信息安全应急响应服务流程

Forpersonaluseonlyinstudyandresearch;notforcommercialuse薀膇螈芃羃袀芄莅肁芀羅信息安全应急响应流程膂腿虿螅芃薂聿蒅芅蚀薈膆肂肃羇广东盈通网络投资羆20011年07月膃膁蚁蚇膅目录艿第一部分导言..............................................................................................错误!未定义书签。肀1.1.文档类别..........................................................................................错误!未定义书签。蒇1.2.使用对象..........................................................................................错误!未定义书签。羂1.3.计划目的..........................................................................................错误!未定义书签。蚂1.4.适用范围..........................................................................................错误!未定义书签。葿1.5.服务原则..........................................................................................错误!未定义书签。膇第二部分应急响应组织保障......................................................................错误!未定义书签。肄2.1.角色的划分......................................................................................错误!未定义书签。螀2.2.角色的职责......................................................................................错误!未定义书签。罿2.3.组织的外部协作..............................................................................错误!未定义书签。羈2.4.保障措施..........................................................................................错误!未定义书签。膅第三部分应急响应实施流程......................................................................错误!未定义书签。膂3.1.准备阶段（Preparationstage）......................................................错误!未定义书签。莈3.1.1领导小组准备内容............................................................错误!未定义书签。蚈3.1.2实施小组准备内容............................................................错误!未定义书签。袂3.1.3日常运行小组准备内容....................................................错误!未定义书签。芁3.2.检测阶段（Examinationstage）....................................................错误!未定义书签。螈3.2.1检测范围及对象的确定....................................................错误!未定义书签。膄3.2.2检测方案的确定................................................................错误!未定义书签。羄3.2.3检测方案的实施................................................................错误!未定义书签。荿3.2.4检测结果的处理................................................................错误!未定义书签。膇3.3.抑制阶段（Suppressesstage）.......................................................错误!未定义书签。袅3.3.1抑制方案的确定................................................................错误!未定义书签。肅3.3.2抑制方案的认可................................................................错误!未定义书签。螂3.3.3抑制方案的实施................................................................错误!未定义书签。袀3.3.4抑制效果的判定................................................................错误!未定义书签。蚅3.4.根除阶段（Eradicatesstage）........................................................错误!未定义书签。袂3.4.1根除方案的确定................................................................错误!未定义书签。袀3.4.2根除方案的认可................................................................错误!未定义书签。莀3.4.3根除方案的实施................................................................错误!未定义书签。莆3.4.4根除效果的判定................................................................错误!未定义书签。袄3.5.恢复阶段（Restorationstage）......................................................错误!未定义书签。节3.5.1恢复方案的确定................................................................错误!未定义书签。蝿3.5.2恢复信息系统....................................................................错误!未定义书签。膆3.6.总结阶段（Summarystage）.........................................................错误!未定义书签。羅3.6.1事故总结............................................................................错误!未定义书签。莁3.6.2事故报告............................................................................错误!未定义书签。膈袆螃蚃薈薇第一部分导言螄1.1.文档类别袁本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项目实施的指导性文件之一。肇1.2.使用对象莇本文档作为公司内部文档，具体使用人员包括：信息安全应急响应服务具体实施操作人员、及负责人。袅1.3.计划目的羀制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流程，从接受应急响应服务申请到交付应急响应总结报告为止这段时间内，要求实施进度和质量可控，在规定的时间内完成应急响应服务。螁备注：操作实施人员在执行该规范时，应根据实际情况灵活运用和变通，并提出创新。同时为了有效的控制进度和质量，在实际操作中应遵循流程步骤。肈1.4.适用范围蚃全司。节1.5.服务原则膀在整个应急响应处理过程的中，本协会严格按照以下原则要求服务人员，并签订必要的保密协议。袈保密性原则螄应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务，不得泄露给第三方的单位和个人，不得利用这些信息进行侵害服务对象的行为。蒁规范性原则蕿应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有处理人员必须对各自的操作过程和结果进行详细的记录，最终按照规范的报告格式提供完整的服务报告。莄最小影响原则螅应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则必须向服务对象说明。螃第二部分应急响应组织保障罿2.1.角色的划分肅本协会应急响应工作机构按角色划分为三个：薃应急响应负责人，袁应急响应技术人员，蒈应急响应市场人员。螅信息安全事件发生后，在应急响应领导小组的统一部署下，工作人员各施其职，并严格按照应急响应计划组织实施应急响应工作。蚄2.2.角色的职责肀应急响应负责人：袇应急响应负责人是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜，主要职责如下：a)b)薅制定工作方案；c)d)蚆提供人员和物质保证；e)f)莂审核并批准经费预算；g)h)芇审核并批准恢复策略；i)j)芆审核并批准应急响应计划；k)l)蒃批准并监督应急响应计划的执行；m)n)蒀指导应急响应实施小组的应急处置工作；o)p)羀启动定期评审、修订应急响应计划以及负责组织的外部协作。肆应急响应技术人员，其主要职责如下：a)b)薄编制应急响应计划文档；c)d)袃应急响应的需求分析，确定应急策略和等级以及策略的实现；e)f)蒀备份系统的运行和维护，协助灾难恢复系统实施；g)h)螇信息安全突发事件发生时的损失控制和损害评估；i)j)莂组织应急响应计划的测试和演练。羁应急响应市场人员，其主要职责如下：a)b)衿开拓新客户，与客户建立长期的合作关系；维护与公司老客户的业务往来；c)d)薇建立预防预警机制，及时进行信息上报；e)f)莃参与和协助应急响应计划的教育、培训和演练；g)h)肀信息安全事件发生后的外部协作。芈2.3.组织的外部协作芇依据服务对象信息安全事件的影响程度，如需向上级部门及时通报准确情况或向其他单位寻求支持时，应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、盈通