云架构中心-SEC10-02 制定事件响应计划

时间:2024-07-19 11:31:24

SEC10-02 制定事件响应计划

事件响应计划(Incident Response Plan, IRP)是组织安全策略的重要组成部分,它旨在确保在安全事件发生时,能够迅速、有序地采取行动,最大限度地减少损失,并尽快恢复正常运营。

  • 风险等级

  • 关键策略
    • 建立事件响应计划,包括定义事件级别、响应流程和恢复策略。对服务可用性有影响或者租户可感知的安全事件划分为5个等级,S1/S2/S3/S4/S5。
    • 实施持续的监控,包括云环境的日志、网络流量和异常行为。当检测到潜在事件时,进行初步分析以确定事件的性质和严重性。
    • 实施快速安全响应动作,隔离受影响的系统或账户、断开网络连接、停止服务、清除恶意文件、修复漏洞、替换受损系统并加固系统,确认所有威胁已经被完全清除,避免再次发生。
    • 制定恢复策略,逐步恢复受影响服务,确保数据和系统一致性,进行测试确保所有系统恢复正常运作。
    • 进行事件后分析,总结事件的起因、响应过程和教训。更新事件响应计划,根据经验教训进行改进。
    • 定期审查和更新事件响应计划,以适应新的威胁和业务需求。

    事件级别

    事件及时响应时间

    平均风险控制时间

    S1事件

    5分钟

    1小时

    S2事件

    5分钟

    2小时

    S3事件

    5分钟

    4小时

    S4事件

    10分钟

    24小时

    S5事件

    10分账

    48小时

support.huaweicloud.com/usermanual-architecture/architecture_03_0069.html