信息安全通報管理程序

NUMA1撰写部门：文件与记录管制中心签名／日期文件发行章撰稿者审核者核准者发行管制编号文件版本控制表修订变更章次变更摘要修订者版次日期章节页次

目录TOC\o"1-4"\h\z\u1 前言 42 适用范围 43 名词定义 44 权责 45 作业程序说明 55.1 适用信息安全通报项目 55.2 信息安全事件分类原则 55.3 信息安全事件发生后的通报 55.3.1 信息安全事件通报 55.3.2 信息安全弱点通报 65.4 信息安全事件判断 65.5 信息安全事件原因分析 65.6 信息安全事件应变处理 75.7 信息安全事件追踪 75.8 信息安全事件事后的反馈 76 相关文件 77 附件 88 补遗 8

前言为了维护xx有限公司(以下简称本公司)的长期稳定经营的目标，拥有完善的信息安全通报管理程序，让之能在最短的时间内能透过这个通报程序获知安全事件的讯息，从而提早作出明确的事件的研究和判断，并做出有效的预防和解决方法，避免该安全事件的扩大以降低xx有限公司的损失。适用范围任何时候当本公司的网络、硬件、软件、信息安全系统、以及客户资料受到破坏、威胁、弱点或者失效时，应遵守本管理规则。名词定义信息安全事件：公司的系统、服务或者网络显示可能危害信息安全政策或者安全保证失效的状态，或是可能与安全相关、先前未知的状况等的一次识别发生。信息安全管理委员会执行秘书:由本公司信息安全管理委员会执行秘书担任该职。信息安全事件处理者:由本公司总经理担任该职。事件记录者:由各部门主管担任该职。危机处理小组:由本公司各部门主管组成。权责本公司之所有受雇人员：遵循本管理程序的相关准则，当发现信息安全事件时应该予以及时的通报至信息安全代表。信息安全管理委员会执行秘书：受理信息安全事件通报、确定它的影响范围并做出损失评估、收集信息安全通报管理信息、培训信息安全通报技术、制定系统安全等级、制定信息安全通报管理措施。信息安全事件处理者：解除相关的安全事件，维持本公司的持续运作。事件记录者：收集、记录、追踪事件处理情形并做相应的统计分析。危机处理小组：当遇之危机时执行紧急应变措施。事件发现者：填写安全事件通报。作业程序说明适用信息安全通报项目信息安全事件信息安全弱点信息安全事件分类原则信息依据影响等级分类：A级影响社会公共安全，如：客户资料外泄等。B级系统停滞或因信息安全事件影响交货日期。C级业务短暂中断或因信息安全事件但不影响交货日期，可在规定的时间内修复。信息安全事件发生后的通报信息安全事件通报当本公司之硬件设施、网络受到破坏、威胁或者失效时，事件发现者应先填写『SF006-信息安全事件通报单』，然后交由信息安全事件处理者协同相关主管分析信息安全问题/影响等级。问题严重时要立即通知信息安全管理委员会执行秘书，信息安全管理委员会执行秘书接获该通知后，如判断为紧急事件者，要将以传真或电话形式告知危机处理小组处理。当硬件设施遭受到了不可抗力、人员蓄意破坏或者使用不当而造成了本公司无法正常营运，应立刻通知设备维修商，使之在规定的期限内修复，确保之正常运作。但如果无法于规定的时间内恢复正常运作，信息安全事件处理者应该立刻通知危机处理小组，危机处理小组通知至本公司最高决策人，依据『SP013业务持续运作管理程序』启动业务持续运作机制，以保证本公司之正常运作。信息安全弱点通报当发现、怀疑安全弱点时，事件发现者应马上填写『SF006-信息安全事件通报单』，再将之通知信息安全代表。对任一弱点，信息安全代表协同相关主管先研究判断问题，通知安全事件处理者处理，当无法解决或者可确定为安全事件后，应将『SF006-信息安全事件通报单』以传真或者电话形式交由相关部门处理。信息安全事件处理者应该以书面或者电话形式告诉设备使用者，不能自行去意图验证可疑的漏洞，从而使该行为被解释为只是误用系统。信息安全事件判断当安全事件发生后，应该依据信息安全事件分类等级做出相应之判断，并决定是否将其报之相应之上级主管：信息安全事件及影响等级为C级时呈报作业中心的各个相关部门负责人。信息安全事件及影响等级为B级时呈报作业中心主管。信息安全事件及影响等级为A级时呈报总经理。信息安全事件原因分析对已发生之信息安全事件应给予严密的原因分析，并对之做出统计分析，减少作业过程中的相关风险系数。人员因素：由于本公司所有受雇人员因权责分工、人员安全、人员访问管制以及对安全认知等方面不完善的因素造成。流程因素：由于公司之工作文件与标准流程、授权管理、积极的安全审核等相关作业流程不完善的因素造成。科技因素：由于本公司之硬件和软件安全、电脑与网络安全、备份管理等不可预知之因素造成。信息安全事件应变处理对已经发生之信息安全事件，本公司有责任在第一时间内做出相应的应变处理，包括采取补救措施，急救措施，上报措施，当情况严重时要参照『SP013-业务持续运作管理程序』及『SP030-防疫应变管理程序』做出更严密之安排和处理，在最大程度上减少本公司和相关之客户的损失。信息安全事件追踪对所有已经发生的信息安全事件的处理过程、类型以及相关的补救措施，信息安全事件处理者应及时记于『SF006-信息安全事件通报单』上。并应追踪所有之进度，办理信息安全事件结案及解除列管通知事宜。为了防止类似事件再发生，事件记录者应对所有之安全事件加以统计分析，制定相关的补救措施的规划执行，以备日后之用。信息安全事件事后的反馈为提高员工之执行该标准之积极性，更好地促进该标准的有效实行，本公司可以制定一系列相关之惩罚措施：未及时执行该监控