GBZ20985-2007信息安全事件管理参考流程
信息安全等级保护工作流程图
信息安全等级保护工作流程一、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。
例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
网络与信息安全事件(事故)处置及上报制度
网络与信息安全事件(事故)处置及上报制度目录1 总则 (3)1.1 编制目的 (3)1.2 编制依据 (3)1.3 适用范围 (3)2 应急处置基本原则 (3)3 应急指挥机构及职责 (4)3.1 应急指挥机构 (4)3.2 应急指挥机构的职责 (4)4 应急响应 (5)4.1 事件类型 (5)4.2事件分级 (6)4.3 先期处置 (7)4.3 应急响应 (7)4.4 响应调整 (9)4.5应急结束 (9)5事件上报 (10)6 后期处置 (10)6.1 事件监测 (10)6.2事件调查 (10)6.3 总结及改进 (11)6.4奖惩 (11)7 附则 (11)7.1 预案报备 (11)7.2 制度修订 (12)12.3 制定与解释 (12)1 总则1.1 编制目的为了提高茂名市人民医院(以下简称“医院”)处置信息系统的安全突发事件的能力, 最大限度地预防和减少信息系统安全突发事件及其造成的损害和影响, 保障院信息系统的安全稳定运行, 维护正常的生产秩序, 制定本制度。
1.2 编制依据1)本制度依据以下法律法规、标准制度及相关制度, 结合医院实际制定。
2)GB/Z 20986—2007 信息安全技术信息安全事件分类分级指南3)GB/Z 20985—2007 信息技术安全技术信息安全事件管理指南1.3 适用范围1.3.1本制度适用于医院应对和处置各类对医院网络信息系统造成严重损失和影响的突发事件。
1.3.2本制度用于指导和规范本院制定网络信息系统突发事件处置预案, 建立分级负责的网络信息系统突发事件应急处置体系, 规范处理突发网络信息事件的逐级汇报流程。
单位应按照“谁主管、谁负责, 谁运行、谁负责”的原则, 制定信息系统安全应急预案。
2 应急处置基本原则2.1预防为主, 常备不懈, 超前预想。
做好应对网络信息系统突发事件的预案准备、应急资源准备、保障措施准备和超前信息系统突发事件预想, 充分利用现有资源, 制定科学的应急预案, 定期组织开展应急培训和应急演练, 提高对各类事件的应急响应和综合处理能力。
信息安全事件管理与应急响应
4
应急响应与应急响应计划的关系
应
急
应
响
急
应
响
计
应
划
5
政策要求
➢ 《关于加强信息安全保障工作的意见》(中办发 『2003』27号文)指出:“信息安全保障工作的 要点在于,实行信息安全等级保护制度,建设基 于密码技术的网络信任体系,建设信息安全监控 体系,重视信息安全应急处理工作,推动信息安 全技术研发与产业发展,建设信息安全法制与标 准”
❖ 为什么需要取证
▪ 通过证据查找肇事者 ▪ 通过证据推断犯罪过程 ▪ 通过证据判断受害者损失程度 ▪ 收集证据提供法律支持
33
计算机取证的原则
❖ 合法原则
▪ 取证必须符合相关法律法规
❖ 充分授权原则
▪ 取证必须得到充分授权
❖ 优先保护证据原则
▪ 取证可能导致证据破坏,必须优先考虑保护证据
Team/Coordination Center, CERT/CC)
➢ 事件响应与安全组织论坛(Forum of Incident
Response and Security Teams, FIRST)
➢ 亚太地区计算机应急响应组(Asia Pacific Computer Emergency Response Team, APCERT)
恢复
跟踪
9
第一阶段—准备
➢ 制定应急响应计划
准备
➢ 资源准备
✓应急经费筹集
确认
✓人力资源
✓软硬件设备
✓现场备份
遏制
✓业务连续性保障
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南-编制说明
国家标准《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》(报批稿)编制说明一、工作简况1、任务来源《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》国家标准修订项目来自国家标准化管理委员会2019年下达的国家标准制修订计划,计划号:20192180-T-469。
本标准由全国信息安全标准化技术委员(TC260)会提出并归口管理,2、主要起草单位和工作组成员本标准承办单位为中电长城网际系统应用有限公司,协作单位包括中电数据服务有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。
闵京华为项目负责人,主要工作包括项目组织、文本翻译、修改完善和文本编辑;周亚超主要工作包括文本翻译和修改完善;王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直:主要工作包括修改完善。
3、项目背景2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件,从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。
为了落实这些法定要求,需要制定相应的国家标准在标准层面上配套支撑。
随着新一代信息技术的发展,信息安全面临着更为严峻的挑战,信息安全事件管理在信息系统运维过程中的重要程度和工作比重越来越大,信息安全事件响应全球化趋势越发显著。
信息安全事件管理是关键信息基础设施必备的安全控制。
有效的信息安全事件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要保证。
2007年发布的国家标准GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》是修改采用技术报告类国际标准ISO/IEC TR 18044:2004。
最新发布的国际标准ISO/IEC 27035-1:2016和ISO/IEC 27035-2:2016进一步发展了之前的国际标准ISO/IEC TR 18044:2004和ISO/IEC 27035:2011《信息技术安全技术信息安全事件管理》。
信息安全等级保护工作流程介绍
信息安全等级保护工作流程介绍导语信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。
解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。
根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:一是定级。
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。
有上级主管部门的,应当经上级主管部门审批。
跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
虽然说的是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。
二是备案。
第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。
省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。
备案的时候带上定级资料去网安部门,一般两份纸质文档,一份电子档,纸质的首页加盖单位公章。
三是系统安全建设。
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
四是等级测评。
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。
测评的结论分为:不符合、基本符合、符合。
当然符合基本是不可能的,那是理想状态。
五是监督检查。
公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。
运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作,但考虑到实际情况,绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。
网络与信息安全管理条例
信息安全要从法律、管理和技术三个方面(fāngmiàn)着手第一章信息安全概述(ɡài shù)第一节信息技术一、信息技术的概念(gàiniàn)信息技术(Information Technology,缩写(suōxiě)IT),是主要(zhǔyào)用于管理和处理信息所采用的各种技术的总称。
它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。
它也常被称为信息和通信技术(Information and Communications Technology, ICT)。
主要包括传感技术、计算机技术和通信技术。
有人将计算机与网络技术的特征——数字化、网络化、多媒体化、智能化、虚拟化,当作信息技术的特征。
我们认为,信息技术的特征应从如下两方面来理解:1. 信息技术具有技术的一般特征——技术性。
具体表现为:方法的科学性,工具设备的先进性,技能的熟练性,经验的丰富性,作用过程的快捷性,功能的高效性等。
2. 信息技术具有区别于其它技术的特征——信息性。
具体表现为:信息技术的服务主体是信息,核心功能是提高信息处理与利用的效率、效益。
由信息的秉性决定信息技术还具有普遍性、客观性、相对性、动态性、共享性、可变换性等特性。
二、信息技术的发展信息技术推广应用的显著成效,促使世界各国致力于信息化,而信息化的巨大需求又驱使信息技术高速发展。
当前信息技术发展的总趋势是以互联网技术的发展和应用为中心,从典型的技术驱动发展模式向技术驱动与应用驱动相结合的模式转变。
微电子技术和软件技术是信息技术的核心。
三网融合和宽带化是网络技术发展的大方向。
互联网的应用开发也是一个持续的热点。
三、信息技术的应用信息技术的应用包括计算机硬件和软件,网络和通讯技术,应用软件开发工具等。
计算机和互联网普及以来,人们日益普遍地使用计算机来生产、处理、交换和传播各种形式的信息(如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等)。
信息技术安全事件报告与处置流程
信息技术安全事件报告与处置流程(试行)为加强教育部机关、直属单位和部属高等学校信息技术安全工作,及时掌握和处置信息技术安全事件,协调相关力量做好应急响应处理,降低安全事件带来的损失与影响,维护正常工作秩序和营造健康的网络环境,根据国家有关法律法规,以及相关标准文件,结合实际,制定本流程。
第一条信息技术安全事件定义。
根据《信息安全事件分类分级指南》(GB/T20986-2007,以下简称《指南》),本流程中所称的信息技术安全事件(以下简称安全事件)是指除信息内容安全事件以外的有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其他信息安全事件。
第二条适用范围。
本流程适用于教育部机关、直属单位和部属高等学校(以下简称部属单位)发生的安全事件的报告与处置工作。
涉及信息内容安全事件的报告与处置工作仍按相关规定执行。
第三条安全事件等级划分。
根据《指南》将安全事件划分为四个等级:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)。
第四条安全事件自主判定。
各部属单位一旦发生安全事件,应根据《指南》,视信息系统重要程度、损失情况以及对工作和社会造成的影响自主判定安全事件等级。
第五条I至Ⅲ级安全事件的报告与处置。
报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。
(一)事发紧急报告与处置1.网络与信息系统运维操作人员一旦发现上述安全事件,应根据实际情况第一时间采取断网等有效措施进行处置,将损害和影响降到最小范围,保留现场,并报告本单位安全责任人和主要负责人。
2.本单位安全责任人接到报告后,应立即组织技术人员赶赴现场进行紧急处置,同时以口头通讯的方式将相关情况通报至教育部教育管理信息中心(以下简称信息中心)。
涉及人为主观破坏事件应同时报告当地公安机关。
3.信息中心接到报告后,应进一步判定安全事件等级,对确认属I至Ⅲ级安全事件的,应报告教育部办公厅和科技司。
信息安全事 件应急响应计划规范
》信息安全事件应急响应计划规范》《信息安全事件应急响应计划规范引 言1 本标准根据《中华人民共和国计算机信息系统安全保护条例》,参照GB/Z 20985-2007 《信息技术安全技术信息安全事件管理指南》、GB/T 20988-2007《信息安全技术 信息系统灾难恢复规范》、GB/Z 20986-2007《信息安全技术 信息安全事件分类分级指南》、GB/T 20984-2007《信息安全技术 信息安全风险评估规范》、GB/T ××××《信息系统安全等级保护定级指南》、GB/T ××××《信息系统安全等级保护基本要求》以及NIST SP 800-34《信息技术系统应急规划指南》和NIST SP 800-61《计算机安全事件处理指南》等标准的有关部分,结合《国家通信保障应急预案》和《上海市网络与信息安全事件专项应急预案》以及相关行业技术发展和实践经验制定而成。
信息系统容易受到各种 已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。
虽然很多信息安全 事件可以通过技术的、管理的、操作的方法予以消减,但目前没有任何一种信息安全策略或防护措施,能够对信息系统提供绝对的保护。
即使采取了防护措施,仍可 能存在残留的弱点,使得信息安全防护变得无效,从而导致业务中断、系统宕机、网络瘫痪等信息安全事件发生,并对组织和业务运行产生直接或间接的负面影响。
因此,为了减少信息安全事件对组织和业务的影响,应制定有效的信息安全应急响应计划。
2 信息安全应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段:a)应急响应计划的编制准备;b)编制应急响应计划文档;c)应急响应计划的测试、培训、演练和维护。
信息安全应急响应计划规范1.1.1.1.1.1范围本标准概述了编制本单位信息安全应急响应计划的前期准备,确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作的指南和操作流程图信息安全等级保护操作流程1信息系统定级1.1定级工作实施围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? ……管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? ……业务信息分析? 系统服务分析? 综合分析? 确定等级? ……编写定级报告? ……协助评审审批? 形成最终报告? 协助定级备案图1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务围、系统结构、管理组织和管理方式等基本情况。
信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南-编制说明
国家标准《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》(报批稿)编制说明一、工作简况1、任务来源《信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南》国家标准修订项目来自国家标准化管理委员会2019年下达的国家标准制修订计划,计划号:20192180-T-469。
本标准由全国信息安全标准化技术委员(TC260)会提出并归口管理,2、主要起草单位和工作组成员本标准承办单位为中电长城网际系统应用有限公司,协作单位包括中电数据服务有限公司、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、北京奇虎科技有限公司、公安部第三研究所、国家信息中心、西安丁度网络科技有限公司、陕西省网络与信息安全测评中心、北京江南天安科技有限公司。
闵京华为项目负责人,主要工作包括项目组织、文本翻译、修改完善和文本编辑;周亚超主要工作包括文本翻译和修改完善;王惠莅、上官晓丽、舒敏、陈悦、张屹、王艳辉、陈长松、杜佳颖、刘蓓、李怡、魏玉峰、陈冠直:主要工作包括修改完善。
3、项目背景2017年6月1日正式实施的《中华人民共和国网络安全法》中有8条22处涉及应对网络安全事件,从技术措施、应急预案、应急处置、调查评估、责任追究等方面提出了法定要求。
为了落实这些法定要求,需要制定相应的国家标准在标准层面上配套支撑。
随着新一代信息技术的发展,信息安全面临着更为严峻的挑战,信息安全事件管理在信息系统运维过程中的重要程度和工作比重越来越大,信息安全事件响应全球化趋势越发显著。
信息安全事件管理是关键信息基础设施必备的安全控制。
有效的信息安全事件管理和及时的信息安全事件响应是关键信息基础设施抗毁性和恢复力的必要保证。
2007年发布的国家标准GB/Z 20985—2007《信息技术安全技术信息安全事件管理指南》是修改采用技术报告类国际标准ISO/IEC TR 18044:2004。
最新发布的国际标准ISO/IEC 27035-1:2016和ISO/IEC 27035-2:2016进一步发展了之前的国际标准ISO/IEC TR 18044:2004和ISO/IEC 27035:2011《信息技术安全技术信息安全事件管理》。
信息安全风险评估管理相关国家标准介绍
信息安全风险评估/管理相关国家标准介绍作者:谢宗晓刘立科来源:《中国标准导报》2016年第05期“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。
自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。
目前,已发表论文42篇,出版专著12本。
信息安全管理系列之十六无论是信息安全管理体系(ISMS),还是信息系统安全等级保护,几乎所有的信息安全管理最佳实践都以风险管理为基础。
信息安全风险评估/管理实践往往依据一系列的标准,下文中对与信息安全风险评估/管理相关的国家标准做了大致的介绍。
谢宗晓(特约编辑)摘要:本文介绍了信息安全风险评估/管理的相关标准,其中包括:(1)GB/T 20984—2007《信息安全技术信息安全风险评估规范》;(2)GB/Z 24364—2009《信息安全技术信息安全风险管理指南》;(3)GB/T 31509—2015《信息安全技术信息安全风险评估实施指南》;(4)GB/T 31722—2015 / ISO/IEC 27005:2008《信息安全技术信息安全风险管理》;(5)《信息安全技术信息安全风险处理实施指南》(征求意见稿)。
关键词:信息安全风险评估风险管理风险应对Abstract: In this paper, we introduce standards related to risk assessment / management,including:(1)GB/T 20984—2007 Information security technology—Risk assessment specification for information security;(2) GB/Z 24364—2009 Information security technology—Guidelines for information security risk management;(3) GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment;(4)GB/T 31722—2015 / ISO/IEC 27005: 2008 Information technology—Security techniques—Information security risk management;(5) Information security technology—Guide of implementation for information security risk treatment.Key words: information security, risk assessment, risk management, risk treatment截至2015年12月,我国已经发布的信息安全风险评估/管理的相关国家标准如表1所示。
国家标准《信息安全技术信息安全风险处理实施指南》(征求意见稿)编制
国家标准《信息安全技术信息安全风险处理实施指南》(征求意见稿)编制说明一、任务来源根据全国信息安全标准化技术委员会2011年下达的国家信息安全战略研究与标准制定工作专项项目任务(计划号:20120535-T-469),国家标准《信息安全技术信息安全风险处理实施指南》由中国信息协会信息安全专业委员会(秘书处设在国家信息中心)负责主办。
二、任务背景为落实与发展原国务院信息办《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)的文件精神,在国家基本完成对我国基础信息网络和重要信息系统普遍进行信息安全风险评估工作后,规范性指导各被评估单位开展信息安全风险管理,科学控制信息安全风险,提升其信息安全技术与信息安全管理的安全保障能力,全面提高被评估单位信息安全的信息安全风险管理水平。
本标准将在国家标准GB/T20984-2007《信息技术信息安全风险评估规范》、GB/T24364-2009《信息技术信息安全风险管理指南》及国标《信息安全风险评估实施指南》(GB/T XXXXX-XXXX)的基础上,针对风险评估工作中反映出来的各类信息安全风险,形成客观、规范的风险处理方案,用于指导信息安全风险处理工作,促进风险管理工作的完善。
三、编制原则本标准属于信息安全标准,以自主编写的方式完成。
国家标准《信息安全技术信息安全风险处理实施指南》根据我国信息安全风险管理工作的发展,针对风险评估工作中反映出来的各类信息安全风险,形成客观、规范的风险处理方案,用于指导信息安全风险处理工作,促进风险管理工作的完善。
四、主要工作过程1、2012年3月至5月,由国家信息中心牵头,成立了由北京信息安全测评中心、北京数字认证股份有限公司、中国民航大学、东软集团股份有限公司、西安交大捷普网络科技有限公司等单位共同组成的标准编制组,进行课题调研,并形成了《信息安全风险处理指南》标准的基本框架和编制思路。
2、2012年5月17日,标准编制组正式召开国家标准《信息安全技术信息全测评认证中心崔书昆研究员、中国科学院研究生院赵战生教授、中国信息安全认证中心曹雅斌处长、电监会信息中心胡红升副主任、国家税务总局李建彬研究员等专家出席启动会。
信息安全事件管理制度
信息安全事件管理制度第一章总则1.1.目的为加强公司及时调查和处理信息安全事件,最大限度降低由于信息安全事件而遭受损失,特制定本管理程序。
1.2.范围本管理程序适用于公司对业务过程中所涉及的多种安全事件的管理。
1.3.规范性引用文件下列文件中的条款通过本标准引用而成为本标准的条款。
凡是未注明日期的引用文件,其最新版本适用于本标准。
ISO/IEC 27001 信息安全管理体系要求ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规范GB/Z 20985 信息技术—安全技术—信息安全事件管理指南GB/T 20986 信息安全技术—信息安全事件分类分级指南1.4.术语、定义及缩写语下列术语和定义适用于本管理标准。
信息安全事件Information security incident信息安全事件是由单个或一系列意外或有害的信息安全事态所组成的,极有可能危害业务运行和威胁信息安全。
常见的信息安全事件有:服务器或主要网络设备软硬件故障、服务器异常停机、电力中断、水灾、火灾等重大灾害、重大恶性计算机病毒传播、大规模黑客入侵、重大信息安全漏洞、重要业务数据丢失或被篡改、重大信息安全投诉、人为的故意破坏等影响严重到公司正常业务运作,造成或极可能造成公司业务活动中断、机密信息泄露的事件等。
第二章管理人员职责(1)信息安全领导小组负责批准、发布本管理程序;听取信息安全事故分析报告,并做出决策。
(2)信息安全工作小组负责组织编写本管理程序,并且引导相关部门及人员落实实施;发生重大安全事故时应及时向信息安全领导小组进行汇报;负责督促信息安全事故整改措施的落实。
(3)信息安全执行小组负责按照信息安全事故处理流程进行事故处理。
(4)各部门负责本部门信息安全事故的逐级上报;负责配合信息安全执行小组进行信息安全事故的调查分析,提交事故分析报告,并确保预防或改进措施的落实。
第三章管理内容及要求3.1.信息安全事件处理流程信息安全事件的处理流程主要包括:发现、报告、响应(处理)、评价、整改、公告、备案等。
计算机信息安全风险评估的基本过程
威胁识别活动中,可能会用到工具有以下几种: 1.IDS采样分析 2.日志分析 3.人员访谈
可编辑课件
4.2 威胁分类 在对威胁进行分类前,首先要考虑威胁的来源。
可编辑课件
来源 环境因素
人为因素
表7-8 威胁来源列表
描述
恶意人员 非恶意人员
断电、静电、灰尘、潮湿、温度、鼠蚁 虫害、电磁干扰、洪灾、火灾、地 震、意外事故等环境危害或自然灾 害,以及软件、硬件、数据、通讯 线路等方面的故障
低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达 到25%以上,或系统允许中断时间小于60min
很低 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时 间低于25%
可编辑课件
3.3.2 定量分析 定量风险评估对资产进行赋值,应该确定资产的货币价
值,但这个价值并不是资产的购置价值或帐面价值,而是相 对价值。在定义相对价值时,需要考虑: 1.信息资产因为受损而对商务造成的直接损失; 2.信息资产恢复到正常状态所付出的代价,包括检测、控制、 修复时的人力和物力; 3.信息资产受损对其他部门的业务造成的影响; 4.组织在公众形象和名誉上的损失; 5.因为商务受损导致竞争优势降级而引发的间接损失; 6.其他损失,例如保险费用的增加。
的利益造成损害
1
很低 可对社会公开的信息,公用的信息处理设备和系统资源等
可编辑课件
赋值 5
标识
表7-5 资产完整性赋值表 定义
很高 完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接 受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补
4
高 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲
网站被篡改应急预案
网站被篡改应急预案****(集团)有限公司2018年8月目录1编制目的 (1)2编制依据 (2)3适用范围 (3)4概述 (4)4.1网站被篡改事件 (4)4.2相关应急预案 (4)4.3应急人员组成与职责划分 (5)4.3.1应急组织架构 (5)4.3.2应急响应技术队伍角色划分说明 (5)4.3.3应急响应联络表 (6)5应急预案流程 (8)5.1阶段一、监测阶段 (10)5.1.1监测的技术手段和基本流程 (10)5.1.2监测阶段流程说明 (11)5.1.3角色划分与文档记录 (13)5.2阶段二、抑制与恢复阶段 (13)5.2.1抑制与恢复的技术手段和基本流程 (14)5.2.2识别阶段流程说明 (14)5.2.3网站被篡改应急预案启动条件 (16)5.2.4角色划分与文档记录 (16)5.3阶段三、控制与追踪阶段 (17)5.3.1追踪的技术手段 (17)5.3.2控制与追踪阶段的基本流程 (17)5.3.3控制与追踪阶段流程说明 (18)5.3.4角色划分与文档记录 (19)5.4阶段四、总结与汇报阶段 (20)5.4.1总结与汇报阶段流程说明 (20)5.4.2角色划分与文档记录 (21)6应急预案的审查与更新 (22)7应急资源及保障 (23)7.1应急保障队伍 (23)7.2安全评估 (23)7.3应急演练 (24)7.4工作规范 (24)7.5监督检查 (24)7.6技术储备 (25)1编制目的为贯彻落实网络与信息安全保障工作的目标和任务,提高****(集团)有限公司(以下简称****集团)网络与信息安全应急响应与处理能力,切实做好信息安全工作,有效防范突发事件对****集团信息安全的影响,最大限度地减少事故造成的损失,增强对突发事件的应变能力,并使应急工作安全、有序、科学、高效地实施,根据****集团网络与信息安全应急预案的要求,特制定本网站被篡改应急子预案。
2编制依据➢《GBT 24363-2009 信息安全技术信息安全应急响应计划规范》➢《GB/T 20984-2007 信息安全技术信息安全风险评估规范》➢《GB/Z 20985-2007 信息技术安全技术信息安全事件管理指南》➢《GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南》➢《GB/T 20988-2007 信息安全技术信息系统灾难恢复规范》➢《****(集团)有限公司网络与信息安全应急预案》3适用范围本预案适用于****集团所辖维护范围内的网站被篡改事件的应急响应工作。