數(shù)據(jù)泄露應(yīng)急預(yù)案一、總則1、適用范圍咱們公司的數(shù)據(jù)泄露應(yīng)急預(yù)案，主要管的是公司內(nèi)部系統(tǒng)里的數(shù)據(jù)丟了或者被黑了這種事兒。比如客戶信息、員工資料、商業(yè)秘密這些敏感數(shù)據(jù)要是遭泄露了，就得啟動(dòng)這套預(yù)案。具體說(shuō)，涉及的范圍包括但不限于數(shù)據(jù)庫(kù)被攻擊、內(nèi)部人員誤操作導(dǎo)致數(shù)據(jù)外泄、網(wǎng)絡(luò)傳輸中數(shù)據(jù)被截獲等情況。要是數(shù)據(jù)泄露事件影響到了公司正常運(yùn)營(yíng)，或者可能讓客戶、員工利益受損，或者觸犯相關(guān)法律法規(guī)了，就得按這個(gè)預(yù)案來(lái)走。舉個(gè)例子，去年某同行因?yàn)楹诳凸魧?dǎo)致百萬(wàn)級(jí)用戶信息泄露，這就是典型的適用范圍，必須啟動(dòng)應(yīng)急響應(yīng)，控制損失。2、響應(yīng)分級(jí)數(shù)據(jù)泄露事件的響應(yīng)分級(jí)得看三個(gè)東西：泄露的嚴(yán)重程度、影響范圍還有咱們自己控制局面的能力。簡(jiǎn)單說(shuō)，分四個(gè)等級(jí)，從輕到重依次是：一般級(jí)、較重級(jí)、嚴(yán)重級(jí)、特別嚴(yán)重級(jí)。一般級(jí)就是偶爾泄露少量數(shù)據(jù)，影響范圍小，比如幾個(gè)員工的賬號(hào)密碼泄露了，這種咱們內(nèi)部自己就能搞定。較重級(jí)呢，可能泄露了幾百條客戶信息，或者影響到某個(gè)部門(mén)正常工作，這時(shí)候就得跨部門(mén)協(xié)調(diào)了。嚴(yán)重級(jí)更嚴(yán)重，比如泄露了幾萬(wàn)條數(shù)據(jù)，或者涉及核心商業(yè)秘密，甚至可能被媒體曝光，這時(shí)候就得請(qǐng)上管理層和外部專(zhuān)家了。特別嚴(yán)重級(jí)最極端，比如千萬(wàn)級(jí)數(shù)據(jù)遭泄露，或者導(dǎo)致公司股價(jià)大跌，這種就得動(dòng)用一切資源，甚至可能要上報(bào)監(jiān)管部門(mén)。分級(jí)的基本原則就是：根據(jù)損失大小、擴(kuò)散速度和咱們應(yīng)急能力來(lái)動(dòng)態(tài)調(diào)整，早發(fā)現(xiàn)早處置，別等事情鬧大了才后悔。去年某大廠因?yàn)閮?nèi)部人員疏忽導(dǎo)致數(shù)千萬(wàn)條數(shù)據(jù)泄露，最后響應(yīng)升級(jí)到嚴(yán)重級(jí)，教訓(xùn)挺深。二、應(yīng)急組織機(jī)構(gòu)及職責(zé)1、應(yīng)急組織形式及構(gòu)成單位公司這邊，數(shù)據(jù)泄露應(yīng)急工作主要由一個(gè)總指揮部帶四個(gè)專(zhuān)門(mén)小組組成?？傊笓]部由主管信息安全的高管牽頭，成員包括IT部、法務(wù)部、公關(guān)部、人力資源部還有運(yùn)營(yíng)部門(mén)的負(fù)責(zé)人。四個(gè)小組分別是：技術(shù)處置組、業(yè)務(wù)影響組、調(diào)查追責(zé)組和外部溝通組。這組織架構(gòu)確保了從技術(shù)到業(yè)務(wù)再到法律公關(guān)的全方位覆蓋，各部門(mén)各司其職，又不至于互相推諉。2、應(yīng)急處置職責(zé)總指揮部負(fù)責(zé)整體決策，比如要不要上報(bào)監(jiān)管、要不要發(fā)布公告，每天開(kāi)短會(huì)同步情況。技術(shù)處置組是主力，由IT部帶頭發(fā)力，負(fù)責(zé)立刻切斷泄露源頭、恢復(fù)系統(tǒng)、排查漏洞，得像打仗一樣快。他們得24小時(shí)待命，配合外部安全公司做取證。業(yè)務(wù)影響組主要算賬，評(píng)估哪些業(yè)務(wù)線受損了，比如訂單系統(tǒng)癱瘓會(huì)造成多少營(yíng)收損失，客戶流失率大概多少，這得精確到個(gè)位數(shù)。調(diào)查追責(zé)組由法務(wù)牽頭，內(nèi)部審計(jì)配合，查是誰(shuí)干的、流程哪里出問(wèn)題，為后續(xù)罰款或者內(nèi)部處理提供證據(jù)。他們得翻遍操作日志，找出蛛絲馬跡。外部溝通組由公關(guān)部負(fù)責(zé)，但必須先聽(tīng)法務(wù)的，確定對(duì)外口徑，比如怎么跟客戶發(fā)郵件道歉，怎么跟媒體交涉，措辭得字斟句酌。記得去年某同行泄露事件，就是因?yàn)楣P(guān)先發(fā)了個(gè)不嚴(yán)謹(jǐn)?shù)穆暶?，?dǎo)致輿情爆炸，最后損失擴(kuò)大三倍。四個(gè)小組得實(shí)時(shí)共享信息，比如技術(shù)組發(fā)現(xiàn)的漏洞立刻通報(bào)業(yè)務(wù)影響組可能受影響的系統(tǒng)，調(diào)查組找到內(nèi)鬼馬上通知公關(guān)準(zhǔn)備應(yīng)對(duì)。這樣聯(lián)動(dòng)起來(lái)，效率才能高。三、信息接報(bào)公司這邊，數(shù)據(jù)泄露的信息接報(bào)得有明確渠道和流程，不能亂。應(yīng)急值守電話就掛在法務(wù)部和IT部?jī)蓚€(gè)關(guān)鍵位置，24小時(shí)有人，接到電話的第一反應(yīng)是核實(shí)，不能光接不問(wèn)。事故信息接收這塊，任何部門(mén)發(fā)現(xiàn)數(shù)據(jù)異常，比如系統(tǒng)遭攻擊、看到大量數(shù)據(jù)在跑，必須第一時(shí)間打這個(gè)電話，口頭報(bào)告基本情況，然后立刻寫(xiě)個(gè)簡(jiǎn)短報(bào)告發(fā)過(guò)來(lái)。內(nèi)部通報(bào)是分級(jí)走的，一般事件由IT部在內(nèi)部系統(tǒng)發(fā)個(gè)通知，各部門(mén)負(fù)責(zé)人看到后轉(zhuǎn)告下屬。要是比較嚴(yán)重，比如可能泄露超過(guò)千條客戶信息，總指揮部得開(kāi)臨時(shí)會(huì)，用內(nèi)部通訊軟件同步給所有小組負(fù)責(zé)人。方式和責(zé)任人很清楚，接報(bào)的部門(mén)負(fù)責(zé)人必須馬上行動(dòng)，不能拖延。向上級(jí)報(bào)告這事兒得謹(jǐn)慎，一般事件法務(wù)先評(píng)估下法律風(fēng)險(xiǎn)，再?zèng)Q定要不要報(bào)。報(bào)上去的內(nèi)容得標(biāo)準(zhǔn)，時(shí)間、地點(diǎn)、影響范圍、已經(jīng)采取的措施，這些要素不能少。時(shí)限上，一般事件2小時(shí)內(nèi)要報(bào)，嚴(yán)重事件半小時(shí)內(nèi)必須發(fā)消息，特別嚴(yán)重的一刻鐘就得口頭先通個(gè)氣。責(zé)任人是誰(shuí)得明確，IT部接報(bào)人、法務(wù)部評(píng)估人、分管高管簽批人，這三個(gè)環(huán)節(jié)都必須留記錄。對(duì)外通報(bào)更復(fù)雜，比如要上報(bào)網(wǎng)信辦，或者通知監(jiān)管部門(mén)，這得按他們要求的內(nèi)容和格式來(lái)，比如泄露多少數(shù)據(jù)、可能的影響，這些得精確。通報(bào)方法主要是發(fā)正式公函，抄送給所有相關(guān)方。程序上，先內(nèi)部審批，再聯(lián)系對(duì)方對(duì)接人，最后發(fā)出。責(zé)任人主要是法務(wù)部和公關(guān)部，他們得確保信息準(zhǔn)確、及時(shí)，而且不被泄露出去。去年有個(gè)案例，因?yàn)閷?duì)外通報(bào)時(shí)漏說(shuō)了受影響客戶的行業(yè)分布，導(dǎo)致某個(gè)行業(yè)客戶集體起訴，最后賠償增加了。所以每個(gè)環(huán)節(jié)都得走到位。四、信息處置與研判信息處置和研判是應(yīng)急響應(yīng)的“大腦”，得清楚什么時(shí)候該動(dòng)手，動(dòng)手的力度多大。響應(yīng)啟動(dòng)這事兒得有明確程序，不能瞎啟動(dòng)也不能不敢啟動(dòng)。一般來(lái)說(shuō)，響應(yīng)啟動(dòng)分兩種情況。一種是手動(dòng)觸發(fā)，就是總指揮部或者某個(gè)小組判斷事態(tài)夠嚴(yán)重了，達(dá)到了預(yù)案里說(shuō)的某個(gè)級(jí)別，比如嚴(yán)重級(jí)，那由總指揮當(dāng)場(chǎng)拍板，通過(guò)內(nèi)部對(duì)講系統(tǒng)宣布啟動(dòng)應(yīng)急響應(yīng)。宣布的時(shí)候得說(shuō)清楚啟動(dòng)了哪個(gè)級(jí)別的響應(yīng)，接下來(lái)該干嘛。另一種是自動(dòng)觸發(fā)，比如預(yù)設(shè)了一些指標(biāo)，比如數(shù)據(jù)庫(kù)訪問(wèn)量突然暴漲了300%，或者檢測(cè)到特定類(lèi)型的攻擊波，系統(tǒng)自動(dòng)觸發(fā)了一級(jí)響應(yīng)機(jī)制，這時(shí)候也得經(jīng)過(guò)總指揮部確認(rèn)，防止誤報(bào)。要是情況緊急，可以先口頭宣布，事后補(bǔ)手續(xù)。但有時(shí)候，事情剛冒頭，還不足以達(dá)到正式響應(yīng)的條件，比如只是發(fā)現(xiàn)幾個(gè)異常登錄，但不確定會(huì)不會(huì)發(fā)展成大問(wèn)題。這時(shí)候就得啟動(dòng)預(yù)警響應(yīng)，也叫預(yù)演狀態(tài)。預(yù)警響應(yīng)主要是做準(zhǔn)備了，比如技術(shù)組把相關(guān)系統(tǒng)監(jiān)控加強(qiáng)，調(diào)查組開(kāi)始梳理最近的操作日志，所有小組進(jìn)入待命狀態(tài)，但還沒(méi)正式宣布進(jìn)入應(yīng)急狀態(tài)。同時(shí)得派人盯著事態(tài)發(fā)展，比如每隔半小時(shí)看一眼日志有沒(méi)有新動(dòng)靜，跟發(fā)現(xiàn)問(wèn)題的部門(mén)保持溝通。如果事態(tài)升級(jí)了，預(yù)警響應(yīng)隨時(shí)能升級(jí)到正式響應(yīng)。響應(yīng)級(jí)別不是一成不變的，得根據(jù)實(shí)際情況調(diào)整。比如剛開(kāi)始判斷是一般級(jí)，啟動(dòng)了最低響應(yīng)，但技術(shù)組排查發(fā)現(xiàn)漏洞比預(yù)想的要嚴(yán)重，可能影響范圍大得多，這時(shí)候就得由總指揮部重新評(píng)估，決定是否升級(jí)到較重級(jí)或嚴(yán)重級(jí)響應(yīng)。同樣，如果投入了嚴(yán)重級(jí)的資源，但發(fā)現(xiàn)事態(tài)其實(shí)可控，也能降級(jí)。調(diào)整響應(yīng)級(jí)別得有依據(jù)，比如受影響用戶數(shù)是否超了閾值，業(yè)務(wù)中斷程度是否加深，這些都得量化分析。關(guān)鍵是要科學(xué)判斷，不能憑感覺(jué)。去年有個(gè)事件，因?yàn)橐婚_(kāi)始把嚴(yán)重級(jí)響應(yīng)當(dāng)成一般級(jí)，延誤了漏洞修復(fù)，導(dǎo)致?lián)p失擴(kuò)大，后來(lái)不得不升級(jí)響應(yīng)，但已經(jīng)晚了。所以跟蹤和調(diào)整必須及時(shí)，寧可反應(yīng)過(guò)度再收回來(lái)，也別應(yīng)勢(shì)不足留下后患。五、預(yù)警1、預(yù)警啟動(dòng)一旦判斷數(shù)據(jù)泄露事件有升級(jí)風(fēng)險(xiǎn)，但還沒(méi)到正式響應(yīng)條件，就得啟動(dòng)預(yù)警。預(yù)警信息主要是發(fā)給內(nèi)部相關(guān)人員，渠道主要是公司內(nèi)部通訊軟件、安全監(jiān)控系統(tǒng)彈窗提醒。方式上，會(huì)通過(guò)軟件推送一個(gè)特別標(biāo)記，標(biāo)題會(huì)醒目標(biāo)注“數(shù)據(jù)安全預(yù)警”，內(nèi)容簡(jiǎn)單說(shuō)清楚是什么情況，比如“檢測(cè)到XX系統(tǒng)疑似存在異常登錄，可能存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，請(qǐng)相關(guān)組立即關(guān)注”，同時(shí)抄送給所有小組負(fù)責(zé)人。內(nèi)容得直奔主題，避免含糊不清。如果是外部監(jiān)測(cè)機(jī)構(gòu)發(fā)來(lái)的威脅預(yù)警，技術(shù)部會(huì)整理成內(nèi)部通報(bào)，同樣用這個(gè)渠道發(fā)。2、響應(yīng)準(zhǔn)備一旦發(fā)出預(yù)警，就不能松懈，必須立刻做準(zhǔn)備工作。技術(shù)處置組要馬上把受影響或可能受影響的系統(tǒng)隔離出來(lái)，加強(qiáng)監(jiān)控。調(diào)查追責(zé)組開(kāi)始梳理近期的操作日志和訪問(wèn)記錄，找異常點(diǎn)。業(yè)務(wù)影響組評(píng)估如果事態(tài)真的發(fā)展了，可能對(duì)哪些業(yè)務(wù)造成沖擊。這時(shí)候得把應(yīng)急小組成員叫起來(lái)開(kāi)短會(huì)，明確各自任務(wù)。物資和裝備主要是檢查應(yīng)急響應(yīng)的備份系統(tǒng)、安全工具包是不是能用，通信要確保各組之間熱線暢通，后勤要準(zhǔn)備好應(yīng)急期間的人員食宿，如果需要外部專(zhuān)家支援，提前聯(lián)系好。比如去年演練時(shí)，模擬收到APT攻擊預(yù)警，我們就立刻把備用數(shù)據(jù)庫(kù)啟動(dòng)起來(lái)，安全團(tuán)隊(duì)24小時(shí)在線，確保隨時(shí)能投入戰(zhàn)斗。3、預(yù)警解除預(yù)警解除得看情況，基本條件就是確認(rèn)風(fēng)險(xiǎn)已經(jīng)消除，或者事態(tài)發(fā)展被有效控制，不再升級(jí)的可能性很大。比如監(jiān)測(cè)到攻擊源被切斷，或者排查完所有可疑點(diǎn)都沒(méi)有發(fā)現(xiàn)實(shí)際泄露。解除前要再觀察一段時(shí)間，確保穩(wěn)當(dāng)了。解除的要求是，由總指揮部根據(jù)技術(shù)處置組和調(diào)查組的報(bào)告來(lái)決定，然后通過(guò)同樣的內(nèi)部渠道發(fā)通知，明確說(shuō)明“XX風(fēng)險(xiǎn)已消除，預(yù)警解除”。責(zé)任人主要是總指揮，但他會(huì)聽(tīng)取技術(shù)組、調(diào)查組負(fù)責(zé)人的意見(jiàn)。解除后不代表結(jié)束，應(yīng)急狀態(tài)可能轉(zhuǎn)為常態(tài)化監(jiān)控一段時(shí)間。六、應(yīng)急響應(yīng)1、響應(yīng)啟動(dòng)確定響應(yīng)級(jí)別這事兒得快，根據(jù)泄露的嚴(yán)重程度、影響范圍和咱們控制能力，對(duì)照預(yù)案里的分級(jí)標(biāo)準(zhǔn)，馬上定下來(lái)是哪一級(jí)。比如發(fā)現(xiàn)核心數(shù)據(jù)庫(kù)被拖走，客戶信息大量外泄，那肯定就是嚴(yán)重級(jí)或特別嚴(yán)重級(jí)。定級(jí)后，程序性工作得立刻跟上。首先開(kāi)個(gè)應(yīng)急指揮會(huì)，把總指揮部成員、各小組負(fù)責(zé)人都叫齊，通報(bào)情況，明確分工。信息上報(bào)得同步進(jìn)行，按照之前說(shuō)的時(shí)限和流程報(bào)給上級(jí)和監(jiān)管部門(mén)。資源協(xié)調(diào)是關(guān)鍵，IT部要資源優(yōu)先修復(fù)系統(tǒng)，法務(wù)部準(zhǔn)備法律文件，公關(guān)部準(zhǔn)備對(duì)外說(shuō)辭，人力資源部看要不要臨時(shí)調(diào)配人手。如果影響到客戶，得準(zhǔn)備公開(kāi)道歉和解釋。后勤和財(cái)力保障不能落下，比如應(yīng)急人員要吃飯住宿，購(gòu)買(mǎi)安全服務(wù)需要資金，這些得提前批下來(lái)，不能等。2、應(yīng)急處置到了現(xiàn)場(chǎng)（其實(shí)很多時(shí)候是在機(jī)房或數(shù)據(jù)中心），首先得控制住局面。警戒疏散就是拉隔離帶，阻止無(wú)關(guān)人員進(jìn)入核心區(qū)。人員搜救...呃，數(shù)據(jù)泄露場(chǎng)景下主要是查找被泄露的數(shù)據(jù)流向，看哪些人員信息遭波及。醫(yī)療救治不直接適用，但得準(zhǔn)備應(yīng)急藥箱，以防萬(wàn)一。現(xiàn)場(chǎng)監(jiān)測(cè)是重頭戲，技術(shù)組得24小時(shí)盯著日志、網(wǎng)絡(luò)流量，看有沒(méi)有新的泄露跡象。技術(shù)支持主要是請(qǐng)外部安全公司加入戰(zhàn)局，他們有專(zhuān)業(yè)工具和經(jīng)驗(yàn)。工程搶險(xiǎn)就是修復(fù)系統(tǒng)，補(bǔ)上漏洞，恢復(fù)數(shù)據(jù)備份。環(huán)境保護(hù)主要是確保機(jī)房環(huán)境穩(wěn)定，供電正常，空調(diào)制冷到位，避免系統(tǒng)過(guò)熱宕機(jī)。人員防護(hù)這塊，所有進(jìn)入核心區(qū)域的必須穿好防靜電服，全程開(kāi)啟防護(hù)設(shè)備，比如手套、口罩，防止意外感染病毒或留下痕跡。3、應(yīng)急支援咱們自己搞不定的時(shí)候，就得求援。比如黑客攻擊太猛，系統(tǒng)防不住，或者需要特種技術(shù)來(lái)取證。向外部力量請(qǐng)求支援，得先通過(guò)應(yīng)急辦聯(lián)系，說(shuō)明情況、需要什么幫助，比如需要網(wǎng)警支援阻斷攻擊，或者需要第三方做數(shù)字取證。聯(lián)動(dòng)程序是，咱們提供詳細(xì)情況和技術(shù)接口，外部力量到場(chǎng)后，由總指揮部指定一個(gè)負(fù)責(zé)人統(tǒng)一協(xié)調(diào)，可以成立聯(lián)合指揮部，也可以咱們主導(dǎo)，根據(jù)情況靈活定。外部力量到達(dá)后，要明確他們的工作范圍和權(quán)限，同時(shí)確保信息共享暢通，避免重復(fù)勞動(dòng)。記得有次系統(tǒng)被DDoS攻擊，流量大到自家的設(shè)備扛不住，最后是聯(lián)合了運(yùn)營(yíng)商才把流量清洗回來(lái)。4、響應(yīng)終止響應(yīng)終止不是隨便說(shuō)的，得滿足幾個(gè)條件：第一，主要系統(tǒng)恢復(fù)運(yùn)行，數(shù)據(jù)泄露風(fēng)險(xiǎn)基本消除；第二，受影響的數(shù)據(jù)已經(jīng)找到并采取補(bǔ)救措施，比如通知用戶修改密碼；第三，外部威脅完全排除，沒(méi)有再攻擊跡象；第四，輿情得到有效控制。這些條件都滿足了，可以由總指揮宣布終止應(yīng)急響應(yīng)。要求是，終止后也要做個(gè)總結(jié)，把整個(gè)過(guò)程、經(jīng)驗(yàn)教訓(xùn)寫(xiě)下來(lái)，該改進(jìn)的流程、該升級(jí)的設(shè)備都提出來(lái)。責(zé)任人主要是總指揮，但各小組都得參與復(fù)盤(pán)。終止不代表萬(wàn)事大吉，還得觀察一段時(shí)間，確保沒(méi)有后患。七、后期處置應(yīng)急響應(yīng)結(jié)束不等于事情完全告一段落，后面還有不少收尾工作要做。首先是污染物處理，在數(shù)據(jù)泄露這事兒里，所謂“污染物”其實(shí)就是那些已經(jīng)泄露出去的數(shù)據(jù)，或者說(shuō)導(dǎo)致數(shù)據(jù)泄露的安全隱患。技術(shù)組得繼續(xù)工作，把系統(tǒng)漏洞徹底修復(fù)，加強(qiáng)安全防護(hù)，比如部署新的防火墻、加強(qiáng)入侵檢測(cè)能力，確保類(lèi)似事件不會(huì)再發(fā)生。同時(shí)，要對(duì)泄露的數(shù)據(jù)進(jìn)行清理和追蹤，能找回的盡快找回，無(wú)法找回的就要評(píng)估損失。如果發(fā)現(xiàn)內(nèi)部管理有問(wèn)題，比如權(quán)限設(shè)置不合理，人員培訓(xùn)不到位，那法務(wù)部和人力資源部就得介入，完善規(guī)章制度，加強(qiáng)員工教育。這些工作得持續(xù)一段時(shí)間，不能虎頭蛇尾。接下來(lái)是生產(chǎn)秩序恢復(fù)。系統(tǒng)修復(fù)后不能馬上恢復(fù)正常運(yùn)營(yíng)，得有個(gè)測(cè)試過(guò)程。IT部要跟業(yè)務(wù)部門(mén)一起，對(duì)受影響的系統(tǒng)進(jìn)行多輪測(cè)試，確保功能正常，數(shù)據(jù)準(zhǔn)確，沒(méi)有引入新問(wèn)題。比如訂單系統(tǒng)恢復(fù)后，要模擬一筆大額訂單，看看處理流程是否順暢。公關(guān)部也得配合，把系統(tǒng)恢復(fù)的消息告訴客戶，重建信任。這個(gè)過(guò)程可能需要幾天甚至幾周，得根據(jù)實(shí)際情況來(lái)。人員安置這事兒，要看具體受影響的是誰(shuí)。如果內(nèi)部員工因?yàn)槭录艿襟@嚇或者工作受到影響，比如負(fù)責(zé)那部分系統(tǒng)的員工，人力資源部要關(guān)注他們的狀態(tài)，提供必要的心理疏導(dǎo)或工作調(diào)整。如果泄露了客戶信息導(dǎo)致客戶投訴，那主要工作是安撫客戶，根據(jù)法律法規(guī)和公司政策，提供補(bǔ)償或補(bǔ)救措施，比如免費(fèi)的信用監(jiān)測(cè)服務(wù)。這需要法務(wù)部把關(guān)，確保補(bǔ)償合理合法，同時(shí)公關(guān)部要負(fù)責(zé)與客戶溝通，處理投訴。整個(gè)后期處置過(guò)程中，各部門(mén)得保持密切溝通，定期開(kāi)會(huì)同步進(jìn)展，確保各項(xiàng)工作有條不紊。八、應(yīng)急保障1、通信與信息保障應(yīng)急期間通信不能斷，這是命脈。各單位、各部門(mén)都得有明確的應(yīng)急聯(lián)系方式，不能relyon內(nèi)部電話總機(jī)，那關(guān)鍵時(shí)刻可能打不通?？傊笓]部成員、各小組負(fù)責(zé)人、關(guān)鍵崗位人員，包括外部的安全服務(wù)商聯(lián)系人，都得有一個(gè)應(yīng)急通訊錄，最好是以微信工作群或者專(zhuān)用APP形式存在，方便隨時(shí)聯(lián)系。方法上，除了常規(guī)電話、短信，還得準(zhǔn)備備用通信手段，比如衛(wèi)星電話，或者指定幾個(gè)人備用手機(jī)號(hào)。如果遭遇大規(guī)模網(wǎng)絡(luò)攻擊導(dǎo)致通信中斷，就得啟動(dòng)這個(gè)備用方案。保障責(zé)任人主要是行政部或者總指揮部辦公室，他們負(fù)責(zé)維護(hù)這個(gè)通訊錄，定期更新，確保信息準(zhǔn)確。同時(shí)，要協(xié)調(diào)好運(yùn)營(yíng)商，確保應(yīng)急期間的網(wǎng)絡(luò)線路有優(yōu)先保障。2、應(yīng)急隊(duì)伍保障應(yīng)急隊(duì)伍得有備選，不能光靠?jī)?nèi)部那幾個(gè)人。咱們內(nèi)部IT部、安全團(tuán)隊(duì)是主力，他們是專(zhuān)兼職隊(duì)伍，平時(shí)就負(fù)責(zé)這些事，得保證他們24小時(shí)能叫得動(dòng)。但光靠?jī)?nèi)部力量可能不夠，所以得跟外部專(zhuān)家或者第三方安全公司簽好協(xié)議，他們是協(xié)議應(yīng)急救援隊(duì)伍。比如遇到特別難的攻擊，或者需要電子取證專(zhuān)家，就立刻啟動(dòng)協(xié)議，按合同付費(fèi)。專(zhuān)家資源可以包括密碼破譯、數(shù)據(jù)恢復(fù)、法律咨詢這些領(lǐng)域的資深人士。平時(shí)要跟他們保持聯(lián)系，至少每年見(jiàn)面交流一次，確保需要的時(shí)候能迅速響應(yīng)。人力資源部要負(fù)責(zé)維護(hù)這個(gè)專(zhuān)家?guī)欤ㄆ谠u(píng)估服務(wù)能力。3、物資裝備保障應(yīng)急響應(yīng)需要工具和設(shè)備，這些得提前準(zhǔn)備好。咱們單位的應(yīng)急物資和裝備主要包括：幾套備份服務(wù)器、安全防護(hù)設(shè)備（防火墻、入侵檢測(cè)系統(tǒng)）、數(shù)據(jù)取證工具、應(yīng)急照明、發(fā)電機(jī)（以防斷電）、防靜電服、口罩這些防護(hù)用品。這些都要有明確的臺(tái)賬，記錄類(lèi)型、數(shù)量、性能參數(shù)、存放位置。比如備份服務(wù)器放在機(jī)房，得寫(xiě)清楚具體機(jī)柜號(hào)；防火墻放在哪個(gè)網(wǎng)絡(luò)出口，得有圖說(shuō)明。運(yùn)輸和使用條件也得寫(xiě)清楚，比如發(fā)電機(jī)需要幾個(gè)成年人操作，移動(dòng)時(shí)要怎么搬運(yùn)。更新補(bǔ)充時(shí)限要定好，比如每年檢查一次備份數(shù)據(jù)的有效性，每?jī)赡旮乱淮伟踩O(shè)備。管理責(zé)任人就是IT部或者資產(chǎn)管理部門(mén)，他們負(fù)責(zé)定期盤(pán)點(diǎn)，確保所有物資都在位、能正常使用。如果發(fā)現(xiàn)損壞或者過(guò)期，立刻申請(qǐng)補(bǔ)充。九、其他保障除了通信、隊(duì)伍、物資這些硬指標(biāo)，還有一些軟環(huán)境或者說(shuō)基礎(chǔ)條件也得保障好，不然應(yīng)急工作也難開(kāi)展。能源保障這塊，得確保應(yīng)急期間電力供應(yīng)穩(wěn)定。關(guān)鍵設(shè)備比如服務(wù)器機(jī)房、應(yīng)急指揮點(diǎn)，要接雙路電源，甚至配備備用發(fā)電機(jī)。萬(wàn)一斷電，發(fā)電機(jī)得能馬上啟動(dòng)，保證核心系統(tǒng)運(yùn)行。這事兒主要由行政部或后勤部負(fù)責(zé)協(xié)調(diào)電力部門(mén)，定期檢查發(fā)電機(jī)組。經(jīng)費(fèi)保障同樣重要。應(yīng)急響應(yīng)和后期處置都需要錢(qián)，比如請(qǐng)外部專(zhuān)家、購(gòu)買(mǎi)安全工具、賠償客戶、修復(fù)系統(tǒng)，錢(qián)都得有出處。財(cái)務(wù)部要提前準(zhǔn)備好應(yīng)急預(yù)算，或者設(shè)定一個(gè)審批快速通道，確保需要花錢(qián)時(shí)能批得下來(lái)，不能因?yàn)榱鞒涕L(zhǎng)耽誤事?？傊笓]部要掌握這筆錢(qián)的支配權(quán)。交通運(yùn)輸保障也得考慮。萬(wàn)一需要緊急轉(zhuǎn)移人員、運(yùn)送裝備，或者把專(zhuān)家從外地叫來(lái)，得有備用車(chē)輛?？梢愿廛?chē)公司或者物流公司談好協(xié)議，應(yīng)急時(shí)按協(xié)議價(jià)格使用。行政部要維護(hù)好這個(gè)聯(lián)系，并確保有備用司機(jī)。治安保障在數(shù)據(jù)泄露里主要體現(xiàn)在內(nèi)部。要防止內(nèi)部人員因恐慌或猜疑引發(fā)次生事件，保安部門(mén)要在敏感區(qū)域加強(qiáng)巡邏，但也不能過(guò)度恐慌，影響正常工作。同時(shí)，要防止外部人員趁機(jī)滋擾或盜竊，必要時(shí)配合警方維護(hù)秩序。技術(shù)保障除了IT部門(mén)本身，還得有持續(xù)學(xué)習(xí)的技術(shù)輸入。比如定期組織內(nèi)部培訓(xùn)，或者訂閱安全資訊，了解最新的攻擊手法和防御技術(shù)?？梢愿踩珡S商或者研究機(jī)構(gòu)保持聯(lián)系，獲取這些信息。醫(yī)療保障雖然數(shù)據(jù)泄露場(chǎng)景下直接救治需求少，但也不能完全沒(méi)準(zhǔn)備。應(yīng)急中心或者關(guān)鍵工作區(qū)域最好備一些常用藥品和急救包，以防意外。如果應(yīng)急人員長(zhǎng)時(shí)間工作，后勤要關(guān)注他們的飲食和休息，必要時(shí)安排休息場(chǎng)所。醫(yī)療保障主要由人力資源部或行政部負(fù)責(zé)。最后是后勤保障，這是一個(gè)總稱，涵蓋了上面提到的食宿、交通、辦公環(huán)境等方方面面。應(yīng)急期間，后勤部門(mén)要確保應(yīng)急人員有地方吃住，有地方開(kāi)會(huì)，有必要的辦公用品。這要求他們對(duì)應(yīng)急現(xiàn)場(chǎng)的布局、可用資源非常熟悉，能快速響應(yīng)各種需求。十、應(yīng)急預(yù)案培訓(xùn)應(yīng)急預(yù)案不能只寫(xiě)在紙上，關(guān)鍵是要讓相關(guān)人員知道咋回事，咋做。培訓(xùn)這塊兒得系統(tǒng)地搞起來(lái)。培訓(xùn)內(nèi)容得實(shí)在，不能空對(duì)空。主要是兩部分，一是預(yù)案本身，得讓每個(gè)人都清楚應(yīng)急組織架構(gòu)、各自的職責(zé)、響應(yīng)流程、怎么上報(bào)信息這些基本規(guī)矩。二是針對(duì)具體場(chǎng)景的，比如數(shù)據(jù)泄露發(fā)生時(shí)，不同崗位具體該干啥，比如技術(shù)員怎么快速隔離系統(tǒng)，法務(wù)怎么判斷法律風(fēng)險(xiǎn)，公關(guān)怎么