美国兰德发布“重大网络事件的应急计划指南”

• 明确事件响应中相关的角色和职责
• 建立对信息共享的预期和需求
• 制定私营部门与政府之间的协调机制
• 识别国家关键职能部门相互依赖关系和级联效应

• 在重大网络事件发生前，提高防御能力与韧性

  **以上计划可应用到相关领域中，作为事件响应期间的指南使用

网络事件发展迅速：采取行动减轻事件影响的窗口有限

网络事件具有高度不确定性：响应者需要根据不完全的信息做出响应决策

网络事件难以检测：与其他事件（如自然灾害）不同，网络事件没有明确的开始和结束，入侵行为通常不会被立即检测到

网络事件起因无法确认：可能是无意引起的还是由人为恶意引起的

战略层：战略计划为作战计划设定了背景和预期。提供一个总体框架，为政策、作战计划和资源决策建立基础

作战层：作战计划明确为执行战略计划任务所需的资源。阐述了在实际和潜在事件中，各机构和组织之间的角色职责、任务、活动和资源的统筹协调，以及其他组织的预期（作战层的应急计划明确指出：计划的意图，事件响应的目标，预期的最终状态；计划对威胁和风险的管理；适用范围：适用该计划的条件和情况；组织角色、职责和协调机制）

• 根据收集的数据找到问题原因

• 再识别国家关键职能部门自身和将来面临的风险和威胁，并进行优先排序

• 最后制定应急计划，包括基于场景和基于职能的计划

• 数据收集和风险识别是一个迭代的过程，贯穿整个计划过程

• 制定一份初步任务说明，以帮助计划人员实现预期的事件响应目标、

• 计划过程开始时，目标可以以草稿形式描述，并随着计划的进展不断完善

• 计划过程结束时，吸取经验教训优化任务说明

• 并为实际突发事件时为执行计划的人员明确方向

• 制定替代行动方案，并评估方案的有效性，最大限度地降低风险和最大限度地提高成功概率

• 每个方案必须指定时间表、关键决策点和任务职责

• 明确的预期目标，包括可行性、完整性和可接受性

情况：描述制定计划的原因，并提供有关计划范围和关键假设的信息

概述：描述参与计划执行人员的使命、目标、角色和任务

执行：详细描述利益相关者将如何应对重大网络事件，包括将如何识别和评估事件（第1阶段）、协调和补救事件（第2阶段）、缓解和过渡到事后操作（第3阶段），并解释操作协调和信息共享

附录：提供独立且对执行计划有用的附加信息

风险识别：收集数据识别风险形成风险列表

风险分析：涉及对不同风险的可能性和结果的研究，从而判断出哪些风险是重要的，以及补救措施的重点

风险降低：包括加强关键设施故障的保护；加强风险评估和信息共享，改进对新出现威胁的识别，以减少响应延迟；预先部署库存和资源，并进行定期培训和演练，确保人员和资源准备就绪

• 计划编制完成后，分发给相关的个人和组织，并进行宣贯

• 计划编制人员与各方进行后续谈论，并提供反馈意见

• 在国家关键职能利益相关者中指定一名协调员，负责后续计划文件的维护，涉及收集反馈意见的修订

• 通过演练测试验证计划在响应能力方面的差距和限制

• 建议在尽可能接近真实情况的环境中进行演练测试

• 制定培训计划，以帮助参与应急响应人员具备相应的知识和技能

• 通过实际的网络事件响应和演练中总结经验，及时调整计划

• 每个组织应制定严格的事后审查程序，包括记录、审查、评估和计划改进

• 关注网络安全和韧性方面的最新文献和最佳实践，帮助计划持续改进

• 调研审查网络安全出版物、报告、趋势和威胁分析

• 参加部门和国家关键职能利益团体之间的信息分享活动、座谈会和非正式讨论

• 参加跨部门危机管理和应急计划演练

• 应急计划，需定期修订

• 制定监管过程，定期审查计划，确保其准确性和完整性

• 各组织确保计划中所需的人员和资源，满足计划要求