XX公司信息安全應急響應

1、密級：商密文檔編號：項目代號：xxxxxxxxxx x x有限公司應急響應規(guī)范xxxxxxxxx x x有限公司目錄1. 總貝ij 31.1 目的31.2 事件分類31.3 釋義31.4 讀者42. 組織與職責52應急響應小組52.2 高級安全顧問52.3 安全顧問52.4 安全服務工程師53. 應急響應處理流程64. 檢查要求75. 附則76. 應急響應處理流程圖87. 附表97.1 安全事件檢査記錄表97.2 安全事件分析處理表101總則1.1目的為增強x xxxxxx x安全服務中心應對緊急安全事件的能力，規(guī)范安全服務應急 響應流程，保障用戶在遭受到緊急狀況時的資產(chǎn)損失降低到最小，并在規(guī)

2、范的流 程下進行修復，保障業(yè)務的連續(xù)性和問題的可追蹤性，特制定本應急響應流程。1.2事件分類1）物理安全事件指計算機設備、設施（含網(wǎng)絡）以及其它媒體遭到人為的或自然災害引起的物理上的危害。2）邏輯安全事件指信息的完整性、保密性和可用性方面遭到破壞，從而導致涉及的網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、人員管理等方面正常業(yè)務運行受到影響。1.3釋義一、本管理辦法中所描述的安全廣義上均指信息安全；二、物理安全事件定義（包含但不僅限于）：1）設備遺失，遭到物理闖入或計算機設備被竊；2）自然災害，物理壞境或設備遭到火災或水災等事故；3）環(huán)境災害，物理設備由于機房環(huán)境灰塵或靜電造成損壞；4）意外故障，設備在運

3、行過程意外（如本身質量等問題）損壞，造成業(yè)務受損或服務中斷；5）人員誤操作，管理維護人員在日常維護中因誤操作導致物理設備、線纜等設施的損壞，造成業(yè)務受損或服務中斷。三、邏輯安全事件定義（包含但不僅限于）：1）菲授權訪問，未經(jīng)授權或允許進入到信息系統(tǒng)中，而導致數(shù)據(jù)信息受損或泄露；2）信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；3）拒絕服務，因遭受攻擊導致用戶不能正常訪問服務器提供的相關服務；4）系統(tǒng)性能嚴重下降，有不明的進程運行并占用大量的cpu處理時間；5）日志審計異常，在日志中發(fā)現(xiàn)異常流量或異常訪問記錄；6）計算機病毒，因計算機病毒造成的影響；7）網(wǎng)絡攻擊嘗試，發(fā)現(xiàn)止在

4、進行的網(wǎng)絡攻擊行為；8）帳戶口令異常變更，發(fā)現(xiàn)未經(jīng)授權的帳戶及口令；9）來自集團外部的警告，如反垃圾郵件組織、電信運營商、執(zhí)法部門等；10）訪問權限被修改，文件或業(yè)務的訪問權限被修改；11）系統(tǒng)的安全漏洞，包括操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務應用；12）違反保密協(xié)議，員工或第三方違反相應的保密條例。1.4讀者本文檔的讀者包括xxxxxxxx安全服務中心全體成員，客戶需求方和其他可能 涉及xxxxxxx x安全服務中心安全工作的內(nèi)外部人員。2. 組織與職責基于x x xxxxx x安全服務屮心組織架構的特點，主要以服務部門經(jīng)理為主要領導，以應急響應小組為主要攻堅力量，其它顧問和工程師則輔助應急響應小組完成

5、應急響應流程。應急響應規(guī)范的修訂，以應急響應小組提議，高級顧問協(xié)助服務部門經(jīng)理進行統(tǒng)一修訂。安全服務中心必須每年統(tǒng)一檢查和評估此流程，并做出適當更新。在內(nèi)外部環(huán)境需求發(fā)生重人變化吋，也將對本流程進行檢查和更新。2.1應急響應小組主要職責：在啟動應急響應之后，進行現(xiàn)場的問題處理，跟蹤記錄。2.2高級安全顧問主要職責：在應急響應過程中處理需要一些額外的高級支持時，提供技術支持，并進行應急響應規(guī)范的修訂與商議。2.3安全顧問主要職責：協(xié)助應急響應小組進行問題追蹤。2.4安全服務工程師主要職責：主要負責應急響應的前期記錄，協(xié)助應急響應小組進行簡單的修復和加固工作。3. 應急響應處理流程服務臺在接受到信

6、息安全事件吋，進行分類統(tǒng)計，如出現(xiàn)緊急響應事件應 及吋通知服務部門經(jīng)理，由部門經(jīng)理啟動應急響應。在收到客戶直接請求應急 響應支持流程時，亦可直接啟動應急響應。應急響應啟動后，服務部門經(jīng)理指派應急響應小組組長，負責此次應急響 應事件。應急響應小組在收到服務臺基本的事件介紹資料后，快速的做岀反應, 準備好相關工具，以最快的速度趕往現(xiàn)場，進行問題處理。應急響應小組將在第一時間對問題做出反應，進行數(shù)據(jù)包截獲分析等其他 技術手段進行安全事件信息搜集，并通過相關工具及吋遏制住問題擴大，并對 重要資產(chǎn)進行及吋的修護防范，及吋保障服務的運行?，F(xiàn)場不能完全解決問題的，進行事態(tài)控制后，由高級安全顧問協(xié)助，進行 應

7、急安全事件分析狀態(tài)分析報告，并制定全面的檢測和修復計劃，進行事件的 持續(xù)跟蹤處理；現(xiàn)場問題直接解決，則由安金顧問協(xié)助應急響應小組出具應急 響應報告，給出應急事件的原因分析，加固方案。安全服務工程師協(xié)助應急響應小組，對事件處理過程和問題進行跟蹤記錄, 最終交付給服務臺，并對一些后續(xù)問題給予持續(xù)處理。具體處理流程參見第六章應急響應處理流程圖。4. 檢查要求任務 編號檢查點檢查內(nèi)容檢查方法檢查周期1安全事件檢查記錄表安全服務中心檢杳是否對安全事件記錄的處理結果進行檢查。閱讀文檔每月2安全事件分析處理表安全服務屮心檢查是否有事后分析報告，安全事件是否進行有效 跟蹤。閱讀文檔每月5.附則1）本應急響應流程由x x xxxx x x安全服務中心負責解釋和修訂。2）本應急響應流程自2009年9月15 fi起試行，試行期為6個月。6個月內(nèi)若無修訂，則自動轉入實施。6.應急響應處理流程圖7.附表7.1安全事件檢查記錄表安全事件檢查記錄表文件編號sn：客戶名稱檢查時間檢査項檢査結果負責人xx公司20xx年xx月本月安全事件總數(shù)事件名稱匯總安全事件類型匯總【病毒、木馬、黑客攻擊、硬件故障、軟件故障】交付物匯總問題解決匯總【已解決、已控制、未解決】7.2安全事件