GB/T 38645-2020 信息安全技术 网络安全事件应急演练指南

　　ICS 35 . 040 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 38645—2020

　　信息安全技术 网络安全事件应急演练指南

　　Informationsecuritytechniques—Guideforcybersecurityincident

　　emergencyexercises

　　2020-04-28 发布 2020-1 1-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 38645—2020

　　GB/T 38645—2020

　　前 言

　　本标准按照 GB/T 1 . 1—2009 给出的规则起草。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别这些专利的责任。

　　本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口 。

　　本标准起草单位：烽台科技(北京)有限公司、国家工业信息安全发展研究中心、国家电网有限公司、国家信息技术安全研究中心、中国证监会信息中心、中国电力科学研究院有限公司、中国电子技术标准化研究院、黑龙江省工业和信息化厅、清华大学、北京京航计算通讯研究所、北京理工大学、哈尔滨工业大学、哈尔滨工程大学、桂林电子科技大学、公安部第三研究所、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中国互联网络信息中心、中国科学院信息工程研究所、中国电子科技网络信息安全有限公司、黑龙江省电子技术研究所、北京启明星辰信息安全技术有限公司、哈尔滨工大天创电子有限公司、国网山东省电力公司电力科学研究院、北京安天网络安全技术有限公司、北京网藤科技有限公司、哈尔滨工业大学软件工程股份有限公司、黑龙江信息技术职业学院、北京市政务信息安全应急处置中心、北京网御星云信息技术有限公司、北京卓识网安技术股份有限公司。

　　本标准主要起草人：龚亮华、尹丽波、王磊、宫亚峰、刘莹、王东明、张格、刘迎、朱朝阳、魏钦志、周亮、李琳、张永静、张洪、李俊、于盟、王达、薛一波、祝烈煌、王佰伶、孙建国、丁勇、佟薇薇、孙立立、王启蒙、雷承霖、赵旭东、邱梓华、邹春明、贾若伦、訾立强、谢丰、杜红亮、何能强、李若愚、郝志宇、敖佳、刘慧晶、郑显生、孟雅辉、刘文跃、王文婷、李柏松、童志明、李佐民、郭宇亮、左晓英、范士喜、张涛、魏彬、杜君、刘健帅、刘韧。

　　GB/T 38645—2020

　　引 言

　　建立网络安全事件应急工作机制，开展应急演练是减少和预防网络安全事件造成损失和危害的重要保证。 为规范和指导网络安全事件应急演练工作，制定网络安全事件应急演练指南是必要的。

　　GB/T 38645—2020

　　信息安全技术 网络安全事件应急演练指南

　　1 范围

　　本标准给出了网络安全事件应急演练实施的目的、原则、形式、方法及规划，并描述了应急演练的组织架构以及实施过程。

　　本标准适用于指导相关组织实施网络安全事件应急演练活动。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的。 凡是注 日期的引用文件，仅注 日期的版本适用于本文件 。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 25069 信息安全技术 术语

　　3 术语和定义

　　GB/T 25069 界定的以及下列术语和定义适用于本文件。

　　3.1

　　网络安全事件 cybersecurityincident

　　由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件。

　　3.2

　　网络安全事件应急演练 cybersecurityincidentemergencyexercises

　　有关政府部门、企事业单位、社会团体组织相关人员，针对设定的突发事件模拟情景，按照应急预案所规定的职责和程序，在特定的时间和地域，开展应急处置的活动。

　　4 应急演练目的

　　应急演练目的如下：

　　a) 检验预案：通过开展应急演练，查找和验证应急预案中存在的问题，完善应急预案，提高应急预案的科学性、实用性和可操作性;

　　b) 完善准备：通过开展应急演练，检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作;

　　c) 锻炼队伍：通过开展应急演练，增强演练管理部门、指挥机构、参演机构和人员等对应急预案的熟悉程度，锻炼应急处置需要的技能，加强配合，提高其应急处置能力;

　　d) 磨合机制：通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善各关联方之间分离、阻隔、配套应急联动机制，防范网络安全风险传导;

　　e) 宣传教育：通过开展应急演练，普及应急知识，不断增强网络安全管理的专业化程度，提高全员网络安全风险防范意识。

　　GB/T 38645—2020

　　5 应急演练原则

　　应急演练原则如下：

　　a) 结合实际：结合应急管理工作要求，明确演练目的，根据资源条件确定演练方式和规模;

　　b) 贴合实战：提高应急指挥机构的指挥协调能力和应急队伍的实操应急处置能力;

　　c) 提高实效：重视对演练流程及演练效果的评估、考核，总结推广经验，整改发现的问题;

　　d) 保证安全：围绕演练目的策划演练内容，科学制定演练方案，部署演练活动，制定并遵守有关安全措施，确保演练参与人员及演练设施安全;

　　e) 统筹规划：统筹规划应急演练活动，演与练有效互补，适当开展跨行业、跨地域的综合性演练，利用现有资源，提升应急演练效益。

　　6 应急演练形式

　　按照应急演练的组织形式、内容、目的和作用的不同，应急演练形式可以从多个维度进行划分：

　　a) 按照应急演练的组织形式，分为如下形式：

　　1) 桌面推演：参演人员根据应急预案，利用流程图、计算机模拟、视频会议等辅助手段，针对事先假定的演练场景进行模拟应急决策及现场处置的过程，验证应急预案的有效性，促进相关人员明确应急预案中有关职责，掌握应急流程及应急操作，提高指挥决策和各方协同配合能力。

　　2) 模拟演练：参演人员利用网络与信息系统相关软硬件或靶场技术，模拟构建接近真实环境的测试环境，模拟突发事件场景或场景片段，注重模拟演练技术操作的验证、演练过程中各方资源的协调和配合、演练过程中各类问题和风险的应对。

　　3) 实操演练：参演人员利用网络与信息系统真实环境模拟突发事件场景，完成判断、决策、处置等环节的应急响应过程，检验和提高相关人员的临场组织指挥、应急处置和后勤保障能力 。实操演练还可分为指定科目演练和预先不告知科目演练。

　　b) 按照应急演练的内容，分为如下形式：

　　1) 专项演练：指涉及应急预案中特定系统或应急响应功能的演练活动。 针对一个或少数几个参与部门(岗位)的特定环节和功能进行检验。

　　2) 综合演练：指涉及应急预案中多项或全部应急响应功能的演练活动。 对多个环节和功能进行检验。

　　c) 按照应急演练的目的和作用，分为如下形式：

　　1) 检验性演练：为检验应急预案的可行性、应急准备的充分性、应急机制的协调性及相关人员的应急处置能力而组织的演练。

　　2) 示范性演练：为向观摩人员展示应急能力或提供示范教学，按照演练方案开展的表演性演练。

　　3) 研究性演练：为研究和解决突发事件应急处置的重点、难点问题，试验新方案、新技术、新装备而组织的演练。

　　d) 其他演练形式。

　　不同维度的演练相互组合，可以形成专项桌面推演、综合性桌面推演、专项实操演练、综合性实操演练、专项示范演练、综合性示范演练等常用演练形式，常用演练形式参见附录 A。

　　GB/T 38645—2020

　　7 应急演练规划

　　有关组织根据实际情况，依据相关法律法规、应急预案的规定和管理部门的要求，对一定时期内各类应急演练活动做出总体规划，包括应急演练的频次、规模、形式、时间、地点、预算等。 一般以一年为一个周期制定演练规划。

　　8 应急演练组织架构

　　8 . 1 综述

　　演练组织架构包括管理部门、指挥机构和参演机构。 根据事件等级、演练规模、演练目的、演练形式等，组织机构可对相关机构人员和职责进行归并等调整，按实际情况进行相应组织细分。

　　8 . 2 管理部门

　　管理部门包括上级单位、国家有关网络安全监管部门等，主要职责如下：

　　a) 下发应急演练要求;

　　b) 审批或备案下级组织单位应急演练规划;

　　c) 必要情况下，宣布应急演练开始、结束或终止。

　　8 . 3 指挥机构

　　8 . 3 . 1 指挥人员

　　主要职责如下：

　　a) 对应急演练工作的承诺和支持，包括发布正式文件、提供必要资源(人、财、物)等;

　　b) 审核并批准应急演练方案;

　　c) 审批决定应急演练重大事项;

　　d) 部署、检查、指导和协调应急演练各项筹备工作;

　　e) 负责跨组织、跨领域应急演练的各项协调工作;

　　f) 对外联络相关单位，协调各单位在应急演练中的职责;

　　g) 指挥、调度应急演练现场工作;

　　h) 宣布应急演练开始、结束或终止;

　　i) 总结应急演练效果、完成演练总结报告;

　　j) 跟踪演练成果运用。

　　8 . 3 . 2 策划人员

　　主要职责如下：

　　a) 策划、制定应急演练方案;

　　b) 负责应急演练过程中的解说。

　　8 . 3 . 3 督导人员

　　主要职责如下：

　　a) 督查演练活动是否符合应急演练规划要求;

　　b) 现场监督指导应急演练具体工作。

　　GB/T 38645—2020

　　8 . 4 参演机构

　　8 . 4 . 1 顾问人员

　　由演练组织单位牵头相关参演机构领导及技术专家组成，在演练实施阶段赴各参演机构演练现场指导演练工作。

　　8 . 4 . 2 实施人员

　　主要职责如下：

　　a) 执行演练脚本;

　　b) 按照应急预案对模拟触发的网络安全事件进行应急响应处置;

　　c) 对不设场景的预案模拟触发的网络安全事件进行实战应急响应处置;

　　d) 运用演练成果。

　　8 . 4 . 3 保障人员

　　主要职责如下：

　　a) 跟踪拟定演练人员按要求参与演练活动;

　　b) 负责调集演练过程需要的各项器材，并准备好通信、调度等技术支撑系统;

　　c) 落实演练场地、物资，开展后勤保障工作;

　　d) 跟踪、落实演练规划中要求的经费;

　　e) 负责演练现场的安全保障工作。

　　8 . 4 . 4 技术支持人员

　　主要职责如下：

　　a) 为应急演练活动提供应急技术、演练技术咨询与支撑;

　　b) 调试演练过程需要的各项器材，并做好通信、调度等技术支撑系统的技术保障工作;

　　c) 负责应急演练各环节包括监测、处置等环节的具体技术实现;

　　d) 模拟触发网络安全事件。

　　8 . 4 . 5 评估人员

　　主要职责如下：

　　a) 记录演练过程与应急动作要领;

　　b) 评价演练效果、演练过程及动作要领，完成演练评估报告;

　　c) 发现应急演练中存在的问题，及时向相关职责人员提出意见或建议。

　　8 . 4 . 6 其他人员

　　主要职责如下：

　　a) 对外联络其他参演机构，协助完成应急演练工作;

　　b) 协调跨组织、跨领域参演人员完成应急演练工作;

　　c) 特邀相关单位领导及其他各类人员，观察演练过程等;

　　d) 负责应急演练的其他工作。

　　GB/T 38645—2020

　　9 应急演练实施过程

　　9 . 1 准备阶段

　　9 . 1 . 1 制定演练计划

　　9 . 1 . 1 . 1 综述

　　应急指挥机构根据应急演练规划和应急预案制定演练计划，明确演练 目 的，分析演练要求，确定演练范围，起草 日程计划，编制演练经费预算。 应急演练计划模板参见附录 B 的 B. 1 。

　　9 . 1 . 1 . 2 明确演练目的

　　明确开展应急演练的原因、演练要解决的问题和期望达到的效果。

　　9 . 1 . 1 . 3 分析演练要求

　　根据应急演练规划和应急预案要求，在对事先设定事件场景风险和应急预案认真分析的基础上，结合年度内发生网络安全事件的情况，发现存在的问题和薄弱环节，确定需调整的演练人员、需锻炼的技能、需检验的设备、需完善的应急处置流程、指挥调度程序以及需进一步明确的职责等，分析完成举办应急演练的要求。

　　9 . 1 . 1 . 4 确定演练范围

　　根据演练要求以及综合场地、资源(包括但不限于人力资源、财力资源、物力资源、技术资源、信息资源等)和时间等制约条件和因素，确定演练背景事件类型、等级、发生地域、演练组织架构(管理部门、指挥机构和参演机构)及人数、演练方式等。 演练要求和演练范围往往互为影响。

　　9 . 1 . 1 . 5 起草日程计划

　　起草演练工作计划及日程，细化确定应急演练各阶段的主要任务和完成时限，包括各种演练文件编写与审定的期限、信息系统及技术物资准备的期限、演练实施的 日期等。

　　9 . 1 . 1 . 6 编制演练经费预算

　　编制开展演练活动的各项经费、配套经费及保障措施。

　　9 . 1 . 2 制定演练方案

　　9 . 1 . 2 . 1 编制工作方案

　　编制应急演练工作方案的步骤如下：

　　a) 确定目标

　　演练目标是需完成的主要演练任务及其达到的效果，一般说明“由谁在什么条件下完成什么任务，依据什么标准，取得什么效果”。演练目标应明确、具体、可量化、可实现。 如一次演练有若干项演练 目标，每项演练目标都要在演练方案中有相应的事件和演练活动予以实现，并在演练评估中有相应的评估项目判断该目标的实现情况。

　　b) 设计演练场景和实施步骤

　　演练场景宜为演练活动提供初始条件，还要通过一系列的情景事件引导演练活动继续，直至演练完成，演练场景库参见附录 C。 演练场景包括如下的演练场景概述和演练场景清单：

　　GB/T 38645—2020

　　1) 演练场景概述。 每一处演练场景的概要说明，宜说明事件类别、发生的时间地点、发展速度、受影响范围、人员和物资分布、已造成的损失、后续发展预测等。

　　2) 演练场景(步骤)清单。 要明确演练过程中各场景(各步骤)的时间顺序列表和耗时情况。演练场景之间的逻辑关联依赖于事件发展规律、控制消息和演练人员收到控制消息后应采取的行动。

　　c) 拟定演练人员名单

　　应急演练的参演机构统一成立应急演练指挥机构。 由指挥机构发起演练活动的，应急演练的应急指挥机构宜向管理部门备案。 根据演练的形式、内容、组织范围等实际情况，演练组织机构和职能可适当调整。

　　演练活动应在指挥机构的督导、指挥下开展。

　　d) 编写工作方案

　　应急演练工作方案内容宜包括：指导思想、工作原则、演练目的、演练场景、演练时间地点、指挥机构和参演机构、角色职责、演练实施过程、其他准备事项、工作要求及有关附件等，模板参见 B. 2 。

　　9 . 1 . 2 . 2 编制保障方案

　　在编制演练保障方案时，从人员保障、经费保障、场地保障、基础设施保障、通信保障、技术保障、安全保障等方面制定详细、可行的方案，理清责任归属，科学预测演练活动过程中可能发生的意外或故障，制定相应意外或故障处理流程、措施等，模板参见 B. 3 。

　　9 . 1 . 2 . 3 编制评估方案

　　演练评估是通过观察、体验和记录演练活动，比较演练实际效果与 目标之间的差异，总结演练成效和不足的过程。 演练评估宜以演练 目标为基础。 每项演练目标都要设计合理的评估项 目方法、标准。根据演练目标的不同，可以用选择项(如：是/否判断，多项选择)、主观评分(如：1 — 差、3 — 合格、 5 — 优秀)、定量测量等方法进行评估。

　　为便于演练评估操作，策划组通常事先设计好评估表格，包括演练目标、评估方法、评价标准和相关记录项等，也可采用专业评估软件等工具，模板参见 B. 4 。

　　9 . 1 . 2 . 4 编写演练脚本

　　根据应急演练目的、内容和形式编制应急演练脚本。 应急演练脚本是应急演练工作方案的具体操作手册，控制应急演练时间进程，对应急演练场景和响应程序进行详细说明，一般采用表格形式，以应急演练流程的各关键节点为骨干，描述应急演练的场景、起止时间、执行人员、处置行动、指令与对白、适时选用的技术设备、视频画面与字幕、解说词等，模板参见 B. 5 。

　　9 . 1 . 3 评审与修订演练方案

　　对演练方案进行评审，确定演练方案科学可行，以确保应急演练工作的顺利进行。 对涉密或不宜公开的演练内容，宜制订保密措施。

　　应急演练方案的制定可参考附录 D。

　　9 . 1 . 4 应急演练保障

　　9 . 1 . 4 . 1 人员保障

　　保证相关人员参与演练活动的时间，确保所有参演人员已经通过演练培训，明确职责分工。

　　GB/T 38645—2020

　　9 . 1 . 4 . 2 经费保障

　　每年宜根据应急演练规划编制应急演练的经费预算，纳入各参演机构的年度财政(财务)预算，并按照演练需要及时拨付经费。 对经费使用情况进行监督检查，确保演练经费专款专用、节约高效。

　　9 . 1 . 4 . 3 场地保障

　　根据演练方式和内容，在经现场勘察后选择合适的演练场地。 桌面推演一般可选择会议室或应急指挥中心等;实操演练宜选择与实际情况相似的机房或地点。

　　9 . 1 . 4 . 4 基础设施保障

　　提供必要的基础设施保障，包括但不限于电力、设备、物资、通信器材等。

　　9 . 1 . 4 . 5 通信保障

　　为应急演练过程提供及时可靠的信息传递渠道。 根据演练需要，可以采用多种公用或专用通信系统，必要时可组建演练专用通信与信息网络，确保演练控制信息的快速传递。

　　9 . 1 . 4 . 6 技术保障

　　根据应急演练方案，预先设计技术保障方案，保障应急演练所涉及的各类技术支撑系统的正常运转 。 当工作流程发生变化后，技术保障方案也需相应进行调整。

　　根据组织的网络和信息系统类型，宜储备应急演练需要的漏洞、补丁等技术资源，并对技术资源进行合理的调配和使用。 在对攻防工具、脚本等危险性技术资源的储备、调配和使用中，宜进行合理的安全风险管控。

　　9 . 1 . 4 . 7 安全保障

　　充分考虑演练全过程的安全保障风险，尤其是大型或高风险演练，宜制定专门应急预案，采取预防措施，并对关键部位和环节可能出现的突发事件进行专项安全保障。

　　对可能影响公众生活、易于引起公众误解和恐慌的应急演练(特别是可能造成业务中断的演练)，宜提前向社会发布公告，告示演练内容、时间、地点和组织单位，并做好应对方案，避免造成负面影响。

　　演练过程中涉及敏感系统的，宜满足相关保密要求。 在做好数据备份的基础上，对其中的敏感数据应事先进行脱敏处理;在演练方案设计时，宜充分考虑在演练中可能突破其原有对敏感信息访问权限的人员及由此可能造成的后果。

　　演练现场宜有必要的安保措施，必要时对演练现场进行封闭或管制，保证演练安全进行。 演练出现意外情况时，及时报告并批准后，提前终止演练。

　　9 . 1 . 4 . 8 保障检查

　　演练正式启动前，组织单位宜开展如下充分的保障检查：

　　a) 检查参演人员到位情况;

　　b) 检查演练方案中各项保障资源准备情况，确保各项保障措施到位;

　　c) 检查参演系统配置和数据备份正确和完备，检查演练所需的工具、设备、设施、技术资料到位;

　　d) 应对应急演练所用各类设施、设备进行全面检查和调试，保证处于正常工作状态;

　　e) 其他保障检查工作。

　　参演机构完成保障检查后，向指挥机构确认。

　　GB/T 38645—2020

　　9 . 1 . 5 演练动员与培训

　　在演练开始前宜组织演练动员和培训，确保所有参演人员已熟练掌握演练规则、演练情景，明确各自在演练中的职责分工。

　　9 . 1 . 6 应急演练预演

　　为保证正式应急演练效果，宜在前期培训的基础上，在演练正式开始前安排一次或多次预演。 对于大型综合性实操演练，可按照先易后难、先分解后合练、循序渐进的原则，采取分阶段推演形式，检查验证应急演练的局部或全部工作环节，强化参演机构与人员的协同配合意识，查找问题和不足，持续改进提升应急演练方案。 为演练的成功举行奠定基础。

　　9 . 2 实施阶段

　　9 . 2 . 1 演练启动

　　检查演练各环节准备到位后，由管理部门派员或指挥机构宣布演练开始，启动演练活动。

　　对演练实施全过程的指挥控制，随时掌握演练进展情况，按照演练方案要求对安全事件的发现及处置进展情况向指挥机构报告。

　　视情对演练过程进行解说。 解说内容宜包括演练背景描述、进程讲解、案例介绍、环境渲染等。

　　各参演机构按照演练方案开始进行应急演练。

　　9 . 2 . 2 安全事件模拟

　　演练实施过程中，根据演练指令，按照演练方案开展安全事件模拟。 安全事件模拟分为如下现象模拟和机理模拟：

　　a) 现象模拟：通过可控的方法复现出安全事件在设备、网络、服务等方面表现出的现象;

　　b) 机理模拟：在演练场景中通过可控的方式真实触发安全事件。

　　9 . 2 . 3 演练执行

　　9 . 2 . 3 . 1 综述

　　安全事件演练执行具体步骤分为监测预警、事件研判、事件通告、事件处置、系统确认五个阶段。

　　9 . 2 . 3 . 2 监测预警

　　实时监测风险信息，将有效信息上报;组织专家进行研判，根据应急预案的要求，确定预警等级，发布预警信息。

　　9 . 2 . 3 . 3 事件研判

　　监测或直接发现安全事件，宜对安全事件进行评估，确定安全事件的类别、级别，启动安全事件全面监测措施。

　　9 . 2 . 3 . 4 事件通告

　　根据演练场景要求模拟进行组织内信息通报、组织外信息通报、信息上报和信息披露。

　　9 . 2 . 3 . 5 事件处置

　　宜依据安全事件发展态势，快速分析评估安全事件，形成处置方案。 现场处置方案宜参考安全事件

　　GB/T 38645—2020

　　应急预案，并依据具体情况做适当选择。

　　依据处置方案，实施现场应急处理，消除网络安全隐患及威胁，抑制安全事件影响。

　　依据处置方案，实施恢复操作。 恢复操作宜包括建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。 实施组恢复复杂系统时，恢复顺序宜反映出系统允许的中断时间，以避免对相关系统及业务的重大影响。

　　9 . 2 . 3 . 6 系统确认

　　确认参演系统恢复正常并向指挥机构报告，模板参见 B. 6 。

　　9 . 2 . 4 演练记录

　　演练实施过程中，评估人员按照演练方案采用文字、脚本、照片和音像等手段开展评估素材采集。

　　文字记录宜包括演练实际开始与结束时间、演练过程控制情况、各项演练活动中参演人员的表现、意外情况及其处置等内容。 脚本宜包括应急处置效果验证和处置现场数据的采集等内容。 照片和音像记录应在不同现场、不同角度进行拍摄，尽可能全方位反映演练实施过程，模板参见 B. 7 。

　　9 . 2 . 5 演练结束与终止

　　网络安全事件处置结束后，指挥机构宣布演练执行过程结束，所有人员停止应急处置活动。 在确认参演系统恢复正常后，指挥机构做简短总结，宣布演练实施阶段结束，并对演练过程进行点评。

　　演练实施过程中出现下列情况，经指挥机构或管理部门决定，可提前终止演练：

　　a) 出现真实突发事件，需要参演人员参与应急处置时，要终止演练，使参演人员迅速回归其工作岗位，履行应急处置职责;

　　b) 出现特殊或意外情况，短时间内不能妥善处理或解决时，可提前终止演练。

　　9 . 3 评估与总结阶段

　　9 . 3 . 1 演练评估

　　分析演练记录及相关资料，对演练活动及组织过程做出客观评价，编写演练评估报告。

　　演练评估通过组织评估会议、填写演练评价表和对参演人员进行访谈等方式进行，对演练效果及演练的整体流程进行评估，提出完善建议。 可要求参演机构提供自我评估总结材料，收集演练组织实施的情况。

　　演练评估报告的主要内容包括演练执行情况、演练方案的合理性与可操作性、应急指挥人员的指挥协调能力、参演人员的处置能力、演练所用设备装备的适用性、演练目标的实现情况、演练的成本效益分析、对完善预案的建议等，模板参见 B. 8 。

　　9 . 3 . 2 演练总结

　　根据演练记录、演练评估、演练方案等材料，对演练进行系统和全面的总结，并形成演练总结报告。参演机构可对本单位的演练情况进行总结。

　　演练总结报告的内容包括：演练目的，时间和地点，参演机构和人员，演练方案概要，发现的问题与原因，经验和教训，以及改进有关工作的建议等，模板参见 B. 9 。

　　9 . 3 . 3 文件归档与备案

　　将演练计划、演练方案、演练评估报告、演练总结报告等资料归档保存。 对于由管理部门布置或参与的演练，或者法律、法规、规章要求备案的演练，宜将相关资料报有关部门备案。

　　GB/T 38645—2020

　　9 . 3 . 4 考核与奖惩

　　对演练参与人员进行考核。 对在演练中表现突出的工作组和个人，可给予表彰和奖励;对不按要求参加演练，或影响演练正常开展的个人，可给予相应批评。

　　考核与奖惩应纳入绩效考核体系。

　　9 . 4 成果运用阶段

　　9 . 4 . 1 改善提升

　　指挥机构宜根据演练评估报告、演练总结报告提出的问题和建议对应急处置工作进行持续改进。指挥机构宜制定整改计划，明确整改目标，确定整改措施，落实整改资金。

　　9 . 4 . 2 监督整改

　　指挥机构宜指派专人监督检查整改计划执行情况，确保演练评估报告、演练总结报告提出的问题和建议得到及时整改。

　　附 录 A

　　(资料性附录)

　　常用演练形式对照表

　　常用演练形式对照表见表 A. 1 。

　　表 A.1 常用演练形式对照表

　　表 A.1(续)

　　表 A.1(续)

　　表 A.1(续)

　　表 A.1(续)

　　表 A.1(续)

　　附 录 B

　　(资料性附录)

　　应急演练各步骤参考模板

　　B.1 应急演练计划

　　应急演练计划模板见表 B. 1 。

　　表 B.1 应急演练计划

　　B.2 应急演练工作方案

　　应急演练工作方案模板见表 B. 2 。

　　表 B.2 应急演练工作方案

　　B.3 应急演练保障方案

　　应急演练保障方案模板见表 B. 3 。

　　表 B.3 应急演练保障方案

　　B.4 应急演练评估方案

　　应急演练评估方案模板见表 B. 4 。

　　表 B.4 应急演练评估方案

　　B.5 应急演练脚本

　　应急演练脚本模板见表 B. 5 。

　　表 B.5 应急演练脚本

　　表 B.5(续)

　　B.6 事件报告单

　　事件报告单模板见表 B. 6 。

　　表 B.6 事件报告单

　　报告时间： 年 月 日 时 分 第 次

　　B.7 应急演练记录单

　　应急演练记录单模板见表 B. 7 。

　　表 B.7 应急演练记录单

　　表 B.7(续)

　　B.8 应急演练评估单

　　应急演练评估单模板见表 B. 8 。

　　表 B.8 应急演练评估单

　　表 B.8(续)

　　B.9 应急演练总结报告

　　应急演练总结报告模板见表 B. 9 。

　　表 B.9 应急演练总结报告

　　附 录 C

　　(资料性附录)演练场景库

　　演练场景库见表 C. 1 。

　　表 C.1 演练场景库

　　表 C.1(续)

　　(资料性附录)参考案例

　　D.1 设备设施故障实操演练案例

　　设备设施故障实操演练案例适用于针对信息系统自身软硬件故障，电力、通信等外围保障设施故障，受关联单位故障影响及认为操作失误等导致网络安全事件的应急演练。 本案例模拟某单位生产系统硬件故障切换备份系统运行的场景，演练期间各项活动所需表格可参照表 D. 1~表 D. 4 。

　　表 D.1 设备设施故障实操演练方案

　　表 D.1(续)

　　表 D.1(续)

　　表 D.2 设备设施故障实操演练记录单

　　表 D.2(续)

　　表 D.3 设备设施故障实操演练评估

　　表 D.3(续)

　　表 D.4 设备设施故障实操演练总结

　　D.2 灾害性事件桌面推演案例

　　灾害性事件桌面推演方案适用于针对台风、暴雨、洪水、火灾、地震、大面积停电、恐怖袭击、战争等不可抗力所引发网络安全事件的应急演练，演练期间各项活动所需表格可参照表 D. 5~表 D. 8 。该案例模拟某单位大楼火灾引发停电影响技术系统运行的场景。

　　表 D.5 灾害性事件桌面推演方案

　　表 D.5(续)

　　表 D.5(续)

　　表 D.6 灾害性事件桌面推演记录单

　　表 D.6(续)

　　表 D.7 灾害性事件桌面推演评估

　　表 D.7(续)

　　表 D.8 灾害性事件桌面推演总结

　　D.3 网络攻击事件示范演练案例

　　网络攻击事件示范演练方案适用于通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷造成系统异常或对信息系统运行造成潜在危害的网络安全事件的应急演练。 本样例模拟某单位门户网站遭遇 DDoS攻击的场景，演练期间各项活动所需表格可参照表 D. 9~表 D. 13 。

　　表 D.9 网络攻击事件示范演练方案

　　表 D.9(续)

　　表 D.10 网络攻击事件示范演练剧本

　　表 D.10(续)

　　表 D.10(续)

　　表 D.1 1 网络攻击事件示范演练记录单

　　表 D.1 1(续)

　　表 D.12 网络攻击事件示范演练评估

　　表 D.12(续)

　　表 D.13 网络攻击事件示范演练总结

　　GB/T 38645—2020

　　参 考 文 献

　　[1] GB/Z 20986—2007 信息安全技术 信息安全事件分类分级指南

　　[2] GB/T 24363—2009 信息安全技术 信息安全应急响应计划规范

　　[3] 国家网络安全事件应急预案(中网办发文〔2017〕4 号)