STD-ISIR-ANX-A
Checklist da Primeira Hora
Objetivo
Padronizar os primeiros 60 minutos de resposta. Este checklist deve ser adotado por todos os processos e procedimentos de 2º e 3º nível.
Uso mandatório
Deve ser adotado explicitamente pelo PRC-ISIR-001, pelo PRO-ISIR-001 e por todos os procedimentos específicos de cenário.
Checklist
Minutos 0–15
- Abrir caso no system of record.
- Registrar fonte do alerta, horário e hipótese inicial.
- Classificar como evento, suspeita ou incidente ativo.
- Verificar necessidade de contenção imediata.
- Preservar logs e fontes voláteis prioritárias.
Minutos 15–30
- Refinar severidade.
- Nomear Incident Commander quando aplicável.
- Abrir war room técnica.
- Estimar magnitude preliminar e blast radius.
- Definir trilhas paralelas do caso.
Minutos 30–60
- Consolidar cronologia inicial.
- Revisar impacto de negócio.
- Definir plano da próxima hora.
- Confirmar se a trilha de evidências está adequada.
Documentos relacionados
- PRC-ISIR-001 — Processo de Gestão de Eventos e Incidentes de Segurança da Informação
- PRO-ISIR-001 — Procedimento Corporativo de Gestão de Eventos e Incidentes de Segurança da Informação
- PRO-ISIR-PB-01 — Procedimento Específico — Ransomware
- PRO-ISIR-PB-02 — Procedimento Específico — Exfiltração / Data Breach
- PRO-ISIR-PB-03 — Procedimento Específico — Credencial privilegiada comprometida
- PRO-ISIR-PB-04 — Procedimento Específico — Cloud / IAM / Token / Chave
- PRO-ISIR-PB-05 — Procedimento Específico — Aplicação / API / WAF bypass
- PRO-ISIR-PB-06 — Procedimento Específico — Insider / fraude / sabotagem
- PRO-ISIR-PB-07 — Procedimento Específico — Terceiro / fornecedor / integração