【正文】 ? 7）評審應(yīng)急響應(yīng)計(jì)劃的效果和效率，并提出改進(jìn)建議。 例：局域網(wǎng)（ LAN）恢復(fù)小組檢查列表 LAN恢復(fù)小組： 這些規(guī)程用于從備份磁帶中恢復(fù)一個文件 。 應(yīng)急處置 ? （ 1）恢復(fù)順序 ? 當(dāng)恢復(fù)復(fù)雜系統(tǒng)時，恢復(fù)進(jìn)程應(yīng)該反映出 BIA中確定的系統(tǒng)優(yōu)先順序。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對突發(fā) /重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動條件可能各不相同。這個損害評估應(yīng)該在能夠確保人員安全這個最優(yōu)先任務(wù)的前提下盡快完成。 ? （ 2）信息上報(bào) ? 信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時將情況上報(bào)相關(guān)主管或監(jiān)管單位 /部門。 36 預(yù)案變更管理 ? 業(yè)務(wù)操作的增長或變化 – 如：新的分支、產(chǎn)品和業(yè)務(wù)功能的增加 ? 公司所有權(quán)的變化 ? 關(guān)鍵人員的變化 ? 硬件配置的變化 ? 使用新操作系統(tǒng) ? 預(yù)案審核和演練后 ? 軟件 /應(yīng)用軟件的變化 ? 新的法律或?qū)徲?jì)要求 ? 定期審核和更新 —— 如：每年兩次 37 《 應(yīng)急預(yù)案管理制度 》 應(yīng)急預(yù)案變更記錄 變化記錄 頁碼 變化備注 變化日期 簽名 應(yīng)急響應(yīng)體系建設(shè)流程 應(yīng)急響應(yīng)計(jì)劃的編制準(zhǔn)備應(yīng) 急 響 應(yīng) 計(jì) 劃 的 測 試 、 培訓(xùn) 、 演 練 和 維 護(hù)編 制 應(yīng) 急 響 應(yīng) 計(jì) 劃 文 檔業(yè) 務(wù) 影 響 分 析風(fēng) 險(xiǎn) 評 估制 定 應(yīng) 急 響 應(yīng) 策 略應(yīng) 急 響 應(yīng) 計(jì) 劃 的 測 試、 培 訓(xùn) 和 演 練應(yīng) 急 響 應(yīng) 計(jì) 劃 的 管 理和 維 護(hù)參見 XXX應(yīng)急體系 _項(xiàng)目計(jì)劃_080821_C1 信息安全應(yīng)急響應(yīng)計(jì)劃編制方法 40 ?總則 ?角色及職責(zé) ?預(yù)防和預(yù)警機(jī)制 ?應(yīng)急響應(yīng)流程 ?應(yīng)急響應(yīng)保障措施 ?附件 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 總則 41 ?編制目的 ?編制依據(jù) ?適應(yīng)范圍 ?工作原則 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 角色及職責(zé) 42 ?應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組 ?應(yīng)急響應(yīng)技術(shù)保障小組 ?應(yīng)急響應(yīng)專家小組 ?應(yīng)急響應(yīng)實(shí)施小組 ?應(yīng)急響應(yīng)日常運(yùn)行小組 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 預(yù)防和預(yù)警機(jī)制 43 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 早發(fā)現(xiàn)早報(bào)告早處置 監(jiān)測 預(yù)測 預(yù)警 應(yīng)急響應(yīng)流程 44 總則 角色及職責(zé) 預(yù)防和預(yù)警機(jī)制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件 信 息 安 全 事 件信 息 安 全 事 件 通 告應(yīng) 急 啟 動應(yīng) 急 處 置后 期 處 置信 息 系 統(tǒng) 重 建應(yīng) 急 響 應(yīng) 總 結(jié)信 息 安 全 事 件 評 估 事 件 分 類事 件 定 級信 息 通 報(bào)信 息 批 露信 息 上 報(bào)恢 復(fù) 順 序恢 復(fù) 規(guī) 程事件通告 ? （ 1）信息通報(bào) ? 信息通報(bào)分為組織內(nèi)信息通報(bào)和組織外信息通報(bào)兩部分 。 – 第三，建立相關(guān)的保密管理規(guī)定，保證應(yīng)急響應(yīng)預(yù)案中涉及的秘密信息得到保護(hù)。 應(yīng)急響應(yīng) SLA 矩陣 事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性 事故當(dāng)前或?qū)砜? 能的影響 高（例如：互聯(lián)網(wǎng) 連接，公共 Web服 務(wù)器，防火墻，客 戶數(shù)據(jù)） 中（例如：系統(tǒng)管理 員工作站，文件和打 印服務(wù)器， XYZ 應(yīng)用 數(shù)據(jù)） 低（例如：用戶工作 站） Root級訪問 15分鐘 30分鐘 1 小時 非授權(quán)的數(shù)據(jù)修改 15分鐘 30分鐘 2 小時 對敏感信息的非授權(quán)訪問 15分鐘 1 小時 1 小時 非授權(quán)的用戶級訪問 30分鐘 2 小時 4小時 服務(wù)不可用 30分鐘 2 小時 4小時 騷擾 30分鐘 不限 不限 第三階段 —遏制 24 ?即時采取的行動 ?微觀： ?防止進(jìn)一步的損失 ， 確定后果 ?初步分析 ， 重點(diǎn)是確定適當(dāng)?shù)姆怄i方法 ?咨詢安全政策 ?確定進(jìn)一步操作的風(fēng)險(xiǎn) ?損失最小化 （ 最快最簡單的方式恢復(fù)系統(tǒng)的基本功能 ， 例如備機(jī)啟動 ） ?可列出若干選項(xiàng) ， 講明各自的風(fēng)險(xiǎn) ， 由服務(wù)對象選擇 ?宏觀： ?確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小 ?通過協(xié)調(diào)爭取各網(wǎng)一致行動 ， 實(shí)施隔離 ?匯總數(shù)據(jù) ， 估算損失和隔離效果 準(zhǔn)備 確認(rèn) 遏制 根除 恢復(fù) 跟蹤 建立遏制策略 ? 建議組織機(jī)構(gòu)為幾類主要的事故建立單獨(dú)的遏制策略，其標(biāo)準(zhǔn)包括： – 潛在的破壞和資源的竊取 – 證據(jù)保留的需要 – 服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當(dāng)事方的服務(wù)） – 實(shí)施戰(zhàn)略需要的時間和資源 – 戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故） – 解決方案的期限 （例如：緊急事故工作區(qū)需在4 小時內(nèi)清除，臨時工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。這些文件對推動災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。 信息安全應(yīng)急響應(yīng) 體系 的制定是一個周而復(fù)始、持續(xù)改進(jìn)的過程，包含以下幾個階段： （ 1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定； （ 2）編制應(yīng)急響應(yīng)計(jì)劃文檔； （ 3）應(yīng)急響應(yīng)計(jì)劃的測試、培訓(xùn)、演練和維護(hù)。課程要點(diǎn) ? 什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系 ? 應(yīng)急響應(yīng)的六大階段 ? 應(yīng)急預(yù)案的編制和管理 ? 應(yīng)急響應(yīng)體系建立流程 ? 典型應(yīng)急響應(yīng)體系建設(shè)案例 基本概念 ?安全事件（ Security Accident） 而安全事件則是指影響一個系統(tǒng)正常工作的情況。 應(yīng)急響應(yīng)是信息安全防護(hù)的最后一道防線！ 基本概念 3 ?應(yīng)急響應(yīng) 體系 （ Emergency Response System） 是指在突發(fā) /重大信息安全事件后對包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的 各種技術(shù)和管理 策略和規(guī)程。 政策要求 7 ?為了落實(shí) 27號文精神國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于 2023年 10月發(fā)布了 《 網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法 》 、 2023年 9月發(fā)布了 ?《 關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知 》， 2023年 8月發(fā)布了 《 關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見 》 等文件。 ? ? 本地應(yīng)急響應(yīng)服務(wù) – 對本地范圍內(nèi)的客戶， ？ 小時內(nèi)到達(dá)現(xiàn)場；對異地的客戶， ？ 小時加路途時間內(nèi)到達(dá)現(xiàn)場。 – 其次，為了建立有效的版本控制體系，必須建立規(guī)范的應(yīng)急響應(yīng)預(yù)案的問題提交、解決、更新、跟蹤、發(fā)布的渠道和流程。 32 應(yīng)急響應(yīng)預(yù)案的制定 ? 清楚、簡潔 ? 高級管理層支持 /組織承諾 ? 不斷改進(jìn)和更新的恢復(fù)策略 ? 及時的更新維護(hù) ?組織職責(zé)分工明確 ?保留、備份和異地存儲計(jì)劃 ?完整記錄并定期演練