信息安全事件管理规范

1、信息安全管理部信息安全事件管理规范V1.0Last Revised Time7/28/2019Last Revised ByXXXATAconfidential文档信息：文档名称:信息安全事件管理规范描述:作者:XXX稳定级别:低注释:文档修改历史DateReviserChapterDescription2008-7-建立评审人员：ReviewerSignatureXXX信息安全事件管理规范XXXX 年 07 月1.0 目的 明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应， 启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复；2 0 适用范围 本制

2、度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常 事件的处理及后续响应流程。3 0 相关角色和职责信息安全总监：负责制定信息安全事件管理规范 ，并督促制度的落实和执行； 信息安全部经理：负责信息安全事件管理规范中各项流程制度的日常督促执行； 负责对各类信息安全事件进行第一时间响应， 区分信息安全事件的类别及后续 处理流程；负责跟踪各类信息安全事件的后续处理， 确保公司能从中汲取教训， 不再发生 类似问题；信息安全事件发起人： 在具体工作中发现异常后应及时上报， 并协助完成后续处理 工作。4 0 信息资产信息安全管理部负责以下信息资产的安全运行： 机房环境、硬件设备正常运行

3、：XX互联 IDC 机房；北京办公室 IT 机房；上海办公室 IT 机房； 机房内的所有硬件设备，包括网络设备、服务器和其它设备； 办公室网络环境正常运行XX互联 IDC 机房内网 /外网环境；北京办公室内网 / 外网环境；上海办公室内网 / 外网环境； 机房内系统工作正常；服务器操作系统工作正常 应用系统工作正常 机房内设备中存放的各类业务信息安全以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。5 0 信息安全事件分级、分类对信息安全事件分级、 分类是有效开展信息安全事件报告、 应急处置、 调查处 理 和评估 备案等信息安全应急响应工作的必要条件。5 1 信息安全事件分级根据信息安

4、全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素， 对信息安全事件分为以下几个级别：1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目 考中异常等；2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的 网站异常造成客户投拆等；3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如 在日常维护工作中发现的各类异常事件等；1级的信息安全事件又称为重大安全事件。与“信息安全事件”分级相关联的名词解释：常规工作： 指影响超出单点范围， 可能 / 己经造成了部门 / 小组级的工作异常， 但未造成 实质性损害的信

5、息事件；5 2 信息安全事件分类对信息安全事件分类是有效开展信息安全事件报告、 应急处置、 调查处 理和评估备案等 响应工作的重要依据。信息安全事件可分为：环境灾害：自然 / 人为灾害：水灾、火灾、地震、恐怖袭击、战争等； 外围保障设施故障：机房电力故障 : 由于供电线路、 供电设备出现故障或供电调配的原因而导 致的信息安全事件外围网络故障： 由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务其它外围保障设施故障：例如拖管机房的DNA服务器、 CA服务器故障等；常规事故：软硬件自身故障： 软件自身故障： 由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息

6、安全事件硬件自身故障： 由于硬件设计不合理、 硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件无意事故：硬件设备、 软件遗失； 与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件数据遗失：系统中的重要数据遗失 误操作破坏硬件；误操作破坏软件； 误操作破坏数据； 其它无意事故； 有意事故：硬件窃取： 计算机系统、 计算机部件、网络设备、 信息安全设备等硬件设 备被窃取；软件窃取；软件存储介质被非法复制或窃取 数据窃取；重要数据或重要数据存储介质被非法复制 故意破坏硬件设备：由于人为蓄意破坏造成硬件设备物理损坏 故意破坏软件： 通过非法删除、 篡

7、改等方式蓄意破坏支撑信息系统正常运 行的操作系统、 数据库系统、 应用业务系统等相关软件系统， 导致业务系 统无法正常运行； 故意破坏数据：系统中的重要数据被非法修改或删除 其它有意事故内容异常网页被篡改成异常信息； 通过网页传播异常信息； 网络或系统异常计算机病毒 间接攻击：例如网络监听、口令攻击、扫描探测、网络社交攻击等 直接攻击：拒绝服务攻击、漏洞攻击、后门攻击等6 0 信息安全事件处理6 1 信息安全事件处理流程图6 2 信息安全事件处理流程描述信息安全事件的处理分为发起、检测、处理、评审四个阶段。 621 信息安全事件的发起信息安全事件主要有以下两种发起方式1. 公司员工在正常工作中

8、发现有异常情况，需要 IT 协助解决时：1) 公司员工以邮件形式向 IT 人员提出对信息事件进行处理；2) 邮件标题： XXX；3) 邮件内容：说明异常现象； 说明可能受影响的业务范围；4) 邮件发送 IT 相关人员，抄送信息安全部经理 2. IT 人员在日常维护工作中，发现有异常情况需要进行处理时，应上报信息事件情况：1) 邮件标题：信息事件上报 -XXX；2) 邮件内容：a) 事件基本现象描述；i. 事件发生的日期和时间；ii. 事件发现的日期和时间；iii. 事件发起人的姓名和所属部门；iv. 事件涉及到的部门和相关人员；v. 事件的现象描述；b) 事件可能造成的业务影响；c) 初步检测

9、、排查结果；3) 邮件发送信息安全部经理，抄送信息安全总监；622 信息安全事件的检测IT 人员在：收到业务人员的处理申请邮件，或 在日常维护工作中，发现有异常情况需要进行处理时 应该对：1) 事件发生的情况进行了解，确认相关情况；2) 对事件可能造成的业务影响范围进行沟通、确认；3) 对事件可能的原因进行基本检测、排查；如果该事件属于“常规工作” ，应该：1) 直接处理；2) 将处理意见邮件回复发起人，抄送：信息安全部经理；3) 邮件标题加注：常规工作 -XXX信息安如果该事件属于信息安全事件范畴， 可能或己经对业务造成影响， 应将业务人员的全事件发起邮件”转发给信息安全部经理，向上汇报：1

10、) 邮件标题更改为：信息事件上报 -XXX；2) 邮件内容：事件基本现象描述；i. 事件发生的日期和时间；ii. 事件发现的日期和时间；iii. 事件发起人的姓名和所属部门；iv. 事件涉及到的部门和相关人员；v. 事件的现象描述； 事件可能造成的业务影响； 初步检测、排查结果；3) 邮件发送信息安全部经理，抄送信息安全总监；623 信息安全事件的处理信息安全部经理收到信息事件报告后，应：1) 了解事件相关情况；2) 根据本规范 5.0 中的规定，对信息事件进行分级、分类。对于 1 级的信息安全事件，信息安全部经理应该：1) 第一时间上报管理层、信息安全总监；2) 以邮件通知管理层 信息安全事

11、件 的发生；3) 邮件标题：信息事件 1 级 -XXX；4) 邮件内容：a) 事件细化的现象描述；b) 事件己造成 / 可能造成的业务影响；c) 事件己确认的 / 可能的原因说明； 管理层收到 1 级信息安全事件报告后，应该：5) 负责协调公司内相关资源进行事件处理，将处理方案通告各相关部门，并督促执行；6) 事件处理结束后，组织公司内部各部门进行事件评审；7) 评审结束后，责成信息安全部总监编写信息安全事件报告，以邮件形式：a) 邮件标题：信息事件报告 -XXXb) 邮件发送：事件发起人和相关人员、管理层；c) 邮件附件：信息事件报告对于 2 级的信息安全事件，信息安全部经理应该：1) 第一

12、时间上报信息安全总监；2) 以邮件通知相关部门中心经理 信息安全事件 的发生；3) 邮件标题：信息事件 2 级 -XXX；4) 邮件内容：a) 事件细化的现象描述；b) 事件己造成 / 可能造成的业务影响；c) 事件己确认的 / 可能的原因说明； 信息安全总监收到 2 级信息安全事件报告后，应该：5) 负责协调各部门资源进行事件处理，将处理方案通告各相关部门，并督促执行；6) 事件处理结束后，组织各部门相关人员进行事件评审；7) 评审结束后，责成信息安全部经理编写信息安全事件报告，以邮件形式：a) 邮件标题：信息事件报告 -XXXb)邮件发送：事件发起人和相关人员、 各相关部门中心经理、信息安

13、全总监；抄送管理层；c)邮件附件：信息事件报告对于 3 级的信息安全事件，信息安全部经理应该：1) 以邮件通知部门内部相关人员 信息安全事件 的发生；a) 邮件标题：信息事件 3 级 -XXX；b) 邮件内容：i. 事件细化的现象描述；ii. 事件己造成 / 可能造成的业务影响；iii. 事件己确认的 / 可能的原因说明；iv. 解决方案和人员分工安排；c) 邮件发送部门内部相关人员，抄送信息安全总监；2) 协调部门内部资源进行事件处理；3) 事件处理结束后，组织 IT 人员和事件发起人及其它相关人员进行事件评审；4) 评审结束后，责成 IT 人员编写信息安全事件报告 ，以邮件形式：a) 邮件

14、标题：信息事件报告 -XXXb) 邮件发送：事件发起人、信息安全部经理；抄送信息安全总监；c) 邮件附件：信息事件报告6 3 信息安全事件报告信息安全事件报告 对于组织的信息安全是非常重要的， 在每次信息安全事件处理结 束后， 应该对信息安全事件的起因、 处理等进行评审， 以确定有哪些经验教训需要汲取以及 组织的整体安全和信息安全事件管理方案有哪些地方需要改进，填写完整的报告后留档备 查。信息安全事件报告格式参见附件一。6 4 信息安全事件定期评估信息安全经理应该每季度对本季度发生的各项信息安全事件进行评估：1) 分析组织内部存在哪些威胁和脆弱性，提出改进的建议和意见；2) 对信息安全事件处理的后续工作进行跟踪， 确保信息安全事件报告 中提到的后 续工作的具体落实。3) 评估工作应形成信息安全事件定期评估报告-XX 年 XX季度，该报告提交信息安全总监审核后向管理层汇报。信息安全事件定期评估报告 -XX 年 XX季度格式参见附件二。附件一、信息安全事件报告信息安全事件名称事件发生日期时间事件发现日期时间事件上报日期时间处理结束日期时间