如何组建网络安全应急响应组织体系

如企业的网络安全突发事件和经营业务的合作方、关联方有密切关系，那么应急办需考虑与合作方、关联方的协调，双方的法人主体地位是平等的，双方应保持密切沟通；出现重大安全事件之后，要考虑引入专业安全服务厂商力量；为企业的网络安全应急响应领导小组设置市场公关职能；网络安全应急响应领导小组对网络安全应急工作进行统一指挥，应急办负责具体执行；应急办需要和相关政府部门及时通报情况，并沟通应急处置事宜；负责人需要在有足够的协调能力的同时，还要有足够的权力。

网络安全应急响应通常由一个网络安全应急响应组织负责提供，网络安全应急响应组织可以是正式的、固定的，也可以是因网络安全事件的发生而临时组建的。对于国家来说，一般要设立专门的网络安全应急响应机构；对于大部分企业来说，可由内部网络安全相关部门负责网络安全应急响应的组织工作，不必设置专门的网络安全应急响应岗位，但是职责的负责人一定要事先明确。网络安全应急响应组织工作涵盖接收、复查、响应各类安全事件报告和活动，并进行相应的协调、研究、分析、统计和处理工作，甚至还可提供安全培训、入侵检测、渗透测试或程序开发等服务，其组织体系的设计要保障网络安全事件发生后，网络安全应急响应的及时到位、快速有效。

一般情况下，企业的网络安全应急响应工作和网络安全保障工作在组织上是合一的。网络安全应急响应工作的组织体系包括内部协调和外部协调。内部协调的对象主体是企业内部组建的网络安全应急响应领导小组（或决策中心）、网络安全保障与应急响应办公室（以下简称“应急办”）、相关业务线或受影响的业务部门、专项保障组，以及技术专家组、顾问组、市场公关组等；外部协调的对象主体包括各相关政府部门、业务关联方、供应商（包括相关的设备供应商、软件供应商、系统集成商、服务提供商等）、专业安全服务厂商等。

值得注意的是，如果企业的网络安全突发事件和经营业务的合作方、关联方有密切关系，那么应急办需考虑与合作方、关联方的协调，双方的法人主体地位是平等的，双方应保持密切沟通。其次，由于通常企业的高级安全人才缺乏，在出现重大安全事件之后，还要考虑引入专业安全服务厂商力量，因为专业安全服务厂商的安全专家应对高级别的网络黑客行为和网络攻击更有经验，在使用工具与制定策略上会更具优势。

另外，还要为企业的网络安全应急响应领导小组设置市场公关职能，因为在新媒体日益普及的环境下，企业越来越重视公共舆论的传播，一旦内部网络发生安全事件，企业一般会在新媒体官方账户上与公众互动，发布企业网络安全应急响应的动态信息等。

在具体职能上，网络安全应急响应领导小组对网络安全应急工作进行统一指挥，应急办负责具体执行。例如，应急办负责各类上报信息的收集和整体态势的研判、信息的对外通报等。相关业务线或受影响的业务部门的协调工作是指，网络安全事件影响了机构或企业的某些业务，使之无法正常运行，甚至瘫痪，需要业务线相关人员参与到网络安全应急响应工作中，配合查明原因，恢复业务。专项保障组在应急办的领导下，承担执行网络系统安全应急处置与保障工作。技术专家组的任务是指导技术实施人员采取有效技术措施，及时诊断网络安全事故、及时响应。顾问组则主要提供总体或专项策略支持。市场公关组负责对外消息的发布，以及应急处置情况的公开沟通与回应。

在外部协调上，应急办需要和相关政府部门及时通报情况，并沟通应急处置事宜。业务关联方、供应商也是外部协调对象。通常来说，专业安全服务厂商也是供应商的一种，但是根据近年来的网络安全应急响应实践，可以发现专业安全服务厂商的作用越来越大，也受到各方的重视，因此在模型中会单独列出。

需要强调的是，应急办是应急响应执行的关键组织保障，其负责人需要在有足够的协调能力的同时，还要有足够的权力，才能调动内部部门、主营业务领域的协同力量。机构内部的顾问组和技术专家组对网络安全应急响应的制度流程建设完善有重要的支撑作用，在网络安全应急响应上也发挥参谋作用，并且需要与软件供应商、设备供应商、系统集成商、服务提供商的相关技术支持人员，以及专业安全服务厂商的支持人员保持密切配合。