ISO27001-2022程序文件之信息安全事件管理程序

信息安全事件管理程序1 目的为对公司信息安全的事件管理活动实施控制，特制定本程序。2 范围适用于对信息安全的事件管理。3 职责3.1综合部负责信息安全的事件的收集、响应、处置和调查处理。3.2相关部门负责信息安全事件的及时报告，及时落实相关的处理措施。4 程序4.1信息安全弱点定义信息安全弱点是指被识别的一种系统服务或网络状态的发生表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。4.2信息安全弱点报告信息安全弱点的发现（包括使用公司信息系统和服务的员工和合同方应将任何观察到的或可疑的的系统或服务中的信息安全弱点向信息安全管理小组报告。4.3信息安全弱点处理流程是否1 信息安全事件5.1信息安全事件定义信息安全事件：一个或一系列意外或不期望的信息安全事态，它/它们极有可能损害业务运行并威胁信息安全。信息安全事件是指危及公司发展与业务运作威胁公司信息安全的其他情况可能与信息成一定损失的信息安全事件，本程序定义为严重事件。5.2信息安全事态的定义信息安全事态已识别的一种系统服务或网络状态的发生指出可能违反信息安全方针或控制措施失效，或者一种可能与安全相关但以前不为人知的情况。5.3信息安全事件分级级别说明1)造成业务系统中断而且恢复时间过长，严重影响业务活动进行的。2)数据被破坏，无法恢复或者恢复时间过长，严重影响业务活动进行的。安全事故3)4)极密信息泄露。其它涉密信息泄露给公司造成极大损害的。5)将恶意代码传播至客户公司。6)客户真实数据泄漏或者对客户现场数据造成破坏的。7)公司内部人员（包括员工/外协人员/实习生/客户/服务人员等）任何故意破坏信息系统/泄漏涉密信息的行为。1)造成业务系统中断而且恢复时间较长，对业务活动进行造成相当影响的。2)数据被破坏，恢复时间较长，对业务活动进行造成相当影响的。严重安全事件3)涉密信息泄露，给公司造成一定损害的。4)不遵守规章或者操作流程，造成客户投诉或者给公司造成一定损害的。5)使用不安全渠道传输信息，造成客户投诉或者对公司潜在损害较大的。1)造成业务系统中断，但是对业务活动进行没有造成太大影响的。2)数据被破坏，可以较快恢复，对业务活动进行没有造成太一般安全事件3)大影响的。涉密信息泄露，没有给公司造成明显损害的。4)不遵守规章或者操作流程，没有给公司造成明显损害的。5)任何外来的非法攻击/病毒入侵尚没有对业务活动进行造成明显影响的。5.4信息安全事件处理流程5.4.1信息安全事件的报告a)各个信息管理系统使用者在使用过程中如果发现软硬件故障事件应该向该系统管理部门和信息安全管理小组报告如故障事件会影响或已经影响业务运行必须立即报告相关部门，采取必要措施，保证对业务的影响降至最低；b)发生火灾应立即触发火警并向信息安全管理小组报告，启动消防应急预案；c)涉及组织的秘密、机密及绝密泄露、丢失应向信息安全管理小组报告；d)发生重大信息安全事件,事件受理部门应向信息安全管理员和有关领导报告。5.4.2安全事件的处理告表否告表否是否是告表) ) ) ) e) 2)严重安全事件处理流程图商成商告知告表上报告知厂商委员会上报记录分析安全事故处理流程评估判断协助理处理未解决解决判断确认网主持总结结束严重安全事件处理流程：a）安全管理员将安全事件发现情况或报告上报体系管理工作小组；b）体系管理工作小组协调对事件进行深入分析，同时告知相关产品供应商或集成商，并上报公司体系领导小组；）体系管理工作小组负责协调专业安全商、产品商、集成商配合部门人员共同解决严重安全事件；d）如果未能解决事件，则转入安全事故处理流程；e）如果成功处理事件，则做系统恢复和事件总结。3)安全事故处理流程图现报告指导决汇报协调帮助未解决解决确认解决提出意见网络总结结束安全事故处理流程：a) 对于安全事故，体系管理工作小组在分析解决的同时，应上报体系领导小组或公上级组织，并需求帮助。) 由信息安全委员会或上级组织协调体系管理工作小组长、相关部门、相关服务商同解决安全事故。2 信息安全事件的响应部门负责人管理部门体系管理工作小组在接到信息安全事件的报告后应该立刻相互协调进行处置。1) 事故责任部门应会同管理部门立即分析事故发生原因；2) 事故责任部门应会同管理部门立即采取紧急措施，防止事态进一步扩大；3) 事故责任部门应会同管理部门尽快采取措施，恢复核心业务活动。4) 事故发生部门应会同管理部门分析事故发生的影响范围以及造成的损失，并调整业务活动，弥补信息安全事故造成的损失。5) 在需要时与相关外部各方联系a）必要时部门负责人向客户报告，并协调以后的业务活动；b）当发生或发现涉及到违反国家法律法规的信息安全事件和弱点，体系管理工作小组组长应与国家相关外部机构联系，报告信息安全事件和弱点；）当信息安全事故发生原因为外协人员、服务人员，应与相应协力公司、服务提供公司取得联系。对于直接给客户造成影响的信息安全事件（级别至少是事故，需要由事故责任部门的部客户所造成影响商讨紧急对策并上报总经理批准后实施紧急对应小组应将事故处置过程和结果及时反馈给客户。具体参见T应急响应流程规定。3 信息安全事件调查与纠正措施事件责任部门应对事件原因进行分析必要时采取纠正措施事件的原因及采取措施的结果要予以记录。对于重大信息安全事件在故障排除或采取必要措施后公司综合部和重大信息安全事件管理体系方针程序及安全规章的规定所造成的重大信息安全事件的责任者要予以惩戒并予以通报。重大信息安全事件应填写《信息安全事件处理记录，由公司运营部在事件发生后的5天内报送信息安全领导小组和公司分管领导。重大信息安全事件责任部门制定纠正措施并实施运营部对纠正措施实施情况进行跟踪验证，并形成跟踪验证记录。所有事件的调查处理结果应反馈报告单位、人员。4 信息安全事态和信息安全弱点的报告和反馈8.1对于信息安全事态1 信息安全事态报告事故责任部门应填写《信息安全事件处理记录，包括以下内容： 信息安全事态的原因； 信息安全事态的处理过程与结果； 信息安全事态再发防止措施及改进计划； 附上相关的证据文件。《信息安全事件处理记录》提交给体系管理工作小组组长。2 反馈a）体系管理工作小组应将信息安全事态处置过程和结果反馈给部门负责人和事故发现人；b）体系管理工作小组组长应将事故以上级别的信息安全事件处置过程和结果报告给总经理/部门负责人，事件级别的报告给部门负责人；）必要时部门负责人应将信息安全事件处置过程和结果反馈给客户。8.2信息安全弱点1 信息安全弱点的处理体系管理工作小组根据安全弱点报告组织相关人员调查证实弱点的存在后应明确弱点处理责任部门，由处理责任部门进行处理。2 信息安全弱点报告处置责任部门应填写安全弱点报告在《信息安全事件处理记录》中，包括以下内容：a）安全弱点的原因；b）安全弱点的预防处置措施及改进计划；）安全弱点报告提交给体系管理工作小组。3 反馈a）体系管理工作小组应将信息安全弱点处置结果反馈给发现人和涉及部门、项目组；b）体系管理工作小组应将重大信息安全弱点处置结果报告给总经理。5 信息安全事态的评估和决策1发现信息安全事件或弱点后，事件责任部门经理会同发现人，填写《信息安全事件处理记录》上报给体系管理工作小组。2体系管理工作小组对事件进行判断调查取证根据事件的不同级别采取相应的控制措施，填写《信息安全事件处理记录。3信息安全事件处理之后，体系管理工作小组应在《信息安全事件处理记录》的结论中总结教训，提出预防措施，由相关部门实施。以防止此类事件再次发生。6 从信息安全事件中学习10.1信息安全事件或弱点所涉及的部门应在体系管理工作小组的协调指导下根据事件或弱点报告中的再发防止措施考虑进行安全体系的改进工作。10.2体系管理工作小组应监控并确认相关改进活动的执行，并向信息安全委员会报告。10.3在需要启动内审和管理评审的情况下，根据规定启动相应的审核活动。10.4信息安全事件管理活动记录由体系管理工作小组保存，作为公司内审和管理评审的输入。7 证据的收集（客户要求，事故，严重）为了清楚地分析原因，过程和影响范围，确定级别和责任人，件发生时，体系管理工作小组要进行证据的收集工作。进行证据收集时要注意：1)及时性重要的证据可能存在被故意或意外毁坏的危险所以要在第一时间就要进行证据收集的工作在证据收集超越公司管辖权边界的情况下应及时联系相关方面包括委托相关组织或人员去收集需要的信息作证据。2)证据的份量：即证据的质量和完备性。为了保证证据的份量，公司应当采取必要的控制措施来保证证据的质量和完备性控制要求在从证据被发现到存储和处理的整个过程中应通过一种强证据踪迹来论证一般应该注意以下方面：a）对纸面文档：原物应被安全保存且带有下列信息的记录：谁发现了这个文档，文档是在哪儿被发现的文档是什么时候被发现的谁来证明这个发现任何调查应确保原物没有被篡改；b）或内存中的信息都应确保其可用性拷贝过程中所有的行为日志都应保存下来且应有证据证保存且不能改变。）任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性应得到保护证据材料的拷贝应在可