5.4 沟通计划 (Communication Plan)

概述

沟通计划定义了安全事件的内部和外部沟通渠道。目标是快速、一致且符合法律要求的信息共享。

沟通矩阵

内部沟通

严重程度	接收方	渠道	时间范围
SEV-1	安全负责人、DevOps 负责人、管理层、开发团队	Teams（事件频道）+ 电话	立即
SEV-2	安全负责人、DevOps 负责人、受影响的开发团队	Teams（事件频道）	≤ 1 小时
SEV-3	安全负责人、受影响的开发团队	Teams + GitHub Issue	≤ 4 小时
SEV-4	受影响的开发团队	GitHub Issue	≤ 24 小时

外部沟通

接收方	渠道	时间范围	负责人
ENISA / CSIRT	统一报告平台 (Single Reporting Platform)	≤ 24 小时（预警）	安全负责人
受影响用户	GitHub Advisory + 电子邮件	立即（修复后）	安全负责人 + 产品负责人
公众	GitHub Security Advisory	补丁可用后	安全负责人
安全研究人员（CVD）	GitHub Advisory / 电子邮件	根据披露政策	安全负责人

沟通模板

内部初始通知（Teams）

🚨 安全事件 – SEV-[1/2/3/4]

产品：[产品名称] v[版本]
漏洞：[CVE-ID 或简要描述]
严重程度：[CRITICAL/HIGH/MEDIUM/LOW]
是否被积极利用：[是/否/未知]
是否须向 ENISA 报告：[是/否]

状态：[分类/遏制/修复/已关闭]
后续步骤：[描述]
负责人：[姓名]

事件工单：[GitHub Issue 链接]

外部用户通知

安全通知 – [产品名称]

尊敬的用户，

我们已在 [产品名称] 中识别并修复了一个安全漏洞。

受影响版本：[版本]
修复版本：[版本]
严重程度：[CRITICAL/HIGH]
CVE：[CVE-ID]

建议操作：
请更新至版本 [X.Y.Z]。

详情：[安全公告链接]

如有疑问，请联系：disclosure@cra.docs.bauer-group.com

升级路径

SEV-1（严重）：
开发人员 → 安全负责人 → 管理层 → ENISA（24 小时）
                                 → 用户（立即）

SEV-2（高）：
开发人员 → 安全负责人 → 管理层（通知）
                      → 用户（修复后）

SEV-3（中）：
开发人员 → 安全负责人 → 在下一版本中修补

SEV-4（低）：
开发人员 → 待办事项 → 常规发布

Teams 集成

现有的 Teams 通知（teams-notifications.yml）将针对安全事件进行扩展：

• 事件频道： 专用于安全事件的 Teams 频道
• 自动告警： 针对来自 CVE 监控的 CRITICAL/HIGH CVE 发现
• 状态更新： 事件工单状态变更时自动更新

文档记录要求

安全事件相关的所有沟通均须记录：

• 每次沟通的时间戳
• 接收方和渠道
• 内容（摘要）
• 接收确认

该文档是事件工单的一部分，作为面向监管机构的证据。