Bei Beny:
Wir legen Wert auf die verantwortungsvolle Offenlegung und Handhabung von Schwachstellen und schätzen die Beiträge aller Sicherheitsforscher sehr. Wenn Sie auf eine Schwachstelle stoßen, bitten wir Sie, diese umgehend an Beny@zjbeny.com zu melden. Seien Sie versichert, dass unser Team Ihren Bericht sorgfältig prüfen und Ihnen zeitnah Feedback geben wird. Um die Sicherheit unserer Benutzer und Unternehmen zu gewährleisten, bitten wir Sie, die Schwachstelle nicht offenzulegen oder weiterzugeben, bis sie wirksam behoben wurde.
Handhabungsprozess:
- Während des Produktbetriebs entdeckte Netzwerksicherheitsprobleme werden Beny direkt per E-Mail an Beny@zjbeny.com gemeldet.
- Nach Erhalt des Problems organisiert Beny umgehend ein Forschungs- und Entwicklungsteam, um eine Problemanalyse durchzuführen und innerhalb von 72 Stunden einen Problemanalysebericht und eine Lösung bereitzustellen.
- Während der gesamten Dauer der Lösung des Netzwerksicherheitsvorfalls stellt Benywill dem entsprechenden Personal wöchentlich Fortschrittsberichte zur Verfügung und lässt die Verantwortlichen aller relevanten Teams den „Vorfallüberprüfungsbericht“ überprüfen, um den Abschluss der Vorfallbearbeitungsarbeiten zu bestätigen.
- Nachdem die neue Software von der Softwaretestabteilung ohne Probleme getestet wurde, wird ein Testbericht bereitgestellt. Basierend auf dem Testbericht entscheidet die Forschungs- und Entwicklungsabteilung, ob ein Upgrade erforderlich ist. Wenn ein Upgrade erforderlich ist, gibt das Forschungs- und Entwicklungsteam dem Kundendienstteam eine Empfehlung für einen Versionsupgradeplan. Nach der Genehmigung durch das Kundendienstteam führen beide Teams gemeinsam das Softwareupgrade für Betriebsterminals und Produktionshardware durch.
- Nach Abschluss des Upgrades führt das F&E-Team eine umfassende Prüfung des Vorfalls durch und erstellt einen „Vorfallprüfungsbericht“ (einschließlich der Ermittlung der Problemursache, der Maßnahmen zur Problembehebung und der nachfolgenden Verbesserungsmaßnahmen).
- Während der gesamten Lösung des Netzwerksicherheitsvorfalls informiert das Forschungs- und Entwicklungsteam die entsprechenden Mitarbeiter täglich über den Fortschritt und die Verantwortlichen aller relevanten Teams überprüfen den „Vorfallüberprüfungsbericht“, um den Abschluss der Vorfallbehandlung zu bestätigen.
- Die ersten Reaktionszeiten werden auf Grundlage der veröffentlichten Richtlinie zur Offenlegung von Sicherheitslücken definiert. Normalerweise wird innerhalb von 90 Tagen nach Erhalt des Sicherheitslückenberichts ein Fix oder eine Warnung veröffentlicht. Sobald ein Fix veröffentlicht wurde, wird die Warnung zurückgezogen.
Reaktions- und Bearbeitungszeiten
Service-Ebene | Ebenenname | Leveldefinition | Service-Level-Vereinbarung | Reaktionszeit im Notfall | Systemwiederherstellungszeit |
L0 | Kernleistungen | Alle Ausnahmen wirken sich auf alle primären Geschäftstätigkeiten aus | 20 m | 7 Tage | 30 Tage |
L1 | Kritische Dienste | Ausnahmen werden sich auf den Geschäftsbetrieb einiger Zweigstellen auswirken | 20 m | 10 Tage | 30 Tage |
L2 | Allgemeine Dienstleistungen | Ausnahmen haben keine Auswirkungen auf wichtige Geschäftsprozesse | 20 m | 15 Tage | 60 Tage |
Stufe 3 | Zusätzliche Services | Ausnahmen sind für Benutzer nicht wahrnehmbar | 20 m | 30 Tage | 90 Tage |
Hinweis: Die oben genannten Reaktions- und Bearbeitungszeiten sind für jedes Servicelevel definiert. Die „Notfallreaktionszeit“ bezieht sich auf die Zeit, innerhalb derer eine Reaktion zur Behebung eines Problems eingeleitet wird, während die „Systemwiederherstellungszeit“ sich auf die Zeit bezieht, die benötigt wird, um das System nach einem Vorfall vollständig wiederherzustellen und den normalen Betrieb wieder aufzunehmen.