公司信息安全事件管理规定[模板]

公司信息安全事件管理规定
1. 概述
适用于本公司信息安全事件管理。

2. 目的
为了规范信息安全事件的响应及处理，有效预防信息安全事件，最大限度地降低信息安全事件的影响和危害。

3. 术语
4. 内容
4.1．信息安全事件分类
根据信息安全事件发生的原因，表现形式，把信息安全事件分为：有害程序事件、网络安全事件、信息泄密事件和其他信息安全事件四个基本分类。

4.2．信息安全事件获取
公司监控、用户上报/反馈/投诉、审核发现。

4.3.信息安全事件上报注意事项
事件发现人可以通过公司邮箱、电话等方式向资讯部报告。

事件发现人上报信息安全事件时，需要包括以下内容：
4.3.1.上报人联系信息；
4.3.2.信息安全事件发生事件、地点；
4.3.3.信息安全事件简述。

4.4．信息安全事件响应程序
4.4.1.事件响应
4.4.1.1．信息安全事件调查员接收到上报/反馈、投诉后，须详细记录信息安全事件的相关信息，并
对事件报告人的个人信息进行保密。

4.4.1.2．信息安全事件调查员，根据事件的严重性将事件的详细信息报告给资讯部相关负责人信息
安全事件的响应程序和要求规定如下：
级别的确定：对信息安全事件进行分级来说明事件的严重性。

分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项，各参考要素分别说明如下：
1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素；
2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；
3)业务影响是衡量信息安全事件对公司或事发部门正常业务开展所造成的负面影响程度的要素；
4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

●信息安全事件分为三级：一般（1 级）、较大（2 级）、重大（3 级）。

1)1级:发生的信息安全事件没有或者只给公司带来轻微的影响和损失。

如：公司部门内小范围
出现的网络故障、信息系统的个别用户业务受影响等技术层面的事件，或者个别员工无意识
的违反信息安全管理规定、但是没有给公司带来实际的损失和影响的事件。

2)2级：给公司带来较大影响和损失的信息安全事件。

如：公司信息系统、网站、部门范围内
的网络通信受到影响，并关系到业务正常运行的事件和用户系统账户被非法使用、3级数据
遭受非法访问和泄密、传播损害公司形象利益的言论等事件。

3)3级：给公司带来严重影响和损失的信息安全事件。

如：公司部门基础网络、重要信息系统、
重点网站瘫痪，导致业务中断，造成严重影响或经济损失的事件；1级和2级数据遭受非法访
问、传播事件；没经授权对外发布公司内部机密信息、大范围传播损害公司形象利益言论等
事件。

4.4.2.响应要求：信息安全事件的响应必须遵循从严重到一般的次序进行。

各个等级的信息安全事件响应时间如下：
●重大信息安全事件要求在接受到报告后即刻进行响应。

●较大信息安全事件要求在接受到报告后一个工作日之内进行响应。

●一般信息安全事件要求在接受到报告后两个工作日之内进行响应。

4.4.3.采取措施降低损失
在信息安全事件发生后，调查人员务必首先考虑采取措施抑制事件的影响进一步扩大，限制潜在的损失与破坏，将公司的损失降低到最小程度。

考虑的因素：包括但不限于以下因素：保护人员的生命与安全；保护（敏感的）设备和资料；保护重要的数据（信息）资源；防止系统被损坏。

4.4.4．调查原则
●事件调查需保证至少2各调查员在场。

●调查人员在调查过程中应向被调查的人员出示厂牌并说明来意。

●在调查过程中必须针对被调查人员的信息、舒述的内等做好记录，并由当事人签字确认。

4.4.
5.技术取证
●调查人员对信息安全事件进行分析调查，并调取相关证据；
●如果在需要其他分厂部门进行配合取证情况下，填写《信息安全事件调查授权书》，提交给相关
领导审批通过后进行技术取证。

如果信息安全事件属于 3 级，领导不能及时审批的情况下，可以先进行取证，但需在三天内补办《信息安全事件调查授权书》。

如果信息安全事件涉及到数据泄露，须调查数据的泄露去向后交审计监察部，知识产权及法律负责人进行处理，信息安全组提供技术支持。

4.4.6.信息安全事件总结程序
4.4.6.1.评价
在信息安全事件的调查响应之后，调查人员就事件类型、严重程度、发生的原因、性质、产生的损失、责任人等内容形成信息安全事件报告。

并就调查过程中提出改进建议，并按照公司《纠正与预防措施控制流程》进行改进。

4.4.6.2.奖惩
根据信息安全事件的调查结果，对违规的员工进行相应的处罚。

处罚必须遵循以下原则：
1)以事实为依据，遵循公正、公开、公平、及时的原则；
2)坚持处罚与教育相结合的原则；
3)依据《奖惩管理规定》及信息部发布的相关管理制度进行处罚。

处罚结果必须都有制度依据，
并标明该依据为哪一份管理规定中的哪一条款；
4)对于员工的行为给公司带来消极的影响，若无具体处罚条款，可由信息安全管控委员会与所在
部门领导研究给出处理意见。

并按照《纠正与预防措施控制流程》对管理文件进行改进；
5)处罚程序必须按照公司规定的流程进行；
6)如果员工自行上报自己的违规行为，经调查应该受到公司处罚，可以适当考虑减轻处罚。

4.4.6.3.公告
●每年定期对信息安全事件状况进行总结，并报告给信息安全决策委员会。

●对于单宗信息安全事件的调查和处理结果，都必须采取一定的方式对外进行公告，具体如下：
1)对于员工受到3级处罚和4级处罚的信息安全事件必须在OA上发布公告。

2)对于典型的信息安全事件，经过审批授权后在OA发布公告。

3)对于员工受到1级处罚和2级处罚的信息安全事件可以在员工所在的部门内部进行通报。

4)对于并非人员因素造成的信息安全事件，在完成调查后，必须将调查结果反馈到事件发生部门
的领导及相关的责任人。

4.4.6.4.备案信息安全调查员要对事件的调查结果、事件证据、处罚结果和处理方法及时整理成事件
电子案，以事件级别和发生日期为索引，存储在部门文件服务器上，并进行加密操作。

4.4.6.
5.培训
发生信息安全事件后，各部门需根据实际情况对相关人员进行培训，增强员工的信息安全意识防止类似事件的发生。

4.5.IT服务故障：
包括个人计算机故障、服务系统未能使用和网络故障等信息安全事件包括以下几方面内容：1）网络安全事件：
网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷，协议缺陷，程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统，当前运行造成潜在危害的信息安全事件。

2）有害程序事件:
指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。

3）信息泄密事件:
指通过网络或其他技术手段，造成信息系统中的信息被篡改，假冒，泄密，窃取等而导致的信息安全事件。

4）其它事件:
指不能归为以上3个基本分类的信息安全事件。

5. 支持文件
6. 相关文件
7. 记录的保存
8. 文件拟制/修订记录。