6.5 應急響應流程

6.5.1 事件通告

6.5.1.1 信息通報

6.5.1.1.1 組織內信息通報

在信息安全事件發生后，應通知應急響應日常運行小組，使其能夠確定事態的嚴重程度和下一步將要采取的行動。在損害評估完成后，應通知應急響應領導小組。
可以通過各種方法完成通知，包括固定電話、移動電話和電子郵件等。由于電子郵件無法確定能否得到有效回復，所以應謹慎使用電子郵件發送通知。
通知策略應定義信息安全事件發生后人員無法聯絡時的規程。通知規程應在應急響應計劃中明確描述。一種通用的通知方法是呼叫樹[ 呼叫樹也叫“電話鏈”，是指姓名列表和所有可用的聯系信息（如家庭電話和手機號碼）。位于樹頂的人負責呼叫他（她）的直屬人員，向他們通知信息安全事件的發生，位于第二級的每個人接到通知后，應當負責通知直屬的第三級人員。如果某級的某個人沒有聯系上，那么呼叫此人者應當負責呼叫此人直屬層級的人員，并依次類推。]。呼叫樹應包括主要的和備用的聯絡方法，應確定在某個人無法聯系上時應采取的規程。

6.5.1.1.2 相關外部組織信息通報

信息安全事件發生后，應將相關信息及時通報給受到負面影響的外部機構、互聯的單位系統以及重要用戶，同時根據應急響應的需要，應將相關信息準確通報給相關設備設施及服務提供商（包括通信、電力等），以獲得適當的應急響應支持。對外信息通報應符合組織的對外信息發布策略。

6.5.1.2 信息上報

信息安全事件發生后，應按照相關規定和要求，及時將情況上報相關主管或監管單位/部門。

6.5.1.3 信息披露

信息安全事件發生后，根據信息安全事件的嚴重程度，組織應指定特定的小組及時向新聞媒體發布相關信息，指定的小組應嚴格按照組織相關規定和要求對外發布信息，同時組織內其它部門或者個人不得隨意接受新聞媒體采訪或對外發表自己的看法。

6.5.2 事件分類與定級

信息安全事件發生后，應急響應日常運行小組對信息安全事件進行評估，確定信息安全事件的類別與級別。

6.5.2.1 事件分類

事件分類遵照GB/Z 20986-2007 的第4章信息安全事件分類。

6.5.2.2 事件定級

事件定級遵照GB/Z 20986-2007 的第5章信息安全事件分級。

6.5.3 應急啟動

應急啟動具體操作遵循如下規則：
a）啟動原則— —快速、有序；
b）啟動依據— —一般而言，對于導致業務中斷、系統宕機、網絡癱瘓等突發/重大信息安全事件應立即啟動應急。但由于組織規模、構成、性質等的不同，不同組織對突發/重大信息安全事件的定義可能不一樣，因此，各組織的應急啟動條件可能各不相同。啟動條件可以基于以下方面考慮：人員的安全和/或設施損失的程度；系統損失的程度（如物理的、運作的或成本的）；系統對于組織使命的影響程度；預期的中斷持續時間等。只有當損害評估的結果顯示一個或多個啟動條件被滿足時，應急響應計劃才應被啟動；
c）啟動方法— —由應急響應領導小組發布應急響應啟動令。
應急響應啟動后，應急響應領導小組要對人力、財力、物力到位情況實施檢查與督察，并記錄實際發生的情況。

6.5.4 應急處置

啟動應急響應計劃后，應立即采取相關措施抑制信息安全事件影響，避免造成更大損失。在確定有效控制了信息安全事件影響后，開始實施恢復操作。恢復階段的行動集中于建立臨時業務處理能力、修復原系統的損害、在原系統或新設施中恢復運行業務能力等應急措施。

6.5.4.1 恢復順序

當恢復復雜系統時，恢復進程應反映出BIA中確定的系統優先順序。恢復的順序應反映出系統允許的中斷時間，以避免對相關系統及業務的重大影響。

6.5.4.2 恢復規程

為了進行恢復操作，應急響應計劃應提供恢復業務能力的詳細規程。規程應被設定給適當的恢復小組，并且通常涉及到以下行動：
a）獲得訪問受損設施和／或地理區域的授權；
b）通知相關系統的內部和外部業務伙伴；
c）獲得所需的辦公用品和工作空間；
d）獲得安裝所需的硬件部件；
e）獲得裝載備份介質；
f）恢復關鍵操作系統和應用軟件；
g）恢復系統數據；
h）成功運行備用設備。
恢復規程應按照直接和逐步的風格書寫。為了防止在信息安全事件中產生困難或混亂，不能假定或忽略規程的步驟。

6.5.5 后期處置

6.5.5.1 信息系統重建

在應急處置工作結束后，要迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢復正常工作。

6.5.5.2 應急響應總結

應急響應總結是應急處置之后應進行的工作，具體工作包括：
a）分析和總結事件發生的原因；
b）分析和總結事件的現象；
c）評估系統的損害程度；
d）評估事件導致的損失；
e）分析和總結應急處置記錄；
f）評審應急響應措施的效果和效率，并提出改進建議；
g）評審應急響應計劃的效果和效率，并提出改進建議。