ssaunders91/Incident-response-plan
GitHub: ssaunders91/Incident-response-plan
基于英国NCSC框架的企业级事件响应计划模板,涵盖角色分工、流程规范、合规要求和沟通机制。
Stars: 0 | Forks: 0
# 🛡️ 事件响应计划
本事件响应计划作为 **NCSC 框架** 的实际应用,是为满足 **NCFE Level 3 in Cyber Security Practices** 的正式要求而编制的。
**[点击此处查看完整 PDF 报告](https://github.com/ssaunders91/Incident-response-plan/blob/main/Incident%20Response%20Plan.pdf)**
## 📖 1. 目的与范围
* **目的:** 提供一种清晰有效的方法,以检测、响应可能损害组织数据或系统的任何 cyber security 事件并从中恢复。
* **范围:** 该计划适用于所有系统、数据、网络以及为该组织工作或与该组织合作的人员。
* **包含对象:** 这包括使用 IT 或处理数据的员工、承包商和第三方。
## ⚖️ 2. 法律与法规背景
* **UK GDPR/Data Protection Act 2018:** 要求组织报告数据泄露并保护个人信息。
* **NIS Regulations:** 适用于包括能源、交通和医疗在内的关键服务,以及数字服务提供商。
* **目标:** 确保组织拥有强大的 cyber security 防御能力。
* **Cyber Essentials/Plus:** 组织可遵循的安全控制措施,以抵御常见的 cyber 威胁。
* **NCSC Guidance:** 英国的官方建议,旨在帮助个人或组织处理和响应事件。
## 👥 3. 事件响应团队 (IRT)
| 角色 | 职责 | 备选人员 |
| --- | --- | --- |
| **CISO or Head of InfoSec** | 领导响应团队并向股东汇报 | IT Manager
| **Security Analyst** | 检测、调查和分类疑似威胁 | Security Engineer
| **IT Operation Lead** | 支持遏制、根除和恢复工作 | Systems Admin
| **DPO (Data Protection Officer)** | 评估数据保护方面的影响 | Legal Advisor
| **Communications Officer** | 处理利益相关者和媒体沟通 | HR or PR
| **Legal/Compliance Officer** | 与监管机构沟通并确保合规 | DPO
## 📞 4. 联系方式和上报流程
本节旨在确保能够快速联系到利益相关者,以便做出有效决策。
### 内部联系人 🏢
| 角色 | 职责 | 联系方式 | 可用时间 |
| --- | --- | --- | --- |
| **CISO** | 领导响应工作;授权决策;向管理层更新情况 | 07896504521 / ciso@email.com |
$24/7$ | **IT Manager** | 监督技术活动;确保系统稳定性 | 07896504535 / itman@email.com | 随时待命 | **Security Analyst** | 监控威胁;确定范围和严重程度 | 07896504530 / secan@email.com | 随时待命 | **Systems Admin** | 隔离受影响系统;清除威胁;恢复服务 | 07896504503 / systemadmin@email.com | 随时待命 | **DPO** | 评估数据保护并与 ICO 联络 | 07896504568 / dpo@email.com | 09:00-17:30 | **Comms Officer** | 处理利益相关者和媒体沟通 | 07896504587 / comoffice@email.com | 09:00-17:30 | **Legal Officer** | 与监管机构沟通并确保合规 | 07896504589 / legalofficer@email.com | 随时待命 ### 外部联系人 🌐 | 机构 | 用途 | 联系方式 | 备注 | | --- | --- | --- | --- | | **ICO** | 数据泄露通知 | 在线报告门户 | 在 72 小时内通知 | **Police/Action Fraud** | 网络犯罪事件 | 101/Action Fraud | 针对欺诈或勒索 | **Cyber Insurance** | 事件通知 | 保单服务热线 | 尽快通知 | **IR Supplier** | 专门支持 | 合同详情 | 用于外部支持 | **Key Vendors** | 服务可用性 | 客户经理 | 如果供应商系统受影响 ## 🏷️ 5. 事件类别 | 类别 | 描述 | | --- | --- | | **A- Critical Data Breach** | PII 或 SPII 的丢失或被盗 | **B- Malware/Ransomware** | 系统感染恶意软件 | **C- System Intrusion** | 对系统的未授权访问 | **D- Denial of Service** | 影响服务可用性的攻击 | **E- Insider Threat** | 恶意或疏忽的员工活动 | **F- Phishing/Social Engineering** | 企图欺骗员工以获取访问权限或数据 | **G- Physical Security Breach** | 物理资产的丢失或被盗 ## 🔄 6. 事件响应流程 ### 阶段 1:准备 🛠️ * 采用 NCSC Cyber Essentials 作为最低标准。 * 包括定期的员工 cyber 意识培训。 * 测试和维护工具,如 antivirus、日志记录和 SIEM。 * 更新业务连续性计划并进行风险评估。 * 确保 IRT 联系人列表保持最新。 ### 阶段 2:检测与报告 🔍 * 使用监控工具,如 SIEM 和 IDS/IPS。 * 员工必须尽快报告异常活动(例如 phishing)。 * 使用内部 ticketing 系统记录事件。 * 记录 Indicators of Compromise (IoCs) 和初始范围。 ### 阶段 3:评估与决策 ⚖️ * 分类严重程度:轻微、中等、重大 或 严重。 * 确定数据影响,包括个人数据。 * 如果个人数据遭到泄露,立即通知 DPO。 * 询问:是隔离还是关闭?是通知利益相关者还是等待?。 ### 阶段 4:响应与恢复 🏗️ * **遏制:** 隔离受影响的系统、账户或网络。 * **根除:** 移除 malware、backdoors 或恶意访问权限。 * **恢复:** 从安全备份中恢复;测试并监控重新进入。 * **通知:** 发生数据泄露时在 72 小时内通知 ICO,并按要求告知数据主体。 ## 📝 7. 事后审查 (复盘) 在事件发生后 **5-10 个工作日** 内进行,以确定根本原因并评估团队效率。 1. 召集团队和利益相关者。 2. 审查事件时间线和采取的行动。 3. 进行根本原因分析(哪里出了问题以及为什么?)。 4. 评估内部和外部沟通。 5. 记录技术和程序方面的经验教训。 6. 更新 IR 计划、员工培训和技术控制措施。 7. 与领导层分享调查结果以提高意识。 ## 📢 8. 沟通计划 | 利益相关者 | 通知时间范围 | 负责人 | | --- | --- | --- | | **Senior Management** | 严重事件发生后 2 小时内 | IRT Lead | **ICO** | 数据泄露后 72 小时内 | DPO | **Data Subject** | 如果对其权利构成高风险,则需及时通知 | DPO/Comms | **Press/Public** | 如果合适并经董事会批准 | Comms Officer | **Law Enforcement** | 如果事件涉及犯罪活动 | Legal/DPO ## 📂 9. 文档记录要求 必须保存以下记录: * 检测日期/时间和识别方法。 * 攻击范围和受影响的系统。 * 遏制和根除步骤。 * 已进行的沟通和通知。 * 根本原因分析和事后结果。 * 文件必须安全存储,以备审计/监管审查。 ## 🛠️ 10. 工具、培训与维护 * **Endpoint Protection:** Sophos, CrowdStrike, Microsoft Defender. * **SIEM:** Splunk, Azure Sentinel, Elastic. * **Backup:** Veeam, Acronis, Cloud options. * **Intelligence:** NCSC alerts and commercial feeds. * **Secure Comms:** ProtonMail, Office 365 ATP. * **Training:** 半年一次的演练(泄露/ransomware)。 * **Simulations:** 季度性 phishing 模拟。 * **Maintenance:** 每年审查 DR/BCP 计划和 IR 计划。
$24/7$ | **IT Manager** | 监督技术活动;确保系统稳定性 | 07896504535 / itman@email.com | 随时待命 | **Security Analyst** | 监控威胁;确定范围和严重程度 | 07896504530 / secan@email.com | 随时待命 | **Systems Admin** | 隔离受影响系统;清除威胁;恢复服务 | 07896504503 / systemadmin@email.com | 随时待命 | **DPO** | 评估数据保护并与 ICO 联络 | 07896504568 / dpo@email.com | 09:00-17:30 | **Comms Officer** | 处理利益相关者和媒体沟通 | 07896504587 / comoffice@email.com | 09:00-17:30 | **Legal Officer** | 与监管机构沟通并确保合规 | 07896504589 / legalofficer@email.com | 随时待命 ### 外部联系人 🌐 | 机构 | 用途 | 联系方式 | 备注 | | --- | --- | --- | --- | | **ICO** | 数据泄露通知 | 在线报告门户 | 在 72 小时内通知 | **Police/Action Fraud** | 网络犯罪事件 | 101/Action Fraud | 针对欺诈或勒索 | **Cyber Insurance** | 事件通知 | 保单服务热线 | 尽快通知 | **IR Supplier** | 专门支持 | 合同详情 | 用于外部支持 | **Key Vendors** | 服务可用性 | 客户经理 | 如果供应商系统受影响 ## 🏷️ 5. 事件类别 | 类别 | 描述 | | --- | --- | | **A- Critical Data Breach** | PII 或 SPII 的丢失或被盗 | **B- Malware/Ransomware** | 系统感染恶意软件 | **C- System Intrusion** | 对系统的未授权访问 | **D- Denial of Service** | 影响服务可用性的攻击 | **E- Insider Threat** | 恶意或疏忽的员工活动 | **F- Phishing/Social Engineering** | 企图欺骗员工以获取访问权限或数据 | **G- Physical Security Breach** | 物理资产的丢失或被盗 ## 🔄 6. 事件响应流程 ### 阶段 1:准备 🛠️ * 采用 NCSC Cyber Essentials 作为最低标准。 * 包括定期的员工 cyber 意识培训。 * 测试和维护工具,如 antivirus、日志记录和 SIEM。 * 更新业务连续性计划并进行风险评估。 * 确保 IRT 联系人列表保持最新。 ### 阶段 2:检测与报告 🔍 * 使用监控工具,如 SIEM 和 IDS/IPS。 * 员工必须尽快报告异常活动(例如 phishing)。 * 使用内部 ticketing 系统记录事件。 * 记录 Indicators of Compromise (IoCs) 和初始范围。 ### 阶段 3:评估与决策 ⚖️ * 分类严重程度:轻微、中等、重大 或 严重。 * 确定数据影响,包括个人数据。 * 如果个人数据遭到泄露,立即通知 DPO。 * 询问:是隔离还是关闭?是通知利益相关者还是等待?。 ### 阶段 4:响应与恢复 🏗️ * **遏制:** 隔离受影响的系统、账户或网络。 * **根除:** 移除 malware、backdoors 或恶意访问权限。 * **恢复:** 从安全备份中恢复;测试并监控重新进入。 * **通知:** 发生数据泄露时在 72 小时内通知 ICO,并按要求告知数据主体。 ## 📝 7. 事后审查 (复盘) 在事件发生后 **5-10 个工作日** 内进行,以确定根本原因并评估团队效率。 1. 召集团队和利益相关者。 2. 审查事件时间线和采取的行动。 3. 进行根本原因分析(哪里出了问题以及为什么?)。 4. 评估内部和外部沟通。 5. 记录技术和程序方面的经验教训。 6. 更新 IR 计划、员工培训和技术控制措施。 7. 与领导层分享调查结果以提高意识。 ## 📢 8. 沟通计划 | 利益相关者 | 通知时间范围 | 负责人 | | --- | --- | --- | | **Senior Management** | 严重事件发生后 2 小时内 | IRT Lead | **ICO** | 数据泄露后 72 小时内 | DPO | **Data Subject** | 如果对其权利构成高风险,则需及时通知 | DPO/Comms | **Press/Public** | 如果合适并经董事会批准 | Comms Officer | **Law Enforcement** | 如果事件涉及犯罪活动 | Legal/DPO ## 📂 9. 文档记录要求 必须保存以下记录: * 检测日期/时间和识别方法。 * 攻击范围和受影响的系统。 * 遏制和根除步骤。 * 已进行的沟通和通知。 * 根本原因分析和事后结果。 * 文件必须安全存储,以备审计/监管审查。 ## 🛠️ 10. 工具、培训与维护 * **Endpoint Protection:** Sophos, CrowdStrike, Microsoft Defender. * **SIEM:** Splunk, Azure Sentinel, Elastic. * **Backup:** Veeam, Acronis, Cloud options. * **Intelligence:** NCSC alerts and commercial feeds. * **Secure Comms:** ProtonMail, Office 365 ATP. * **Training:** 半年一次的演练(泄露/ransomware)。 * **Simulations:** 季度性 phishing 模拟。 * **Maintenance:** 每年审查 DR/BCP 计划和 IR 计划。
标签:CISO, Cyber Essentials, IRP, IRT, NCFE, NCSC框架, NIS指令, UK GDPR, 事件响应计划, 事件处理, 人工智能安全, 企业管理, 信息安全管理, 合规性, 安全分析师, 安全文档, 安全策略, 安全运营, 容灾恢复, 库, 应急响应, 应急响应团队, 扫描框架, 提示词设计, 数据保护法, 网络安全, 网络安全实践, 英国网络安全中心, 防御措施, 隐私保护