《XX公司信息安全应急响应》由会员分享,可在线阅读,更多相关《XX公司信息安全应急响应(23页珍藏版)》请在金锄头文库上搜索。
1、密级:商密文档编号:项目代号:XXXXXXXXXXX有限公司应急响应规范XXXXXXXXXXX有限公司目录1. 总则 3目的 3事件分类 3释义 3读者 42. 组织与职责 5应急响应小组 5高级安全顾问 5安全顾问 5安全服务工程师 53. 应急响应处理流程 64. 检查要求 7附则 75.应急响应处理流程图 86.附表 97.安全事件检查记录表 9安全事件分析处理表 10Page : 2 of 101. 总则目的为增强XXXXXXXX安全服务中心应对紧急安全事件的能力,规范安全服务应急响应流程,保障用户在遭受到紧急状况时的资产损失降低到最小,并在规范的流程下进行修复,保障业务的连续性和问题
2、的可追踪性,特制定本应急响应流程。事件分类1) 物理安全事件指计算机设备、设施(含网络)以及其它媒体遭到人为的或自然灾害引起的物理上的危害。2) 逻辑安全事件指信息的完整性、保密性和可用性方面遭到破坏,从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。释义、本管理办法中所描述的安仝广义上均指信息安仝;二、物理安全事件定义(包含但不仅限于):1)设备遗失,遭到物理闯入或计算机设备被窃;2)自然灾害,物理环境或设备遭到火灾或水灾等事故;3)环境灾害,物理设备由于机房环境灰尘或静电造成损坏;4)意外故障,设备在运行过程意外(如本身质量等问题)损坏,造成业务受损或服务
3、中断;5)人员误操作,管理维护人员在日常维护中因误操作导致物理设备、线缆等设施的损坏,造成业务受损或服务中断。三、逻辑安全事件定义(包含但不仅限于):1)非授权访问,未经授权或允许进入到信息系统中,而导致数据信息受损或泄露;2) 信息泄密,数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏;3) 拒绝服务,因遭受攻击导致用户不能正常访问服务器提供的相关服务;4) 系统性能严重下降,有不明的进程运行并占用大量的 CPU 处理时间;5) 日志审计异常,在日志中发现异常流量或异常访问记录;6) 计算机病毒,因计算机病毒造成的影响;7) 网络攻击尝试,发现正在进行的网络攻击行为;8) 帐户口令异常
4、变更,发现未经授权的帐户及口令;9) 来自集团外部的警告,如反垃圾邮件组织、电信运营商、执法部门等;10) 访问权限被修改 ,文件或业务的访问权限被修改;11) 系统的安全漏洞,包括操作系统、数据库、业务应用;12) 违反保密协议,员工或第三方违反相应的保密条例。、十廿读者本文档的读者包括XXXXXXXX安全服务中心全体成员,客户需求方和其他可能涉及XXXXXXXX安全服务中心安全工作的内外部人员。Page : 4 of 102. 组织与职责基于XXXXXXXX安全服务中心组织架构的特点,主要以服务部门经理为主要领导,以应急响应小组为主要攻坚力量,其它顾问和工程师则辅助应急响应小组完 成应急响
5、应流程。应急响应规范的修订,以应急响应小组提议,高级顾问协助服务部门经理进 行统一修订。安全服务中心必须每年统一检查和评估此流程,并做出适当更新。在内外部环境需求发生重大变化时,也将对本流程进行检查和更新。应急响应小组主要职责:在启动应急响应之后,进行现场的问题处理,跟踪记录。高级安全顾问主要职责:在应急响应过程中处理需要一些额外的高级支持时,提供技术支持,并进行应急响应规范的修订与商议。安全顾问主要职责:协助应急响应小组进行问题追踪。安全服务工程师主要职责:主要负责应急响应的前期记录,协助应急响应小组进行简单的修复和加固工作。3. 应急响应处理流程服务台在接受到信息安全事件时,进行分类统计,
6、如出现紧急响应事件应 及时通知服务部门经理,由部门经理启动应急响应。在收到客户直接请求应急 响应支持流程时,亦可直接启动应急响应。应急响应启动后,服务部门经理指派应急响应小组组长,负责此次应急响 应事件。应急响应小组在收到服务台基本的事件介绍资料后,快速的做出反应, 准备好相关工具,以最快的速度赶往现场,进行问题处理。应急响应小组将在第一时间对问题做出反应,进行数据包截获分析等其他 技术手段进行安全事件信息搜集,并通过相关工具及时遏制住问题扩大,并对 重要资产进行及时的修护防范,及时保障服务的运行。现场不能完全解决问题的,进行事态控制后,由高级安全顾问协助,进行 应急安全事件分析状态分析报告,
7、并制定全面的检测和修复计划,进行事件的 持续跟踪处理;现场问题直接解决,则由安全顾问协助应急响应小组出具应急响应报告,给出应急事件的原因分析,加固方案安全服务工程师协助应急响应小组,对事件处理过程和问题进行跟踪记录,最终交付给服务台,并对一些后续问题给予持续处理具体处理流程参见第六章应急响应处理流程图4. 检查要求5. 附则1)本应急响应流程由XXXXXXXX安全服务中心负责解释和修订。2)本应急响应流程自2009年9月15日起试行,试行期为6个月。6个月内若无修订,则自动转入实施。任务编号检查点检杳内容检查方法检杳周期丿|IU P1安全事件检查记录表安全服务中心检查是否对安全事件记录的阅读文
8、档每月2安全事件分析处理表安全服务中心检查是 否有事后分析报告,安全事件是否进行有效阅读文档每月6.应急响应处理流程图客户请求应急响应安全事件汇报服务台分类汇总安全事件汇报应急响应要求服务部门经理启动应急响应服务工程师应急响应小组安全顾问协助应急小组控制事态控制事态协助应急小组控制事态解决后续遗留问题解决后续遗留问题跟踪记录事态控制丫 重大遗留问题KI7. 附表安全事件检查记录表Page : 9 of 10安全事件检查记录表文件编号SN:客户名称检查时间检查项检查结果负责人XX公司20xx年XX月本月安全事件总数事件名称汇总安全事件类型汇总【病毒、木马、黑客攻击、硬件故障、软件故障】交付物汇总问题解决汇总【已解决、已控制、未解决】安全事件分析处理表安全事件分析处理表事件处理编号 SN:序号工作项内容描述负责人1事件ID2事件名称3事件处理时间4事件类型【病毒、木马、黑客攻击、5硬件故障、软件故障】事件描述6事件处理过程7事件处理结果8事件处理方法总结9加入信息安全事件库是口否口
