信息安全事件与应急响应管理规范V1.0
LT
第 I 页 共 12 页
第 I 页 共 12 页
第 I 页 共 12 页
第 I 页 共 12 页
1. 目的
为建立健全虹微网络安全事件处理工作机制,提高网络安全事件处理能力和水平,保障公司的整体信息系统安全,减少信息安全事件所造成的损失,采取有效的纠正与预防措施,特制定本规范。
2. 适用范围
本文档适用于公司建立的信息安全管理体系。
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
本程序适用于公司全体员工;适用于公司的信息安全事故、弱点和故障的管理。
3. 工作原则
统一指挥机制原则:在进行信息系统安全应急处置工作过程中,各部门的人员应服从
各级信息系统突发安全事件处置领导小组的统一指挥。
谁运行、谁主管、谁处置的原则:各类信息系统的责任部门要按照公司统一要求,制
定和维护本部门信息系统运行安全应急子预案,并组织或督促相关部门制定和维护本部门应用系统的应急子预案,认真根据应急预案进行演练与应急处置工作。 以人为本,最小损失原则:应对信息系统突发安全事件的各项措施均应以人为本,最
大程度地减少信息系统突发安全事件造成的危害和损失。
居安思危,预防为主原则:高度重视信息系统突发安全事件预防工作,常抓不懈,防
患于未然。增强忧患意识,坚持做好信息系统日常监控与运行维护工作,坚持预防与应急相结合,做好应对信息系统突发安全事件的各项准备工作。
分级响应和管理原则:在各类子预案和工作制度中应对信息系统突发安全事件制定科
学的等级标准,各部门要依据规定权限及程序及时预防、预警、控制、解决本级职责范围内的信息系统突发安全事件。
第 1 页 共 12 页
保密原则:参与信息系统突发安全事件处置工作的人员应严守公司保密规定,未经授
权不得向外界提供与处置有关的工作信息,不得利用工作中获得的信息牟取私利。
4. 组织体系和职责
所有人员(包含正式员工、合同雇佣人员、实习生、临时人员等)发现疑似信息安全
异常事件时,都负有实时通报的责任。
各部门信息安全专员是信息安全事件的识别和响应的联络窗口,负责配合安全服务
部,进行安全事件处理。
信息安全执行小组由各部门负责信息安全工作的人员以及安全服务部组成,是信息安
全事件处理的权责单位,具有如下职责:
(一) (二) (三) (四)
评审和更新公司的信息安全事件管理规范; 协调和监督信息安全事件纠正和预防措施的执行;
组织调查信息安全事件,配合有关部门进行计算机犯罪案件的调查; 向信息安全委员会报告并提出处理意见。
信息安全委员会由公司领导层组成,会应对信息安全事件处理机制进行统筹和规划,
具有如下职责:
(一) 指导虹微信息安全事件的防范与应急处置工作; (二) 推动虹微信息安全事件应急响应机制的建立。
5. 信息安全事件分类和分级
5.1. 信息安全事件分类
从事件内容分为信息系统攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件、其他事件。 5.1.1 信息系统攻击事件
信息系统攻击事件是指通过网络攻击、有害程序或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,造成信息系统异常或对信
第 2 页 共 12 页
息系统当前运行造成潜在危害的信息安全事件。信息系统攻击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。 5.1.2 信息破坏事件
信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等 5.1.3 信息内容安全事件
信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。 5.1.4 设备设施故障
设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故等。 5.1.5 灾害性事件
灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害类事件包括水灾、台风、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的信息安全突发事件。
5.1.6 其他信息安全事件
指不能归为以上5类的信息安全突发事件。 5.2. 安全事件的分级
根据信息系统的重要程度、系统损失和社会影响,将信息安全事件划分为四个级别:特别重大信息安全事件(一级)、重大信息安全事件(二级)、较大信息安全事件(三级)和一般信息安全事件(四级)。
第 3 页 共 12 页
5.2.1 特别重大信息安全事件(一级)
特别重大信息安全事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
(一) (二)
会使特别重要信息系统遭受特别严重的系统损失; 产生特别重大的社会影响。
5.2.2 重大信息安全事件(二级)
重大信息安全事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况: (一)
会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的
系统损失; (二)
产生的重大的社会影响。
5.2.3 较大信息安全事件(三级)
较大信息安全事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况: (一)
会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统
损失、一般信息信息系统遭受特别严重的系统损失; (二)
产生较大的社会影响。
5.2.4 一般信息安全事件(四级)
一般信息安全事件是指不满足以上条件的信息安全事件,包括以下情况: (一)
会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统
损失,一般信息系统遭受严重或严重以下级别的系统损失; (二)
产生一般的社会影响。
6. 应急处置
(一)
当信息安全事件发生时,应根据事件类型及影响规定汇报角色和处理流程。
第 4 页 共 12 页
1) 公司内部员工发现疑似信息安全事件或收到外部报告的信息安全事件时,由发现人依
事件归属通报部门信息安全专员并告知直属主管;
2) 各室部门信息安全专员在发生信息安全事件时,应立即向信息安全执行小组报告。 (二)
信息安全事件汇报内容应涵盖事件发生的事实、可能影响的范围、损失评估、需
要的支持、采取的应对措施等。 (三)
信息安全执行小组在收到报告后,应对事件进行判断和分析:
1) 判定为非信息安全事件时,将结果回复发现人。
2) 判定为信息安全事件时,则进一步分析事件影响,并按公司相关制度流程进行处理: 当发生一般信息安全事件或较大信息安全事件时,由信息安全执行小组处理,并采
取相关的纠正及预防措施,以防止类似事件发生。
当发生重大信息安全事件或特别重大信息安全事件时,应上报信息安全委员会,并由
信息安全执行小组根据信息安全委员会的决策对事件进行处理。
处理过程中如发现造成的影响大于原先判定事件,应重新执行事件分析。 (四)
处理信息安全事件时,若需部门内部资源,则由信息安全执行小组沟通协调工作;
如需部门外部资源协助,则由信息安全委员会进行协调。当重大信息安全事件发生需对外说明时,由公司的对外窗口统一对外说明情况与处置方式。 (五)
如遇危及人员生命的信息安全事件时,应立刻对人员进行施救,并向其他组织请
求支援。事后再由信息安全专员向信息安全执行小组进行汇报。 (六)
公司应建立相应机制,监视并记录信息安全事件,并对其类型、数量和造成损失
的代价进行统计。 (七)
当一个信息安全事件涉及民事或刑事诉讼,需要进行司法取证时,应注意:
设备封存过程需当事人、调查者及司法鉴定部门同时在场,封存处必须有各方签字; 数据的保存和证据的挖掘过程均需司法鉴定部门在场,以确保数据的完整性和可靠
性;
司法鉴定机构需对获取证据的过程出具司法鉴定报告
第 5 页 共 12 页
(八) 针对信息安全事件的处理时间;
响应时间 2小时 1小时 30分钟 15分钟 安全事件等级 四级 三级 二级 一级 故障处理时间 2个工作日 1个工作日 3小时 1小时 7. 奖励与处罚
(一) (二) (三)
员工发现疑似信息安全事件并及时汇报后,应给予一定奖励。 员工及时妥善处理信息安全事件后,应给予一定奖励。
在信息安全事件响应后,应对事件的进行评定,如果信息安全事件属于人为信息
安全事件的,信息安全执行小组应根据信息安全事件的等级(参见本制度第5章)决定对该员工的惩罚级别,并提交信息安全违规人员处置建议给人力资源部。 (四)
员工造成严重的信息安全事件(特别重大事件和重大事件)时,人力资源部应对
其部门负责领导相应惩罚。如果员工的违规行为违反了国家的法律法规,按法律法规移交司法机关进行处理。 (五)
详细奖惩规定参见《信息安全奖惩管理办法》
8. 后期处置
安全事件应急处理结束后,及时对本次安全事件发生的原因、事件规模进行调查,估算事件损失后果,对应急处理手段效果和后续风险进行评估,总结应急处理的经验教训并提出改进建议。
9. 解释
本管理办法由信息安全服务部负责解释。
第 6 页 共 12 页
10. 附录
附件一:UNIX/Linux应急响应检查指南
第 7 页 共 12 页
因篇幅问题不能全部显示,请点此查看更多更全内容