具备处理一般信息安全事件的能力。(注：参照国家标准GB/Z20985-2000720985-20007)

C1.2检验阶段

a)确定检验目标和范围，并获得客户的授权。

b)对异常系统进行数据收集和分析，确定是否真的发生了安全事故。

c)与客户共同确定应急处理方案。

d)应急处理方案应明确检查范围和检查行为准则，检查范围仅限于客户授权和安全

未经授权，不得浏览与事件有关的数据。

e)与客户充分沟通，预测应急处理方案的可能影响。

f)在客户的监督配合下完成检测工作。

C1.3抑制阶段

a)与客户充分沟通，让他们了解面临的主要问题和抑制处理的目的。

b)在采取抑制措施之前，应告知客户可能存在的风险。

c)严格遵守抑制处理方案中规定的内容，如有必要，必须由客户授权。

d)抑制措施应限制攻击范围，抑制隐性或进一步攻击和破坏行为。

C1.4根除阶段

a)帮助客户检查所有受影响的系统，提出根除方案，并协助客户具体实施。

b)应明确告知客户根除措施可能带来的风险。

c)找出网络或信息安全事件的原因，并彻底消除。

C1.5恢复阶段

a)通知客户网络或信息安全事件的恢复方法及可能存在的风险。

b)对于系统上的恶意文件，配置无法完全恢复，系统无法完全清除，或者根除后系统无法确定

不能恢复正常时，应选择重建系统。

c)根据系统的初始化安全设置，帮助客户恢复系统。

d)恢复后的系统是否正常运行，应帮助客户确认与原系统设置一致。

e)在帮助客户重建系统之前，需要对数据进行全面备份，并确保备份数据没有被攻击者改变

的数据。

C1.6总结阶段

a)及时检查网络或信息安全事件处理记录是否完整，并对事件处理过程进行总结和分析。

b)提供网络或信息安全事件处理报告。

c)提供关于网络或信息安全的建议和意见。

C2二级要求

除满足三级要求外，组织申请二级资格还应满足以下要求：

C2.1准备阶段

a)在客户应急需求的前提下制定应急服务计划。

b)应急服务计划应涉及客户应急计划的启动和实施。

c)如果客户没有制定应急计划，可以帮助客户制定。

d)为客户提供标准化的应急处理服务流程。

e)可提供本地1小时，外地8小时应急服务能力。

f)配有处理网络和信息安全事件的工具包，工具包中应配备专业技术检测仪器。

g)实行工具包制度化管理。

h)能够处理更大的信息安全事件。

C2.2检验阶段

a)客户应书面授权检查目标和范围。

b)建立常规软件系统、安全设备、常见网络和信息安全事件的检查技术标准。

c)帮助客户确定安全事故级别。

d)应急处理方案应包括详细的处理步骤，用于抑制安全事故，根除和恢复。

e)应急处理计划应包括实施计划失败的应变和退出措施。

C2.3抑制阶段

a)在采取抑制措施之前，与客户充分沟通，告知可能存在的风险，制定应变和退缩措施，并与客户进行沟通

达成协议。

b)严格遵守抑制处理方案中规定的内容，如有必要，必须取得客户的书面授权。

C2.4根除阶段

a)帮助客户检查所有受影响的系统，提出根除方案，并协助客户具体实施。

b)明确告知客户所采取的根除措施可能带来的风险，制定应变措施和退出措施，并获得客户的书籍

面授权。

c)找出网络和信息安全事件的原因，并彻底消除。

C2.5恢复阶段

a)与客户共同制定系统恢复方案，帮助客户根据实际情况选择合理的恢复方法。

b)协助客户为重建系统建立系统快照。

C2.6总结阶段

a)及时检查网络和信息安全事件的处理记录是否完整，是否可追溯，以及事件处理过程是否完整

总结和分析。

b)提供详细的网络和信息安全事件处理报告。

c)在网络和信息安全方面提供建议和意见，必要时指导和帮助客户实施。

C3一级要求

除满足二级资质要求外，组织申请一级资质还应满足以下要求：

C3.1准备阶段

a)建立系统的应急处理服务流程。

b)可提供当地7*24小时，外地4小时应急服务能力。

c)与客户建立安全保密的信息传递渠道。

d)具有独立开发专业检测工具的能力。

e)具备处理重大和特别重大信息安全事件的能力。

C3.2检验阶段

a)建立健全的检验技术标准，具备检测高科技入侵的技术能力。

b)能够挖掘系统设备和业务系统的安全漏洞。

c)启动安全事故管理流程，确认安全事故。

d)应急处理方案应分析可能产生的影响，包括社会影响。

e)保留相关证据信息，可用于法律程序。

C3.3抑制阶段

应选择可信的工具来抑制安全事故，不得使用受害系统现有的不可信文件。

C3.4根除阶段

安全事故根除处理应选择可信工具，不得使用受害系统现有的不可信文件。

C3.5恢复阶段

协助客户全面安全加固重建系统。

C3.6总结阶段

a)总结分析网络和信息安全事件后，将经典案例存入事件知识库。

b)提供详细的网络和信息安全事件处理报告，关闭安全事故管理流程。

c)法律要求或影响可能涉及客户事件的诉讼。