Question

关于应急响应，有针对性的国家标准可供参考：

·GB/T 24363-2009《信息安全应急响应计划规范》。

·GB/Z 20985-2007《信息安全事件管理指南》。

·GB/Z 20986-2007《信息安全事件分类分级指南》。

针对金融行业，银监会印发过《银行业重要信息系统突发事件应急管理规范（试行）》《银行、证券跨行业信息系统突发事件应急处置工作指引》等。

此外，PDCERF 模型将应急响应分为准备（Preparation）、检测（Detection）、抑制（Con-tainment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）六个阶段：

1）准备。在事件未发生时的准备工作，包括策略、计划、规范文档及具体的技术工具和平台。

2）检测。初步判断是什么类型的问题，受影响的系统及严重程度。

3）抑制。限制攻击、破坏所波及的范围，通俗地讲叫“止血”。

4）根除。对事件发生的原因进行分析，彻底解决问题，避免在同一个问题上再次犯错。

5）恢复。把业务恢复至正常水平。

6）跟踪。落实整改措施并监控是否有异常，即安全运营中的持续改进。

有了这些标准、模型或指引，企业需要结合自身实际情况制订自己的应急响应规范，包括事件的分类分级、组织与职责、处理流程，甚至安全事件分析处理结果模板等。