企业安全事件处理制度全套

企业安全事件处理制度目录1.目的2.概述3.术语和定义、缩略语4.职责4.1系统负责小组4.2突发事件应急处置小组4.3突发事件应急处置领导小组5.服务器应急系统技术和管理体系5.1服务器应急系统的技术体系5.2服务器应急系统的管理体系6.服务器生产系统突发事件应急预案6.1主机硬件故障导致服务器宕机6.2大面积病毒感染7.安全事件等级划分

......................................48.记录

.................................................59.规范性引用文件

........................................510.附件一信息安全事件报告表

..............................611.附件二信息安全事件处理结果报告.........................71.目的为保证对外服务的连续性、稳定性，高效、快速处理服务器突发事件，减少服务器突发事件对我部的影响特制定本预案。2.概述本文档适用于技术中心的所有服务器的安全事件处理。3.术语和定义、缩略语服务器突发事件是指重要信息系统及其基础设施突发的、影响正常运转的事件，主要特征是服务系统中断服务。4.职责各角色对自己职责涉及的信息安全问题负责。4.1系统负责小组a)负责维护各自负责系统的正常运行。b)遇到突发事件需要制定并实施应急处置方案。4.2突发事件应急处置小组a)建立并监督管理服务器应急技术和管理体系。b)确认、评估突发事件的发生和影响，并向突发事件应急处置领导小组报告。c)提出服务器突发事件的处置方案或批准系统负责小组的处置方案。d)经突发事件应急处置领导小组批准后，实施处置方案4.3突发事件应急处置领导小组a)负责审批应急处置小组的处置方案。b)关注突发事件应急处置进度。5.服务器应急系统技术和管理体系5.1服务器应急系统的技术体系a)硬件设备的冗余备份：关键系统的硬件设备必须有可用的备份设备，备份设备的可用性检验周期不大于一周。备份方式应为热备。采用冷备方式的要注意共享数据、程序等的同步；b)数据备份：数据的备份要保证每天至少一次全备份，备份数据的可用性验证周期不大于一周；c)程序和系统备份：有更改时要及时备份，无更改时备份周期不大于一季度；d)系统监控：要建立以预防为主的预警体系，要特别注意硬件和应用系统的监控；e)系统的升级：对于超负荷运转的设备要及时进行硬件或软件的升级、扩容；f)服务器系统安全、防病毒管理的规划、策略制定、实施、评估和优化。5.2服务器应急系统的管理体系a)应急预案和应急处理流程：各系统负责小组制定切实可行的预案和处理流程。b)日常演练：定期进行应急预案和应急处理流程的演练，并不断修正应急预案和应急处理流程。c)岗位质量手册：为应急预案和应急处理流程涉及的各岗位制定岗位职责、完成质量标准等。d)人员管理：生产系统关键岗位的人员配置为双人，互为备份。e)培训和教育：持续对相关人员进行培训和教育。6.服务器生产系统突发事件应急预案6.1主机硬件故障导致服务器宕机a)突发事件的现象和可能的原因现象：服务器宕机，无法连接原因：服务器硬件故障（CPU烧坏、硬盘损坏等）b)日常预防措施安装硬件监控代理，加强服务器的硬件监控，加强机房巡检力度，尽早发现问题，尽早解决问题。c)事件确认、影响评估和报告事件确认：由主机工程师确认。影响评估：对于可能中断的时间、造成的影响进行初步评估。报告标准流程：首先向服务器突发事件应急处置小组报告，如果中断时间可能超过2小时，应向有关领导报告，同时通知客户服务中心，相关部室等有关人员。定时向以上领导和单位报告处理进度。d)应急处理程序判定故障原因；找出故障部件，更换备用部件；e)突发事件处理善后工作，包括：分析原因，撰写报告；制定改进措施，消除事故隐患；做好对外解释工作，消除负面影响；对于责任事故，追究有关人员的责任。6.2大面积病毒感染a)突发事件的现象和可能的原因现象：网络流量大增，网络通信中断或不稳定；系统应用和服务无法正常启动；原因：连接网络的服务器由于感染病毒而大量发送报文。b)日常预防措施连接网络的服务器上安装防病毒软件并及时升级病毒库；及时安装漏洞补丁；实时监控网络流量，出现异常及时分析处理；跟踪当前病毒、漏洞通报情况并向支行电脑兼职人员通报；网络上或服务器上关闭被病毒使用的通信端口；对员工进行服务器病毒防范教育。c)事件确认、影响评估和报告事件确认：由主机工程师确认。影响评估：对于可能中断的时间、造成的影响进行初步评估。报告标准流程：首先向服务器突发事件应急处置小组报告，如果中断时间可能超过2小时，应向有关领导报告，同时通知客户服务中心，相关部室等有关人员。定时向以上领导和单位报告处理进度。d)应急处理程序网络流量分析，确定病毒访问的端口等情况；在网络设备上关闭相应端口访问；确定感染病毒服务器并断开网络；载漏洞补丁或升级防病毒软件的病毒库；使用对应的病毒专杀工具清除病毒。e)突发事件处理善后工作，包括：分析原因，撰写报告；制定改进措施，消除事故隐患；做好对外解释工作，消除负面影响；对于责任事故，追究有关人员的责任。7.安全事件等级划分按照信息安全事件的性质、严重程度、可控性和影响范围，及卡业务特点，将其分为特别重大（4级）、重大（3级）、一般（2级）、轻微（1级）。Ø特别重大信息安全事件（4级）：1.网络通信物理或逻辑中断。2.信息系统长时间瘫痪，支付业务无法正常、持续运行。3.系统遭受入侵，重要业务数据损坏，机密数据外泄。4.造成公司或客户直接经济损失大于20万元。5.扩散性很强，易衍生其他重大安全事件。Ø重大信息安全事件（3级）：1.系统部分重要业务数据损坏，部分机密资料外泄或丢失。2.造成公司或客户直接经济损失1万至20万元。3.造成信息系统瘫痪，系统修复需要几个小时，支付业务中断。Ø一般信息安全事件（2级）：1.安全隐患或系统遭受入侵、尝试性入侵但未造成不良后果的网络通信或系统业务运行中出现的一般故障，或利用本网发起的对其它网络的攻击。2.造成直接经济损失小于5000元，信息系统中断时间10分钟以内，业务无明显影响，事件无扩散性。Ø轻微信息安全事件（1级）：指无直接经济损失，信息系统故障可以在1分钟以内通过冗余备份措施恢复，业务无影响，故障