incident-response-template

# 事件响应报告模板 ## 事件摘要 **事件 ID**: INC-2025-XXX **严重程度**: [P0 - 紧急 | P1 - 高 | P2 - 中 | P3 - 低] **状态**: [开启 | 已控制 | 已解决 | 已关闭] **事件指挥官**: [姓名] **开启日期**: YYYY-MM-DD HH:MM UTC **关闭日期**: YYYY-MM-DD HH:MM UTC **执行摘要**: [简要描述事件经过、影响及解决方案，2-3 句话] --- ## 事件详情 ### 分类 - **事件类型**: [恶意软件 | 网络钓鱼 | 数据泄露 | DDoS | 未经授权访问 | 其他] - **攻击向量**: [电子邮件 | Web 应用 | 网络 | 物理 | 社会工程学 | 其他] - **受影响资产**: [列出受影响的系统、应用程序或数据] ### 时间线 | 时间 (UTC) | 事件 | 采取的行动 | 负责人 | |-----------|-------|--------------|-------| | 2025-01-15 14:23 | SIEM 警报：异常出站流量 | 分析师开始调查 | SOC 分析师 | | 2025-01-15 14:30 | 确认 web-01 存在恶意软件 | 服务器从网络隔离 | SOC 分析师 | | 2025-01-15 14:45 | 激活 CIRT | 指派事件指挥官 | 安全经理 | | 2025-01-15 15:00 | 确定根本原因 | 漏洞评估 | 安全工程师 | | 2025-01-15 16:00 | 所有系统应用补丁 | 系统已打补丁并重启 | IT 运维 | | 2025-01-15 18:00 | 取证分析完成 | 证据收集 | 取证分析师 | | 2025-01-17 10:00 | 系统恢复生产 | 监控已部署 | IT 运维 | | 2025-01-17 12:00 | 事件关闭 | 安排事后审查 | 事件指挥官 | --- ## 影响评估 ### 受影响系统 - **生产系统**: [数量及列表] - **开发/测试系统**: [数量及列表] - **用户账户**: [受影响数量] ### 数据影响 - **数据机密性**: [无 | 低 | 中 | 高 | 极高] - 个人身份信息 (PII): [是/否，如适用请注明数量] - 受保护健康信息 (PHI): [是/否，如适用请注明数量] - 财务数据: [是/否，如适用请注明数量] - 知识产权: [是/否] - 其他敏感数据: [具体说明] - **数据完整性**: [无 | 低 | 中 | 高 | 极高] - 数据被修改或损坏: [是/否，请描述] - **数据可用性**: [无 | 低 | 中 | 高 | 极高] - 系统离线: [持续时间] - 服务不可用: [列表] ### 业务影响 - **停机时间**: X 小时 - **预估财务损失**: $X,XXX - 直接成本（响应、恢复）: $X,XXX - 间接