主讲:老孙
适用:2026年下半年系统规划与管理师考试
预计阅读时间:45分钟
一、上节回顾
上一讲讲了 CIA、等保 2.0、纵深防御 7 层、风险评估。
今天进入 信息安全规划的"下篇"——安全策略制定与应急响应。
1.1 上一讲思考题点评
我看到一份精彩的"7 层防御自评"作业,来自一位国企信息中心主任:
"用 7 层模型评估我们集团,前 4 层都做了但后 3 层(应用/数据/身份)薄弱——这是过去 5 年安全事件的根因。重新规划后 1 年内显著改善。"
这就是规划师的视角——系统化思考,不漏不重。
二、本讲导读
2.1 学习目标
学完这一讲,你应该能够:
- 【是什么】 准确说出安全策略的核心组成、应急响应的四阶段、安全运营(SOC)的运作。
- 【为什么】 理解为什么"策略+应急"是安全规划的执行落地。
- 【怎么用】 能为清华园物业设计完整的应急响应预案。
2.2 本讲在课程地图中的位置
本讲对标教材 第9章 信息安全规划 后半部分。
【虚构案例提示】 本讲涉及"智慧邻里2.0项目""清华园物业""北京知知致用信息技术有限公司"均为培训教学所用的虚拟项目与虚构人物(详见第01讲首次案例声明)。
三、安全策略制定
3.1 安全策略是什么
安全策略(Security Policy):组织对信息安全的整体方针、原则、规则。
教材定义:
安全策略是组织对其信息资产保护的总体描述,涵盖管理、技术、运营各层面。
3.2 安全策略的"7 层体系"
第 1 层:总体安全方针
- 由 CEO 签发
- 描述安全愿景、目标、原则
第 2 层:领域安全策略
- 网络安全策略
- 应用安全策略
- 数据安全策略
- 终端安全策略
- 物理安全策略
第 3 层:操作规范
- 密码管理规范
- 访问控制规范
- 日志审计规范
- 备份恢复规范
第 4 层:工作程序
- 详细操作步骤
第 5 层:表单模板
- 申请表
- 报告模板
第 6 层:技术标准
- 加密标准
- 配置基线
第 7 层:作业指导书
- 一线操作手册
7 层 = 完整安全策略体系——从顶层方针到一线作业。
3.3 安全策略的"5 大要素"
每份安全策略必含 5 大要素:
要素 1:目的
为什么要这个策略
要素 2:适用范围
策略覆盖谁
要素 3:具体规定
做什么 / 不做什么
要素 4:责任人
谁负责执行 / 谁负责监督
要素 5:违规处理
违反了怎么办
5 要素齐备 = 一份合格的安全策略。
3.4 案例锚点:清华园物业的安全策略
清华园物业的 总体安全方针:
"保护业主信息与隐私,遵守等保 2.0 与个保法,建立纵深防御体系,确保社区数字化服务安全可靠。"
关键策略:
- 密码管理:复杂密码 + 季度更换
- 访问控制:最小权限 + 定期审计
- 数据保护:分类分级 + 加密存储
- 备份恢复:每日备份 + 异地保存
- 应急响应:4 级事件分级 + 响应时限
这是中型企业安全策略的标配。
四、应急响应
4.1 应急响应的核心
应急响应(Incident Response,IR):信息安全事件发生时的处置体系。
核心理念:
不是"会不会出事",而是"出事多快能处置"。
4.2 应急响应的"4 阶段"
阶段 1:准备(Preparation)
- 应急预案
- 应急团队
- 应急工具
- 培训演练
阶段 2:检测分析(Detection & Analysis)
- 监控告警
- 事件识别
- 影响评估
阶段 3:遏制根除恢复(Containment, Eradication, Recovery)
- 遏制扩散
- 根除威胁
- 业务恢复
阶段 4:事后总结(Post-Incident Activity)
- 复盘分析
- 改进措施
- 文档归档
4 阶段是必考点——记住"准备-检测-处置-总结"。
4.3 应急响应的"GB/T 国家标准"
中国应急响应国家标准:
- GB/T 20985.1-2017:信息技术 安全技术 信息安全事件管理
- GB/T 28827.3-2012:信息技术服务 应急响应规范
两个国标必须知道。
4.4 信息安全事件分级
4 个等级:
| 等级 | 名称 | 影响 |
|---|---|---|
| 一级 | 特别重大 | 国家级影响 |
| 二级 | 重大 | 区域级影响 |
| 三级 | 较大 | 行业级影响 |
| 四级 | 一般 | 单位级影响 |
响应时限要求:
- 一级:1 小时上报
- 二级:4 小时上报
- 三级:8 小时上报
- 四级:24 小时上报
这是必考点。
4.5 案例锚点:清华园物业的应急预案
清华园物业的 简化版应急预案:
事件分类:
- 业主信息泄露
- 系统宕机
- 网络攻击
- 数据丢失
- 物理事件(火灾、洪水)
事件分级:
- 4 级一般:1 户业主信息泄露
- 3 级较大:100 户业主信息泄露
- 2 级重大:500 户业主信息泄露 + 公开影响
响应组织:
- 总指挥:李经理
- 技术处置:张主管
- 业务协调:客服主管
- 外部支援:知知致用 24h 热线
响应时间:
- 4 级:30 分钟启动
- 3 级:10 分钟启动
- 2 级:5 分钟启动
演练频次:每年 2 次(半年 1 次)
这是中型企业应急预案的标配。
五、安全运营中心(SOC)
5.1 SOC 是什么
SOC(Security Operations Center):7x24 监控分析与响应信息安全事件的运营中心。
5.2 SOC 的"3 大能力"
能力 1:监控
- 实时监控全网安全事件
- 自动告警
能力 2:分析
- 事件研判
- 关联分析
- 威胁情报
能力 3:响应
- 应急处置
- 事件追踪
- 协同处置
5.3 SOC 的"3 代演进"
第一代 SOC(2000-2010):
- 以日志收集为主
- 人工分析为主
第二代 SOC(2010-2020):
- SIEM(安全信息事件管理)
- 自动化告警
- 部分自动化响应
第三代 SOC(2020-):
- AI 驱动
- SOAR(编排自动化响应)
- 威胁情报融合
- 全链路自动化
SOC 是大型企业的标配 ——中型企业可以选择"托管 SOC"(MSSP)。
5.4 案例锚点:清华园物业的"轻量级 SOC"
清华园物业采用 托管 SOC:
- 自建:基本监控 + 告警
- 托管:复杂分析 + 应急响应
供应商:知知致用提供 24h 安全监控服务
月费:约 5000 元(性价比高)
这是中小企业的最佳选择。