更新时间:2024-07-16 GMT+08:00
SEC10-02 制定事件响应计划
事件响应计划(Incident Response Plan, IRP)是组织安全策略的重要组成部分,它旨在确保在安全事件发生时,能够迅速、有序地采取行动,最大限度地减少损失,并尽快恢复正常运营。
- 风险等级
高
- 关键策略
- 建立事件响应计划,包括定义事件级别、响应流程和恢复策略。对服务可用性有影响或者租户可感知的安全事件划分为5个等级,S1/S2/S3/S4/S5。
- 实施持续的监控,包括云环境的日志、网络流量和异常行为。当检测到潜在事件时,进行初步分析以确定事件的性质和严重性。
- 实施快速安全响应动作,隔离受影响的系统或账户、断开网络连接、停止服务、清除恶意文件、修复漏洞、替换受损系统并加固系统,确认所有威胁已经被完全清除,避免再次发生。
- 制定恢复策略,逐步恢复受影响服务,确保数据和系统一致性,进行测试确保所有系统恢复正常运作。
- 进行事件后分析,总结事件的起因、响应过程和教训。更新事件响应计划,根据经验教训进行改进。
- 定期审查和更新事件响应计划,以适应新的威胁和业务需求。
事件级别
事件及时响应时间
平均风险控制时间
S1事件
5分钟
1小时
S2事件
5分钟
2小时
S3事件
5分钟
4小时
S4事件
10分钟
24小时
S5事件
10分账
48小时
父主题: SEC10 安全事件响应
