信息安全应急响应服务方案模板

信息安全应急响应

服务方案

XXXX科技有限公司

2018年5月

目录

第一部分概述 (3)

1.1.信息安全应急响应 (3)

1.2.应急安全响应事件 (3)

1.3.服务原则 (4)

第二部分应急响应组织保障 (5)

2.1.角色的划分 (5)

2.2.角色的职责 (5)

2.3.组织的外部协作 (6)

2.4.保障措施 (6)

第三部分应急响应实施流程 (7)

3.1.准备阶段（Preparation） (9)

3.1.1负责人准备内容 (9)

3.1.2技术人员准备内容 (9)

3.1.3市场人员准备内容 (12)

3.2.检测阶段（Examination） (13)

3.2.1实施小组人员的确定 (13)

3.2.2检测范围及对象的确定 (13)

3.2.3检测方案的确定 (13)

3.2.4检测方案的实施 (14)

3.2.5检测结果的处理 (17)

3.3.抑制阶段（Suppresses） (18)

3.3.1抑制方案的确定 (18)

3.3.2抑制方案的认可 (18)

3.3.3抑制方案的实施 (19)

3.3.4抑制效果的判定 (19)

3.4.根除阶段（Eradicates） (20)

3.4.1根除方案的确定 (20)

3.4.2根除方案的认可 (20)

3.4.3根除方案的实施 (20)

3.4.4根除效果的判定 (21)

3.5.恢复阶段（Restoration） (21)

3.5.1恢复方案的确定 (21)

3.5.2恢复信息系统 (22)

3.6.总结阶段（Summary） (22)

3.6.1事故总结 (23)

3.6.2事故报告 (23)

第一部分概述

1.1.信息安全应急响应

应急响应服务是为满足企业发生安全事件、需要紧急解决问题的情况下提供的一项安全服务。当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，安全专家会在第一时间赶到事件现场，使企业的网络信息系统在最短时间内恢复正常工作，帮助企业查找入侵来源，给出入侵事故过程报告，同时给出解决方案与防范报告，为企业挽回或减少经济损失。提供入侵调查，拒绝服务攻击响应，主机、网络、业务异常紧急响应和处理。1.2.应急安全响应事件

计算机病毒事件；

蠕虫病毒事件；

特洛伊木马事件；

网页内嵌恶意代码事件；

拒绝服务攻击事件；

后门攻击事件；

漏洞攻击事件；

网络扫描窃听事件；

信息篡改事件；

信息假冒事件；

信息窃取事件。

1.3.服务原则

在整个应急响应处理过程的中，本协会严格按照以下原则要求服务人员，并签订必要的保密协议。

保密性原则

应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务，不得泄露给第三方的单位和个人，不得利用这些信息进行侵害服务对象的行为。

规范性原则

应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务，所有处理人员必须对各自的操作过程和结果进行详细的记录，最终按照规范的报告格式提供完整的服务报告。

最小影响原则

应急处理服务工作应尽可能减少对原系统和网络正常运行的影响，尽量避免对原网络运行和业务正常运转产生显著影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则必须向服务对象说明。

第二部分应急响应组织保障

2.1.角色的划分

本公司应急响应工作机构按角色划分为三个：

应急响应负责人，

应急响应技术人员，

应急响应市场人员。

信息安全事件发生后，在应急响应领导小组的统一部署下，工作人员各施其职，并严格按照应急响应计划组织实施应急响应工作。

2.2.角色的职责

应急响应负责人：

应急响应负责人是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜，主要职责如下：

a)制定工作方案；

b)提供人员和物质保证；

c)审核并批准经费预算；

d)审核并批准恢复策略；

e)审核并批准应急响应计划；

f)批准并监督应急响应计划的执行；

g)指导应急响应实施小组的应急处置工作；

h)启动定期评审、修订应急响应计划以及负责组织的外部协作。

应急响应技术人员，其主要职责如下：

a)编制应急响应计划文档；

b)应急响应的需求分析，确定应急策略和等级以及策略的实现；

c)备份系统的运行和维护，协助灾难恢复系统实施；

d)信息安全突发事件发生时的损失控制和损害评估；

e)组织应急响应计划的测试和演练。

应急响应市场人员，其主要职责如下：

a)开拓新客户，与客户建立长期的合作关系；维护与公司老客户的业务往来；

b)建立预防预警机制，及时进行信息上报；

c)参与和协助应急响应计划的教育、培训和演练；

d)信息安全事件发生后的外部协作。

2.3.组织的外部协作

依据服务对象信息安全事件的影响程度，如需向上级部门及时通报准确情况或向其他单位寻求支持时，应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、##市公安局网络安全监察室、湖北省公安厅网络安全监察处、中国电信##分公司网管中心以及主要相关设备供应商。

2.4.保障措施

应急人力保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高信息安全防御意识。大力发展信息安全服务业，增强协会应急支援能力。

物质条件保障

安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。

技术支撑保障

设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系