企业公司安全事件管理流程范本VIP

1、版本记录版本记录 版本号版本号版本日期版本日期编编写人写人审审核人核人审审批人批人说说 明明 目录 一、一、概述概述 .1 1.1 适用范围.1 1.2 管理目标.1 1.3 管理范围.1 二、二、术语术语定定义义 .1 2.1 桌面安全：.1 2.2 安全设备：.2 三、三、人人员员角色及角色及职责职责 .2 四、四、输输入入 .3 五、五、输输出出 .3 六、六、流程描述流程描述 .3 6.1 事件类型.3 6.2 事件影响度.3 6.3 事件紧急度.4 6.4 事件优先级.4 6.5 事件升级表.4 6.6 安全事件处理流程图.5 6.7 安全事件处理流程描述.5 七、七、相关相关记录记

2、录 .5 八、八、关关键绩键绩效指效指标标 .6 、概述概述 1.1 适用范围适用范围 股份有限公司总部安全运维工作。 1.2 管理目标管理目标 规范日常桌面安全服务的处理步骤； 规范网络安全设备的日常监控及故障处理步骤； 快速恢复受桌面安全服务及网络安全设备影响的业务； 明确安全事故的升级步骤。 1.3 管理范围管理范围 总部桌面安全现场技术支持； 网络在线安全设备的监控及响应； 突发信息安全事件的应急响应； 为各分支机构提供桌面安全类的电话支持响应。 、术语术语定定义义 2.1 桌面安全：桌面安全： 个人 pc 机操作系统、软件受病毒、木马而影响操作系统、软件正常使 用的事件。 2.2 安

3、全设备：安全设备： 即网络上正在使用的防火墙设备、入侵防护设备、抗 ddos 设备、 入侵检测设备、漏洞扫描设备、rsa ace server 产品及服务器、补丁分发 服务器、网络放病毒服务器、垃圾邮件防护系统、网络放病毒服务器、北 信源桌面管理系统。 2.3 vip 用户用户 总裁、副总裁及同级别领导，各部门总经理、副总经理及同级别 领导为 vip 用户。vip 用户的服务请求适用于 vip 支持流程。 、人人员员角色及角色及职责职责 角色角色职责职责人员人员 服务台 a.接收用户及主动监控发现的事件 b. 对事件进行分类 c.记录事件并监控事件的解决过程 d. 根据实际情况分派合适的一线支

4、持人员到用户现 场 e.按规定时限上报重大事件 f.通过电话指导解决简单用户事件 g. 确认并关闭事件 郝志强 任春晖 一线支持 a.负责监控各设备的运行情况 b. 及时处理相关故障和服务台分配的事件 c. 对于不能处理的事件，根据实际情况转给合适的 二线支持人员，并及时通知到位 任春晖 郝志强 vip 支持 负责及时响应和解决深交所内部高层管理人员的事 件 郝志强 二线支持 a.及时处理一线支持无法解决的安全事件 b.及时提供重大安全事件的应急响应服务 吴宇轩 启明专家团 事件经理 负责对事件解决过程的监控、升级等进行协调或审 批 、输输入入 输入项输入项来源来源周期周期 通过电话、邮件提交

5、的安全事件用户日常 监控工具或日常维护发现和安全设备相关 的事件 运维支持人员、监控工具日常 、输输出出 输出项输出项去向去向周期周期 事件处理单服务台日常 事件记录台帐服务台日常 、流程描述流程描述 6.1 事件类型事件类型 6.2 事件影响度事件影响度 影响程度影响程度定义定义备注说明备注说明 重大重大 a.本公司业务范围内所有用户无法 在交易时间内进行交易 b.黑客攻击或误操作等原因导致公 司有 10 亿元及以上的经济损失 严重严重 a.本公司业务范围同时有 5 个或 5 个以上省份的用户无法在交易时 间内进行交易 b.黑客攻击或误操作等原因导致公 司有 1 亿元及以上的经济损失 需要评

6、估每个交易中心会影响多 少个营业部，占多少个省份 一般一般公司办公内网用户无法正常办公 6.3 事件紧急度事件紧急度 紧急程度紧急程度定义定义备注说明备注说明 高高 a.交易时间公司交易服务器中断 b.交易时间公司交易网络中断 c.办公时间公司网站内容被纂改 中中 a.非交易时间公司交易服务器中断 b.非交易时间公司交易网络中断 c.非办公时间公司网站内容被纂改 d.办公时间同时有不同部门共 50 台或以上终端有相同问题 低低办公时间个体报告的信息终端故障 6.4 事件优先级事件优先级 影响度影响度 级别级别 紧急度紧急度 一般一般严重严重重大重大 低低一般一般较大 中中一般较大重大 高高重大

7、重大特别重大 6.5 事件处置时限事件处置时限 事件级别事件级别规定的响应时限规定的响应时限最后解决时限（工作时间）最后解决时限（工作时间） 特别重大特别重大5 分钟1 小时 重大重大15 分钟4 小时 较大较大1 小时8 小时 一般一般2 小时16 小时 6.6 事件升级表事件升级表 优先级别优先级别通告通告 ( (通知路径通知路径) ) 特别重大 5 分钟 当前处理工程师、主管领导、部门领导、分管领导、 上级主管部门 重大15 分钟当前处理工程师、主管领导、部门领导、分管领导 较大1 小时当前处理工程师、主管领导、部门领导 一般4 小时当前处理工程师、主管领导、事件发起人 6.7 安全事件

8、处理流程图安全事件处理流程图 安全事件处理流程 受理调查诊断快速恢复验证、关闭 vip支持其它流程接口 二线支持一线支持服务台用户 请请求求、报报告告 主主动动监监测测 记记录录vip? 调调查查诊诊断断 调调查查诊诊断断 能能否否处处理理处处理理恢恢复复 处处理理恢恢复复 用用户户事事件件 满满意意度度调调 查查 结结束束 服服务务 级级别别 配配置置 管管理理 变变更更 管管理理 知知识识 库库 问问题题 管管理理 处处理理结结果果 验验证证 一一般般 高高 不不能能 否否 是是 能能是是否否病病毒毒是是 联联想想 服服务务 否否 优优先先级级否否 是是 调调查查诊诊断断处处理理恢恢复复

9、6.8 安全事件处理流程描述安全事件处理流程描述 步骤步骤输入输入步骤描述步骤描述输出输出 1、记录 电话、电子 邮件、主动 发现 a.接受用户通过电话、电子邮件发出的服务请求 b. 接受安全运维主动发现的安全设备故障、安全事 件 c.填写事件处理单 “事件描述”及以上部分内 容 d. 判断是否为 vip 用户，如果为 vip 用户则将 事件处 理单 步骤步骤输入输入步骤描述步骤描述输出输出 事件处理单派发给 vip 支持处理 e.判断服务请求用户为非 vip 用户，则判断事件的 优先级，优先级如果为“高”则直接联系“二线 支持”予以解决；优先级如果为“中” ，则由 “一线支持”中技术水平较高

10、者解决；优先级为 “低”则可视情况派发给任意在场“一线支持” 2、调查诊 断 事件处理 单 a.“一线支持”收到事件处理单处理单后，填 写“受理人”为本人姓名， “受理时间”为接到 事件处理单的时间，到用户处判断事件是否 为病毒、木马等安全事件，如果不是则在事件 处理单中写明“原因分析” ， “解决方案”为 “通知用户联系联想技术支持解决”并交用户签 字确认 b. “一线支持”收到事件处理单处理单后，填 写“受理人”为本人姓名， “受理时间”为接到 事件处理单的时间，到用户处判断事件是否 为病毒、木马等安全事件，如果是安全事件则需 进行调查诊断并判断本人是否能处理，如不能处 理应及时联系其它“

11、一线支持”进行解决，如果 所有“一线支持”都不能解决，则需要及时通知 “二线支持”协助解决 c.“二线支持”在收到服务台的安全事件处理请求 后，按“安全事件应急”的相关要求进行响应和 解决 d. “vip 支持”收到事件处理单后到达用户现 场，无论是否安全事件，在能力范围内的都必须 处理不得推卸 填写事 件处理单 “原因分 析”部分 步骤步骤输入输入步骤描述步骤描述输出输出 3、处理恢 复 填写事件 处理单 “原 因分析”部 分 a.用最快的方法恢复用户受影响的业务，如果不能 快速恢复，则需要主动向用户说明原因并给出大 致的需要时间范围 b. 在处理用户服务请求恢复受影响的业务时，如果 涉及到

12、变更的，需要先走变更管理流程，等待领 导在变更管理上签字后，方可继续恢复 填写事 件处理单 中的“解 决方案” “处置结 果” “完成 时间” 4、满意度 调查 填写事件 处理单中 的“解决方 案” “处置结 果” “完成时 间” a.涉及用户桌面安全事件处理完成后，填写完事 件处理单中相关内容交由用户签字确认，并填 写满意度“好” 、 “一般” 、 “差” b. 将事件处理单交回服务台登记并统一保管 用户在 事件处 理单上 签字并填 写满意度 5、验证处 理结果 填写事件 处理单中 的“解决方 案” “处置结 果” “完成时 间” a.主动发现的安全设备故障等非用户桌面安全事件 及“二线支持”处理的事件，在完成后，需要由 服务台校验完成结果。 通知服务 台校验 “处置结 果” 6、结束 收到用户签 字的事件 处理单或 校验“处置 结果”通知 a.核对事件处理单内容填写是否齐全，不齐全 不予关闭事件， 事件处理单中“完成时间” 亦相应后延 b. 收到