【正文】 的不同，不同組織對突發(fā) /重大信息安全事件的定義可能不一樣，因此，各組織的應急啟動條件可能各不相同。損害評估規(guī)程對于不同的系統(tǒng)是不同的，但是應該涉及到以下領域： （ 1）造成緊急情況或中斷的原因； （ 2）潛在的附加中斷或損失； （ 3）受到緊急情況影響的區(qū)域； （ 4）物理構架（如計算機室結構的完整性、電源、電信以及制熱、通風和空調的情況）的狀況； （ 5）系統(tǒng)設備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）； （ 6）系統(tǒng)設備及其存貨的損失類型（如水害、水災或熱能、物理以及電涌影響）； （ 7）被更換的項目（如硬件、軟件、固件或支持材料）； （ 8）估計恢復正常服務所需的時間。這個損害評估應該在能夠確保人員安全這個最優(yōu)先任務的前提下盡快完成。因此，信息安全事件發(fā)生后，應根據信息安全事件的嚴重程度，指定特定的小組及時向新聞媒體發(fā)布相關信息，并且指定的小組應嚴格按照組織相關規(guī)定和要求對外發(fā)布信息，同時組織內其它部門或者個人不得隨意接受新聞媒體采訪或對外發(fā)表自己的看法。 ? （ 2）信息上報 ? 信息安全事件發(fā)生后，應按照相關規(guī)定和要求，及時將情況上報相關主管或監(jiān)管單位 /部門。組織外信息通報目的是將相關信息及時通報給受到負面影響的外部機構、互聯的單位系統(tǒng)以及重要用戶，同時根據應急響應的需要，應將相關信息準確通報給相關設備設施及服務提供商（包括電信、電力等）等外部組織，以獲得適當的應急響應支持。 36 預案變更管理 ? 業(yè)務操作的增長或變化 – 如：新的分支、產品和業(yè)務功能的增加 ? 公司所有權的變化 ? 關鍵人員的變化 ? 硬件配置的變化 ? 使用新操作系統(tǒng) ? 預案審核和演練后 ? 軟件 /應用軟件的變化 ? 新的法律或審計要求 ? 定期審核和更新 —— 如：每年兩次 37 《 應急預案管理制度 》 應急預案變更記錄 變化記錄 頁碼 變化備注 變化日期 簽名 應急響應體系建設流程 應急響應計劃的編制準備應 急 響 應 計 劃 的 測 試 、 培訓 、 演 練 和 維 護編 制 應 急 響 應 計 劃 文 檔業(yè) 務 影 響 分 析風 險 評 估制 定 應 急 響 應 策 略應 急 響 應 計 劃 的 測 試、 培 訓 和 演 練應 急 響 應 計 劃 的 管 理和 維 護參見 XXX應急體系 _項目計劃_080821_C1 信息安全應急響應計劃編制方法 40 ?總則 ?角色及職責 ?預防和預警機制 ?應急響應流程 ?應急響應保障措施 ?附件 總則 角色及職責 預防和預警機制 應急響應流程 應急響應保障措施 附件 總則 41 ?編制目的 ?編制依據 ?適應范圍 ?工作原則 總則 角色及職責 預防和預警機制 應急響應流程 應急響應保障措施 附件 角色及職責 42 ?應急響應領導小組 ?應急響應技術保障小組 ?應急響應專家小組 ?應急響應實施小組 ?應急響應日常運行小組 總則 角色及職責 預防和預警機制 應急響應流程 應急響應保障措施 附件 預防和預警機制 43 總則 角色及職責 預防和預警機制 應急響應流程 應急響應保障措施 附件 早發(fā)現早報告早處置 監(jiān)測 預測 預警 應急響應流程 44 總則 角色及職責 預防和預警機制 應急響應流程 應急響應保障措施 附件 信 息 安 全 事 件信 息 安 全 事 件 通 告應 急 啟 動應 急 處 置后 期 處 置信 息 系 統(tǒng) 重 建應 急 響 應 總 結信 息 安 全 事 件 評 估 事 件 分 類事 件 定 級信 息 通 報信 息 批 露信 息 上 報恢 復 順 序恢 復 規(guī) 程事件通告 ? （ 1）信息通報 ? 信息通報分為組織內信息通報和組織外信息通報兩部分 。 – 第五，建立合理的應急響應預案的保管制度，強調存放的安全性和易取得性。 – 第三，建立相關的保密管理規(guī)定，保證應急響應預案中涉及的秘密信息得到保護。 2. 糾正正在被攻擊的漏洞或弱點 3. 讓 ISP 實施過濾 4. 重定位目標 5. 攻擊攻擊者 6. 設定證據保留時間 第四階段 —根除 27 ?長期的補救措施 ?微觀： ?詳細分析 ， 確定原因 ， 定義征兆 ?分析漏洞 ?加強防范 ?消除原因 ?修改安全政策 ?宏觀： ?加強宣傳 ， 公布危害性和解決辦法 ， 呼吁用戶解決終端的問題； ?加強檢測工作 ， 發(fā)現和清理行業(yè)與重點部門的問題； 準備 確認 遏制 根除 恢復 跟蹤 第五階段 —恢復 28 ?微觀： 被攻擊的系統(tǒng)恢復正常的工作狀態(tài) ?作一個新的備份 ?把所有安全上的變更作備份 ?服務重新上線 ?持續(xù)監(jiān)控 ?宏觀： ?持續(xù)匯總分析 ， 了解各網的運行情況 ?根據各網的運行情況判斷隔離措施的有效性 ?通過匯總分析的結果判斷仍然受影響的終端的規(guī)模 ?發(fā)現重要用戶及時通報解決 ?適當的時候解除封鎖措施 準備 確認 遏制 根除 恢復 跟蹤 第六階段 —跟蹤 29 ?關注系統(tǒng)恢復以后的安全狀況，特別是曾經出問題的地方 ?建立跟蹤文檔，規(guī)范記錄跟蹤結果 ?對響應效果給出評估 ?對進入司法程序的事件，進行進一步的調查，打擊違法犯罪活動 準備 確認 遏制 根除 恢復 跟蹤 事件的歸檔與統(tǒng)計 30 ?處理人 ?時間和時段 ?地點 ?工作量 ?事件的類型 ?對事件的處置情況 ?代價 ?細節(jié) 應急響應預案的制定 ? 應急響應預案的包括的主要內容 – 確定風險場景 – 描述可能受到的業(yè)務影響 – 描述使用的預防性策略 – 描述應急響應策略 – 識別和排列關鍵應用系統(tǒng) – 行動計劃 – 團隊和人員的職責 – 聯絡清單 – 所需資源配置 31 應急響應預案的制定 ? 制定應急響應預案的原則 – 首先，必須集中管理應急響應預案的版本和發(fā)布。 應急響應 SLA 矩陣 事故當前或將來可能影響的資源的重要性 事故當前或將來可 能的影響 高（例如：互聯網 連接，公共 Web服 務器，防火墻，客 戶數據） 中（例如：系統(tǒng)管理 員工作站，文件和打 印服務器， XYZ 應用 數據） 低（例如：用戶工作 站） Root級訪問 15分鐘 30分鐘 1 小時 非授權的數據修改 15分鐘 30分鐘 2 小時 對敏感信息的非授權訪問 15分鐘 1 小時 1 小時 非授權的用戶級訪問 30分鐘 2 小時 4小時 服務不可用 30分鐘 2 小時 4小時 騷擾 30分鐘 不限 不限 第三階段 —遏制 24 ?即時采取的行動 ?微觀：