网络与信息安全指令2 2023

改进是基于评估确定的。事件响应计划和其他影响运营的网络安全计划已经建立、传达、维护并改进。标准：1. 根据措施GV第1点提到的审查结果。PO-02，调整计划由管理和执行机构定义、实施、记录并批准，确定确保安全政策执行所需的行动。| 2. 管理和执行机构通过特定的周期性报告获知第1点所述计划的结果。| 3.制定、实施、更新并记录用于评估网络安全风险管理措施有效性的计划，其中包括待评估措施及相关评估方法的说明。| 4. 通过特定的定期报告，将第3点所述的评估计划的有效性通报给行政和执行机构。

改进是基于评估确定的。影响运营的事件响应计划和其他网络安全计划已建立、传达、维护并不断改进。标准：1. 至少针对相关信息和网络系统，已定义、实施、更新并记录了操作连续性计划，包括至少：a) 目标和适用范围；b) 角色和职责；c) 主要联系人和沟通渠道（内部和外部）；d) 计划启用和停用的条件；e) 所需资源，包括备份和冗余。2.对于至少相关的信息和网络系统，已定义、实施、更新并记录了灾难恢复计划，包括至少：a) 目标和适用范围；b) 角色和职责；c) 主要联系人和沟通渠道（内部和外部）；d) 计划启动和解除的条件；e) 所需资源，包括备份和冗余；f) 恢复操作的顺序；g) 特定操作的恢复程序，包括恢复目标。| 3.至少针对相关信息和网络系统，需制定、实施、更新并记录危机管理计划，包括至少：a) 人员及（在适当情况下）供应商的角色和责任，明确危机情况下的角色分配，包括需遵循的具体程序；b) 各方与主管当局之间的沟通方式。| 4.第1、2和3点所提到的计划已获得行政和管理机构的批准。| 5. 第1、2和3点所提到的计划会接受审查，并在适当情况下至少每两年定期更新一次，同时在发生重大事件或威胁暴露及相关风险发生变化时进行更新。