取证与应急响应
事件响应计划
别称: IRP, 网络事件响应计划
定义
经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
事件响应计划(IRP)将策略转化为可执行步骤,明确角色(事件指挥官、沟通负责人、法律联络人)、严重性分级、上报路径、通讯模板、证据处理流程及外部联系人(执法部门、监管机构、应急服务商)。大多数 IRP 依据 NIST SP 800-61 生命周期,并集成针对勒索软件、BEC、数据外泄、内部威胁等常见情景的剧本。计划必须通过桌面与实战演练进行验证,在每次事件后更新,并在大范围中断时仍可离线访问。GDPR、HIPAA、NIS2 等监管要求企业具备文档化的事件响应能力。
示例
- 勒索软件剧本在 30 分钟内触发隔离、信息封控并启用应急服务商。
- 由 DPO 主导的个人数据泄露通报流程,符合 GDPR 72 小时通知要求。
相关术语
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
桌面演练
以讨论为主的模拟演练,相关方按既定情景推演假想的网络事件,检验计划、角色、决策与沟通。
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
GDPR(欧盟通用数据保护条例)
欧盟通用数据保护条例,规范对位于欧盟和欧洲经济区个人的个人数据处理活动。
Business Impact Analysis (BIA)
Business Impact Analysis (BIA) — definition coming soon.
安全运营中心(SOC)
集中化的团队与设施,持续监控、检测、调查并响应组织 IT 环境中的网络安全事件。