信息安全事件管理制度

信息安全事件管理制度

12.1 报告信息安全事件和漏洞

12.1.1 信息安全事件报告

第295条必须对员工明确说明需要报告的安全事件。员工有责任报告安全事件。

第296条必须制定安全事件的分类、识别方法及建立相关的报告程序，以便安全事件得到及时的报告和处理。

第297条员工一旦发现重要信息可能或正在遭受破坏，必须立即按照相关的报告程序向公司报告。如果可能的话，还应采取适当的措施来监控并保护这些重要信息。

第298条当外界对公司发生的安全事件进行询问和调查时，员工必须将这类请求转交给公司的品牌宣传部进行处理，严禁私自回应。

第299条严禁员工私自对安全事件进行调查和利用公司环境对其进行研究试验。

第300条当安全事件发生时，应当成立安全事件调查组，并明确其职责；其成员应具备相应的处理技能。

第301条安全管理代表应该维护事件报告数据库，分析并确定事件发生的基本原因和应当采取的预防措施。

第302条通过信息安全管理会议，安全管理委员会必须每季度对所有重大的安全事件报告进行复审。

12.1.2 信息安全漏洞报告

第303条应该对员工明确说明需要报告的安全漏洞。员工有责任报告安全漏洞。

第304条应该制定安全漏洞的分类、识别方法及建立相关的报告程序，以便安全漏洞得到及时的报告和处理。在技术符合性测试中发现的问题应被当作安全漏洞进行处理。

12.2 信息安全事件的管理和改进

12.2.1 职责和程序

第305条必须建立信息安全事件处理程序，程序必须包括以下内容：

1)角色定义和职责；

2)不同安全事件的处理方法及注意事项；

3)系统应急恢复措施；

4)审计追踪和证据收集要求；

5)安全事件的补救措施和纠正预防措施。

第306条信息安全事件处理程序必须能够适应不同类型的信息安全事件。

第307条参与信息安全事件处理的每位成员必须清楚他们的角色和职责。

第308条当发现已经产生严重影响或可能带来严重影响的安全事件时，必须立即停止事件中直接受影响系统的服务。程序中必须定义每个处理环节的响应和处理时间要求，并在实际处理中严格执行。

12.2.2 从安全事件中学习

第309条必须对安全事件进行复审，并对事件的类型、影响程度和所带来的损失等进行分析和监控。

第310条必须从已发生的事件和故障中总结经验，分析造成事件的根本原因，增强安全控制管理，避免问题的再次发生。

第311条信息安全培训应增加有关安全事件处理方面的内容。

12.2.3 安全事件处理要求

第312条证据的收集应该满足法律法规的要求。

第313条证据的收集应该寻求法律部门、安全专家和外部相关机构的建议和帮助。

13 业务连续性管理方面

13.1 业务连续性管理

13.1.1 业务连续性管理流程

第314条业务连续性计划的制订必须有信息管理中心、业务部门和公司高层的参与。

第315条必须对公司业务所面临的风险进行评估，综合考虑其可能性和影响。必须进行业务影响分析，识别业务的重要性和评估风险对业务带来的影响。应根据业务影响分析的结果，制定符合公司业务目标的业务连续性计划，并通过管理层的审批。业务连续性计划必须经过演练测试。

13.1.2 业务连续性及风险评估

第316条业务影响分析应该在风险评估的基础上进行。业务影

响分析应该对直接损失进行量化，并且综合评估公司声誉的损失、法规的违反以及人员的伤亡等。

第317条业务影响分析的结果报告必须提交管理层进行审批。

13.1.3 开发和实施包括信息安全的持续计划

第318条业务连续性计划应该包括以下几点：

1)识别关键业务流程及其从属流程

2)流程恢复的优先次序

3)所有的职责和紧急措施

4)恢复管理办法

5)恢复流程

第319条业务连续性计划必须涵盖所有关键业务流程，并且人员安全必须被优先考虑。应说明计划演练及修正的方式和时间安排。

第320条每个计划都应该有一个指定的总负责人，而且每个计划应该清楚地说明其激活的条件以及执行计划中每个要素的负责人。

13.1.4 业务连续性计划的测试、维护与再评估

第321条业务连续性演练必须每年至少进行一次，由安全管理委员会指导进行。

第322条必须为每项演练制定进度表，说明演练频率、目的以及方法。应该维护演练的完整记录，采取适当的措施解决遇到的问题并改进现有的流程。

第323条计划必须定期维护以确保其有效性，并指定人员负责维护，在出现下列情况时，必须对计划进行在评估和更新：

1)法律的变化

2)员工和公司的变化

3)业务的变化

4)业务系统和运行环境的变化（如操作系统的升级）

5)第三方责任人的变化（如承包人、供应商）

6)地址或者联系电话的变化

7)风险评估和业务影响分析的变化

8)地点、设备和资源的变化

第324条计划的更新必须通过正式的审批，最新的版本必须妥善保存，并分发给所有相关人员。