XX公司信息安全應(yīng)急響應(yīng)

1、密級(jí)：商密文檔編號(hào)：項(xiàng)目代號(hào)：XXXXXXXXXX有限公司應(yīng)急響應(yīng)規(guī)范有限公司應(yīng)急響應(yīng)規(guī)范目錄1.總則 . 31.11.21.31.4目的. 3事件分類 . 3釋義. 3讀者. 42.組織與職責(zé) . 52.12.22.32.4應(yīng)急響應(yīng)小組 . 5高級(jí)安全顧問 . 5安全顧問 . 5安全服務(wù)工程師 . 53.4.5.6.7.應(yīng)急響應(yīng)處理流程 . 6檢查要求 . 7附則 . 7應(yīng)急響應(yīng)處理流程圖 . 8附表 . 97.17.2安全事件檢查記錄表 . 9安全事件分析處理表 . 10Page : 2 of 10應(yīng)急響應(yīng)規(guī)范1. 總則1.1 目的為增強(qiáng)安全服務(wù)中心應(yīng)對(duì)緊急安全事件的能力，規(guī)范安全服務(wù)應(yīng)急

2、響應(yīng)流程，保障用戶在遭受到緊急狀況時(shí)的資產(chǎn)損失降低到最小，并在規(guī)范的流程下進(jìn)行修復(fù)，保障業(yè)務(wù)的連續(xù)性和問題的可追蹤性，特制定本應(yīng)急響應(yīng)流程。1.2 事件分類1) 物理安全事件指計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體遭到人為的或自然災(zāi)害引起的物理上的危害。2) 邏輯安全事件指信息的完整性、保密性和可用性方面遭到破壞，從而導(dǎo)致涉及的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、人員管理等方面正常業(yè)務(wù)運(yùn)行受到影響。1.3 釋義一、本管理辦法中所描述的安全廣義上均指信息安全；二、物理安全事件定義（包含但不僅限于）：1) 設(shè)備遺失，遭到物理闖入或計(jì)算機(jī)設(shè)備被竊；2) 自然災(zāi)害，物理環(huán)境或設(shè)備遭到火災(zāi)或水災(zāi)等事故；3

3、) 環(huán)境災(zāi)害，物理設(shè)備由于機(jī)房環(huán)境灰塵或靜電造成損壞；4) 意外故障，設(shè)備在運(yùn)行過程意外（如本身質(zhì)量等問題）損壞，造成業(yè)務(wù)受損或服務(wù)中斷；5) 人員誤操作，管理維護(hù)人員在日常維護(hù)中因誤操作導(dǎo)致物理設(shè)備、線纜等設(shè)施的損壞，造成業(yè)務(wù)受損或服務(wù)中斷。三、邏輯安全事件定義（包含但不僅限于）：1) 非授權(quán)訪問，未經(jīng)授權(quán)或允許進(jìn)入到信息系統(tǒng)中，而導(dǎo)致數(shù)據(jù)信息受損Page : 3 of 10應(yīng)急響應(yīng)規(guī)范或泄露；2) 信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；3) 拒絕服務(wù)，因遭受攻擊導(dǎo)致用戶不能正常訪問服務(wù)器提供的相關(guān)服務(wù)；4) 系統(tǒng)性能嚴(yán)重下降，有不明的進(jìn)程運(yùn)行并占用大量的 CPU

4、 處理時(shí)間；5) 日志審計(jì)異常，在日志中發(fā)現(xiàn)異常流量或異常訪問記錄；6) 計(jì)算機(jī)病毒，因計(jì)算機(jī)病毒造成的影響；7) 網(wǎng)絡(luò)攻擊嘗試，發(fā)現(xiàn)正在進(jìn)行的網(wǎng)絡(luò)攻擊行為；8) 帳戶口令異常變更，發(fā)現(xiàn)未經(jīng)授權(quán)的帳戶及口令；9) 來自集團(tuán)外部的警告，如反垃圾郵件組織、電信運(yùn)營(yíng)商、執(zhí)法部門等；10) 訪問權(quán)限被修改,文件或業(yè)務(wù)的訪問權(quán)限被修改；11) 系統(tǒng)的安全漏洞，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用；12) 違反保密協(xié)議，員工或第三方違反相應(yīng)的保密條例。1.4 讀者本文檔的讀者包括安全服務(wù)中心全體成員，客戶需求方和其他可能涉及安全服務(wù)中心安全工作的內(nèi)外部人員。Page : 4 of 10應(yīng)急響應(yīng)規(guī)范2. 組織與職

5、責(zé)基于安全服務(wù)中心組織架構(gòu)的特點(diǎn)，主要以服務(wù)部門經(jīng)理為主要領(lǐng)導(dǎo)，以應(yīng)急響應(yīng)小組為主要攻堅(jiān)力量，其它顧問和工程師則輔助應(yīng)急響應(yīng)小組完成應(yīng)急響應(yīng)流程。應(yīng)急響應(yīng)規(guī)范的修訂，以應(yīng)急響應(yīng)小組提議，高級(jí)顧問協(xié)助服務(wù)部門經(jīng)理進(jìn)行統(tǒng)一修訂。安全服務(wù)中心必須每年統(tǒng)一檢查和評(píng)估此流程，并做出適當(dāng)更新。在內(nèi)外部環(huán)境需求發(fā)生重大變化時(shí)，也將對(duì)本流程進(jìn)行檢查和更新。2.1 應(yīng)急響應(yīng)小組主要職責(zé)：在啟動(dòng)應(yīng)急響應(yīng)之后，進(jìn)行現(xiàn)場(chǎng)的問題處理，跟蹤記錄。2.2 高級(jí)安全顧問主要職責(zé)：在應(yīng)急響應(yīng)過程中處理需要一些額外的高級(jí)支持時(shí)，提供技術(shù)支持，并進(jìn)行應(yīng)急響應(yīng)規(guī)范的修訂與商議。2.3 安全顧問主要職責(zé)：協(xié)助應(yīng)急響應(yīng)小組進(jìn)行問題追蹤。

6、2.4 安全服務(wù)工程師主要職責(zé)：主要負(fù)責(zé)應(yīng)急響應(yīng)的前期記錄，協(xié)助應(yīng)急響應(yīng)小組進(jìn)行簡(jiǎn)單的修復(fù)和加固工作。Page : 5 of 10應(yīng)急響應(yīng)規(guī)范3. 應(yīng)急響應(yīng)處理流程服務(wù)臺(tái)在接受到信息安全事件時(shí)，進(jìn)行分類統(tǒng)計(jì)，如出現(xiàn)緊急響應(yīng)事件應(yīng)及時(shí)通知服務(wù)部門經(jīng)理，由部門經(jīng)理啟動(dòng)應(yīng)急響應(yīng)。在收到客戶直接請(qǐng)求應(yīng)急響應(yīng)支持流程時(shí)，亦可直接啟動(dòng)應(yīng)急響應(yīng)。應(yīng)急響應(yīng)啟動(dòng)后，服務(wù)部門經(jīng)理指派應(yīng)急響應(yīng)小組組長(zhǎng)，負(fù)責(zé)此次應(yīng)急響應(yīng)事件。應(yīng)急響應(yīng)小組在收到服務(wù)臺(tái)基本的事件介紹資料后，快速的做出反應(yīng)，準(zhǔn)備好相關(guān)工具，以最快的速度趕往現(xiàn)場(chǎng)，進(jìn)行問題處理。應(yīng)急響應(yīng)小組將在第一時(shí)間對(duì)問題做出反應(yīng)，進(jìn)行數(shù)據(jù)包截獲分析等其他技術(shù)手段進(jìn)行安全

7、事件信息搜集，并通過相關(guān)工具及時(shí)遏制住問題擴(kuò)大，并對(duì)重要資產(chǎn)進(jìn)行及時(shí)的修護(hù)防范，及時(shí)保障服務(wù)的運(yùn)行。現(xiàn)場(chǎng)不能完全解決問題的，進(jìn)行事態(tài)控制后，由高級(jí)安全顧問協(xié)助，進(jìn)行應(yīng)急安全事件分析狀態(tài)分析報(bào)告，并制定全面的檢測(cè)和修復(fù)計(jì)劃，進(jìn)行事件的持續(xù)跟蹤處理；現(xiàn)場(chǎng)問題直接解決，則由安全顧問協(xié)助應(yīng)急響應(yīng)小組出具應(yīng)急響應(yīng)報(bào)告，給出應(yīng)急事件的原因分析，加固方案。安全服務(wù)工程師協(xié)助應(yīng)急響應(yīng)小組，對(duì)事件處理過程和問題進(jìn)行跟蹤記錄，最終交付給服務(wù)臺(tái)，并對(duì)一些后續(xù)問題給予持續(xù)處理。具體處理流程參見第六章應(yīng)急響應(yīng)處理流程圖。Page : 6 of 10應(yīng)急響應(yīng)規(guī)范4. 檢查要求5. 附則1) 本應(yīng)急響應(yīng)流程由安全服務(wù)中心負(fù)

8、責(zé)解釋和修訂。2) 本應(yīng)急響應(yīng)流程自 2009 年 9 月 15 日起試行，試行期為 6 個(gè)月。6 個(gè)月內(nèi)若無修訂，則自動(dòng)轉(zhuǎn)入實(shí)施。Page : 7 of 10任務(wù)編號(hào)檢查點(diǎn)檢查內(nèi)容檢查方法檢查周期1安全事件檢查記錄表安全服務(wù)中心檢查是否對(duì)安全事件記錄的處理結(jié)果進(jìn)行檢查。閱讀文檔每月2安全事件分析處理表安全服務(wù)中心檢查是否有事后分析報(bào)告，安全事件是否進(jìn)行有效跟蹤。閱讀文檔每月應(yīng)急響應(yīng)規(guī)范6. 應(yīng)急響應(yīng)處理流程圖客戶服務(wù)臺(tái)請(qǐng)求應(yīng)急響應(yīng)安全事件匯報(bào)分類匯總安全事件匯報(bào)應(yīng)急響應(yīng)要求服務(wù)部門經(jīng)理啟動(dòng)應(yīng)急響應(yīng)應(yīng)急響應(yīng)安全顧問小組服務(wù)工程師協(xié)助應(yīng)急小組控制事態(tài)解決后續(xù)遺留問題控制事態(tài)跟蹤記錄協(xié)助應(yīng)急小組控制事態(tài)解決后續(xù)遺留問題事態(tài)控制Y重大遺留問題？N問題解決？YN安全事件記錄匯總服務(wù)臺(tái)審計(jì)安全事件處理Page : 8 of 10應(yīng)急響應(yīng)規(guī)范7. 附表7.1 安全事件檢查記錄表Page : 9 of 10安全事件檢查記錄表文件編號(hào) SN：_客戶名稱檢查時(shí)間檢查項(xiàng)檢查結(jié)果負(fù)責(zé)人公司20xx年XX月本月安全事件總數(shù)事件名稱匯總安全事件類型匯總【病毒、木馬、黑客攻擊、硬件故障、軟件故障】交付物匯總問題解決匯總【已解決、已控制、未解決】應(yīng)急響應(yīng)規(guī)范7.2 安全事件