XX公司信息安全應(yīng)急響應(yīng)

1、密級：商密文檔編號：項目代號：xxxxxxxxxx x x有限公司應(yīng)急響應(yīng)規(guī)范xxxxxxxxx x x有限公司目錄1. 總貝ij 31.1 目的31.2 事件分類31.3 釋義31.4 讀者42. 組織與職責(zé)52應(yīng)急響應(yīng)小組52.2 高級安全顧問52.3 安全顧問52.4 安全服務(wù)工程師53. 應(yīng)急響應(yīng)處理流程64. 檢查要求75. 附則76. 應(yīng)急響應(yīng)處理流程圖87. 附表97.1 安全事件檢査記錄表97.2 安全事件分析處理表101總則1.1目的為增強x xxxxxx x安全服務(wù)中心應(yīng)對緊急安全事件的能力，規(guī)范安全服務(wù)應(yīng)急 響應(yīng)流程，保障用戶在遭受到緊急狀況時的資產(chǎn)損失降低到最小，并在規(guī)

2、范的流 程下進(jìn)行修復(fù)，保障業(yè)務(wù)的連續(xù)性和問題的可追蹤性，特制定本應(yīng)急響應(yīng)流程。1.2事件分類1）物理安全事件指計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體遭到人為的或自然災(zāi)害引起的物理上的危害。2）邏輯安全事件指信息的完整性、保密性和可用性方面遭到破壞，從而導(dǎo)致涉及的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員管理等方面正常業(yè)務(wù)運行受到影響。1.3釋義一、本管理辦法中所描述的安全廣義上均指信息安全；二、物理安全事件定義（包含但不僅限于）：1）設(shè)備遺失，遭到物理闖入或計算機設(shè)備被竊；2）自然災(zāi)害，物理壞境或設(shè)備遭到火災(zāi)或水災(zāi)等事故；3）環(huán)境災(zāi)害，物理設(shè)備由于機房環(huán)境灰塵或靜電造成損壞；4）意外故障，設(shè)備在運

3、行過程意外（如本身質(zhì)量等問題）損壞，造成業(yè)務(wù)受損或服務(wù)中斷；5）人員誤操作，管理維護(hù)人員在日常維護(hù)中因誤操作導(dǎo)致物理設(shè)備、線纜等設(shè)施的損壞，造成業(yè)務(wù)受損或服務(wù)中斷。三、邏輯安全事件定義（包含但不僅限于）：1）菲授權(quán)訪問，未經(jīng)授權(quán)或允許進(jìn)入到信息系統(tǒng)中，而導(dǎo)致數(shù)據(jù)信息受損或泄露；2）信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；3）拒絕服務(wù)，因遭受攻擊導(dǎo)致用戶不能正常訪問服務(wù)器提供的相關(guān)服務(wù)；4）系統(tǒng)性能嚴(yán)重下降，有不明的進(jìn)程運行并占用大量的cpu處理時間；5）日志審計異常，在日志中發(fā)現(xiàn)異常流量或異常訪問記錄；6）計算機病毒，因計算機病毒造成的影響；7）網(wǎng)絡(luò)攻擊嘗試，發(fā)現(xiàn)止在

4、進(jìn)行的網(wǎng)絡(luò)攻擊行為；8）帳戶口令異常變更，發(fā)現(xiàn)未經(jīng)授權(quán)的帳戶及口令；9）來自集團外部的警告，如反垃圾郵件組織、電信運營商、執(zhí)法部門等；10）訪問權(quán)限被修改，文件或業(yè)務(wù)的訪問權(quán)限被修改；11）系統(tǒng)的安全漏洞，包括操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用；12）違反保密協(xié)議，員工或第三方違反相應(yīng)的保密條例。1.4讀者本文檔的讀者包括xxxxxxxx安全服務(wù)中心全體成員，客戶需求方和其他可能 涉及xxxxxxx x安全服務(wù)中心安全工作的內(nèi)外部人員。2. 組織與職責(zé)基于x x xxxxx x安全服務(wù)屮心組織架構(gòu)的特點，主要以服務(wù)部門經(jīng)理為主要領(lǐng)導(dǎo)，以應(yīng)急響應(yīng)小組為主要攻堅力量，其它顧問和工程師則輔助應(yīng)急響應(yīng)小組完成

5、應(yīng)急響應(yīng)流程。應(yīng)急響應(yīng)規(guī)范的修訂，以應(yīng)急響應(yīng)小組提議，高級顧問協(xié)助服務(wù)部門經(jīng)理進(jìn)行統(tǒng)一修訂。安全服務(wù)中心必須每年統(tǒng)一檢查和評估此流程，并做出適當(dāng)更新。在內(nèi)外部環(huán)境需求發(fā)生重人變化吋，也將對本流程進(jìn)行檢查和更新。2.1應(yīng)急響應(yīng)小組主要職責(zé)：在啟動應(yīng)急響應(yīng)之后，進(jìn)行現(xiàn)場的問題處理，跟蹤記錄。2.2高級安全顧問主要職責(zé)：在應(yīng)急響應(yīng)過程中處理需要一些額外的高級支持時，提供技術(shù)支持，并進(jìn)行應(yīng)急響應(yīng)規(guī)范的修訂與商議。2.3安全顧問主要職責(zé)：協(xié)助應(yīng)急響應(yīng)小組進(jìn)行問題追蹤。2.4安全服務(wù)工程師主要職責(zé)：主要負(fù)責(zé)應(yīng)急響應(yīng)的前期記錄，協(xié)助應(yīng)急響應(yīng)小組進(jìn)行簡單的修復(fù)和加固工作。3. 應(yīng)急響應(yīng)處理流程服務(wù)臺在接受到信

6、息安全事件吋，進(jìn)行分類統(tǒng)計，如出現(xiàn)緊急響應(yīng)事件應(yīng) 及吋通知服務(wù)部門經(jīng)理，由部門經(jīng)理啟動應(yīng)急響應(yīng)。在收到客戶直接請求應(yīng)急 響應(yīng)支持流程時，亦可直接啟動應(yīng)急響應(yīng)。應(yīng)急響應(yīng)啟動后，服務(wù)部門經(jīng)理指派應(yīng)急響應(yīng)小組組長，負(fù)責(zé)此次應(yīng)急響 應(yīng)事件。應(yīng)急響應(yīng)小組在收到服務(wù)臺基本的事件介紹資料后，快速的做岀反應(yīng), 準(zhǔn)備好相關(guān)工具，以最快的速度趕往現(xiàn)場，進(jìn)行問題處理。應(yīng)急響應(yīng)小組將在第一時間對問題做出反應(yīng)，進(jìn)行數(shù)據(jù)包截獲分析等其他 技術(shù)手段進(jìn)行安全事件信息搜集，并通過相關(guān)工具及吋遏制住問題擴大，并對 重要資產(chǎn)進(jìn)行及吋的修護(hù)防范，及吋保障服務(wù)的運行。現(xiàn)場不能完全解決問題的，進(jìn)行事態(tài)控制后，由高級安全顧問協(xié)助，進(jìn)行 應(yīng)

7、急安全事件分析狀態(tài)分析報告，并制定全面的檢測和修復(fù)計劃，進(jìn)行事件的 持續(xù)跟蹤處理；現(xiàn)場問題直接解決，則由安金顧問協(xié)助應(yīng)急響應(yīng)小組出具應(yīng)急 響應(yīng)報告，給出應(yīng)急事件的原因分析，加固方案。安全服務(wù)工程師協(xié)助應(yīng)急響應(yīng)小組，對事件處理過程和問題進(jìn)行跟蹤記錄, 最終交付給服務(wù)臺，并對一些后續(xù)問題給予持續(xù)處理。具體處理流程參見第六章應(yīng)急響應(yīng)處理流程圖。4. 檢查要求任務(wù) 編號檢查點檢查內(nèi)容檢查方法檢查周期1安全事件檢查記錄表安全服務(wù)中心檢杳是否對安全事件記錄的處理結(jié)果進(jìn)行檢查。閱讀文檔每月2安全事件分析處理表安全服務(wù)屮心檢查是否有事后分析報告，安全事件是否進(jìn)行有效 跟蹤。閱讀文檔每月5.附則1）本應(yīng)急響應(yīng)流程由x x xxxx x x安全服務(wù)中心負(fù)責(zé)解釋和修訂。2）本應(yīng)急響應(yīng)流程自2009年9月15 fi起試行，試行期為6個月。6個月內(nèi)若無修訂，則自動轉(zhuǎn)入實施。6.應(yīng)急響應(yīng)處理流程圖7.附表7.1安全事件檢查記錄表安全事件檢查記錄表文件編號sn：客戶名稱檢查時間檢査項檢査結(jié)果負(fù)責(zé)人xx公司20xx年xx月本月安全事件總數(shù)事件名稱匯總安全事件類型匯總【病毒、木馬、黑客攻擊、硬件故障、軟件故障】交付物匯總問題解決匯總【已解決、已控制、未解決】7.2安全事件