XX公司信息安全应急响应

密级：商密文档编号：项目代号：XXXXXXXXXXＸＸ有限公司应急响应规范ＸＸＸＸＸＸＸＸＸＸＸ有限公司应急响应规范目录1.总则...................................................................................................................................................31.11.21.31.4目的............................................................................................................................................3事件分类....................................................................................................................................3释义............................................................................................................................................3读者............................................................................................................................................42.组织与职责.......................................................................................................................................52.12.22.32.4应急响应小组............................................................................................................................5高级安全顾问............................................................................................................................5安全顾问....................................................................................................................................5安全服务工程师........................................................................................................................53.4.5.6.7.应急响应处理流程...........................................................................................................................6检查要求...........................................................................................................................................7附则...................................................................................................................................................7应急响应处理流程图.......................................................................................................................8附表...................................................................................................................................................97.17.2安全事件检查记录表................................................................................................................9安全事件分析处理表..............................................................................................................10Page:2of10应急响应规范1.总则1.1目的为增强ＸＸＸＸＸＸＸＸ安全服务中心应对紧急安全事件的能力，规范安全服务应急响应流程，保障用户在遭受到紧急状况时的资产损失降低到最小，并在规范的流程下进行修复，保障业务的连续性和问题的可追踪性，特制定本应急响应流程。1.2事件分类1)物理安全事件指计算机设备、设施（含网络）以及其它媒体遭到人为的或自然灾害引起的物理上的危害。2)逻辑安全事件指信息的完整性、保密性和可用性方面遭到破坏，从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。1.3释义一、本管理办法中所描述的安全广义上均指信息安全；二、物理安全事件定义（包含但不仅限于）：1)设备遗失，遭到物理闯入或计算机设备被窃；2)自然灾害，物理环境或设备遭到火灾或水灾等事故；3)环境灾害，物理设备由于机房环境灰尘或静电造成损坏；4)意外故障，设备在运行过程意外（如本身质量等问题）损坏，造成业务受损或服务中断；5)人员误操作，管理维护人员在日常维护中因误操作导致物理设备、线缆等设施的损坏，造成业务受损或服务中断。三、逻辑安全事件定义（包含但不仅限于）：1)非授权访问，未经授权或允许进入到信息系统中，而导致数据信息受损Page:3of10应急响应规范或泄露；2)信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；3)拒绝服务，因遭受攻击导致用户不能正常访问服务器提供的相关服务；4)系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间；5)日志审计异常，在日志中发现异常流量或异常访问记录；6)计算机病毒，因计算机病毒造成的影响；7)网络攻击尝试，发现正在进行的网络攻击行为；8)帐户口令异常变更，发现未经授权的帐户及口令；9)来自集团外部的警告，如反垃圾邮件组织、电信运营商、执法部门等；10)访问权限被修改,文件或业务的访问权限被修改；11)系统的安全漏洞，包括操作系统、数据库、业务应用；12)违反保密协议，员工或第三方违反相应的保密条例。1.4读者本文档的读者包括ＸＸＸＸＸＸＸＸ安全服务中心全体成员，客户需求方和其他可能涉及ＸＸＸＸＸＸＸＸ安全服务中心安全工作的内外部人员。Page:4of10应急响应规范2.组织与职责基于ＸＸＸＸＸＸＸＸ安全服务中心组织架构的特点，主要以服务部门经理为主要领导，以应急响应小组为主要攻坚力量，其它顾问和工程师则辅助应急响应小组完成应急响应流程。应急响应规范的修订，以应急响应小组提议，高级顾问协助服务部门经理进行统一修订。安全服务中心必须每年统一检查和评估此流程，并做出适当更新。在内外部环境需求发生重大变化时，也将对本流程进行检查和更新。2.1应急响应小组主要职责：在启动应急响应之后，进行现场的问题处理，跟踪记录。2.2高级安全顾问主要职责：在应急响应过程中处理需要一些额外的高级支持时，提供技术支持，并进行应急响应规范的修订与商议。2.3安全顾问主要职责：协助应急响应小组进行问题追踪。2.4安全服务工程师主要职责：主要负责应急响应的前期记录，协助应急响应小组进行简单的修复和加固工作。Page:5of10应急响应规范3.应急响应处理流程服务台在接受到信息安全事件时，进行分类统计，如出现紧急响应事件应及时通知服务部门经理，由部门经理启动应急响应。在收到客户直接请求应急响应支持流程时，亦可直接启动应急响应。应急响应启动后，服务部门经理指派应急响应小组组长，负责此次应急响应事件。应急响应小组在收到服务台基本的事件介绍资料后，快速的做出反应，准备好相关工具，以最快的速度赶往现场，进行问题处理。应急响应小组将在第一时间对问题做出反应，进行数据包截获分析等其他技术手段进行安全事件信息搜集，并通过相关工具及时遏制住问题扩大，并对重要资产进行及时的修护防范，及时保障服务的运行。现场不能完全解决问题的，进行事态控制后，由高级安全顾问协助，进行应急安全事件分析状态分析报告，并制定全面的检测和修复计划，进行事件的持续跟踪处理；现场问题直接解决，则由安全顾问协助应急响应小组出具应急响应报告，给出应急事件的原因分析，加固方案。安全服务工程师协助应急响应小组，对事件处理过程和问题进行跟踪记录，最终交付给服务台，并对一些后续问题给予持续处理。具体处理流程参见第六章应急响应处理流程图。Page:6of10任务编号检查点检查内容检查方法检查周期1安全事件检查记录表安全服务中心检查是否对安全事件记录的处理结果进行检查。阅读文档每月2安全事件分析处理表安全服务中心检查是否有事后分析报告，安全事件是否进行有效跟踪。阅读文档每月应急响应规范4.检查要求5.附则1)本应急响应流程由ＸＸＸＸＸＸＸＸ安全服务中心负责解释和修订。2)本应急响应流程自2009年9月15日起试行，试行期为6个月。6个月内若无修订，则自动转入实施。Page:7of10应急响应规范6.应急响应处理流程图客户服务台请求应急响应安全事件汇报分类汇总安全事件汇报应急响应要求服务部门经理启动应急响应应急响应安全顾问小组服务工程师协助应急小组控制事态解决后续遗留问题控制事态跟踪记录协助应急小组控制事态解决后续遗留问题事态控制Y重大遗留问题？N问题解决？YN安全事件记录汇总服务台审计安全事件处理Page:8of10安全事件检查记录表文件编号SN：_______________________客户名称检查时间检查项检查结果负责人××公司20xx年XX月本月安全事件总数事件名称汇总安全事件类型汇总【病毒、木马、黑客攻击、硬件故障、软件故障】交付物汇总问题解决汇总【已解决、已控制、未解决】应急响应规范7.附表7.1安全事件检查记录表Page:9of10安全事件分析处理表事件处理编号SN：____________________________________________序号工作项内容描述负责人1事件ID2事件名称3事件处理时间4事件类型【病毒、木马、黑客攻击、硬件故障、软件故障】5事件描述6事件处理过程7事件处理结果8事件处理方法总结9加入信息安全事件库是□否□应急响应规范7.2安全事件分析处理表Pag