NajmaGRC/Incident-Response-Portfolio

# 事件响应作品集 **GRC105 — 事件管理 | 国际网络安全与数字取证学院** ## 📌 本作品集展示的内容 本仓库展示了**完整的事件响应生命周期**——从在事件发生前构建框架，到管理实时勒索软件攻击，再到事件后的经验教训与改进计划。这是IR经理、GRC分析师或安全顾问在真实组织中会负责的工作。 ## 🗂️ 作品集结构 ### 第一部分 — IR框架（理论，第20周） 五份文档，为虚构的医疗保健金融科技公司TechMed Solutions构建完整的IR计划，该公司处理PHI和PCI数据。 | 文档 | 包含内容 | |---|---| | **任务1 — 事件响应策略** | 治理策略（第02/Y2025号）——目的、范围、定义、角色、分类级别、法规义务 | | **任务2 — 事件响应计划** | 操作手册——CSIRT激活、检测、 containment、根除、恢复和事件后步骤 | | **任务3 — CSIRT结构与RACI矩阵** | 组织图、角色定义以及每个IR阶段的完整RACI矩阵——核心团队、扩展团队、外部团队 | | **任务4 — 事件沟通计划** | 利益相关者登记、通知时间表、沟通模板、法规通知要求 | | **任务5 — KPI与持续改进框架** | MTTD、MTTR、MTTC、MTTRec指标、测量方法和计划改进周期 | ### 第二部分 — 勒索软件模拟（实践，第21周） 对TechMed Solutions的实时勒索软件攻击模拟。五份文档在事件实时进展中生成。 | 文档 | 包含内容 | |---|---| | **1 — 决策日志** | 勒索软件事件期间做出的每一个决策的按时间顺序记录——谁在何时决定什么 | | **2 — 利益相关者沟通组合** | 事件期间发送的全部真实沟通：CISO警报、执行简报、法规通知、成员通知信函、员工沟通 | | **3 — 事件行动计划** | 实时行动计划——证据保留、containment行动、根除步骤、恢复顺序 | | **4 — 最终事件报告** | 完整的事后报告——事件概述、时间线、影响分析、响应评估 | | **5 — 经验教训与改进计划** | 结构化经验教训，包含立即、短期和长期的改进行动 | ### 第三部分 — 灾难恢复模拟（第21周 — FinanceFirst银行） 针对虚构银行FinanceFirst的独立业务连续性和灾难恢复模拟，涵盖数据中心故障场景，需要完整的DR激活和恢复。 | 文档 | 包含内容 | |---|---| | **实践任务文档** | 分阶段DR执行——初始事件响应、恢复执行、验证 | | **事后审查（AAR）** | 模拟后审查——哪些有效、哪些失败、需要哪些变更 | ## 🏢 场景上下文 **TechMed Solutions**（虚构）——处理受保护健康信息（PHI）和支付卡数据（PCI）的医疗保健技术公司。法规义务包括HIPAA、PCI DSS和适用的数据保护法。 **模拟事件：** 勒索软件攻击——文件服务器被加密，攻击者声称泄露数据，收到赎金要求。CSIRT在上午6:45激活。 **FinanceFirst Bank**（虚构）——金融机构。场景：数据中心灾难，需要完整的DR激活和恢复。 ## 🔑 展示的关键技能 - 编写并拥有IR策略和治理文档 - 设计具有明确角色和RACI问责制的CSIRT团队结构 - 管理内部、高管、法规和公众受众的事件沟通 - 应用完整的NIST IR生命周期：准备 → 检测 → 遏制 → 根除 → 恢复 → 事件后 - 起草法规通知（HIPAA、PCI DSS泄露通知要求） - 通过定义的KPI衡量IR计划有效性 - 进行结构化的事后审查并构建改进路线图 - 业务连续性和灾难恢复执行 ## 📋 应用的框架 `NIST SP 800-61` `ISO 27035` `HIPAA Breach Notification Rule` `PCI DSS Incident Response Requirements` `NIST CSF (Respond & Recover functions)` ## 🛠️ 生成的文档类型 `IR Policy` `IR Plan` `CSIRT Org Chart` `RACI Matrix` `Communication Plan` `Decision Log` `Stakeholder Notifications` `Regulatory Notifications` `Incident Action Plan` `Final Incident Report` `Lessons Learned` `KPI Framework` `After-Action Review` ## 👤 作者 **Najma Abdi Omar** | GRC与ICT专业人士 | 在银行技术和受监管环境中有7年以上经验 [LinkedIn →](https://www.linkedin.com/in/najma-abdi-omar-link-profile/) | [GitHub Portfolio →](https://github.com/NajmaGRC)

标签：AAR, CSIRT, GRC, IR, MTTC, MTTD, MTTR, MTTRec, PCI, PHI, 事件管理, 利益相关者沟通, 勒索软件模拟, 医疗金融, 响应计划, 库, 应急响应, 技术栈, 持续改进, 改进计划, 政策, 数字取证, 文档, 模拟演练, 沟通计划, 监管通知, 网络安全, 自动化脚本, 防御加固, 隐私保护