信息安全事件与应急响应管理规范V1.0
系统安全事件应急预案v1.0
1.6
漏洞攻击是对系统威胁较为严重的一种黑客行为手段。利用系统或应用程序漏洞,黑客可以直接拿到系统权限,造成重大影响。例如:0day expolit。“零日漏洞”是指被发现后立即被恶意利用的安全漏洞,这种攻击利用厂商缺少防范意识或缺少补丁,从而能够造成巨大破坏。
“零日漏洞”常常被在某一产品或协议中找到安全漏洞的黑客所发现。一旦他们被发现,“零日漏洞”攻击就会迅速传播,一般通过Internet中继聊天或地下网站传播。虽然还没有出现大量的“零日漏洞”攻击,但其威胁日益增长,证据如下:黑客更加善于在发现安全漏洞不久后利用他们。过去,安全漏洞被利用一般需要几个月时间。最近,发现和利用之间的时间间隔已减少到了数天。
1.4
攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权,并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限,这是极其危险的。
对于网站服务器来说,主流的管理方式是采用远程管理,如Windows的3389服务(Terminal Services)、Telnet、SSH等。假如由于管理员安全意识的疏忽采用了弱口令作为远程登录系统的密码,则遭受到黑客的入侵机率将大大增加。如:穷举口令。
信息安全事件应急响应计划规范
信息安全事件应急响应计划规范》信息安全事件应急响应计划规范》《信息安全事件应急响应计划规范引言1 本标准根据《中华人民共和国计算机信息系统安全保护条例》,参照GB/Z 20985-2007 《信息技术安全技术信息安全事件管理指南》、GB/T 20988-2007《信息安全技术信息系统灾难恢复规范》、GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》、GB/T 20984-2007《信息安全技术信息安全风险评估规范》、GB/T ××××《信息系统安全等级保护定级指南》、GB/T ××××《信息系统安全等级保护基本要求》以及NIST SP 800-34《信息技术系统应急规划指南》和NIST SP 800-61《计算机安全事件处理指南》等标准的有关部分,结合《国家通信保障应急预案》和《上海市网络与信息安全事件专项应急预案》以及相关行业技术发展和实践经验制定而成。
信息系统容易受到各种已知和未知的威胁而导致有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等信息安全事件的发生。
虽然很多信息安全事件可以通过技术的、管理的、操作的方法予以消减,但目前没有任何一种信息安全策略或防护措施,能够对信息系统提供绝对的保护。
即使采取了防护措施,仍可能存在残留的弱点,使得信息安全防护变得无效,从而导致业务中断、系统宕机、网络瘫痪等信息安全事件发生,并对组织和业务运行产生直接或间接的负面影响。
因此,为了减少信息安全事件对组织和业务的影响,应制定有效的信息安全应急响应计划。
2 信息安全应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段:a)应急响应计划的编制准备;b)编制应急响应计划文档;c)应急响应计划的测试、培训、演练和维护。
信息安全应急响应计划规范1.1.1.1.1.1范围本标准概述了编制本单位信息安全应急响应计划的前期准备,确立了信息安全应急响应计划文档的基本要素、内容要求和格式规范。
信息安全事件与应急响应管理规范
.司限公有电四川长虹器股份虹微公司管理文件信息安全事件与应急响应管理规范发布××××–××–××实施××××–××–××微虹川四长虹布司公发专业资料..目录 .................................................................................................................... .... 1目的1. .................................................................................................................... 12. 适用围................................................................................................................ 13.工作原则.................................................................................................... 24.组织体系和职责.................................................................................. 2 .信息安全事件分类和分级5. ....................................................................................................................................... 25.1. 信息安全事件分类2信息系统攻击事件5.1.1...........................................................................................................................................3信息破坏事件5.1.2 ................................................................................................................................................... 3.............................................................................................................................................. 信息容安全事件5.1.3. 3................................................................................................................................................... 设备设施故障5.1.43 5.1.5....................................................................................................................................................... 灾害性事件35.1.6.......................................................................................................................................... 其他信息安全事件 ............................................................................................................................................ 3安全事件的分级5.2.45.2.1特别重大信息安全事件(一级) ..................................................................................................................4重大信息安全事件(二级) .......................................................................................................................... 5.2.24较大信息安全事件(三级)5.2.3..........................................................................................................................4 5.2.4..................................................................................................................... 一般信息安全事件(四级)6.信息安全事件处理 ............................................................... 错误!未定义书签。
信息安全事件应急处置管理办法
1.总则1.1目的信息安全关系到国家安全、社会稳定、客户权益及公司利益,是企业履行社会责任、保护用户合法权益的核心工作。
为进一步落实信息安全管理责任,有效预防和处置信息安全事件、控制影响,特制定本办法。
1.2信息安全事件的定义本办法定义的信息安全事件,是指在生产运营过程中,因未执行政府及公司相关规章制度与安全管控要求,或对已存在的安全隐患未及时整改,或业务平台被内部、外部不法分子非法攻击和利用,导致对国家安全、社会稳定、客户权益及公司利益产生较大影响或较严重后果的信息安全事件。
1. 3应急处置基本原则1.3.1 ”谁主管,谁负责;谁运营,谁负责;谁接入,谁负责”是安全事件处置责任划分的基本原则,发生事件的业务和设备所属单位为相应安全事件的牵头处置责任单位(以下简称责任单位),信息安全领导小组负责事件的督办、跟踪、检查。
1-3.2信息安全事件的处理应遵照“积极预防、及时发现、快速响应、确保恢复、减小影响”的方针。
在信息安全事件发生后,以最大程度地维护国家和社会稳定、最大限度地保障客户权益和公司利益为目的,确保事件快速、准确处置并有效控制影响面。
1.4适用范围本办法适用于XX公司各部门、中心、区县分公司(以下简称各单位)信息安全事件应急处置工作,各单位可参照本办法制定适合自己的执行细则。
2.组织机构和职责2.1组织机构2.1.1成立领导小组为加强组织保障,XX公司建立信息安全领导小组,全面强化对网络信息安全的管理和指导。
领导小组组长:XX公司总经理领导小组副组长:XX公司副总经理领导小组成员:综合部、财务部、市场经营部、集客部、客户体验管理部、校园中心、网络部、全业务支撑中心、龙泉分公司、双流分公司分管领导1.1.2领导小组下设信息安全办公室信息安全办公室主任:网络部总经理办公室成员:综合部、财务部、市场经营部、集客部、客户体验管理部、校园中心、网络部、全业务支撑中心、龙泉分公司、双流分公司分管领导和网络信息安全管理员2.2信息安全办公室职责负责信息安全总体目标、总体方针和安全策略的制定,对重大信息安全事件的处置进行指导与协调。
信息安全管理与应急响应
信息安全管理与应急响应随着互联网技术的迅猛发展,信息安全已经成为了企业和个人必须重视的问题。
信息安全管理与应急响应的重要性日益突显。
本文将从信息安全管理和应急响应两个方面进行探讨,旨在强调信息安全的必要性和应对措施。
一、信息安全管理信息安全管理是一套完整的安全控制和保护措施,旨在确保机构、组织或个人信息资产的机密性、完整性和可用性。
以下是信息安全管理的几个重要方面。
1.风险评估与管理信息安全管理的首要任务是进行风险评估与管理。
企业和个人需要对自身信息资产进行评估,分析潜在的风险因素,并采取相应的措施进行管理。
常见的风险包括网络攻击、数据泄露和内部员工的违规行为等。
2.安全策略制定安全策略是信息安全管理的基石,它规范了信息安全的目标、控制措施和操作规程。
企业和个人需要根据自身需求和风险评估结果制定符合实际情况的安全策略。
安全策略应该包括网络安全、数据安全、设备安全等方面。
3.权限管理与访问控制权限管理和访问控制是保护信息系统安全的重要手段。
企业和个人需要限制员工和外部人员对敏感信息的访问权限,并建立相应的权限管理和访问控制机制。
例如,设置不同级别的账号权限,采用双因素认证等方式进行保护。
二、应急响应应急响应是指在发生安全事件或威胁时,及时采取措施进行处置和恢复,减少损失并确保信息系统的正常运行。
以下是应急响应的几个关键环节。
1.事件监测与检测及时的事件监测和检测是应急响应的前提。
企业和个人需要部署相应的安全监测系统,对网络流量、日志记录等进行持续监测,发现异常事件和威胁。
常见的监测手段包括入侵检测系统、日志分析等。
2.事件响应与处理当发现安全事件或威胁时,需要及时采取有效的应急响应措施。
企业和个人应建立健全的应急响应团队,制定应急预案,并进行定期演练。
在事件发生时,应急响应团队需要快速响应、及时隔离和处理问题,并在恢复后进行后续的调查与分析。
3.恢复与防止再次发生在应急响应过程中,恢复数据和系统的完整性是至关重要的。
信息安全事件管理与应急响应
确认
•咨询安全政策
•确定进一步操作的风险
•损失最小化(最快最简单的方式恢复系统的基本功能,例
遏制
如备机启动)
•可列出若干选项,讲明各自的风险,由服务对象选择
宏观:
根除
•确保封锁方法对各网业务影响最小
•通过协调争取各网一致行动,实施隔离
•汇总数据,估算损失和隔离效果
恢复
跟踪
12
第四阶段—根除
长期的补救措施
GB/Z 20986-2007 《信息安全技术 信息安全事 件分类分级指南》
7
应急响应六阶段
第一阶段:准备——让我们严阵以待 第二阶段:确认——对情况综合判断 第三阶段:遏制——制止事态的扩大 第四阶段:根除——彻底的补救措施 第五阶段:恢复——系统恢复常态 第六阶段:跟踪——还会有第二次吗
34
计算机取证的步骤
准备 保护 提取 提交 分析
35
计算机取证-准备
获取授权
取证工作获得明确的授权(授权书)
目标明确
对取证的目的有清晰的认识
工具准备
国家信息安全战略的近期目标:通过五年的努力 ,基本建成国家信息安全保障体系。
6
相关标准
GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
GB/T 20988-2007 《信息安全技术 信息系统灾 难恢复规范》
GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
30
我国信息安全应急响应组织
国家计算机网络应急技术处理协调中心 ( National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC)
信息安全应急响应流程规范
密级:商密文档编号:HCIS-SAD-WORK-03项目代号:HCIS-SAD恒驰信息系统有限公司应急响应规范上海恒驰信息系统有限公司Shanghai Hengchi Information System Co.,Ltd二〇一一年六月应急响应规范目录1. 总则 (3)1.1 1.2 1.3 1.4 目的 (3)事件分类 (3)释义 (3)读者 (4)2. 组织与职责 (5)2.1 2.2 2.3 2.4 应急响应小组 (5)高级安全顾问 (5)安全顾问 (5)安全服务工程师 (5)3.4.5.6.7.应急响应处理流程 (6)检查要求 (7)附则 (7)应急响应处理流程图 (8)附表 (9)7.17.2安全事件检查记录表 (9)安全事件分析处理表 (10)©HCIS Security Team Page : 2 of 10应急响应规范1.总则1.1目的为增强恒驰信息安全服务中心应对紧急安全事件的能力,规范安全服务应急响应流程,保障用户在遭受到紧急状况时的资产损失降低到最小,并在规范的流程下进行修复,保障业务的连续性和问题的可追踪性,特制定本应急响应流程。
1.2事件分类1)物理安全事件指计算机设备、设施(含网络)以及其它媒体遭到人为的或自然灾害引起的物理上的危害。
2)逻辑安全事件指信息的完整性、保密性和可用性方面遭到破坏,从而导致涉及的网络、操作系统、数据库、应用系统、人员管理等方面正常业务运行受到影响。
1.3释义一、本管理办法中所描述的安全广义上均指信息安全;二、物理安全事件定义(包含但不仅限于):1)设备遗失,遭到物理闯入或计算机设备被窃;2)自然灾害,物理环境或设备遭到火灾或水灾等事故;3)环境灾害,物理设备由于机房环境灰尘或静电造成损坏;4)意外故障,设备在运行过程意外(如本身质量等问题)损坏,造成业务受损或服务中断;5)人员误操作,管理维护人员在日常维护中因误操作导致物理设备、线缆等设施的损坏,造成业务受损或服务中断。
网络安全应急预案V1.0
网络安全应急预案1目的为提高应对网络与信息安全突发事件的能力,形成科学有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网站网络与信息安全突发事件的危害,实现“零事故”网络安全目标,特制定本预案。
本预案适用于公司的所有员工。
2编制依据根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《信息安全技术信息安全事件分类分级指南》、《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法规、规定,制定本预案。
3范围本预案管理范围包括:集团生产、经营、办公、安全等相关的应用系统和数据,以及为其提供支撑的基础设施资源、计算存储资源和办公终端资源等。
4工作原则4.1明确责任、分级负责。
按照“谁主管、谁负责”的原则,加强网络安全管理,认真落实各项安全管理制度和措施。
加强信息系统网络安全的宣传和教育,进一步提高工作人员的信息安全意识。
加强协调与配合,共同完成应急处置工作。
4.2预防为主,防治结合。
加强预警机制建设,预防和最大程度减少网络与信息安全事件的发生;加强应急处置措施能力建设,减少网络与信息安全事件的损失。
4.3密切协同,快速反应。
发生网络与信息安全事件时,要快速响应、果断决策,各科室协调配合、迅速处置,最大程度减少危害和影响。
4.4依靠科技,提高能力。
加强技术储备,完善技术措施,做好预案演练,提高应急处置能力。
5组织职责5.1网络和信息安全领导小组:由公司董事会秘书担任组长,组员由信息技术组员工组成。
5.2网络和信息安全领导小组组长负责召集领导小组会议,部署和检查计算机网络完全领域重大事宜;协调处理网络安全突发事故,落实网络安全应急预案;各成员负责汇总网络和信息安全突发事件相关信息,进行综合分析研判,及时向组长报告有关情况;负责突发安全事故处理及网络安全应急预案落实的具体执行。
信息安全事件与应急响应管理规范
四川长虹电器股份有限公司虹微公司管理文件信息安全事件与应急响应管理规范××××–××–××发布××××–××–××实施四川长虹虹微公司发布目录1.目的 (1)2.适用范围 (1)3.工作原则 (1)4.组织体系和职责 (2)5.信息安全事件分类和分级 (2)5.1.信息安全事件分类 (2)5.1.1信息系统攻击事件 (2)5.1.2信息破坏事件 (3)5.1.3信息内容安全事件 (3)5.1.4设备设施故障 (3)5.1.5灾害性事件 (3)5.1.6其他信息安全事件 (3)5.2.安全事件的分级 (3)5.2.1特别重大信息安全事件(一级) (3)5.2.2重大信息安全事件(二级) (4)5.2.3较大信息安全事件(三级) (4)5.2.4一般信息安全事件(四级) (4)6.信息安全事件处理 .................................................................... 错误!未定义书签。
7.奖励与处罚 (6)8.后期处置 (6)9.解释 (6)1.目的为建立健全虹微网络安全事件处理工作机制,提高网络安全事件处理能力和水平,保障公司的整体信息系统安全,减少信息安全事件所造成的损失,采取有效的纠正与预防措施,特制定本规范。
2.适用范围本文档适用于公司建立的信息安全管理体系。
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
本程序适用于公司全体员工;适用于公司的信息安全事故、弱点和故障的管理。
3.工作原则●统一指挥机制原则:在进行信息系统安全应急处置工作过程中,各部门的人员应服从各级信息系统突发安全事件处置领导小组的统一指挥。
●谁运行、谁主管、谁处置的原则:各类信息系统的责任部门要按照公司统一要求,制定和维护本部门信息系统运行安全应急子预案,并组织或督促相关部门制定和维护本部门应用系统的应急子预案,认真根据应急预案进行演练与应急处置工作。
信息安全事件与应急响应管理规范v.0
四川长虹电器股份有限公司虹微公司管理文件信息安全事件与应急响应管理规范××××–××–××发布××××–××–××实施四川长虹虹微公司发布目录1.目的 (1)2.适用范围 (1)3.工作原则 (1)4.组织体系和职责 (2)5.信息安全事件分类和分级 (2)5.1.信息安全事件分类 (2)5.1.1信息系统攻击事件 (2)5.1.2信息破坏事件 (3)5.1.3信息内容安全事件 (3)5.1.4设备设施故障 (3)5.1.5灾害性事件 (3)5.1.6其他信息安全事件 (3)5.2.安全事件的分级 (3)5.2.1特别重大信息安全事件(一级) (3)5.2.2重大信息安全事件(二级) (4)5.2.3较大信息安全事件(三级) (4)5.2.4一般信息安全事件(四级) (4)6.信息安全事件处理............................. 错误!未定义书签。
7.奖励与处罚 (6)8.后期处置 (6)9.解释 (6)1.目的为建立健全虹微网络安全事件处理工作机制,提高网络安全事件处理能力和水平,保障公司的整体信息系统安全,减少信息安全事件所造成的损失,采取有效的纠正与预防措施,特制定本规范。
2.适用范围本文档适用于公司建立的信息安全管理体系。
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
本程序适用于公司全体员工;适用于公司的信息安全事故、弱点和故障的管理。
3.工作原则●统一指挥机制原则:在进行信息系统安全应急处置工作过程中,各部门的人员应服从各级信息系统突发安全事件处置领导小组的统一指挥。
●谁运行、谁主管、谁处置的原则:各类信息系统的责任部门要按照公司统一要求,制定和维护本部门信息系统运行安全应急子预案,并组织或督促相关部门制定和维护本部门应用系统的应急子预案,认真根据应急预案进行演练与应急处置工作。
信息安全应急响应流程规范
信息安全应急响应流程规范一、引言信息安全是企业发展的重要保障,但随着网络技术的发展,信息安全面临着越来越多的挑战。
为了及时应对和处置各种信息安全事件,保障企业的信息安全,制定一套完整的信息安全应急响应流程规范是非常必要的。
二、定义与目的1.定义2.目的2.1及时发现和处理信息安全事件;2.2减少信息安全事件对企业造成的损失;2.3保护企业的信息安全。
1.建立应急响应团队1.1确定应急响应团队的成员和职责;1.2制定应急响应团队的组织结构和工作流程;1.3确保应急响应团队的成员具备足够的技术和业务能力;1.4定期组织应急演练,提高团队成员的应急响应能力。
2.事件监测与发现2.1部署有效的安全监测系统,用于及时发现信息安全事件;2.2建立安全事件监测与报警机制,确保安全事件的及时上报;2.3对安全事件进行分类和评估,确定响应优先级。
3.事件响应与处置3.1快速响应3.1.1确定响应团队的成员和职责;3.1.2启动应急响应流程,快速对事件进行初步调查和分析;3.1.3停止继续扩散的安全事件;3.1.4制定应急响应方案。
3.2详细调查与分析3.2.1对安全事件的原因、影响和后果进行详细的调查和分析;3.2.2收集相关的日志信息和调取相关证据;3.2.3与相关部门和厂商进行沟通和协调。
3.3及时处置3.3.1制定详细的处置方案,包括技术措施和管理措施;3.3.2及时采取技术措施,消除安全隐患;3.3.3针对威胁行为采取相应的管理措施,包括但不限于封禁账号、移除恶意软件等;3.3.4对事件的处置过程进行记录和备份。
3.4事件跟踪与总结3.4.1对事件的处理过程进行跟踪和监控,确保问题的解决和处置措施的有效性。
3.4.2对事件的处理过程和处置效果进行总结和评估,改进应急响应流程和措施。
四、流程规范的优化与完善1.定期评估和测试流程的有效性和适应性;2.结合实际情况,不断修订和完善流程规范;3.及时关注新的威胁和技术,更新流程规范。
信息安全事件应急响应制度
信息安全事件应急响应制度1. 背景为了保护企业的信息资产安全,防备和快速应对各类信息安全事件的发生,加强信息安全管理,确保企业的稳定运营,订立本《信息安全事件应急响应制度》。
2. 目的本制度的目的是为了及时发现、评估和应对企业内外发生的信息安全事件,最大限度地减少信息资产的损失,保护企业的声誉和利益。
3. 适用范围本制度适用于本企业的各个部门、员工、合作伙伴以及外部访客。
全部相关人员都有责任遵守和执行本制度。
4. 定义•信息安全事件:指对企业的信息系统、网络、数据和资产造成或可能造成威逼、破坏、损失的事件。
•应急响应小组:由信息安全管理部门负责组建的具有专业本领的应急响应小组,负责信息安全事件的处理和调查。
•信息资产:指企业拥有的各类与信息相关的资产,包含但不限于系统、网络、数据、设备、软件、知识产权等。
5. 应急响应流程5.1 事件的发现和报告任何发现或怀疑发生信息安全事件的员工都有责任立刻向上级主管报告,并同时通知信息安全管理部门。
5.2 应急响应小组的成立信息安全管理部门在收到事件报告后,将立刻成立应急响应小组。
该小组由信息安全主管担负组长,并由网络运维、系统管理员、法务等相关部门构成。
5.3 事件的评估和分类应急响应小组将对事件进行评估,并依据事件的严重程度和影响范围进行分类。
依据事件分类的不同,小组将采取相应的应急措施。
5.4 应急响应措施依据事件的分类,应急响应小组将采取以下措施:—对事件进行调查和分析,确定事件的性质和原因;—隔离受影响的系统、网络或设备,以防止事件的扩散和进一步损害;—启动备份系统,保证业务的连续运行;—依据需要,通知相关部门和本地执法机构,搭配调查和取证工作;—发布内部通知,告知员工有关事件的情况和应对方法;—采取必需的修复措施,修复受损的系统和网络。
5.5 事件的处理和整改应急响应小组将对事件进行全面的处理和整改工作,包含但不限于:—撤销未经授权的访问权限;—更新和加强系统和网络的安全措施;—追踪和收集事件的相关证据;—完善企业的信息安全管理制度;—对相关责任人进行必需的培训和教育。
信息系统应急预案管理规范
信息系统应急预案管理规范文件编号:YJYA编制:运维部门审核:批准:版本:A1.0发布日期:1.目的为减少本公司信息安全事件对业务的影响,保证业务连续性,特制定本规范。
2.适用范围适用于本公司信息系统。
3.职责由本公司信息化应急领导小组负责此规定的执行。
4.应急组织4.1.组织结构信息化领导小组下设信息化应急领导小组。
信息化应急领导小组下设运维部门、技术部门、产品部门、行政中心等应急处理工作组,各工作组受应急处理领导小组的统一指挥。
4.2.信息化应急领导小组的组成和职责信息化应急领导小组其成员包括:组长:副组长:成员:下设领导小组办公室:主要负责人:联络人:主要职责:(1)拟订或者组织拟订本公司应对信息安全突发事件的工作规划和应急预案并组织实施。
(2)督促检查各处室应急预案的执行情况,并给予指导。
(3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。
(4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。
(5)监督检查、协调指导技术部及各处室信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。
(6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
4.3.各应急处理工作组的组成和职责4.3.1.业务组业务组由业务部门负责人和业务骨干组成,其中业务部门负责人任组长。
主要职责:(1)在技术部门的配合下,具体承担业务应急方案的制定、审查、培训和演练工作。
(2)应急事件发生后,根据指令立即到达应急处置办公现场,依据应急处理方案组织实施。
4.3.2.技术部门技术部门成员由技术部负责人和技术骨干组成,其中技术部负责人担任组长。
主要职责:(1)监控计算机网络系统运行状态,向信息化应急领导小组办公室及时报告异常情况;(2)负责技术应急处理方案的制定、审查、培训和演练工作;(3)分析确定异常状况的性质、影响范围和延续时间,提出进入紧急状态请求;(4)在应急状态下,具体实施技术应急方案,排除技术故障,恢复系统正常运行;(5)协助其它特别工作组完成系统复原后的数据恢复工作;(6)总结、分析事故原因,向信息化应急领导小组办公室提出事故总结、分析及处理报告。
22、应急响应管理制度V1
XXX单位应急响应管理制度V1.020XX年XX月XX日目录1目的 (1)2适用范围 (1)3应急处置基本原则 (1)4应急指挥机构及职责 (2)4.1应急指挥机构 (2)4.2应急指挥机构的职责 (2)5应急响应 (3)5.1事件类型 (3)5.2事件分级 (4)5.2.1特别重大突发事件(Ⅰ级) (4)5.2.2重大突发事件(Ⅱ级) (4)5.2.3较大突发事件(Ⅲ级) (5)5.2.4一般突发事件(Ⅳ级) (5)5.3先期处置 (5)5.4应急响应 (6)5.4.1I级响应 (6)5.4.2II级响应 (6)5.4.3III级响应 (7)5.4.4IV级响应 (7)5.5响应调整 (7)5.6应急结束 (8)6事件上报 (8)7后期处置 (9)7.1事件监测 (9)7.2事件调查 (9)7.3预案报备 (9)7.4总结及改进 (9)8附则 (10)1目的为了提高XXX单位处置信息系统的安全突发事件的能力,最大限度地预防和减少信息系统安全突发事件及其造成的损害和影响,保障信息系统的安全稳定运行,维护正常的生产秩序,制定本制度。
2适用范围本制度适用于XXX单位应对和处置各类对XXX单位网络信息系统造成严重损失和影响的突发事件。
本制度用于指导和规范制定网络信息系统突发事件处置预案,建立分级负责的网络信息系统突发事件应急处置体系,规范处理突发网络信息事件的逐级汇报流程。
单位应按照“谁主管、谁负责,谁运行、谁负责”的原则,制定信息系统安全应急预案。
3应急处置基本原则1)预防为主,常备不懈,超前预想做好应对网络信息系统突发事件的预案准备、应急资源准备、保障措施准备和超前信息系统突发事件预想,充分利用现有资源,制定科学的应急预案,定期组织开展应急培训和应急演练,提高对各类事件的应急响应和综合处理能力。
2)安全第一、预防为主坚持“安全第一、预防为主”的安全方针,立足安全防护,加强预警,重点保护基础信息网络和主营业务信息系统;建立预防和预警机制,将风险评估和安全检查列入常态工作,制定信息通报工作制度,做到早发现、早报告、早处置。
信息安全事件与应急响应管理规范V1.0
信息安全事件与应急响应管理规范V1.0四川长虹电器股份有限公司虹微公司管理文件信息安全事件与应急响应管理规范××××–××–××发布××××–××–××实施四川长虹虹微公司发布第 I 页共 11 页目录1.目的 (1)2.适用范围 (1)3.工作原则 (1)4.组织体系和职责 (2)5.信息安全事件分类和分级 (2)5.1..............................................................................................信息安全事件分类25.1.1信息系统攻击事件 (2)5.1.2信息破坏事件 (3)5.1.3信息内容安全事件 (3)5.1.4设备设施故障 (3)5.1.5灾害性事件 (3)5.1.6其他信息安全事件 (3)5.2.....................................................................................................安全事件的分级35.2.1特别重大信息安全事件(一级) (4)5.2.2重大信息安全事件(二级) (4)5.2.3较大信息安全事件(三级) (4)5.2.4一般信息安全事件(四级) (4)6.信息安全事件处理............................. 错误!未定义书签。
7.奖励与处罚 (6)8.后期处置 (6)9.解释 (6)1.目的为建立健全虹微网络安全事件处理工作机制,提高网络安全事件处理能力和水平,保障公司的整体信息系统安全,减少信息安全事件所造成的损失,采取有效的纠正与预防措施,特制定本规范。
2.适用范围本文档适用于公司建立的信息安全管理体系。
公司信息系统安全事件应急响应管理办法
公司信息系统安全事件应急响应管理办法第一章总则第一条为规范XXXX公司(以下简称公司)信息系统安全事件的应急响应管理,明晰信息安全事件处理的管理部门和渠道,保证信息安全事件能够得到及时有效的应急响应处理,特制定本办法。
第二条本办法中定义的内容包括对信息安全事件的发现、报告、处理、恢复、备案、上报等。
第三条公司信息系统将遵照“积极预防、及时发现、快速反映、确保恢复”的方针,处理安全事件应急响应工作。
第四条本办法是公司信息系统开展安全事件应急响应管理工作的依据。
第五条本办法适用于公司、全资子公司及比照全资子公司管理的控股子公司(以下简称子公司)。
公司控股投资企业可参照执行。
第二章组织和职责第六条信息安全事件应急响应管理工作涉及组织和人员包括:信息安全领导小组、信息安全管理小组、信息安全应急响应小组、信息安全应急支持专家组、系统管理员、网络管理员、业务管理员。
第七条信息安全管理小组由信息化管理部主任担任组长,信息安全主管处室负责人担任信息安全主管,以及信息化管理部各处室负责人和信息安全管理员组成,负责监督运行管理处进行安全事件处置。
第八条信息安全应急响应小组主要由信息安全管理小组、系统管理员、网络管理员、业务管理员及临时性的信息安全应急支持专家组组成,负责协调、处理、汇报信息安全事件。
信息安全应急响应小组组长由信息安全管理小组组长兼任。
第九条信息安全应急支持专家组是临时性组织,由公司信息系统主要负责人,安全支持厂商共同组成。
信息安全应急支持专家组负责对安全应急响应申请提供技术支持和指导。
第十条信息安全管理员可由运行管理处的系统管理员兼任,负责执行应急响应请求并执行故障恢复、取证等工作。
第十一条系统管理员由公司信息化管理部运行管理处安排专门的系统维护人员担任,负责发现并报告故障、应急响应申请、初步处理、以及协同安全技术管理人员工作。
同时还负责记录整理该安全事件并进行备案,并以通告的形式发放安全公告。
第十二条网络管理员由公司信息化管理部运行管理处安排专门的网络维护人员担任,负责发现并报告故障、应急响应申请、初步处理、以及协同安全技术管理人员工作。
信息安全事件与应急响应管理办法
信息安全事件及应急响应管理办法第一章总则为提升信息安全管理能力,最大限度地保障公司信息安全,保证对公司信息安全事件的快速、明确、完整处理,特制定本管理办法。
本办法解释权归属网络信息安全管理办公室,各专业网、各市分公司应根据本办法制定实施细则。
第二章组织与职责一、信息安全事件管理职责信息安全事件管理遵循如下原则:(一)“谁主管,谁负责;谁运营,谁负责;谁使用,谁负责;谁接入,谁负责”;(二)各部门一方面对本部门信息安全工作负责,另一方面对下级部门信息安全工作负有指导和监督管理责任。
各级网络信息安全管理归口管理机构是信息安全事件的职能管理机构,各专业网维护部门是信息安全事件的监控和应急处理的第一责任部门。
省公司网络信息安全归口管理机构为省公司网络信息安全管理办公室;各市分公司网络信息安全归口管理机构为各市分公司网络信息安全管理办公室或工作小组。
(一)省公司职责:省公司网络信息安全管理办公室负责组织制定、发布、推行和修订信息安全事件及应急响应管理办法;负责重大及以上等级信息安全事件的应急处置总体协调工作;根据信息安全事件等级及时将省内信息安全事件处理情况上报总部信息安全管理部;负责信息安全事件信息的归档等;网络部负责涉及移动通信网、各网管支撑系统等网络信息安全事件的归口管理和应急组织工作;负责组织网络安全应急演练;负责将网络类信息安全事件情况和处理措施上报省公司网络信息安全管理办公室;作为与通信管理局的固定接口负责将省内信息安全事件报告上报通信管理局。
业务支撑系统部负责涉及业务支撑网的信息安全事件的归口管理和应急组织工作;负责组织业务支撑网的应急演练;负责将业务支撑类信息安全事件情况和处理措施上报省公司网络信息安全管理办公室。
管理信息系统部负责OA、企业ERP等管理信息网信息安全事件的归口管理和应急组织工作;负责组织管理信息网的应急演练;负责将管理信息网信息安全事件情况和处理措施上报省公司网络信息安全管理办公室。
网络与信息安全应急响应技术指南规范
网络与信息安全应急响应技术规范与指南版本号:V1.0目录前言 (7)一、背景 ........................................................................................................ 错误!未定义书签。
二、适用范围 ................................................................................................ 错误!未定义书签。
三、编制依据 ................................................................................................ 错误!未定义书签。
四、阅读对象 ................................................................................................ 错误!未定义书签。
五、引用标准 (7)六、缩略语 (7)七、安全事件及分类 (7)八、安全事件应急响应 (8)九、文档内容概述 (10)1准备阶段 (12)1.1概述 (12)1.1.1准备阶段工作内容 (12)1.1.1.1系统快照 (12)1.1.1.2应急响应工具包 (13)1.1.2准备阶段工作流程 (13)1.1.3准备阶段操作说明 (14)1.2主机和网络设备安全初始化快照 (14)1.2.1W INDOWS安全初始化快照 (15)1.2.2U NIX安全初始化快照 (18)1.2.2.1 Solaris 安全初始化快照 (18)1.2.3网络设备安全初始化快照 (25)1.2.3.1 路由器安全初始化快照 (25)1.2.4数据库安全初始化快照 (26)1.2.4.1 Oracle 安全初始化快照 (26)1.2.5安全加固及系统备份 (31)1.3应急响应标准工作包的准备 (31)1.3.1W INDOWS系统应急处理工作包 (32)1.3.1.1 系统基本命令 (32)1.3.1.2 其它工具软件 (32)1.3.2U NIX系统应急处理工作包 (33)1.3.2.1系统基本命令 (33)1.3.2.2 其它工具软件 (33)1.3.3O RACLE 数据库应急处理工具包 (34)2检测阶段 (35)2.1.1检测阶段工作内容 (35)2.1.2检测阶段工作流程 (35)2.1.3检测阶段操作说明 (36)2.2系统安全事件初步检测方法 (36)2.2.1W INDOWS系统检测技术规范 (36)2.2.1.1 Windows服务器检测技术规范 (36)2.2.1.2 Windows检测典型案例 (38)2.2.2U NIX系统检测技术规范 (38)2.2.2.1 Solaris 系统检测技术规范 (38)2.2.2.2 Unix检测典型案例 (39)2.3系统安全事件高级检测方法 (42)2.3.1W INDOWS系统高级检测技术规范 (42)2.3.1.1 Windows高级检测技术规范 (42)2.3.1.2 Windows高级检测技术案例 (43)2.3.2U NIX系统高级检测技术规范 (44)2.3.2.1 Solaris高级检测技术规范 (44)2.3.2.2 Unix高级检测技术案例 (47)2.4网络安全事件检测方法 (51)2.4.1拒绝服务事件检测方法 (51)2.4.1.1 利用系统漏洞的拒绝服务攻击检测方法 (51)2.4.1.2 利用网络协议的拒绝服务攻击检测方法 (51)2.4.2网络欺骗安全事件检测方法 (51)2.4.2.1 DNS欺骗检测规范及案例 (51)2.4.2.2 WEB欺骗检测规范及案例 (51)2.4.2.3 电子邮件欺骗检测规范及案例 (52)2.4.3网络窃听安全事件检测方法 (53)2.4.3.1共享环境下SNIFFER检测规范及案例 (53)2.4.3.2交换环境下SNIFFER检测规范及案例 (54)2.4.4口令猜测安全事件检测方法 (54)2.4.4.1 windows系统检测 (55)2.4.4.2 UNIX系统检测 (55)2.4.4.3 CISCO路由器检测 (55)2.4.5网络异常流量特征检测 (56)2.4.5.1网络异常流量分析方法 (56)2.5数据库安全事件检测方法 (57)2.5.1数据库常见攻击方法检测 (57)2.5.2脚本安全事件检测 (57)2.5.2.1 SQL注入攻击检测方法 (57)2.5.2.2 SQL注入攻击案例 (58)2.6事件驱动方式的安全检测方法 (58)2.6.1日常例行检查中发现安全事件的安全检测方法 (58)2.6.1.1特点 (58)2.6.1.2人工检测被入侵的前兆 (58)2.6.2事件驱动的病毒安全检测方法 (60)2.6.2.1特点 (60)2.6.2.2病毒检测流程 (61)2.6.2.3防御计算机病毒措施 (62)2.6.3事件驱动的入侵检测安全检测方法 (62)2.6.3.1特征 (62)2.6.3.2入侵检测系统分为网络型和主机型 (62)2.6.3.3入侵检测流程 (63)2.6.4事件驱动的防火墙安全检测方法 (63)2.6.4.1特点 (63)2.6.4.2防火墙安全检测流程 (64)3抑制和根除阶段 (66)3.1概述 (66)3.1.1抑制和根除阶段工作内容 (66)3.1.2抑制和根除阶段工作流程 (66)3.1.3抑制和根除阶段操作说明 (67)3.2拒绝服务类攻击抑制 (68)3.2.1SYN和ICMP拒绝服务攻击抑制和根除 (68)3.2.1.1 SYN(UDP)-FLOOD拒绝服务攻击抑制及根除 (68)3.2.1.2 ICMP-FLOOD拒绝服务攻击抑制及根除 (68)3.2.2系统漏洞拒绝服务抑制 (69)3.2.2.1 WIN系统漏洞拒绝服务攻击抑制及根除 (69)3.2.2.2 UNIX系统漏洞拒绝服务攻击抑制及根除 (69)3.2.3.3 网络设备IOS系统漏洞拒绝服务攻击抑制 (70)3.3利用系统漏洞类攻击抑制 (70)3.3.1系统配置漏洞类攻击抑制 (70)3.3.1.1简单口令攻击类抑制 (70)3.3.1.2简单口令攻击类根除 (70)3.3.2系统程序漏洞类攻击抑制 (71)3.3.2.1缓冲溢出攻击类抑制 (71)3.3.2.2缓冲溢出攻击类根除 (71)3.4网络欺骗类攻击抑制与根除 (72)3.4.1DNS欺骗攻击抑制与根除 (72)3.4.2电子邮件欺骗攻击抑制与根除 (72)3.4.2.1电子邮件欺骗攻击抑制 (72)3.4.2.2电子邮件欺骗攻击根除 (73)3.5网络窃听类攻击抑制及根除 (73)3.5.1共享环境下SNIFFER攻击抑制及根除 (73)3.5.1.1共享环境下SNIFFER攻击抑制及根除 (73)3.5.2交换环境下SNIFFER攻击抑制 (74)3.5.2.1交换环境下SNIFFER攻击抑制 (74)3.6数据库SQL注入类攻击抑制与根除 (75)3.6.1数据库SQL注入类攻击抑制与根除 (75)3.6.1.1对于动态构造SQL查询的场合,可以使用下面的技术: (75)3.6.1.2用存储过程来执行所有的查询。
信息安全事件应急预案
******有限公司信息安全事件应急预案预案版本:1.00版发布部门:******有限公司突发事件应急管理委员会发布日期:2009年3月1日目录第一章总则 (1)第一条编制目的 (1)第二条编制依据 (1)第三条适用范围 (1)第四条与其他预案的关系 (1)第五条工作原则 (1)第二章单位概况 (1)第六条应急资源概况 (1)第七条危险分析 (2)第三章应急保障 (2)第八条机构与职责 (2)第十条通信与信息 (3)第十一条应急人员培训 (3)第十二条预案演练 (3)第十三条员工教育 (3)第十四条互助协议 (3)第四章应急响应 (3)第十五条接警与通知 (3)第十六条指挥与控制 (4)第十七条报告与公告 (4)第十八条事态监测与评估 (5)第十九条公共关系 (5)第二十条应急人员安全 (6)第二十一条抢险 (6)第二十二条警戒与治安 (8)I第二十三条人群疏散与安置 (8)第二十四条医疗与卫生 (8)第二十五条现场恢复 (8)第二十六条应急结束 (8)第五章预案管理 (8)第二十七条备案 (8)第二十八条维护和更新 (8)第二十九条制订与解释部门 (8)第三十条实施时间 (8)第六章专项应急处置预案 (8)第三十一条现场预案 (8)第七章附件 (9)第三十二条信息安全事件应急响应程序 (9)II第一章总则第一条编制目的为了保证******有限公司(简称公司)信息网络的安全,保障各种业务应用系统的持续、正常运转,防止和减少因各类信息安全事件造成的损失,建立紧急情况下有效的应急机制,根据公司的实际情况制定本预案。
第二条编制依据本预案依据下列规章制度及预案编制:《########有限公司信息安全事件应急预案》《########有限公司突发事件应急管理规定》《########电有限公司突发事件总体应急预案》第三条适用范围本预案适用于公司发生的达到公司I级应急响应的信息安全事件,即在公司重要的信息系统(FAM、OA、网络等关键系统)发生故障已经(或预期)超过72小时不能恢复正常运行时启动本预案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
四川长虹电器股份有限公司虹微公司管理文件信息安全事件与应急响应管理规范××××–××–××发布××××–××–××实施四川长虹虹微公司发布目录1.目的 (1)2.适用围 (1)3.工作原则 (1)4.组织体系和职责 (2)5.信息安全事件分类和分级 (2)5.1.信息安全事件分类 (2)5.1.1信息系统攻击事件 (2)5.1.2信息破坏事件 (3)5.1.3信息容安全事件 (3)5.1.4设备设施故障 (3)5.1.5灾害性事件 (3)5.1.6其他信息安全事件 (3)5.2.安全事件的分级 (3)5.2.135.2.245.2.345.2.446.信息安全事件处理 (4)7.奖励与处罚 (6)8.后期处置 (6)9.解释 (6)1.目的为建立健全虹微网络安全事件处理工作机制,提高网络安全事件处理能力和水平,保障公司的整体信息系统安全,减少信息安全事件所造成的损失,采取有效的纠正与预防措施,特制定本规。
2.适用围本文档适用于公司建立的信息安全管理体系。
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
本程序适用于公司全体员工;适用于公司的信息安全事故、弱点和故障的管理。
3.工作原则●统一指挥机制原则:在进行信息系统安全应急处置工作过程中,各部门的人员应服从各级信息系统突发安全事件处置领导小组的统一指挥。
●谁运行、谁主管、谁处置的原则:各类信息系统的责任部门要按照公司统一要求,制定和维护本部门信息系统运行安全应急子预案,并组织或督促相关部门制定和维护本部门应用系统的应急子预案,认真根据应急预案进行演练与应急处置工作。
●以人为本,最小损失原则:应对信息系统突发安全事件的各项措施均应以人为本,最大程度地减少信息系统突发安全事件造成的危害和损失。
●居安思危,预防为主原则:高度重视信息系统突发安全事件预防工作,常抓不懈,防患于未然。
增强忧患意识,坚持做好信息系统日常监控与运行维护工作,坚持预防与应急相结合,做好应对信息系统突发安全事件的各项准备工作。
●分级响应和管理原则:在各类子预案和工作制度中应对信息系统突发安全事件制定科学的等级标准,各部门要依据规定权限及程序及时预防、预警、控制、解决本级职责围的信息系统突发安全事件。
●原则:参与信息系统突发安全事件处置工作的人员应严守公司规定,未经授权不得向外界提供与处置有关的工作信息,不得利用工作中获得的信息牟取私利。
4.组织体系和职责●所有人员(包含正式员工、合同雇佣人员、实习生、临时人员等)发现疑似信息安全异常事件时,都负有实时通报的责任。
●各部门信息安全专员是信息安全事件的识别和响应的联络窗口,负责配合安全服务部,进行安全事件处理。
●信息安全执行小组由各部门负责信息安全工作的人员以及安全服务部组成,是信息安全事件处理的权责单位,具有如下职责:(一)评审和更新公司的信息安全事件管理规;(二)协调和监督信息安全事件纠正和预防措施的执行;(三)组织调查信息安全事件,配合有关部门进行计算机犯罪案件的调查;(四)向信息安全委员会报告并提出处理意见。
●信息安全委员会由公司领导层组成,会应对信息安全事件处理机制进行统筹和规划,具有如下职责:(一)指导虹微信息安全事件的防与应急处置工作;(二)推动虹微信息安全事件应急响应机制的建立。
5.信息安全事件分类和分级5.1.信息安全事件分类从事件容分为信息系统攻击事件、信息破坏事件、信息容安全事件、设备设施故障事件、灾害性事件、其他事件。
5.1.1信息系统攻击事件信息系统攻击事件是指通过网络攻击、有害程序或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
信息系统攻击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。
5.1.2信息破坏事件信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页嵌恶意代码事件等5.1.3信息容安全事件信息容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的容的安全事件。
5.1.4设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故等。
5.1.5灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
灾害类事件包括水灾、台风、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的信息安全突发事件。
5.1.6其他信息安全事件指不能归为以上5类的信息安全突发事件。
5.2.安全事件的分级根据信息系统的重要程度、系统损失和社会影响,将信息安全事件划分为四个级别:特别重大信息安全事件(一级)、重大信息安全事件(二级)、较大信息安全事件(三级)和一般信息安全事件(四级)。
5.2.1特别重大信息安全事件(一级)特别重大信息安全事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:(一)会使特别重要信息系统遭受特别严重的系统损失;(二)产生特别重大的社会影响。
5.2.2重大信息安全事件(二级)重大信息安全事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:(一)会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;(二)产生的重大的社会影响。
5.2.3较大信息安全事件(三级)较大信息安全事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:(一)会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;(二)产生较大的社会影响。
5.2.4一般信息安全事件(四级)一般信息安全事件是指不满足以上条件的信息安全事件,包括以下情况:(一)会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;(二)产生一般的社会影响。
6.应急处置(一)当信息安全事件发生时,应根据事件类型及影响规定汇报角色和处理流程。
1)公司部员工发现疑似信息安全事件或收到外部报告的信息安全事件时,由发现人依事件归属通报部门信息安全专员并告知直属主管;2)各室部门信息安全专员在发生信息安全事件时,应立即向信息安全执行小组报告。
(二)信息安全事件汇报容应涵盖事件发生的事实、可能影响的围、损失评估、需要的支持、采取的应对措施等。
(三)信息安全执行小组在收到报告后,应对事件进行判断和分析:1)判定为非信息安全事件时,将结果回复发现人。
2)判定为信息安全事件时,则进一步分析事件影响,并按公司相关制度流程进行处理:⏹当发生一般信息安全事件或较大信息安全事件时,由信息安全执行小组处理,并采取相关的纠正及预防措施,以防止类似事件发生。
⏹当发生重大信息安全事件或特别重大信息安全事件时,应上报信息安全委员会,并由信息安全执行小组根据信息安全委员会的决策对事件进行处理。
⏹处理过程中如发现造成的影响大于原先判定事件,应重新执行事件分析。
(四)处理信息安全事件时,若需部门部资源,则由信息安全执行小组沟通协调工作;如需部门外部资源协助,则由信息安全委员会进行协调。
当重大信息安全事件发生需对外说明时,由公司的对外窗口统一对外说明情况与处置方式。
(五)如遇危及人员生命的信息安全事件时,应立刻对人员进行施救,并向其他组织请求支援。
事后再由信息安全专员向信息安全执行小组进行汇报。
(六)公司应建立相应机制,监视并记录信息安全事件,并对其类型、数量和造成损失的代价进行统计。
(七)当一个信息安全事件涉及民事或刑事诉讼,需要进行司法取证时,应注意:⏹设备封存过程需当事人、调查者及司法鉴定部门同时在场,封存处必须有各方签字;⏹数据的保存和证据的挖掘过程均需司法鉴定部门在场,以确保数据的完整性和可靠性;⏹司法鉴定机构需对获取证据的过程出具司法鉴定报告(八)针对信息安全事件的处理时间;7.奖励与处罚(一)员工发现疑似信息安全事件并及时汇报后,应给予一定奖励。
(二)员工及时妥善处理信息安全事件后,应给予一定奖励。
(三)在信息安全事件响应后,应对事件的进行评定,如果信息安全事件属于人为信息安全事件的,信息安全执行小组应根据信息安全事件的等级(参见本制度第5章)决定对该员工的惩罚级别,并提交信息安全违规人员处置建议给人力资源部。
(四)员工造成严重的信息安全事件(特别重大事件和重大事件)时,人力资源部应对其部门负责领导相应惩罚。
如果员工的违规行为违反了国家的法律法规,按法律法规移交司法机关进行处理。
(五)详细奖惩规定参见《信息安全奖惩管理办法》8.后期处置安全事件应急处理结束后,及时对本次安全事件发生的原因、事件规模进行调查,估算事件损失后果,对应急处理手段效果和后续风险进行评估,总结应急处理的经验教训并提出改进建议。
9.解释本管理办法由信息安全服务部负责解释。
10.附录附件一:UNIX/Linux应急响应检查指南。