1、版本记录版本号版本日期编写人审核人审批人说 明 目录一、概述11.1 适用范围11.2 管理目标11.3 管理范围1二、术语定义12.1 桌面安全:12.2 安全设备:2三、人员角色及职责2四、输入3五、输出3六、流程描述36.1 事件类型36.2 事件影响度36.3 事件紧急度46.4 事件优先级46.5 事件升级表46.6 安全事件处理流程图56.7 安全事件处理流程描述5七、相关记录5八、关键绩效指标6一、 概述1.1 适用范围股份有限公司总部安全运维工作。1.2 管理目标l 规范日常桌面安全服务的处理步骤;l 规范网络安全设备的日常监控及故障处理步骤;l 快速恢复受桌面安全服务及网络安
2、全设备影响的业务;l 明确安全事故的升级步骤。1.3 管理范围l 总部桌面安全现场技术支持;l 网络在线安全设备的监控及响应;l 突发信息安全事件的应急响应;l 为各分支机构提供桌面安全类的电话支持响应。二、 术语定义2.1 桌面安全: 个人PC机操作系统、软件受病毒、木马而影响操作系统、软件正常使用的事件。2.2 安全设备:即网络上正在使用的防火墙设备、入侵防护设备、抗DDOS设备、入侵检测设备、漏洞扫描设备、RSA ACE Server产品及服务器、补丁分发服务器、网络放病毒服务器、垃圾邮件防护系统、网络放病毒服务器、北信源桌面管理系统。2.3 VIP用户总裁、副总裁及同级别领导,各部门总
3、经理、副总经理及同级别领导为VIP用户。VIP用户的服务请求适用于VIP支持流程。三、 人员角色及职责角色职责人员服务台a. 接收用户及主动监控发现的事件b. 对事件进行分类c. 记录事件并监控事件的解决过程d. 根据实际情况分派合适的一线支持人员到用户现场e. 按规定时限上报重大事件f. 通过电话指导解决简单用户事件g. 确认并关闭事件郝志强任春晖一线支持a. 负责监控各设备的运行情况b. 及时处理相关故障和服务台分配的事件c. 对于不能处理的事件,根据实际情况转给合适的二线支持人员,并及时通知到位任春晖郝志强VIP支持负责及时响应和解决深交所内部高层管理人员的事件郝志强二线支持a. 及时处
4、理一线支持无法解决的安全事件b. 及时提供重大安全事件的应急响应服务吴宇轩启明专家团事件经理负责对事件解决过程的监控、升级等进行协调或审批四、 输入输入项来源周期通过电话、邮件提交的安全事件用户日常监控工具或日常维护发现和安全设备相关的事件 运维支持人员、监控工具日常五、 输出输出项去向周期事件处理单服务台日常事件记录台帐服务台日常六、 流程描述6.1 事件类型6.2 事件影响度影响程度定义备注说明重大a. 本公司业务范围内所有用户无法在交易时间内进行交易b. 黑客攻击或误操作等原因导致公司有10亿元及以上的经济损失严重a. 本公司业务范围同时有5个或5个以上省份的用户无法在交易时间内进行交易
5、b. 黑客攻击或误操作等原因导致公司有1亿元及以上的经济损失需要评估每个交易中心会影响多少个营业部,占多少个省份一般公司办公内网用户无法正常办公6.3 事件紧急度紧急程度定义备注说明高a. 交易时间公司交易服务器中断b. 交易时间公司交易网络中断c. 办公时间公司网站内容被纂改中a. 非交易时间公司交易服务器中断b. 非交易时间公司交易网络中断c. 非办公时间公司网站内容被纂改d. 办公时间同时有不同部门共50台或以上终端有相同问题低办公时间个体报告的信息终端故障6.4 事件优先级 影响度级别紧急度一般严重重大低一般一般较大中一般较大重大高重大重大特别重大6.5 事件处置时限事件级别规定的响应
6、时限最后解决时限(工作时间)特别重大5分钟1小时重大15分钟4小时较大1小时8小时一般2小时16小时6.6 事件升级表优先级别通告 (通知路径)特别重大5分钟 当前处理工程师、主管领导、部门领导、分管领导、上级主管部门重大15分钟当前处理工程师、主管领导、部门领导、分管领导较大1小时当前处理工程师、主管领导、部门领导一般4小时当前处理工程师、主管领导、事件发起人6.7 安全事件处理流程图6.8 安全事件处理流程描述步骤输入步骤描述输出1、记录电话、电子邮件、主动发现a. 接受用户通过电话、电子邮件发出的服务请求b. 接受安全运维主动发现的安全设备故障、安全事件c. 填写事件处理单“事件描述”及
7、以上部分内容d. 判断是否为VIP用户,如果为VIP用户则将事件处理单派发给VIP支持处理e. 判断服务请求用户为非VIP用户,则判断事件的优先级,优先级如果为“高”则直接联系“二线支持”予以解决;优先级如果为“中”,则由“一线支持”中技术水平较高者解决;优先级为“低”则可视情况派发给任意在场“一线支持”事件处理单2、调查诊断事件处理单a. “一线支持”收到事件处理单处理单后,填写“受理人”为本人姓名,“受理时间”为接到事件处理单的时间,到用户处判断事件是否为病毒、木马等安全事件,如果不是则在事件处理单中写明“原因分析”,“解决方案”为“通知用户联系联想技术支持解决”并交用户签字确认b. “一
8、线支持”收到事件处理单处理单后,填写“受理人”为本人姓名,“受理时间”为接到事件处理单的时间,到用户处判断事件是否为病毒、木马等安全事件,如果是安全事件则需进行调查诊断并判断本人是否能处理,如不能处理应及时联系其它“一线支持”进行解决,如果所有“一线支持”都不能解决,则需要及时通知“二线支持”协助解决c. “二线支持”在收到服务台的安全事件处理请求后,按“安全事件应急”的相关要求进行响应和解决d. “VIP支持”收到事件处理单后到达用户现场,无论是否安全事件,在能力范围内的都必须处理不得推卸填写事件处理单“原因分析”部分3、处理恢复填写事件处理单“原因分析”部分a. 用最快的方法恢复用户受影响
9、的业务,如果不能快速恢复,则需要主动向用户说明原因并给出大致的需要时间范围b. 在处理用户服务请求恢复受影响的业务时,如果涉及到变更的,需要先走变更管理流程,等待领导在变更管理上签字后,方可继续恢复填写事件处理单中的“解决方案”“处置结果”“完成时间”4、满意度调查填写事件处理单中的“解决方案”“处置结果”“完成时间”a. 涉及用户桌面安全事件处理完成后,填写完事件处理单中相关内容交由用户签字确认,并填写满意度“好”、“一般”、“差”b. 将事件处理单交回服务台登记并统一保管用户在事件处理单上签字并填写满意度5、验证处理结果填写事件处理单中的“解决方案”“处置结果”“完成时间”a. 主动发现的安全设备故障等非用户桌面安全事件及“二线支持”处理的事件,在完成后,需要由服务台校验完成结果。通知服务台校验“处置结果”6、结束收到用户签字的事件处理单或校验“处置结果”通知a. 核对事件处理单内容填写是否齐全,不齐全不予关闭事件,事件处理单中“完成时间”亦相应后延b. 收到校验“处置结果”通知后对“处置结果”进行校验,确认处置完成后关闭事件关闭事件,在事件记录台帐中登记事件七、 相关记录见第五章输出项。八、 关键绩效指标KPI目标值衡量方式周期负责人事件经理 及时解决率事件经理一线解决率根据事件记录台帐中“事件受理人”和“事件处理人”是否均为一线工程师的数量占所有事件的数量百分比事件经理