KM-it-ops/incident-response-playbooks

# 事件响应剧本库 专为在多个合规体系下同时运营的组织设计的跨框架事件响应剧本。 这两个剧本涵盖了完整的 IR 生命周期，并经过有意的对齐， 使得相同的操作模式可适用于各类受监管行业—— 特别是**金融、医疗保健和联邦承包商**。 ## 为什么采用双框架 大多数组织在多个合规标准下运营。 处理医疗数据的金融服务公司可能同时受到 **GLBA**、**HIPAA**、**PCI-DSS**、**SOX** 以及各州违规通知法律的约束。 仅针对一个框架构建一个剧本并指望它能涵盖其余要求，正是合规漏洞演变为事件事后分析的原因。 本库发布了两个完整的剧本——一个映射至 **ISO/IEC 27035:2016**，另一个映射至 **NIST SP 800-61 rev. 2**（已修订以反映 **CSF 2.0**）——并在阶段级别对它们进行了对齐，以便组织可以基于任一框架的权威来源进行操作，而无需重写操作流程。 ## 目录 | 文件 | 框架 | 权威参考 | |---|---|---| | [`iso-27035-playbook.md`](iso-27035-playbook.md) | ISO/IEC 27035:2016 | *Information technology — Security techniques — Information security incident management* | | [`nist-800-61-playbook.md`](nist-800-61-playbook.md) | NIST SP 800-61 rev. 2 + CSF 2.0 | *Computer Security Incident Handling Guide*, revised to reflect Cybersecurity Framework 2.0 | | [`sources/`](sources/) | 原始 Word 文档 | 供下载 / 存档 | ## 阶段对齐 这两个剧本在略微不同的阶段命名体系下，涵盖了相同的操作生命周期： | ISO/IEC 27035 阶段 | NIST SP 800-61 阶段 | |---|---| | Plan and Prepare | Preparation | | Detection and Reporting | Detection and Analysis | | Assessment and Decision | Detection and Analysis (continued) | | Responses (Containment, Eradication, Recovery) | Containment, Eradication, and Recovery | | Lessons Learned and Improvement | Post-Incident Activity | | Documentation and Evidence | Post-Incident Activity (continued) | 这种阶段映射使得双框架操作变得切实可行： 一旦团队熟练掌握了其中一个剧本，另一个仅仅是重新贴标的练习，而无需重新学习。 ## 使用方法 1. **选择您主要合规体系所引用的框架。** 如果主要依据 ISO 27001 进行审计，请从 ISO 剧本开始。 2. **在依赖其应对真实事件之前，先在桌面演练中完整走一遍生命周期。** 3. **自定义角色分配**（Risk Manager、Compliance Officer、IR Coordinator）以适应您的组织架构——剧本规定了职能；您来指定具体人员。 4. **每季度审查。** 框架在不断演进（2024 年 CSF 2.0 取代了 CSF 1.1）；您的剧本也应随之演进。 **许可证：** MIT — 详见 [LICENSE](LICENSE)。 **作者：** Mahmoud ("Michael") Al Kurdi · [LinkedIn](https://www.linkedin.com/in/mahmoud-michael-al-kurdi) · [Portfolio](https://km-it-ops.github.io) · [GitHub](https://github.com/KM-it-ops)

标签：CSF 2.0, GLBA, HIPAA, Incident Response Playbook, ISO/IEC 27035, meg, NIST SP 800-61, PCI-DSS, SOX, 信息安全, 医疗保健, 双框架, 合规, 威胁处置, 安全基线, 安全标准化, 安全运营, 库, 应急响应, 应急响应流程, 扫描框架, 教学环境, 数据泄露通知, 生命周期, 网络安全框架, 联邦承包商, 金融, 防御加固, 预案库