Michaelmcpheejr/Enterprise-Incident-Response-Program-With-Tabletop-Exercise
GitHub: Michaelmcpheejr/Enterprise-Incident-Response-Program-With-Tabletop-Exercise
一套对齐 NIST 800-61 和 CMMC 2.0 的生产级企业事件响应框架,包含四阶段程序、三个威胁剧本及桌面推演缺口验证方法论。
Stars: 0 | Forks: 0
# 企业事件响应计划
适用于联邦承包商的生产级 IR 框架。包含 4 个阶段(约 3.5 万字)、3 个威胁剧本,以及通过桌面推演验证发现的 8 个可发现缺口。对齐 NIST 800-61 标准,专注于 CUI 保护。
## 内容详情
**阶段 1:框架与程序**
- 事件分类、IR 团队角色、上报程序
- 董事会上报标准、决策权矩阵
- 证据保全标准(保留 7 年)
**阶段 2:检测与分流**
- TRIAGE 调查框架(Timeline、Reach、Impact、Attacker、Gather、Escalation)
- 攻击路径映射、证据标准、根因分析程序
- 调查完成检查清单 + 报告模板
**阶段 3:响应剧本**
- 勒索软件(检测、遏制、恢复、赎金决策权矩阵)
- 数据泄露(DLP 指标、泄露范围、通知程序)
- 供应链(供应商违规、撤销访问、修复验证)
**阶段 4:事件后与持续改进**
- 取证分析程序、根因分析(5-why 方法论)
- 经验教训流程、程序更新、董事会简报模板
- 持续监控、事件结案标准、年度趋势分析
**桌面推演验证**
- 3 个真实场景(勒索软件、数据泄露、供应链)
- 桌面推演期间发现的 8 个缺口:[X] 发现 → [Y] 影响 → [Z] 修复措施
- 展示持续改进的程序更新
## 重要性
✅ **联邦承包商基准** - CUI 保护、董事会上报、30 天泄露通知
✅ **可靠的程序** - 基于NIST SP 800-61 Rev. 2、CMMC 2.0
✅ **真实场景** - 通过桌面推演进行测试;发现并修复缺口
✅ **生产就绪** - 具体的时间表、决策点、检查清单;随时可接受审计的文档
✅ **面试准备就绪** - 展示 GRC 计划架构、事件响应成熟度和联邦合规知识
## 基本信息
- **4 个阶段**,涵盖检测 → 响应 → 事件后 → 持续改进
- **3 个剧本**,针对勒索软件、数据泄露和供应链攻击
- **8 个缺口**,通过桌面推演验证进行识别和修复
- **约 5 万字**的详细、以程序为核心的内容
- **零元注释** - 纯操作性程序
- **可定制** - 根据您的组织调整时间表、角色和决策权
## 标准与合规
基于:
- NIST SP 800-61 Rev. 2(事件处理)
- NIST SP 800-171(CUI 保护)
- CMMC 2.0(国防承包商认证)
- 联邦违规通知法
## 适用对象
- **CISO/安全负责人** - 用于 IR 计划的运营框架
- **GRC 分析师** - 计划设计、持续改进、缺口修复
- **IR 团队负责人** - 日常程序、剧本参考
- **合规官** - 审计文档、NIST/CMMC 证据
- **联邦承包商** - 国防分包商、CUI 处理人员
## 如何使用
1. 查看阶段 1-4 以了解程序框架
2. 使用提供的场景进行桌面推演
3. 识别您所在组织特有的缺口
4. 根据您的时间表实施修复
5. 90 天后重新测试以衡量改进情况
**企业事件响应计划** | 版本 1.0
标签:CIDR输入, GRC, NIST标准, 企业安全, 库, 应急响应, 文档安全, 网络资产管理, 防御加固