【正文】 評估系統(tǒng)的損害程度； ? 4）評估事件導致的損失； ? 5）分析和總結(jié)應(yīng)急處置記錄； ? 6）評審應(yīng)急響應(yīng)措施的效果和效率，并提出改進建議； ? 7）評審應(yīng)急響應(yīng)計劃的效果和效率，并提出改進建議。 例：局域網(wǎng)（ LAN）恢復小組檢查列表 LAN恢復小組： 這些規(guī)程用于從備份磁帶中恢復一個文件 。 應(yīng)急處置 ? （ 1）恢復順序 ? 當恢復復雜系統(tǒng)時，恢復進程應(yīng)該反映出 BIA中確定的系統(tǒng)優(yōu)先順序。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對突發(fā) /重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動條件可能各不相同。這個損害評估應(yīng)該在能夠確保人員安全這個最優(yōu)先任務(wù)的前提下盡快完成。 ? （ 2）信息上報 ? 信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時將情況上報相關(guān)主管或監(jiān)管單位 /部門。 36 預案變更管理 ? 業(yè)務(wù)操作的增長或變化 – 如：新的分支、產(chǎn)品和業(yè)務(wù)功能的增加 ? 公司所有權(quán)的變化 ? 關(guān)鍵人員的變化 ? 硬件配置的變化 ? 使用新操作系統(tǒng) ? 預案審核和演練后 ? 軟件 /應(yīng)用軟件的變化 ? 新的法律或?qū)徲嬕? ? 定期審核和更新 —— 如：每年兩次 37 《 應(yīng)急預案管理制度 》 應(yīng)急預案變更記錄 變化記錄 頁碼 變化備注 變化日期 簽名 應(yīng)急響應(yīng)體系建設(shè)流程 應(yīng)急響應(yīng)計劃的編制準備應(yīng) 急 響 應(yīng) 計 劃 的 測 試 、 培訓 、 演 練 和 維 護編 制 應(yīng) 急 響 應(yīng) 計 劃 文 檔業(yè) 務(wù) 影 響 分 析風 險 評 估制 定 應(yīng) 急 響 應(yīng) 策 略應(yīng) 急 響 應(yīng) 計 劃 的 測 試、 培 訓 和 演 練應(yīng) 急 響 應(yīng) 計 劃 的 管 理和 維 護參見 XXX應(yīng)急體系 _項目計劃_080821_C1 信息安全應(yīng)急響應(yīng)計劃編制方法 40 ?總則 ?角色及職責 ?預防和預警機制 ?應(yīng)急響應(yīng)流程 ?應(yīng)急響應(yīng)保障措施 ?附件 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 總則 41 ?編制目的 ?編制依據(jù) ?適應(yīng)范圍 ?工作原則 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 角色及職責 42 ?應(yīng)急響應(yīng)領(lǐng)導小組 ?應(yīng)急響應(yīng)技術(shù)保障小組 ?應(yīng)急響應(yīng)專家小組 ?應(yīng)急響應(yīng)實施小組 ?應(yīng)急響應(yīng)日常運行小組 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 預防和預警機制 43 總則 角色及職責 預防和預警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 早發(fā)現(xiàn)早報告早處置 監(jiān)測 預測 預警 應(yīng)急響應(yīng)流程 44 信 息 安 全 事 件信 息 安 全 事 件 通 告應(yīng) 急 啟 動應(yīng) 急 處 置后 期 處 置信 息 系 統(tǒng) 重 建應(yīng) 急 響 應(yīng) 總 結(jié)信 息 安 全 事 件 評 估 事 件 分 類事 件 定 級信 息 通 報信 息 批 露信 息 上 報恢 復 順 序恢 復 規(guī) 程事件通告 ? （ 1）信息通報 ? 信息通報分為組織內(nèi)信息通報和組織外信息通報兩部分 。 – 第三，建立相關(guān)的保密管理規(guī)定，保證應(yīng)急響應(yīng)預案中涉及的秘密信息得到保護。 應(yīng)急響應(yīng) SLA 矩陣 事故當前或?qū)砜赡苡绊懙馁Y源的重要性 事故當前或?qū)砜? 能的影響 高（例如：互聯(lián)網(wǎng) 連接，公共 Web服 務(wù)器，防火墻，客 戶數(shù)據(jù)） 中（例如：系統(tǒng)管理 員工作站，文件和打 印服務(wù)器， XYZ 應(yīng)用 數(shù)據(jù)） 低（例如：用戶工作 站） Root級訪問 15分鐘 30分鐘 1 小時 非授權(quán)的數(shù)據(jù)修改 15分鐘 30分鐘 2 小時 對敏感信息的非授權(quán)訪問 15分鐘 1 小時 1 小時 非授權(quán)的用戶級訪問 30分鐘 2 小時 4小時 服務(wù)不可用 30分鐘 2 小時 4小時 騷擾 30分鐘 不限 不限 第三階段 —遏制 24 ?即時采取的行動 ?微觀： ?防止進一步的損失 ， 確定后果 ?初步分析 ， 重點是確定適當?shù)姆怄i方法 ?咨詢安全政策 ?確定進一步操作的風險 ?損失最小化 （ 最快最簡單的方式恢復系統(tǒng)的基本功能 ， 例如備機啟動 ） ?可列出若干選項 ， 講明各自的風險 ， 由服務(wù)對象選擇 ?宏觀： ?確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小 ?通過協(xié)調(diào)爭取各網(wǎng)一致行動 ， 實施隔離 ?匯總數(shù)據(jù) ， 估算損失和隔離效果 準備 確認 遏制 根除 恢復 跟蹤 建立遏制策略 ? 建議組織機構(gòu)為幾類主要的事故建立單獨的遏制策略，其標準包括： – 潛在的破壞和資源的竊取 – 證據(jù)保留的需要 – 服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當事方的服務(wù)） – 實施戰(zhàn)略需要的時間和資源 – 戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故） – 解決方案的期限 （例如：緊急事故工作區(qū)需在4 小時內(nèi)清除，臨時工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。這些文件對推動災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。 信息安全應(yīng)急響應(yīng) 體系 的制定是一個周而復始、持續(xù)改進的過程，包含以下幾個階段： （ 1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定； （ 2）編制應(yīng)急響應(yīng)計劃文檔； （ 3）應(yīng)急響應(yīng)計劃的測試、培訓、演練和維護。課程要點 ? 什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系 ? 應(yīng)急響應(yīng)的六大階段 ? 應(yīng)急預案的編制和管理 ? 應(yīng)急響應(yīng)體系建立流程 ? 典型應(yīng)急響應(yīng)體系建設(shè)案例 基本概念 ?安全事件（ Security Accident） 而安全事件則是指影響一個系統(tǒng)正常工作的情況。 應(yīng)急響應(yīng)是信息安全防護的最后一道防線！ 基本概念 3 ?應(yīng)急響應(yīng) 體系 （ Emergency Response System） 是指在突發(fā) /重大信息安全事件后對包括計算機運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復的 各種技術(shù)和管理 策略和規(guī)程。 政策要求 7 ?為了落實 27號文精神國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于 2023年 10月發(fā)布了 《 網(wǎng)絡(luò)與信息安全信息通報暫行辦法 》 、 2023年 9月發(fā)布了 ?《 關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知 》， 2023年 8月發(fā)布了 《 關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機制的意見 》 等文件。 ? ? 本地應(yīng)急響應(yīng)服務(wù) – 對本地范圍內(nèi)的客戶， ？ 小時內(nèi)到達現(xiàn)場；對異地的客戶， ？ 小時加路途時間內(nèi)到達現(xiàn)場。 – 其次，為了建立有效的版本控制體系，必須建立規(guī)范的應(yīng)急響應(yīng)預案的問題提交、解決、更新、跟蹤、發(fā)布的渠道和流程。 32 應(yīng)急響應(yīng)預案的制定 ? 清楚、簡潔 ? 高級管理層支持 /組織承諾 ? 不斷改進和更新的恢復策略 ? 及時的更新維護