個(gè)人信息保護(hù)應(yīng)急預(yù)案一、總則1、適用范圍咱們公司的個(gè)人信息保護(hù)應(yīng)急預(yù)案，主要針對(duì)的是因系統(tǒng)故障、黑客攻擊、內(nèi)部人員違規(guī)操作等突發(fā)事件，導(dǎo)致個(gè)人信息泄露、篡改、丟失或者被非法利用的情況。比如去年某次服務(wù)器遭DDoS攻擊，導(dǎo)致用戶數(shù)據(jù)庫(kù)短暫癱瘓，雖然沒造成數(shù)據(jù)永久損壞，但那種情況就得啟動(dòng)預(yù)案。適用范圍具體包括五個(gè)方面：一是涉及100人以上個(gè)人信息泄露的；二是影響到關(guān)鍵業(yè)務(wù)系統(tǒng)正常運(yùn)行的；三是可能引發(fā)重大社會(huì)影響的；四是第三方服務(wù)商管理不善導(dǎo)致的數(shù)據(jù)安全事件；五是法律規(guī)定的其他需要啟動(dòng)應(yīng)急響應(yīng)的情形。咱們按著這個(gè)標(biāo)準(zhǔn)來(lái)，能覆蓋絕大多數(shù)風(fēng)險(xiǎn)場(chǎng)景。2、響應(yīng)分級(jí)應(yīng)急響應(yīng)分四個(gè)等級(jí)。Ⅰ級(jí)是最高級(jí)別，一般出現(xiàn)國(guó)家級(jí)網(wǎng)絡(luò)安全事件，比如關(guān)鍵信息基礎(chǔ)設(shè)施遭攻擊，導(dǎo)致全國(guó)范圍用戶數(shù)據(jù)泄露，那肯定得上Ⅰ級(jí)響應(yīng)。啟動(dòng)原則是“集中指揮、跨部門聯(lián)動(dòng)”，安全部、法務(wù)部、公關(guān)部、技術(shù)部全得掛上。Ⅱ級(jí)適用于省級(jí)以上影響，比如某個(gè)省的用戶數(shù)據(jù)庫(kù)遭勒索，但可控范圍內(nèi)。這個(gè)級(jí)別需要分管副總坐鎮(zhèn)指揮，協(xié)調(diào)資源。Ⅲ級(jí)是市級(jí)影響，比如某城市業(yè)務(wù)系統(tǒng)數(shù)據(jù)遭篡改，響應(yīng)主體是部門總監(jiān)。Ⅳ級(jí)是部門級(jí)事件，比如單臺(tái)服務(wù)器信息泄露，由部門經(jīng)理負(fù)責(zé)。分級(jí)關(guān)鍵看三個(gè)點(diǎn)：事件波及范圍、業(yè)務(wù)中斷時(shí)長(zhǎng)、合規(guī)風(fēng)險(xiǎn)程度。去年某次測(cè)試環(huán)境數(shù)據(jù)外泄，雖然只有不到50條記錄，但涉及用戶隱私，最后按Ⅲ級(jí)響應(yīng)處理，教訓(xùn)挺深刻。記住，響應(yīng)級(jí)別不是越低越好，該上哪級(jí)就得上哪級(jí)，不然后患無(wú)窮。二、應(yīng)急組織機(jī)構(gòu)及職責(zé)1、應(yīng)急組織形式及構(gòu)成單位咱們的個(gè)人信息保護(hù)應(yīng)急組織叫“數(shù)據(jù)安全應(yīng)急指揮部”，由主管信息化的副總裁直接掛帥當(dāng)總指揮。副總指揮是安全部的總監(jiān)，負(fù)責(zé)具體執(zhí)行。指揮部下面設(shè)四個(gè)核心小組，分別是技術(shù)處置組、業(yè)務(wù)保障組、外部協(xié)調(diào)組和內(nèi)部溝通組。技術(shù)處置組全權(quán)負(fù)責(zé)漏洞封堵、系統(tǒng)恢復(fù)這些硬活兒，由安全部、IT部骨干組成，得有能拿得出手的安全工程師；業(yè)務(wù)保障組管受影響業(yè)務(wù)怎么恢復(fù)，市場(chǎng)部、運(yùn)營(yíng)部的人得有代表，畢竟用戶數(shù)據(jù)丟了，業(yè)務(wù)影響是實(shí)打?qū)嵉?；外部協(xié)調(diào)組負(fù)責(zé)跟公安、網(wǎng)信辦這些打交道，還有跟律師事務(wù)溝通法律風(fēng)險(xiǎn)，法務(wù)部、公關(guān)部得有人；內(nèi)部溝通組主要任務(wù)是安撫用戶、澄清事實(shí)，人力資源部、客服中心得參與進(jìn)來(lái)。這四個(gè)組加起來(lái)得有二三十人，都是各部門的精兵強(qiáng)將，平時(shí)就得保持聯(lián)系方式暢通，不能真等到出事了才碰頭。2、各小組職責(zé)分工及行動(dòng)任務(wù)技術(shù)處置組這邊，首要任務(wù)是確定攻擊源頭，得有能玩轉(zhuǎn)態(tài)勢(shì)感知平臺(tái)的專家，去年某次釣魚郵件事件就是靠郵件安全系統(tǒng)快速溯源才沒擴(kuò)大化。其次得制定回退方案，比如數(shù)據(jù)庫(kù)數(shù)據(jù)被篡改了，能不能回滾到備份點(diǎn)，得提前演練過。工具要準(zhǔn)備好，像應(yīng)急響應(yīng)箱里就得有取證設(shè)備、臨時(shí)堡壘機(jī)這些。業(yè)務(wù)保障組得摸清哪些業(yè)務(wù)對(duì)數(shù)據(jù)最敏感，比如支付信息、身份證號(hào)這些，一旦泄露得知道怎么快速下架相關(guān)服務(wù)。去年用戶名泄露事件，就是業(yè)務(wù)部門配合技術(shù)部門把相關(guān)權(quán)限凍結(jié)了才穩(wěn)住局面。外部協(xié)調(diào)組得有專人負(fù)責(zé)記錄所有溝通細(xì)節(jié)，特別是跟監(jiān)管部門的對(duì)接，不能有半點(diǎn)馬虎。內(nèi)部溝通組得提前準(zhǔn)備好各種口徑的聲明稿，特別是涉及未成年人數(shù)據(jù)的，措辭得格外小心，別引發(fā)次生輿情。記得去年某次第三方存儲(chǔ)泄露，就是因?yàn)榭头趶讲灰恢虏铧c(diǎn)鬧大，后來(lái)專門搞了應(yīng)急溝通手冊(cè)才解決。四個(gè)組得定期交叉演練，別真到出事了才發(fā)現(xiàn)誰(shuí)跟誰(shuí)不熟，或者誰(shuí)連設(shè)備密碼都記不住。三、信息接報(bào)1、應(yīng)急值守與內(nèi)部通報(bào)咱們的應(yīng)急值守電話是24小時(shí)暢通的，由安全部值班人員接聽，號(hào)碼得在所有相關(guān)部門顯眼位置貼著，還得發(fā)郵件通知到每個(gè)人。接報(bào)的時(shí)候先別急著判斷嚴(yán)重程度，先記清時(shí)間、地點(diǎn)、現(xiàn)象，是誰(shuí)報(bào)的，這些基本信息最重要。內(nèi)部通報(bào)得快，技術(shù)部出事直接同步安全部，安全部判斷需要的話立刻通知法務(wù)和公關(guān)，分管副總也得同步知道。方式上，緊急情況用對(duì)講機(jī)或者企業(yè)微信優(yōu)先，普通情況郵件補(bǔ)遺。責(zé)任人這邊，安全部值班員是第一責(zé)任人，必須保證接報(bào)不過夜；各部門負(fù)責(zé)人接到通報(bào)后，得在半小時(shí)內(nèi)確認(rèn)收到。記得去年某次凌晨數(shù)據(jù)庫(kù)異常，就是技術(shù)部第一時(shí)間打電話給安全部值班，值班員再通知主管，最后半小時(shí)內(nèi)就啟動(dòng)了預(yù)案，處理得還算利索。2、向上級(jí)和外部報(bào)告流程向上級(jí)主管部門報(bào)告，得看是給集團(tuán)總部還是行業(yè)監(jiān)管機(jī)構(gòu)。集團(tuán)總部那邊，應(yīng)急信息先同步給法務(wù)部審核，然后通過內(nèi)部系統(tǒng)上報(bào)給分管副總審批，最后由安全部總監(jiān)簽發(fā)正式報(bào)告。報(bào)告內(nèi)容得有事件概述、影響范圍、已采取措施、預(yù)計(jì)恢復(fù)時(shí)間這些，時(shí)限上，Ⅰ級(jí)事件2小時(shí)內(nèi)必須報(bào)，Ⅱ級(jí)4小時(shí)，這個(gè)得嚴(yán)格遵守。上級(jí)單位的話，比如我們服務(wù)某個(gè)政府項(xiàng)目，得按照合同約定，第一時(shí)間通知項(xiàng)目對(duì)接人，同時(shí)抄送行業(yè)主管部門。外部報(bào)告程序更復(fù)雜，涉及公安的必須第一時(shí)間電話報(bào)告，然后24小時(shí)內(nèi)提交書面材料；涉及網(wǎng)信辦的，先評(píng)估是否屬于敏感信息，不是特別緊急的先核實(shí)政策口徑。責(zé)任人明確到人，安全部總監(jiān)是總責(zé)任人，但具體提交報(bào)告的是法務(wù)部經(jīng)理，因?yàn)樯婕胺珊弦?guī)。去年某次第三方存儲(chǔ)泄露，就是先報(bào)了公安，再報(bào)網(wǎng)信辦，最后才發(fā)內(nèi)部通報(bào)，流程走得很順。向外部單位通報(bào)，比如受影響用戶在某個(gè)城市，必須第一時(shí)間聯(lián)系當(dāng)?shù)乜头行?，由他們屬地化發(fā)布通知，總部只負(fù)責(zé)提供口徑。責(zé)任人這邊，公關(guān)部總監(jiān)總負(fù)責(zé)，但具體執(zhí)行是客服部經(jīng)理，因?yàn)橹苯用鎸?duì)用戶。記住，報(bào)告不是寫完就算，得確認(rèn)對(duì)方收到了，特別是涉及監(jiān)管機(jī)構(gòu)的，得要回執(zhí)。四、信息處置與研判1、響應(yīng)啟動(dòng)程序和方式響應(yīng)啟動(dòng)得看情況，不能一刀切。簡(jiǎn)單說，達(dá)到Ⅰ級(jí)、Ⅱ級(jí)條件，必須手動(dòng)啟動(dòng)。比如檢測(cè)到APT攻擊正在加密核心數(shù)據(jù)庫(kù)，或者用戶賬號(hào)在1小時(shí)內(nèi)被盜用超過500個(gè)，這些情況應(yīng)急領(lǐng)導(dǎo)小組必須馬上拍板。啟動(dòng)方式是安全部總監(jiān)先發(fā)啟動(dòng)申請(qǐng)，法務(wù)部復(fù)核法律風(fēng)險(xiǎn)，分管副總最后審批，批準(zhǔn)后安全部立刻執(zhí)行。但如果是Ⅲ級(jí)、Ⅳ級(jí)，可以設(shè)個(gè)自動(dòng)觸發(fā)機(jī)制。比如用戶泄露數(shù)量達(dá)到200人，或者核心系統(tǒng)CPU占用率持續(xù)超90%，系統(tǒng)就自動(dòng)給應(yīng)急領(lǐng)導(dǎo)小組發(fā)告警，同時(shí)通知技術(shù)處置組準(zhǔn)備進(jìn)場(chǎng)。去年某次普通數(shù)據(jù)庫(kù)誤操作，就是因?yàn)樵O(shè)置了自動(dòng)告警，技術(shù)員遠(yuǎn)程把數(shù)據(jù)恢復(fù)到備份，省了好多事。2、預(yù)警啟動(dòng)與級(jí)別調(diào)整要是剛發(fā)生的事件還沒到啟動(dòng)級(jí)別，但感覺不對(duì)勁，比如某個(gè)接口異常訪問量激增，但還沒達(dá)到勒索標(biāo)準(zhǔn)，這時(shí)候就得預(yù)警。預(yù)警由安全部經(jīng)理提出，報(bào)總監(jiān)批準(zhǔn)，然后技術(shù)部開始深度監(jiān)控，其他組做好待命準(zhǔn)備。跟蹤得細(xì)致，比如某次預(yù)警后，發(fā)現(xiàn)是某個(gè)第三方腳本錯(cuò)誤，及時(shí)叫停就避免了事態(tài)擴(kuò)大。響應(yīng)啟動(dòng)后，更不能光埋頭干，得隨時(shí)看情況。比如某次釣魚郵件事件，初期以為是內(nèi)部員工疏忽，按Ⅳ級(jí)啟動(dòng)，但后來(lái)發(fā)現(xiàn)涉及外部賬戶爆破，馬上升級(jí)到Ⅱ級(jí)，這才沒讓損失擴(kuò)大。調(diào)整級(jí)別得基于事實(shí)，不能憑感覺。記住，響應(yīng)不足和過度響應(yīng)，哪個(gè)都麻煩。不足的話，可能讓小問題拖成大危機(jī)；過度響應(yīng)呢，資源浪費(fèi)不說，還可能泄露更多信息。得像打仗一樣，打消耗戰(zhàn)，而不是硬碰硬。五、預(yù)警1、預(yù)警啟動(dòng)預(yù)警信息發(fā)布得講究方式方法。主要通過三個(gè)渠道：一是企業(yè)內(nèi)部安全專網(wǎng)，所有安全人員必須訂閱；二是專門建立的應(yīng)急微信群，各部門關(guān)鍵聯(lián)系人加入；三是對(duì)于可能影響廣泛的，比如涉及大量用戶信息，會(huì)通過公司公告欄、內(nèi)部郵件同步。發(fā)布方式上，緊急的用紅頭文件，普通的通知函。內(nèi)容要直奔主題，比如“注意防范仿冒公司郵件的附件，可能存在勒索病毒”，同時(shí)附上樣本截圖和技術(shù)建議，還得說清楚影響范圍和應(yīng)對(duì)措施。責(zé)任人這邊，安全部威脅情報(bào)組負(fù)責(zé)研判，安全部總監(jiān)審核，分管副總簽發(fā)。去年某次仿冒郵件預(yù)警，就是郵件里直接附帶病毒樣本，技術(shù)部10分鐘就出了防范指南，效果不錯(cuò)。2、響應(yīng)準(zhǔn)備一旦預(yù)警啟動(dòng)，就得開始準(zhǔn)備。隊(duì)伍上，應(yīng)急指揮部成員全部進(jìn)入待命狀態(tài)，技術(shù)處置組、業(yè)務(wù)保障組的人得盤點(diǎn)各自負(fù)責(zé)的系統(tǒng)，看看有什么潛在風(fēng)險(xiǎn)。物資方面，應(yīng)急響應(yīng)箱得檢查一遍，看看備份數(shù)據(jù)、取證設(shè)備、備用服務(wù)器這些是否完好。裝備上，網(wǎng)絡(luò)流量分析工具、安全防護(hù)設(shè)備得預(yù)熱，確保關(guān)鍵時(shí)刻能用得上。后勤要協(xié)調(diào)好，比如應(yīng)急會(huì)議室得提前布置，餐飲得安排好，避免人員疲于奔命。通信更是關(guān)鍵，得確保指揮部和各組之間4G電話、衛(wèi)星電話都暢通，萬(wàn)一路上信號(hào)沒得，還能用對(duì)講機(jī)。記得某次預(yù)警后，發(fā)現(xiàn)備用線路密碼忘了，差點(diǎn)耽誤事，后來(lái)專門搞了應(yīng)急密碼本，現(xiàn)在每次演練都要檢查。3、預(yù)警解除預(yù)警解除得有明確標(biāo)準(zhǔn)?；緱l件是：威脅源完全清除，比如惡意腳本被下線，或者釣魚郵件通道被切斷；受影響系統(tǒng)恢復(fù)正常；72小時(shí)內(nèi)沒有新的異常事件發(fā)生。解除要求是，得有書面報(bào)告，說明解除理由、采取的措施和驗(yàn)證過程，然后由安全部總監(jiān)報(bào)分管副總批準(zhǔn)，最后通過剛才說的那些渠道發(fā)布解除通知。責(zé)任人明確到安全部總監(jiān)頭上，但他得聽取技術(shù)組、法務(wù)部的意見。去年某次預(yù)警，就是因?yàn)橥獠縄P異常，斷開連接后72小時(shí)沒再出現(xiàn)，才解除了預(yù)警。但解除了不代表完全放松，還得觀察一段時(shí)間，免得病毒換了個(gè)IP又冒出來(lái)。六、應(yīng)急響應(yīng)1、響應(yīng)啟動(dòng)響應(yīng)啟動(dòng)的核心是定級(jí)。看什么定級(jí)？看泄露的數(shù)據(jù)量級(jí)、影響范圍、攻擊手段的惡劣程度。比如用戶名密碼泄露超過1000個(gè)，就得上Ⅰ級(jí)響應(yīng)；要是影響到核心交易系統(tǒng)，哪怕只有幾百條數(shù)據(jù)，也得按Ⅰ級(jí)啟動(dòng)。定級(jí)后，程序性工作得馬上跟上。首先是召開應(yīng)急會(huì)議，指揮部成員必須在1小時(shí)內(nèi)到指揮部集合，討論應(yīng)對(duì)方案。信息上報(bào)，Ⅰ級(jí)2小時(shí)內(nèi)、Ⅱ級(jí)4小時(shí)內(nèi)必須同步給集團(tuán)總部和相關(guān)監(jiān)管部門。資源協(xié)調(diào)，法務(wù)部馬上評(píng)估法律風(fēng)險(xiǎn)，公關(guān)部準(zhǔn)備對(duì)外口徑，技術(shù)部開始溯源。信息公開得謹(jǐn)慎，初期可以說“正在處理技術(shù)問題”，等確認(rèn)無(wú)礙再詳細(xì)說明。后勤和財(cái)力保障，財(cái)務(wù)部準(zhǔn)備好應(yīng)急資金，人力資源部協(xié)調(diào)抽調(diào)人員。記得去年某次系統(tǒng)被篡改，就是因?yàn)閱?dòng)程序拖了半天，差點(diǎn)讓用戶信噪比徹底失衡。2、應(yīng)急處置事故現(xiàn)場(chǎng)處置得專業(yè)。如果是物理機(jī)房被闖入，得第一時(shí)間設(shè)置警戒線，疏散無(wú)關(guān)人員，然后由安保部門配合安全部門進(jìn)行取證。要是有人感染勒索病毒，技術(shù)員操作時(shí)必須戴N95口罩，穿防護(hù)服，所有操作記錄得完整。現(xiàn)場(chǎng)監(jiān)測(cè)方面，得部署流量分析設(shè)備，實(shí)時(shí)看是否有數(shù)據(jù)外傳。技術(shù)支持是關(guān)鍵，比如數(shù)據(jù)庫(kù)被鎖，得調(diào)用內(nèi)部備份或者云服務(wù)商的快照功能。工程搶險(xiǎn)的話，比如機(jī)房空調(diào)故障，設(shè)施部得馬上搶修。環(huán)境保護(hù)主要看有沒有化學(xué)品泄漏，這個(gè)由設(shè)施部負(fù)責(zé)。防護(hù)要求上，所有進(jìn)入現(xiàn)場(chǎng)的人員必須經(jīng)過安全培訓(xùn)，特別是接觸用戶數(shù)據(jù)的時(shí)候，得遵守最小權(quán)限原則。去年某次備份數(shù)據(jù)庫(kù)恢復(fù)，就是因?yàn)椴僮鲉T權(quán)限設(shè)置不當(dāng)，多恢復(fù)了一些不該恢復(fù)的文件，最后又得重做，教訓(xùn)深刻。3、應(yīng)急支援要是單憑自己搞不定，必須請(qǐng)外援。請(qǐng)求支援得按程序走。首先由安全部總監(jiān)評(píng)估是否需要，然后報(bào)分管副總批準(zhǔn)，最后由總指揮簽發(fā)正式函件。要求得寫清楚：我們遇到了什么問題、需要什么幫助、對(duì)方聯(lián)系方式。聯(lián)動(dòng)程序上，跟公安是熱線直連，跟第三方服務(wù)商是郵件優(yōu)先。外部力量一到，指揮部得指定專人對(duì)接，統(tǒng)一指揮。比如某次DDoS攻擊，我們聯(lián)系了運(yùn)營(yíng)商和云服務(wù)商，由技術(shù)部總監(jiān)統(tǒng)一協(xié)調(diào)，這才把流量清洗了。但注意，指揮權(quán)得歸咱們自己，不能把主權(quán)都丟了。外部力量離開前，得辦移交手續(xù)，確保后續(xù)能順利接管。4、響應(yīng)終止響應(yīng)終止不是隨便說的。基本條件是：事件完全處置完畢，系統(tǒng)恢復(fù)正常運(yùn)行；受影響用戶得到妥善處理，沒有新的投訴；監(jiān)管部門檢查合格。終止要求是，得有詳細(xì)的事后報(bào)告，說明處置過程、損失評(píng)估和改進(jìn)措施，然后由總指揮報(bào)分管副總審批，最后通過內(nèi)部渠道發(fā)布終止通知。責(zé)任人主要是安全部總監(jiān)，但他得聽取技術(shù)部、法務(wù)部、公關(guān)部的意見。去年某次釣魚事件，處理完之后還開了復(fù)盤會(huì)，把經(jīng)驗(yàn)教訓(xùn)都寫進(jìn)流程了，現(xiàn)在每次演練都按這個(gè)標(biāo)準(zhǔn)來(lái)，效果挺明顯的。七、后期處置1、污染物處理這個(gè)咱們得換個(gè)說法，叫“受影響數(shù)據(jù)處理”。主要是指那些已經(jīng)泄露或者被篡改的數(shù)據(jù)。處理方法分幾種：要是涉及少量非敏感信息，比如用戶昵稱，可以嘗試通過公告提醒用戶注意；要是涉及身份證號(hào)、銀行卡號(hào)這些敏感信息，必須啟動(dòng)身份驗(yàn)證機(jī)制，比如要求用戶修改密碼、開啟二次驗(yàn)證。最嚴(yán)重的情況是數(shù)據(jù)被非法購(gòu)買，這時(shí)候得配合公安進(jìn)行溯源和證據(jù)固定。具體操作上，安全部負(fù)責(zé)數(shù)據(jù)溯源和清除，法務(wù)部負(fù)責(zé)法律支持，市場(chǎng)部負(fù)責(zé)用戶溝通。記得去年某次第三方存儲(chǔ)泄露，就是先通知用戶修改密碼，然后對(duì)懷疑被盜用的賬戶進(jìn)行臨時(shí)凍結(jié)，最后才發(fā)布公告。整個(gè)過程中，溝通口徑得統(tǒng)一，避免引起用戶恐慌。2、生產(chǎn)秩序恢復(fù)數(shù)據(jù)安全事件發(fā)生后，業(yè)務(wù)系統(tǒng)通常得暫停?；謴?fù)順序得講究：先是核心系統(tǒng)，比如交易、認(rèn)證這些，確保用戶能正常登錄；然后是輔助系統(tǒng)，比如營(yíng)銷、客服這些；最后才是邊緣系統(tǒng)，比如內(nèi)部報(bào)表、數(shù)據(jù)分析這些?；謴?fù)過程中，得加強(qiáng)監(jiān)控，防止舊問題沒解決又冒出新問題。比如某次數(shù)據(jù)庫(kù)恢復(fù)后，發(fā)現(xiàn)備份版本有誤，導(dǎo)致部分?jǐn)?shù)據(jù)缺失，最后又得回滾一次。為了避免這種情況，現(xiàn)在每次恢復(fù)前都要進(jìn)行數(shù)據(jù)校驗(yàn)?；謴?fù)后還得進(jìn)行壓力測(cè)試，確保系統(tǒng)穩(wěn)定。分管副總得全程跟進(jìn)，確?；謴?fù)進(jìn)度。去年某次系統(tǒng)修復(fù)后，就是分批次上線，每上完一批就觀察半天，最后才全面恢復(fù)，雖然慢了點(diǎn)，但挺穩(wěn)當(dāng)。3、人員安置這里主要是指受事件影響的員工。得做好安撫工作，特別是技術(shù)部、安全部這些直接參與處置的人員。一方面，指揮部得定期通報(bào)進(jìn)展，讓大家知道不是孤軍奮戰(zhàn)；另一方面，人力資源部得關(guān)注員工心理狀態(tài)，必要時(shí)安排心理輔導(dǎo)。同時(shí)，對(duì)事件中表現(xiàn)突出的員工，比如某次漏洞發(fā)現(xiàn)得早，避免了大損失，可以給予適當(dāng)獎(jiǎng)勵(lì)。對(duì)于因事件導(dǎo)致工作延誤的，各部門負(fù)責(zé)人得內(nèi)部協(xié)調(diào)，別互相推諉。最關(guān)鍵的是，得從中吸取教訓(xùn)，對(duì)相關(guān)人員進(jìn)行再培訓(xùn)，避免類似事件再次發(fā)生。記得某次事件后，我們搞了全員安全意識(shí)培訓(xùn)，效果還真不錯(cuò)，現(xiàn)在員工對(duì)釣魚郵件的警惕性明顯高了。八、應(yīng)急保障1、通信與信息保障這個(gè)特別重要，通信中斷了，一切都亂套。咱們得建立一份通訊錄，記清楚每個(gè)小組成員、相關(guān)部門聯(lián)系人，特別是值班電話，得保證24小時(shí)有人接。方法上，主要靠企業(yè)微信和內(nèi)部電話系統(tǒng)，這兩個(gè)不能出問題。備用方案也得有，比如萬(wàn)一主網(wǎng)絡(luò)被攻擊了，得啟動(dòng)衛(wèi)星電話或者對(duì)講機(jī)。保障責(zé)任人，安全部總監(jiān)總負(fù)責(zé)，但具體維護(hù)是信息技術(shù)部的小王，他得定期測(cè)試這些備用方案，確保關(guān)鍵時(shí)刻能用得上。記得某次演練，發(fā)現(xiàn)備用線路密碼忘了，差點(diǎn)耽誤事，后來(lái)專門搞了應(yīng)急密碼本，現(xiàn)在每次演練都要檢查。2、應(yīng)急隊(duì)伍保障隊(duì)伍分幾類：專家是核心，得有能識(shí)別0day漏洞的、會(huì)寫應(yīng)急腳本的技術(shù)大牛，這部分人都是從技術(shù)部、安全部精挑細(xì)選的，得定期請(qǐng)進(jìn)來(lái)培訓(xùn)。專兼職隊(duì)伍，就是各部門的骨干，比如市場(chǎng)部負(fù)責(zé)用戶溝通，人力資源部負(fù)責(zé)安撫員工，這些人是事件發(fā)生時(shí)必須到位的。協(xié)議隊(duì)伍是備選，像某些安全公司，平時(shí)不接觸，真出大事了才找他們。專家由安全部總監(jiān)管，專兼職隊(duì)伍是各部門負(fù)責(zé)人的事，協(xié)議隊(duì)伍則是法務(wù)部審批，安全部執(zhí)行。得定期組織聯(lián)合演練，讓不同隊(duì)伍熟悉對(duì)方，否則真到一起了還手生。去年某次模擬攻擊，就是技術(shù)隊(duì)伍和客服隊(duì)伍配合生疏，差點(diǎn)把用戶引導(dǎo)到錯(cuò)誤頁(yè)面，最后趕緊撤了。3、物資裝備保障必須有臺(tái)賬，啥都有登記。應(yīng)急物資主要是數(shù)據(jù)備份，得有磁帶、硬盤這些，存放在不同地點(diǎn)，比如總部和異地容災(zāi)中心。裝備方面，像應(yīng)急響應(yīng)箱，里面得有電腦、打印機(jī)、取證工具這些，存技術(shù)部機(jī)房，誰(shuí)動(dòng)得登記。性能得保證，設(shè)備不能是壞的。存放位置要安全，運(yùn)輸?shù)眯⌒?。更新補(bǔ)充是關(guān)鍵，比如備份介質(zhì)得定期更換，工具軟件得及時(shí)更新。管理責(zé)任人，技術(shù)部的小李，他得每月檢查一遍，確保所有東西都可用。聯(lián)系方式也得留好，萬(wàn)一設(shè)備壞了找誰(shuí)修。現(xiàn)在咱們每年都搞一次物資盤點(diǎn)，缺的及時(shí)補(bǔ)，壞的及時(shí)修，確保用得上。九、其他保障1、能源保障咱們得確保關(guān)鍵設(shè)備有電。數(shù)據(jù)中心得有兩路電源，還得有備用發(fā)電機(jī)，得定期檢查，確保關(guān)鍵時(shí)刻能啟動(dòng)。辦公樓的電梯、空調(diào)也得考慮進(jìn)去，萬(wàn)一斷電了，人員疏散得方便。責(zé)任人是設(shè)施部，安全部配合檢查。記得某次演練，發(fā)電機(jī)沒油了，差點(diǎn)耽誤事，后來(lái)專門配了應(yīng)急油箱，現(xiàn)在每次演練都要測(cè)試。2、經(jīng)費(fèi)保障應(yīng)急響應(yīng)不能拖錢，該花的得花。安全部得準(zhǔn)備一筆應(yīng)急專項(xiàng)資金，夠支付臨時(shí)租用云服務(wù)、請(qǐng)外部專家這些。申請(qǐng)流程簡(jiǎn)化點(diǎn)，但得有法務(wù)部審核。責(zé)任人，財(cái)務(wù)部的小張管錢，安全部總監(jiān)定方案，分管副總審批。去年某次突發(fā)漏洞，就是靠這筆錢快速租了帶寬，才沒讓損失擴(kuò)大。3、交通運(yùn)輸保障應(yīng)急響應(yīng)時(shí)，人員、物資得能快速轉(zhuǎn)移。得有應(yīng)急車輛，比如技術(shù)部有輛越野車，平時(shí)不用，但得保持良好狀態(tài)。外部救援來(lái)了，也得有人接應(yīng)。責(zé)任人是行政部，安全部配合協(xié)調(diào)。記得某次外部專家來(lái)，就是行政部提前安排了車輛，省了不少事。4、治安保障要是事件涉及物理安全，比如有人闖入機(jī)房，安保部門得啟動(dòng)戒備狀態(tài)。得有應(yīng)急預(yù)案，明確誰(shuí)負(fù)責(zé)巡邏、誰(shuí)負(fù)責(zé)阻攔、誰(shuí)負(fù)責(zé)報(bào)警。責(zé)任人是安保部經(jīng)理，但安全部得配合，比如提供系統(tǒng)被攻擊的證據(jù)。去年某次演練，安保跟技術(shù)配合生疏，差點(diǎn)把真員工當(dāng)成了入侵者，后來(lái)專門調(diào)整了流程。5、技術(shù)保障這個(gè)是核心中的核心。不光是安全技術(shù)，IT部門得保證通信、辦公系統(tǒng)正常。應(yīng)急時(shí)，可能需要臨時(shí)搭建辦公區(qū)，或者修復(fù)被破壞的內(nèi)部系統(tǒng)。責(zé)任人是IT部總監(jiān)，安全部配合需求。記得某次系統(tǒng)被篡改后，就是IT部快速恢復(fù)了內(nèi)部溝通系統(tǒng)，才沒影響指揮。6、醫(yī)療保障應(yīng)急響應(yīng)時(shí)，人員可能需要醫(yī)療救助。得知道附近有哪些醫(yī)院，以及怎么快速聯(lián)系救護(hù)車。對(duì)參與處置的人員，特別是現(xiàn)場(chǎng)操作的人員，得準(zhǔn)備急救包。責(zé)任人是人力資源部，但安全部、技術(shù)部也得有人懂急救知識(shí)。7、后勤保障飲食、住宿、心理疏導(dǎo)這些得跟上。應(yīng)急響應(yīng)時(shí)間長(zhǎng)，人員得吃飯、喝水。必要時(shí)得安排臨時(shí)住宿。事件后，還得有人關(guān)心員工心理狀態(tài)。責(zé)任人是行政部，人力資源部配合。去年某次事件后，行政部熬了兩天兩夜，保證大家有飯吃有水喝，效果挺好的。十、應(yīng)急預(yù)案培訓(xùn)1、培訓(xùn)內(nèi)容培訓(xùn)得有針對(duì)性，不光是講流程。內(nèi)容包括應(yīng)急預(yù)案的整體框架、各自的職責(zé)、應(yīng)急響應(yīng)的各個(gè)環(huán)節(jié)怎么操作，特別是技術(shù)處置的基本方法，像日志分析、流量