信息安全事件管理制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXX
信息安全事件管理制度
文件修订履历
目录
XXXX
信息安全事件管理制度
1目的
为加强XXXX(以下简称“XXXX”)信息安全事件管理,对发生的信息安全事件进行调查和处理,及时处理各类安全事故,最大限度降低由于信息安全事件而引发的事故而遭受的损失,对信息安全事件进行监控,并从事故中吸取教训,特制订本制度。
2适用范围
适用于XXXX单位发生的信息安全事件以及引发信息安全事故的响应、调查和处理。3职责
1、信息安全管理委员会:
负责对本文档的审批和管理;
✍听取信息安全事故定期分析报告,并做出决策;
✍作为本单位信息安全管理的最高管理机构,对本单位信息安全管理中的重大事宜做出决策;
✍为本单位信息安全管理建立和维护,配备必要的资源。
2、信息安全工作主管领导:
✍负责本文档的审核及组织编写;
✍ 定期向信息安全管理最高管理机构✍信息安全管理委员会进行事故汇报;
✍ 发生重大安全事故时应及时进行汇报;
✍建立信息安全紧急事故应急处理小组;
✍定期组织信息安全事件分析与事故总结例会;
✍听取信息安全事故处理结果的报告,批准信息安全事故调查报告。
3、信息安全工作小组:
✍ 负责对本文档的组织编写、修订工作;
✍ 发生重大安全事故时应及时向安全管理安全工作主管领导进行汇报;
✍ 制定信息安全事件与事故的处理流程,并依据流程进行相应的信息安全事件与事故的处理;
✍ 定期进行信息安全事件分析,填写《信息安全事件与事故汇总报告》,并向信息化工作主管领导汇报详细内容;
✍ 定期进行单位内已发生的信息安全事故的分析、总结及培训,防止事故的再发生。
4、信息安全审计小组:
✍ 负责定期对本文档的适用性进行审定;
✍ 定期审计本文档的执行情况。
5、各部门:负责本文档在本部门内的执行、管理。
4术语和定义
4.1信息安全事件
信息安全事件:信息安全事件是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。
常见的信息安全事件有:服务器或主要网络设备软硬件故障、服务器异常停机、电力中断、水灾、火灾等重大灾害、重大恶性计算机病毒传播、大规模黑客入侵、重大信息安全漏洞、重要业务数据丢失或被篡改、重大信息安全投诉、人为的故意破坏等影响严重到单位正常业务运作,造成或极可能造成单位业务活动中断、机密信息泄露的事件等。
根据有关规定并结合国家食品药品监督管理局系统实际,制定突发信息网络安全
事件分级标准,作为各单位信息部门按照应急预案规定进行分级处置的依据。
网络运行各类突发事件按照其严重程度、可控性和影响范围等因素,分为四个等级:一般(IV?级、蓝色)、较重(III?级、黄色)、严重(II?级、橙色)、特别严重(I?级、红色)。
4.2信息安全事故
信息安全事故:一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成,是由事件引发而来,它们具有损害业务运作和威胁信息安全的极大的可能性。
根据信息安全事故对单位造成的影响的程度不同,可以将信息安全事故划分重大安全事故、普通安全事故、轻微安全事故。
4.3信息安全事故分级
1、系统故障——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍,在短时间内,经处理恢复应用功能且未影响业务处理,未增加用户人工成本(加班)的情况。
2、一般事故——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍,在一定时间内,经处理恢复应用功能但影响了业务处理,造成用户人工成本增加(加班)的情况。
3、重大事故——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍,在较长时间内,经处理恢复应用功能,但已经对生产经营、业务处理带来负面影响及损失的情况。
4、特大事故——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍,在长时间内,无法恢复应用功能,对生产经营、业务处理造成严重影响,单位效益蒙受巨大损失的情况。
5事件报告途径
确立应急待命人员的手机、值班电话、家庭电话的即时联系方式,使得普通用户可通过多种联系方式进行报警,保证报警渠道的畅通。
对于单位网络与信息系统普通用户发现信息安全事件时,第一时间向本部门负责人或?IT?中心负责人报告,IT?中心负责人初步分析和判断事件类型及级别,并通知相关负责人处理。重大事故及以上事件,IT?中心负责人向应急总指挥汇报。应急总指挥依据事件情况,总指挥决定是否需要相关人员到单位现场办公。
6安全弱点报告
对于观察到的或怀疑的任何系统或服务的信息安全弱点,单位员工或外部人员应及时报告给信息安全小组,经应急响应总指挥批准后,由相关的技术人员进行处置,同时报告给信息安全部备案。
信息安全部负责跟踪已备案的信息安全弱点处置情况。
未经信息安全部允许,单位员工和外部人员禁止利用测试等方法去证明他们怀疑的信息安全弱点。测试弱点可以被解释为对系统可能的滥用,可能导致信息系统和服务的
(
损坏。
7控制流程
7.1信息安全事件、事故处理流程
信息安全事件的处理流程主要有:发现、报告、响应(处理)、跟踪、评价、惩戒、公告、备案、培训等。 1、单位全体员工都有责任和义务将已发现的或可疑的事件、故障和薄弱点及时报告给相关部门或人员。
2、任何企图阻拦、干扰、报复事件报告者的行为都被视为违反本单位信息安全策略。
3、事件、故障、薄弱点在报告受理人到来处理之前,发现人尽量不要改变现状。
7.1.2报告
1、事件报告相关人员联系方式参见附录中的《安全事件/事故联络单》(见 附录1)。
2、对于部门范围内的、仅与部门自身业务系统相关的安全事件,当事人可直接向部门负责人报告,并按照本部门规范进行处理,做好记录。
3、对于与计算机及网络使用相关的安全事件,当事人可向信息安全工作小组报告。
4、信息安全工作小组根据事件、故障和薄弱点的性质及其可能造成的影响程度,确定是否进一步向信息安全工作主管领导、相关负责人及信息安全管理委员会报告。
5、报告方式分为口头电话报告和书面报告。如遇紧急情况,可先电话报告,随后附上书面报告《异常报告单》(见附录?2)。无论是口头报告还是书面报告,参与响应、处理等相关人员都需做好书面记录,填写《异常事件日常登记表》?见附录?3),以便跟踪和统计。
6、安全事件报告应注明发生时间、地点、名称、威胁及后果等,详细填写《异常报告单》。
7.1.3响应
责任部门、信息安全工作小组根据所发生的信息安全事件的性质、对单位商业活动影响的程度,会同有关部门在第一时间内采取有效措施处理信息安全事件,尽可能减少由于信息安全事件而引发事故所造成的损失。
1、信息安全工作小组可对安全事件做出最初响应,并在信息安全工作主管领导的支持下,对安全事件做进一步处理。
2、如果发生严重信息安全事件,信息安全工作小组应及时向信息安全工作主管报告,由信息安全工作主管领导向信息安全工作管理委员会报告,并视情况向外部相关机构报告,需要注意的是:
✍ 采取恰当的方式,联系相关机构;
✍ 采集并保存有效证据,特别是如果牵涉到内部员工的时候;
✍ 考虑以对本单位信息安全产生最小影响的方式来进行调查,可能需要寻求