危机管理
危机定义
当安全事件出现以下情况时,即构成危机:
- 威胁组织的运作能力
- 同时影响多个系统或站点
- 需要与客户、监管机构或媒体进行外部沟通
- 常规升级路径不足以应对
危机管理团队
| 角色 | 人员 | 职责 |
|---|---|---|
| 危机管理负责人 | 管理层 | 决策、资源调配、外部沟通 |
| 技术负责人 | ISB | 态势感知、技术措施协调 |
| IT运维 | IT主管 | 恢复、系统管理 |
| 沟通负责人 | 管理层/公关 | 客户、监管机构及媒体沟通 |
| 法务/数据保护 | DSB/外部 | DSGVO报告、刑事报案、责任问题 |
危机流程
第一阶段:警报 (< 1小时)
- ISB通过手机通知危机管理团队(系统被入侵时不使用电子邮件)
- 初始态势:已知情况、受影响范围、直接威胁
- 危机管理团队会议(现场或通过备用渠道电话会议)
第二阶段:态势评估 (< 4小时)
- 完整的影响分析
- 决定沟通策略
- 准备BSI报告(如构成需报告的事件)
- 准备客户通知(如受影响)
第三阶段:应对处置(数天至数周)
- 按DR计划协调恢复
- 定期危机管理团队更新(至少每天一次)
- 持续与BSI沟通
- 客户沟通(状态更新)
第四阶段:恢复正常运营
- 验证所有已恢复系统
- 管理层宣布解除危机状态
- 移交至常规运营
第五阶段:总结复盘 (< 30天)
- 全面的事后分析
- BSI结案报告
- 经验教训和行动计划
- 调整DR计划、响应预案和风险分析
危机演练
| 演练类型 | 频率 | 参与人员 |
|---|---|---|
| 桌面推演 | 每年 | 危机管理团队 + IT |
| 沟通演练 | 每年 | 危机管理团队 |
| 技术DR模拟 | 每年 | IT团队 |