🏆 作者简介,愚公搬代码 🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。 🏆《近期荣誉》:2022年度博客之星TOP2,2023年度博客之星TOP2,2022年华为云十佳博主,2023年华为云十佳博主等。
🏆《博客内容》:.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏
PDCERF方法于1987年由美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出。该方法将应急响应分成准备(preparation)、检测(detection)、抑制(containment)、根除(eradication)、恢复(recovery)、跟踪(follow-up)6个阶段,如图13-1所示。尽管PDCERF方法是一种较为通用的应急响应方法,但并非安全事件应急响应的唯一选择。在实际应急响应过程中,这6个阶段并不一定严格存在,也不必严格按照这6个阶段的顺序进行。然而,PDCERF方法目前被认为是适用性较强的通用应急响应方法之一。在应对安全事件时,组织可以根据具体情况灵活运用PDCERF方法的各个阶段,以确保有效、及时地应对安全威胁,并最大程度地减少损失。
本阶段的主要工作包括:获取领导层的支持;组建领导小组、技术保障小组、专家小组、实施小组、日常运行小组;申请预算资金,准备人力资源和工具设备;确定应急响应所需执行的制度规范;梳理运行维护服务的对象、涉及的业务以及运维活动中可能出现的主要风险点;定义事件级别,制定相关预案,开展培训和演练等方面。
领导小组成员应该涉及各利益相关方,按内外部人员划分时,内部应组织。各部门代表,包括法律部门、IT 运维部门、IT管理部门、网络与信息安全部门保密管理部门、安全保卫部门、人力资源部门、行政管理部门、通信部门等,此外,一定要有业务部门代表,因为只有业务代表才最了解业务流程;外部可聘请安全专家作为临时性的顾问团队,如果涉及法律起诉,还应包括法律部门。按照永久和虚拟(临时)团队划分时,企业内部需成立专职的应急响应团队,不过这种方式成本较高,并不适合中小型企业。临时性团队由内部专家和外部顾问团队构成,发生事故时召集人员开展应急。
领导小组需负责监控应用系统相关的关键指标,提出安全准备、系统优化和违规事件的处置建议。在事故管理的过程中,应注意与企业的业务流程结合。
同时,领导小组负责人还需要规划人员的角色和职责,建立联络机制(如呼叫树 Call Tree)、汇报机制(规定文档模板),及时更新机构、人员和资源列表。应在每年的预算中设立应急响应的专项预算资金,并明确费用决策的流程,确保在发生紧急事件时能够快速采取处置措施。
呼叫树也叫“电话链”,是指姓名列表和所有可用的联系信息(如家庭电话、手机号码、备用号码和紧急联系号码)。位于树顶的人负责呼叫他(她)的直属人员,向他们通知网络与信息安全事件的发生,位于第二级的每个人接到通知后,应当负责通知直属的第三级人员。如果某级的某个人没有联系上,那么呼叫此人者应当负责呼叫此人直属层级的人员,并以此类推。
为确保应急响应工作落实到位,首要任务是获得领导层的支持。首先,向领导层汇报应急响应工作的重要性,争取得到充足的资源。接着,将应急响应工作和责任分解到各个层面,并成立应急响应领导小组,以保证应急响应工作的有效实施。
应急响应领导小组是信息安全应急响应工作的组织领导机构,其组长应由组织最高管理层成员担任。应急响应领导小组的职责包括:
应急响应技术保障小组的主要职责包括以下4项:
应急响应专家小组的主要职责包括以下3项:
应急响应实施小组的主要职责包括以下9项:
应急响应日常运行小组的主要职责包括以下8项。
以上工作小组构成了应急管理的责任体系,如何让责任体系自生驱动力?
在此要特别强调以下4点。
织应制定应急响应制度规范,明确目标、原则、范围及各项管理要求。在制定制度规范前,单位应识别国家的相关法律法规以及行业规范,确保适用于本单位的法律法规要求映射到内部制度中。此外,制度规范的要求应与各利益相关方达成一致共识;并且,应急响应制度同其他安全制度一样要定期组织评审修订,当发生重大变更时,如企业战略、业务流程、组织架构、客户需求变更时,应对制度规范进行调整。
根据信息系统的重要程度、服务时段和受损程度以及对业务的影响程度,对应急事件进行分类分级。组织可根据相关国家标准《GB/Z20986-2007信息安全技术信息安全事件分类分级指南》对安全事件的类别和级别进行定义和划分,如信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件等。事件等级的划分可从信息系统重要程度、系统损失和社会影响3个要素考虑,将事件分为特别重大事件、重大事件、较大事件和一般事件4个级别,也可根据企业网络系统规模,简化至特别重大事件、重大事件和一般事件3个级别。具体的定义和划分方法可根据组织具体情况进行调整。
根据应急事件级别制定应急预案,可以分为总体预案和针对某个核心系统的专项预案。预案应提供快速而明确的指导,为应急响应团队进行系统恢复操作。
预案应至少包括以下内容:
以上内容将为应急响应团队提供明确的指导,确保在应急事件发生时能够快速而有效地进行应急响应。
每年至少举办一次应急培训,并在每年或有重大业务调整时开展应急演练,以调整和完善应急预案。在演练活动中,应重点关注发现各种不足,而不是形式主义或走过场。
以下是一些关键点,以确保演练活动的有效性和发现问题的能力:
通过定期的培训和演练活动,组织可以不断强化应急响应团队的能力,并不断完善应急预案,以应对不断变化的业务环境和安全威胁。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。