事件响应计划 / Incident Response Plan
分级与触发 / Severity & Triggers
- 影响亚马逊数据(含PII)的任何疑似或已确认事件均为高优先级。
- 触发来源:安全告警、异常流量、入侵指示、供应商通报、客户报障。
流程与时间线 / Workflow & Timeline
- 识别 Identify:收到告警后立即成立跨职能小组。
- 遏制 Contain:隔离受影响资产、吊销可疑凭证、临时访问最小化。
- 评估 Assess:T+8小时内完成初步范围与影响评估。
- 通报 Notify:如涉及亚马逊数据,T+24小时内通知
security@amazon.com;并通知受影响客户。 - 修复 Remediate:修补漏洞、恢复服务、验证有效性与回归测试。
- 复盘 Review:T+7天内完成根因分析与改进计划。
角色与职责 / Roles & Responsibilities
- 安全负责人(Security Lead):全局协调与对外沟通。
- 运维与工程(Ops/Eng):技术处置、日志与取证、修复实施。
- 法务与合规(Legal/Compliance):法规评估与对外披露建议。
- 客服(Support):面向客户的沟通与指引。
取证与证据保全 / Forensics & Evidence
- 保全相关日志、镜像、变更记录与通信记录 ≥ 180 天。
- 仅授权人员可访问,访问全程审计。
沟通模板 / Communication Templates
主题:关于安全事件的通知 / Security Incident Notice
内容:事件概述、影响范围、已采取措施、建议行动、联系人与后续更新计划。
内容:事件概述、影响范围、已采取措施、建议行动、联系人与后续更新计划。
演练与改进 / Drills & Improvement
- 至少每年一次全流程演练;重要架构变更后进行针对性演练。
- 每次事件/演练后更新本计划与相关SOP。