Procedures 操作步骤
执行特定安全任务的分步指令。如果 Policy 说”必须备份数据”,Procedure 就告诉你”周一凌晨 3 点用 Veeam 备份到 S3,验证 hash,记录到 ticket 系统”。
Policy / Standard / Procedure
| 层级 | 回答的问题 |
|---|---|
| Policy | 我们要做什么、为什么 |
| Standard | 用什么规格做 |
| Procedure | 具体怎么做,一步一步 |
常见的安全 Procedure
- Incident Response Procedure —— 发现入侵后的逐步动作
- User Onboarding Procedure —— 新员工开账号、配权限
- Patch Management Procedure —— 补丁测试、上线、回滚
- Backup & Restore Procedure —— 备份验证、恢复演练
- Access Review Procedure —— 季度账号审查
为啥 Procedure 不能省
出事的时候没人有时间现想 —— 凌晨 3 点遇到勒索软件,SOC 工程师能不能 5 分钟内启动响应,靠的就是写好的 Procedure。也是 playbook 的基础。
跟 事件响应 强相关。