GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范 学习笔记

最新推荐文章于 2024-05-31 09:42:54 发布
最新推荐文章于 2024-05-31 09:42:54 发布
阅读量1.8k 收藏 1
点赞数 2
文章标签: 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/securitypaper/article/details/125526440
版权

通用内容

每个标准基本都有的格式,供写文档的我们参考
定义和术语: 国家标准当中涉及到的相关专业名称,都会有一个定义,防止出现理解上的歧义
结构层次: 一般有个当前文档的完整结构,可以是图,可以是表,让没有时间的人,可以快速了解内容
附件表格: 表格可能是文档必备,制度文档需要落地,都需要对应的检测表
参考文档: 每个标准都是建立在其他标准之上的,将会提高自身的权威性
内容全面: 写的内容基本上符合内容相关独立,完全穷尽的原则,比如信息安全运营服务和其他信息安全运营服务

标准简介

本标准根据《中华人民共和国计算机信息系统安全保护条例》,参照GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》、GB/T20988-2007《信息安全技术信息系统灾难恢复规范》、GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》、GB/T20984一2007《信息安全技术信息安全风险评估规范》、GB/T 22240《信息安全技术信息系统安全等级保护定级指南》、 GB/T 22239《信息安全技术信息系统安全等级保护基本要求》以及NISTSP 800-34《信息技术系统应急规划指南》和NISTSP 800-61《计算机安全事件处理指南》等标准的有关部分,结合《国家通信保障应急预案》和《上海市网络与信息安全事件专项应急预案》以及相关行业技术发展和实践经验制定而成。
信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减,但没有任何一种信息安全策略或防护措施,能够对信息系统提供绝对的保护。即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护可能被攻破,从而导致业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件发生,并对组织和业务的运行产生直接或间接的负面影响。 因此,为了减少信息安全事件对组织和业务的影响,应制定有效的信息安全应急响应计划,并形成预案。

信息安全应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段:
a) 应急响应计划的编制准备;
b) 编制应急响应计划文档;
c) 应急响应计划的测试、培训、演练和维护

应急响应计划的编制准备

风险评估

标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性。 风险评估具体内容见GB/T 20984-2007的第5章风险评估实施和第6章信息系统生命周期各阶段的风险评估。

业务影响分析

业务影响分析(BIA)是在风险评估的基础上,分析各种信息安全事件发生时对业务功能可能产生的影响,进而确定应急响应的恢复目标
对单位或者部门的各项业务功能及各项业务功能之间的相关性进行分析,确定支持各种业务功能的相应信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求。

  • 确定信息系统关键资源
    对信息系统进行评估,以确定系统所执行的关键功能,并确定执行这些功能所需的特定系统资源。
  • 确定信息安全事件影响
    应采用如下的定量和/或定性的方法,对业务中断、系统岩机、网络瘫痪等信息安全事件造成的影响 进行评估:
  • 确定应急响应的恢复目标
    根据业务影响分析的结果,同时结合 GB/T 22239 和 GB/T 22240,确定应急响应的恢复目标, 包括:
    a) 关键业务功能及恢复的优先顺序;
    b) 恢复时间范围,即恢复时间目标CRTO)和恢复点目标(RPO)的范围。

制定应急响应策略

  • 概述
    应急响应策略提供了在业务中断、系统宥机、网络瘫痪等信息安全事件发生后,快速有效地恢复信 息系统运行的方法。这些策略应涉及到在业务影响分析(BIA)中确定的应急响应的恢复目标。
  • 系统恢复能力等级划分
    系统恢复能力可以划分为基本支持、备用场地支持、电子传输和部分设备支持、电子传输及完整设备支持、实时数据传输及完整设备支持、数据零丢失及远程集群支持等6个等级,具体划分遵照GB/T 20988-2007的附录A灾难恢复能力等级划分
  • 系统恢复资源的要求
    系统恢复资源的要求遵照 GB/T 20988-2007 的 6.3 灾难恢复资源的要求。
  • 费用考虑
    信息系统的使用或管理组织(以下简称“组织”)应确保有足够的人员和资金执行所选择的策略。各种类型的备用站点、设备更换和存储方式的费用应与预算限制相平衡。应保证预算充足,应包括软件、硬件、差旅及运送、测试、计划培训项目、意识培训项目、劳务、其他合 同服务以及任何其他适用资源的费用。
    组织应进行成本效益分析,以确定最佳应急响应策略。

编制应急响应计划文档

编制信息安全应急响应计划文档是应急响应规划过程中的关键一步。应急响应计划应描述支持应急操作的技术能力,并适应机构需求。应急响应计划需要在详细程度和灵活程度之间取得平衡,通常是计划越详细,其方法就越缺乏弹性和通用性。本标准说明了编制应急响应计划的要点。计划编制者应根据实际情况对其内容进行适当地调整、充实和本地化,以更好地满足组织特定的系统、操作和机构需 求。 同时可以参考 GB/Z 20985-2007 的第 8 章使用。应急响应计划应能为信息安全事件中不熟悉计划的人员或要求进行恢复操作的系统提供快速明确 的指导。计划应明确、简洁、易于在紧急情况下执行,并尽量使用检查列表和详细规程。应急响应计划文档包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件6个部分。

待续 原文地址 GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范

参考文献

GB/T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
微软sysinternals工具库
lsof命令介绍
yara基于规则分析程序 开源
apimonitor
processhacker
国家网络安全事件应急预案
奇安信 2020年网络安全应急响应分析报告 2021
上海市网络安全事件应急预案 2019

securitypaper
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络安全应急响应操作规范合集.zip
04-29
超值合集版应急响应服务流程与操作规范合集
信息安全工程师学习笔记.rar
03-06
资源为软考中级信息安全工程师学习笔记,非常详细,可用来复习看书,绝对实用!
网络安全应急响应处理步骤
weixin_45732999的博客
10-25 209
随着信息化时代的到来,网络安全也越来越受大众所关注,如果想要解决这个问题,需要国家以及社会制定相应的政策和规则,只有这样才可以使得我们的工作和生活免受黑客的侵袭,那么在应急处理中分为哪些阶段?总结阶段的目标是回顾网络安全事件处理的全过程,整理与事件相关的各种信息,并尽可能地把所有情况记录到文档中。这些记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要的积累。
网络安全应急响应最全教程(2023年7月)
qq1140037586的博客
06-26 4387
1、概念及应急响应流程 应急响应流程是一种在突发事件发生时组织和协调资源、快速响应并减轻损失的计划。一个有效的应急响应流程可以帮助组织提高应对风险的能力,保障人员安全和财产
网络安全应急响应(归纳)
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
如何做好网络安全应急响应工作?常见应急响应流程_网络安全日常应急响应怎么做
xiaoganbuaiuk的博客
04-25 1028
这是我自己对于应急响应归纳出来的方法论,一个笼统的、抽象的概念,包含思路和方法。应急响应的最终目标是保护客户的核心资产,所有行为必须围绕:保护、避害、不损害来进行。在现在愈加复杂的攻击下,上述的常见场景一般会出现复合情况,需要应急人员根据经验去进行。应急人员应有自己的方法论,对不同攻击的威胁建模,拥有威胁情报分析能力,结合工具的辅助进行现场响应与远程支撑。工具和排查点大同小异,提升方法在于应急人员的是否熟悉该种攻击,利用特征和行为去排查更节省时间。
网络应急预案流程图
09-20
网络应急预案流程图,综合许多应急预案资料以及各个行业的应急流程图,并且根据信息系统自身的特点,特绘制此流程图。
网络安全应急响应流程图
xv7777666的博客
04-05 1203
已被入侵的系统产生的任何结果都是不可靠的。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。基于现实困境,在充分运用既有研究、建设成果的基础上,应当进一步实现信息汇聚、信息分析、联合研判、辅助决策、应急指挥、应急演练、预案管理等核心处置流程,确保一旦发生重大信息安全事件,能够迅速研判,形成预案,迅速指挥调度相关部门执行应急预案,做好应对措施,避免给国家和社会造成重大影响和损失,防止威胁国家安全的情况发生。
GB 4943.1-2011 信息技术设备的安全 标准疑难点解读
01-31
本文档重点介绍GB 4943.1-2011标准中一些疑难点的解读,适合检测人员对标准的理解
汽车网络信息安全技术之AUTOSAR SecOC,非常详细的学习笔记,由浅入深
09-12
汽车网络信息安全技术 AUTOSAR 中SecOC与其他模块的交互 详细SecOC通讯过程图 安全报文介绍 新鲜度值 新鲜度值的构成:基于同步的复合Counter 新鲜度值的管理 新鲜度值中每个计数器详解 新鲜度值的构建 ...
QSY 1345-2015 信息安全事件与应急响应管理规范.pdf
03-18
中国石油企业标准;QSY 1345-2015 信息安全事件与应急响应管理规范,替换QSY 1345-2010计算机病毒与网络入侵应急响应管理规范
信息安全导论学习笔记.docx
06-26
第1章 信息安全概述 11 1.1 信息安全的理解 11 1.1.1 信息安全的定义 11 1.1.2 信息安全的属性 11 1.4 信息安全体系结构 11 1.4.1 CIA三元组 11 1.4.2 三类风险 11 1.4.3 信息安全保障体系四个部分(PDRR)。 12 第2...
信息安全技术笔记.docx
05-16
这里提供信息安全技术的,本人学习的一些笔记,仅供参考,希望大家可以多多学习啊,有什么问题可以多多探讨哈
网络安全应急响应操作流程-打好应急响应保卫战
securitypaper的博客
06-28 2409
网络安全应急演练指南 帮助网络安全小白,打好应急响应保卫战
网络安全应急响应技术实战指南》知识点总结(第9章 数据泄露网络安全应急响应
qiuqiunile_的博客
03-28 4833
一、数据泄露概述 1、数据泄露简介 数据泄露指对存储、传输或以其他形式处理的个人或机构数据造成意外或非法破坏、遗失、变更、未授权披露和访问的一类安全事件。 确认是否为数据泄露安全事件的主要依据以下三条基本原则: (1)违反机密性 (2)违反可用性 (3)违反完整性 2、数据泄露途径 1)外部泄露 (1)供应链泄露(自身供应链和第三方供应商) (2)互联网敏感信息泄露 如搜索引擎、公开的代码仓库、网盘、社交网络。 (3)互联网应用系统泄露 企业相关的互联网系统存在缺陷,如商城系统、VPN系统等,攻击者利用未授
网络应急响应流程
songbai220
12-12 2762
网络应急响应流程及工作内容 What is 应急响应对应的英文是 Incident response或emergency responcse,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 当企业发生黑客入侵、系统崩溃货其他影响业务正常运行的安全时间是,急需第一时间进行处理,使企业的网络信息系统在最短的时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件 web入侵:网页挂马、主页篡改、we
事件响应步骤:安全响应的6个步骤
focus on security
10-21 1万+
当发生安全事件时,每一秒都很重要。恶意软件感染迅速蔓延,勒索软件可能造成灾难性破坏,被破坏的帐户可用于特权升级,从而使攻击者获得更敏感的资产。 无论您的组织规模大小,您都应该拥有一支训练有素的事件响应团队,负责在事件发生时立即采取行动。请继续阅读以学习一个六步过程,该过程可以帮助您的事件响应者在警报响起时更快,更有效地采取措施。 在本文中,您将学习: 什么是事件响应 立即报告网络安全事件的目的是什么? 发生安全事件后应采取的6个步骤是什么? 1.组建团队 2.检测并确定来源 3.遏.
网络安全突发事件应急处置工作预案
热门推荐
xxxxinfo的博客
09-09 1万+
XXX分局信息安全突发事件应急处置工作预案 为了有效预防、及时控制和妥善处理我局网络和信息突发事件,提高我局快速反应和应急处理能力,建立健全应急机制,确保我局信息系统安全,根据国家有关法律法规和我局有关规定,制定本预案。 第一章 总 则 第一条 本预案所称突发性事件,是指自然因素或者人为活动引发的危害我局网网络设施及信息安全等有关的突发事件。 第二条 本预案适用范围是我局网络和...
学习整理 docker
最新发布
wonder_dog的博客
05-31 321
nexus。
GB/T20988-2007
07-27
GB/T20988-2007是一项标准,它引用了其他文档和会议上的内容,并结合国家重要信息系统行业技术发展和实践经验制定而成。\[2\]该标准提出了信息系统灾难恢复能力等级的概念,并列出了RTO(恢复时间目标)、RPO(恢复点目标)与信息系统灾难恢复能力等级间的指导性对应关系。这为各行各业制定相应的灾难恢复能力等级要求和指标体系,提供了参照。\[2\]此外,该标准还涉及数据备份方面的内容,可以根据客户信息系统特点,采用在线数据备份技术,建立面向客户的数据备份系统,为客户实现重要业务数据的远程备份及其运行管理服务。\[3\] #### 引用[.reference_title] - *1* *2* [《GB/T 20988-2007:信息系统灾难恢复规范》[中](国家质检总局 & 国标委)阅读笔记...](https://blog.csdn.net/weixin_30904593/article/details/99119985)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [灾难恢复能力国家标准等级](https://blog.csdn.net/gaby0611/article/details/120148327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值