网站安全事件报告与处置管理制度

XXX网站平台

--网站安全事件报告与处置管理制度--

修订及审核记录

目录

一、总则 (4)

二、安全事故管理 (4)

三、事件报告 (13)

四、事件处理 (13)

一、总则

第一条为了规范XXX网站安全事件的报告和处理，防止和减少安全事件，及时对安全事件进行处理，以保证网站的安全运行，加强对信息安全事件的预警通报机制，并为重大信息安全事件的应急响应和事故调查处理工作奠定基础，协调组织相关力量进行事件的应急响应处理，从而降低重大信息安全事件带来的损失和影响，特制定本制度。

第二条根据有关法律、法规的规定，结合XXX网站系统的实际情况，制定本制度，请参照该制度要求，结合本单位、本部门实际情况认真贯彻落实。

第三条本制度适用于XXXXXX。

二、安全事故管理

第四条安全事件分类

1、服务器系统安全事件；

2、设备安全事件；

3、网络安全事件；

4、病毒安全事件；

5、黑客功击安全事件；

6、信息安全事件。

第五条安全事件分级

在XXXXXX网站组和技术组的领导下，网站组和技术组成员决定安全事故的严重性，安全事故归分为以下几个等级：

三级：指可能对本单位的设备或系统有严重和直接威胁的安全事故，需要立即处理。这些设备包括服务器，路由器，防火墙，交换机和网络主机等；

二级：指可能对本单位的设备或系统有潜在威胁的安全事故。这些威胁是不确定的，因此，根据事故的实际情况，不一定需要做出立即的响应；

一级：指可能对本单位的设备或系统造成很小的影响，或根本无实质性的影响的安全事故。这些事故主要是信息性的，不需要马上进行处理。

第六条事故响应团队

本单位应该建立一个安全事故应急小组，由技术人员和管理人员组成。小组应该由信息安全管理组来领导。在整个事故处理中，XXXXXX主任为信息安全协调员,负责与网站组和技术组各个成员的沟通和交流, 信息安全管理组拥有最高领导权。信息技术推广部主任负责从最初的响应到对小组成员的工作分配和指导。技术人员包括信息安全所有成员，负责与他们维护的系统有关的事件。管理人员包括信息安全负责人和来自其他部门的管理人员。

第七条事故响应过程

安全事件相应过程如下图1：安全事件相应流程图

图1：安全事件相应流程图

第八条三级事件响应流程

三级安全事件是指对重要业务系统或流程的可用性和实时性有重大影响的事件。快速解决问题并且恢复系统或流程的正常进行，保证业务的连续性是及至关键的。在响应流程中，第一步就是将发生的问题控制在最小范围内，使其它的系统或流程不受到影响。然后，在本单位信息安全管理组领导下由信息安全应急响应小组研究、讨论并且制定出相关的补救措施。这个步骤可以由第三方服务商或者系统供应商一同参与，目的就是在最短的时间内使系统或流程恢复工作状态。

实施了补救措施之后，信息安全管理组负责人需会同应急响应小组协同业务人员和第三方人员验证系统或流程恢复的情况，确保系统或流程恢复正常工作状态。事件解决之后，应急小组应查找并且调查事件的真实发生原因，并且找出根本系统或流程修补措施。最后，XXXXXX的信息安全负责人应该通知所有相关部门，报告事件的解决结果，并且起草书面报告，提交至信息安全管理组。书面报告应该包括，事件的发生情况及影响，补救措施以及将来的预防建议。

三级安全事件包括：大规模病毒感染，网络中断，关键业务服务器当机，关键业务应用下线，机房漏水和着火，关键业务流程违规，机密信息未授权的访问痕迹，防火墙或路由器未授权的访问痕迹，业务环境数据库未授权的访问痕迹等。

图2：三级安全事件响应流程

第九条二级事件响应流程

二级安全事件响应流程是针对那些对本单位重要业务系统和流程没有直接影响或只对那些无实时性业务系统和流程造成影响的事件而制定的流程。因为这类业务系统的可用性相对不高，而且无时间性的需求，所以，二级安全时间响应流程以发现和解决根本问题为优先。在确保系统可以无错误正常运行后，才可以在业务环境中恢复系统正常运作。其流程也是以控制事件范围为先，确保其它系统不受关联影响。然后由信息安全领导的信息安全应急小组讨论事件原因并且形成解决方案。

在实施补救方案时，必须在测试环境中验证补救措施，确保其有效性。然后才可将其在业务环境中实施。最后，信息安全的信息安全负责人应该通知所有相关部门，报告事件的解决结果，并且起草书面报告，提交至信息安全管理组。书面报告应该包括，事件的发生情况及影响，补救措施以及将来的预防建议。

二级安全事件包括：小规模病毒感染，非关键区域网络问题，关键业务服务器问题，关键业务应用问题，非关键业务服务器和应用问题，机房温度不正常，非关键业务流程违规等。

图3：二级安全事件响应流程

第十条一级事件响应流程

一级安全事件是指对业务影响很小，无实时性要求的事件。这类事件不需要立即做出回复和解决，但必须做好记录，并且定期在信息安全委员会上将这类事件放入议程中。信息安全相关人员应该在会议中组织讨论这类事件的发生原因并进行分析，并且做出解决方案。在会后，信息安全主任应该督促相关人员实施解决方案，并且在完成之后通知相关部门，以及完成事件报告。

一级事件包括：违反信息安全准则中关于密码使用，软件安装等规则，用户账号被锁，用户账号密码滥用等。

图4：一级安全事件应急响应

三、事件报告

第十一条事件发生后，事件发现者应当立即向网站安全小组负责人报告；网站安全小组负责人在接到通报后，应立即通知相关人员在十分钟内赶到现场，同时立即向网站组副主任报告；经安全领导小组会商后，认为情况极为严重的，应立即向公安部门或上级机关报告。

第十二条安全小组负责人向上级领导报告事件应当包括下列内容：

1、事件发生的时间和事件发生的概况；

2、事件已经造成或者可能造成的后果；

3、已经采取的措施；

4、其他应当报告的情况。

第十三条事件报告后出现新情况的，应当及时补报。

第十四条网站安全小组负责人接到事件报告后，应当立即启动事件相应应急预案，采取有效措施。

第十五条事件发生后，妥善保留事件相关数据，及时清查事件原因，对于情况严重的，应对事件责任者依法追究责任。

第十六条网站安全小组应当建立值班制度，并向社会公布值班电话，受理事件报告和举报。

四、事件处理

第十七条网站安全小组负责人在接到安全事件通报后，应立即通知相关人员在十分钟内赶到现场，及时按照“网站突发紧急预案”和“网站信息安全应急预案”进行处理。

第十八条网站安全小组工作人员应当具有事件处理所需要的知识和专长，网站安全小组负责人主持事件处理的工作。

第十九条网站安全小组履行下列职责：

1、对发生的事件及时处理；

2、记录事件处理情况；