信息安全应急响应流程规范

1、 密级：商密 文档编号：HCIS-SAD-WORK-03 项目代号：HCIS-SAD 恒驰信息系统有限公司 应急响应规范 上海包驰信息系统有限公司 Shanghai Hengchi Information System Co.,LtdShanghai Hengchi Information System Co.,Ltd 二。一一年六月 l|亘驰1言息 应急响应规范 ?HCIS Security Team Page : 2 of 10 HI亘驰信扁 ME IH. u 目录 1. 总则 . 3 1.1 目的 . 3 1.2 事件分类 . 3 1.3 释义 . 3 1.4 读者 . 4 2. 组织与

2、职责 . 5 2.1 应急响应小组 . 5 2.2 高级安全顾问 . 5 2.3 安全顾问 . 5 2.4 安全服务工程师 . 5 3. 应急响应处理流程 . 6 4. 检查要求 . 7 5. 附则 . 7 6. 应急响应处理流程图 . 8 7. 附表 . 9 7.1 安全事件检查记录表 . 9 7.2 安全事件分析处理表 . 10?HCIS Security Team Page : 3 of 10 H更衅扇 应急响应规范 1. 总则 1.1目的 为增强包驰信息安全服务中心应对紧急安全事件的能力，规范安全服务应急 响应流程，保障用户在遭受到紧急状况时的资产损失降低到最小，并在规范的流 程下进行

3、修复，保障业务的连续性和问题的可追踪性，特制定本应急响应流程。 1.2事件分类 1 1）物理安全事件 指计算机设备、设施（含网络）以及其它媒体遭到人为的或自然灾害引起 的物理上的危害。 2 2）逻辑安全事件 指信息的完整性、保密性和可用性方面遭到破坏，从而导致涉及的网络、 操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。 1.3释义 一、本管理办法中所描述的安全广义上均指信息安全； 二、物理安全事件定义（包含但不仅限丁）： 1 1）设备遗失，遭到物理闯入或计算机设备被窃； 2 2）自然灾害，物理环境或设备遭到火灾或水灾等事故； 3 3）环境灾害，物理设备由丁机房环境灰尘或静电造

4、成损坏； 4 4）意外故障，设备在运行过程意外（如本身质量等问题）损坏，造成业务 受损或服务中断； 5 5）人员误操作，管理维护人员在日常维护中因误操作导致物理设备、线缆 等设施的损坏，造成业务受损或服务中断。 三、逻辑安全事件定义（包含但不仅限丁）： 1 1）非授权访问，未经授权或允许进入到信息系统中，而导致数据信息受损应急响应规范 ?HCIS Security Team Page : 4 of 10 HI亘驰信扁 ME IH. u 或泄露； 2 2） 信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄 漏； 3 3） 拒绝服务，因遭受攻击导致用户不能正常访问服务器提供的相关服务

5、； 4 4） 系统性能严重下降，有不明的进程运行并占用大量的 CPUCPU 处理时间; 5 5） 日志审计异常，在日志中发现异常流量或异常访问记录； 6 6） 计算机病蠹，因计算机病蠹造成的影响； 7 7） 网络攻击尝试，发现正在进行的网络攻击行为； 8 8） 帐户口令异常变更，发现未经授权的帐户及口令； 9 9） 来自集团外部的警告，如反垃圾邮件组织、电信运营商、执法部门等； 1010） 访问权限被修改，文件或业务的访问权限被修改； 1111） 系统的安全漏洞，包括操作系统、数据库、业务应用； 1212） 违反保密协议，员工或第三方违反相应的保密条例。 1.4读者 本文档的读者包括包驰信息安

6、全服务中心全体成员，客户需求方和其他可能 涉及包驰信息安全服务中心安全工作的内外部人员。?HCIS Security Team Page : 5 of 10 H追照停扇 应急响应规范 2. 组织与职责 基丁包驰信息安全服务中心组织架构的特点，主要以服务部门经理为主要领 导，以应急响应小组为主要攻坚力量，其它顾问和工程师则辅助应急响应小组完 成应急响应流程。 应急响应规范的修订，以应急响应小组提议，高级顾问协助服务部门经理进 行统一修订。 安全服务中心必须每年统一检查和评估此流程，并做出适当更新。在内外部 环境需求发生重大变化时，也将对本流程进行检查和更新。 2.1应急响应小组 主要职责：在启动

7、应急响应之后，进行现场的问题处理，跟踪记录。 2.2高级安全顾问 主要职责：在应急响应过程中处理需要一些额外的高级支持时，提供技术支 持，并进行应急响应规范的修订与商议。 2.3安全顾问 主要职责：协助应急响应小组进行问题追踪。 2.4安全服务工程师 主要职责：主要负责应急响应的前期记录，协助应急响应小组进行简单的修 复和加固工作。应急响应规范 ?HCIS Security Team Page : 6 of 10 HI亘驰信扁 ME IH. u 3. 应急响应处理流程 服务台在接受到信息安全事件时，进行分类统计，如出现紧急响应事件应 及时通知服务部门经理，由部门经理启动应急响应。在收到客户直接

8、请求应急 响应支持流程时，亦可直接启动应急响应。 应急响应启动后，服务部门经理指派应急响应小组组长，负责此次应急响 应事件。应急响应小组在收到服务台基本的事件介绍资料后，快速的做出反应, 准备好相关工具，以最快的速度赶往现场，进行问题处理。 应急响应小组将在第一时间对问题做出反应，进行数据包截获分析等其他 技术手段进行安全事件信息搜集，并通过相关工具及时遏制住问题扩大，并对 重要资产进行及时的修护防范，及时保障服务的运行。 现场不能完全解决问题的，进行事态控制后，由高级安全顾问协助，进行 应急安全事件分析状态分析报告，并制定全面的检测和修复计划，进行事件的 持续跟踪处理；现场问题直接解决，则由

9、安全顾问协助应急响应小组出具应急 响应报告，给出应急事件的原因分析，加固方案。 安全服务工程师协助应急响应小组，对事件处理过程和问题进行跟踪记录, 最终交付给服务台，并对一些后续问题给予持续处理。 具体处理流程参见第六章应急响应处理流程图。应急响应规范 ?HCIS Security Team Page : 7 of 10 HI亘醐言扁 ME IH. 土 4. 检查要求 任务 编亏 检查点 检查内容 检查方法 检查 周期 1 1 安全事件检查记录表 安全服务中心检查是 否对安全事件记录的 处理结果进行检查。 阅读文档 每月 2 2 安全事件分析处理表 安全服务中心检查是 否有事后分析报告，安 全

10、事件是否进行有效 跟踪。 阅读文档 每月 5. 附则 1 1） 本应急响应流程由包驰信息安全服务中心负责解释和修订。 2 2） 本应急响应流程自 20092009 年 9 9 月 1515 日起试行，试行期为 6 6 个月。6 6 个 月内若无修订，则自动转入实施。IH. 应急响应规范 ?HCIS Security Team Page : 8 of 10 6. 应急响应处理流程图 安全顾问 协助应急小组控制事态 解决后续遗留问题 控制事态 跟踪记录 协助应急小组控制事态 解决后续遗留问题 应急响应规范 ?HCIS Security Team Page : 9 of 10 7. 附表 7.1安全事件检查记录表 安全事件检查记录表 文件编.SN: SN: _ 客户名称 检查 时间 检查项 检查结果 负责人 X X公司 20 xx 年 XX 月 本月安全事件总数 事件石称汇总 安全事件类型汇总【病毒、木马、黑客攻击、 硬件故障、软件故障】 交付物汇总 问题解决汇总【已解决、已控制、未解决】 应急响应规范 ?HCIS Security Team Page : 10 of 10 7.2安全事件分析处理表 安全事件分析处理表 事件处理编号S