《安全事件管理办法.docx》由会员分享,可在线阅读,更多相关《安全事件管理办法.docx(5页珍藏版)》请在课桌文档上搜索。
1、安全事件管理办法文件编号:1 总则1.1 为加强对公司(简称“”或“公司”,下同)的信息安全事件管理,确保信息安全事件发生时能迅速按照通报程序进行通报,并采取必要的应对措施降低事件可能带来的损害,保隙的日常安全维护,本洋统一指挥、最小损失、分级响应与管理的原则,根据事件处理相关制度以及信息安全管理的要求,特制定本管理办法。1.2 信息安全管理体系根据ISo/IEC27001:2013中的要求建立与运行。本管理办法为信息安全管理体系文档的二级文档(参见信息安全管理体系运行管理办法中对于信息安全管理体系文档的定义),为信息安全规则之一,适用于全体员工(包含正式员工、劳务派遣员工、合同雇佣人员、实习
2、生、临时人员等)、合同方和接入机构等第三方用户。1.3 本管理办法主要涵盖信息安全管理体系对信息安全事件处理及事故后改进机制的要求,定义了信息安全事件管理流程中相关的规则和步骤,以及支持信息安全事件管理流程相关的人员职责。1.4 各部门和境外分支机构可以根据自身情况制定单独的安全规则和管理规定,但原则上不得低于本管理办法的要求或相悖于本管理办法之内容;如有特殊情况不能满足本管理办法的,应当提出书面说明并经信息安全办公室审批通过方可施行。2 人员职责2.1 所有员工发现疑似信息安全异常事件时,都负有实时通报的责任。2.2 各部门(或室组)信息安全管理员是信息安全事件识别和响应的联络窗口,负责本部
3、门(或室组)的安全事件处理,具有以下职责:1 .评审和更新本部门(或室组)的信息安全事件管理规则或管理规定;2 .协调和监督本部门(或室组)信息安全事件纠正和预防措施的执行。2.3 信息安全办公室应贯彻和监督公司信息安全事件处理流程,具有如下职责:1 .组织调查信息安全事件,配合有关部门进行计算机犯罪案件的调查;2 .向信息安全委员会报告并提出处理意见。2.4 信息安全委员会应对信息安全事件处理机制进行统筹和规划,具有如下职责:1 .指导信息安全事件的防范与应急处置工作;2 .推动信息安全事件应急响应机制的建立。3 信息安全事件的分类和分级3.1 从事件发起主体分为人为安全事件和软硬件及系统故
4、障事件:1 .人为安全事件是指是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件:或由于人为的遗失、误操作以及其他无意行为造成文档或信息系统硬件、软件、数据等遭到破坏,影响信息系统正常运行的信息安全事件;2 .软硬件及系统故障事件是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件对信息系统造成危害,或对社会造成负面影响的事件。3.2 从事件内容分为信息系统攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件、其他事件:1 .信息系统攻击事件是指通过网络攻击、有害程序或其他技术手段,利用信息系统的配
5、置缺陷、协议映陷、程序缺陷或使用暴力攻击对信息系统实施攻击,造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件;2 .信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件;3 .信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件;4 .设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件;5 .灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。3.3 根据信息系统的重要程度、
6、系统战失和社会影响,将信息安全事件划分为四个级别:特别重大信息安全事件、重大信息安全事件、较大信息安全事件和一般信息安全事件:1 .特别重大信息安全事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:a)会使特别重要信息系统遭受特别严重的系统损失;b)产生特别重大的社会影响。2 .重大信息安全事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:a)会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;b)产生的重大的社会影响。3 .较大信息安全事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:a)会使特别重要信息系统遭受较大的系统损失、
7、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;b)产生较大的社会影响。4 .一般信息安全事件是指不满足以上条件的信息安全事件,包括以下情况:a)会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;b)产生一般的社会影响。4 信息安全事件处理4.1 当信息安全事件发生时,应根据事件类型及影响规定汇报角色和处理流程。4.2 信息安全事件汇报内容应涵盖事件发生的事实、可能影响的范围、损失评估、需要的支持、采取的应对措施等。4.3 处理信息安全事件时,若需部门内部资源,则由该部门信息安全安全管理员沟通协
8、调工作;如需部门外部资源协助,则由信息安全办公室进行协调。当重大信息安全事件发生需对外说明时,由公司的对外窗口统一对外说明情况与处置方式。4.4 如遇危及人员生命的信息安全事件时,应立刻对人员进行施救,并向其他组织请求支援。事后再由所在部门信息安全管理员向信息安全办公室进行汇报。4.5 有关是否启动业务连续性计划,依信息系统应急响应和业务连续性管理办法执行。4.6 公司应建立相应机制,监视并记录信息安全事件,并对其类型、数量和造成损失的代价进行统计。4.7 当一个信息安全事件涉及民事或刑事诉讼,需要进行司法取证时,应注意:1 .设备封存过程需当事人、调查者及司法鉴定部门同时在场,封存处必须有各
9、方签字;2 .数据的保存和证据的挖掘过程均需司法鉴定部门在场,以确保数据的完整性和可靠性;3 .司法鉴定机构需对获取证据的过程出具司法鉴定报告。5 安全弱点报告5.1 对于观察到的或怀疑的任何系统或服务的信息安全弱点,员工或外部人员应及时报告给所属(或接口的)部门信息安全管理员,由相关技术人员进行处置,同时报告给信息安全办公室备案。信息安全办公室负责跟踪已备案的信息安全弱点处置情况。5.2 未经信息安全办公室同意,员工和外部人员禁止利用测试等方法去证明他们怀疑的信息安全弱点。测试弱点可以被解释为对系统可能的滥用,可能导致信息系统和服务的损坏。6 信息安全事件总结6.1 信息安全事件应定期得到回
10、顾。信息安全管理办公室应定期对公司范围内信息安全事件的类型、数量和代价进行汇总和分析。6.2 对于重大的信息安全事件,事后各部门需尽快组织相关人员进行深入分析,吸取教训,预防此类事件再次发生。6.3 对具有代表性的信息安全事件,事后各部门可根据情况组织相关人员进行分析,吸取教训,防止类似事件再次发生。7 奖励与处罚7.1 员工发现疑似信息安全事件并及时汇报后,应给予一定奖励。7.2 员工及时妥善处理信息安全事件后,应给予一定奖励。7.3 在信息安全事件响应后,应对事件发起主体进行认定,如果信息安全事件属于人为信息安全事件的,信息安全办公室应根据信息安全事件的等级(参见本制度第三章)决定对该员工
11、的惩罚级别,并向综合部提交信息安全违规人员处置建议。1 .综合部依据处置建议对员工进行相应处罚;2 .综合部对该违规人员备案,并对该员工的绩效考评进行评定。7.4 员工造成严重的信息安全事件(特别重大事件和重大事件)时,信息安全委员会应对其部门负责人相应惩罚。如果员工的违规行为违反了国家的法律法规,按法律法规移交司法机关进行处理。8 附则8.1 本管理办法由信息安全办公室负责制定、解释和修改,并根据评审意见对文档进行修订。在本管理办法的执行过程中若有任何疑问或建议,应反馈至信息安全办公室。8.2 本管理办法由信息安办公室审批通过后发布。自发布之日起实施,即为生效。本管理办法的最终决定权和最终解释权归信息安全委员会。9 参考文档,1. GBZ20986信息安全事件分类分级指南