应急保障
评估客户的应急准备状态,建立并及时修改应急预案执行程序,检查应急预案的缺陷和不足,协助用户描述整体目标、演练方式、覆盖部门,落实相关机构,进行应急演练。
各阶段工作内容如下:
准备阶段
1)明确客户应急需求;
2)了解客户单位应急预案内容;
3)确定应急服务流程;
4)准备应急服务人员和工具;
5)对在应急处理服务过程中可能会采取的操作、处理等行为,获得用户的书面授权。
检测阶段
1)确定检测对象及范围;
2)对发生异常的系统进行信息的收集与分析,判断是否真正发生了安全事件;
3)与客户共同确定应急处理方案;
4)与客户充分沟通,并预测应急处理方案可能造成的影响;
5)开展检测实施。
抑制阶段
1)评估入侵范围、影响、损失,分析来源,确定抑制方法;
2)告知客户面临的首要问题和抑制阶段可能的风险,取得客户对抑制方法和措施的认可;
3)遵照已认可的抑制措施进行实施;
4)应急服务提供者需严格按照相关约定实施抑制,不得随意更改抑制措施和范围,如有必要更改要填写《变更申请表》,并获得客户单位的授权。
根除阶段
1)检查客户单位所有受影响系统,准确判断,确定根除方法;
2)告知客户所采取的根除措施可能带来的风险,取得客户对根除方法和措施的认可;
3)使用可信工具开展抑制实施;
恢复阶段
1)告知客户网络或信息安全事件的恢复方法及可能存在的风险,取得客户对恢复方法和措施的认可;
2)按照系统初始化安全策略恢复系统;
3)对不能彻底恢复、消除,或不能确定已根除的系统,进行重建;
总结阶段
1)保存完整的网络或信息安全事件处理记录,并对事件处理过程进行总结和分析;
2)分析、总结处理过程,提供网络或信息安全事件处理报告;
3)提供网络或信息安全方面的建议和意见,并指导和协助客户实施;
4)告知可能涉及的法律诉讼的要求或影响。