信息安全事件报告和处置管理制度

X

网络信息中心

安全事件报告和处置管理制度

修订及复核记录

目录

第一章总则 (4)

第二章安全事故的管理 (4)

4.1事故的分级 (4)

4.2事故响应团队 (4)

第三章事故处置程序 (10)

5.1事件/事故的汇报 (10)

5.2事故的调查 (10)

5.3事件的文档化 (11)

附件一：X信息管理中心联系表 (11)

附件二：X安全专家工作组联系表 (12)

附件三：X信息安全事件应急报告表 (12)

附件四：X信息安全事件应急处理结果报告表 (13)

第一章总则

第一条为规范和加强X信息系统重大信息安全事件的信息报告管理工作，及时了解掌握和评估分析事件有关状况，加强对信息安全事件的预警通报机制，并为重大信息安全事件的应急响应和事故调查处理工作奠定基础，协调组织相关力量进行事件的应急响应处理，从而降低重大信息安全事件带来的损失和影响。

第二条根据有关法律、法规的规定，结合X信息系统的实际情况，制定本制度，请参照该制度要求，结合本单位、本部门实际情况认真贯彻落实。

第三条本程序适用于X网络信息中心管理的业务系统和流程。

第二章安全事故的管理

4.1 事故的分级

在X信息安全委员会领导下，信息安全管理组和其小组成员决定安全事故的严重性，安全事故归分为以下几个等级：

三级：指可能对本单位的设备或系统有严重和直接威胁的安全事故，需要立即处理。这些设备包括服务器，路由器，防火墙，交换机和网络主机等；

二级：指可能对本单位的设备或系统有潜在威胁的安全事故。这些威胁是不确定的，因此，根据事故的实际情况，不一定需要做出立即的响应；

一级：指可能对本单位的设备或系统造成很小的影响，或根本无实质性的影响的安全事故。这些事故主要是信息性的，不需要马上进行处理。

4.2 事故响应团队

本单位应该建立一个安全事故应急小组，由技术人员和管理人员组成。小组应该由信息安全管理组来领导。在整个事故处理中，X网络信息中心主任为信息安全协调员,负责与信息安全委员会中各个成员的沟通和交流, 信息安全委员会拥有最高领导权。网络信息中心主任负责从最初的响应到对小组成员的工作分配和指导。技术人员包括网络信息中心所有成员，负责与他们维护的系统有关的事件。管理人员包括网络信息中心负责人和来自其他部门的管理人员。

X信息安全应急响应组应保留一份突发事故发生时可能需要的本单位以外的人员名单，包括法律咨询，电信，设备供应商，服务供应商，业务合作伙伴和其他机构等的联系人。所有和第三方的沟通和联系必须由信息安全委员中对外联络组的相关成员来发起。

a) 事故响应过程

图1: 安全事件响应流程图

图2：三级安全事件响应流程

三级安全事件是指对重要业务系统或流程的可用性和实时性有重大影响的事件。快速解决问题并且恢复系统或流程的正常进行，保证业务的连续性是及至关键的。在响应流程中，第一

步就是将发生的问题控制在最小范围内，使其它的系统或流程不受到影响。然后，在本单位信息安全委员会领导下由信息安全应急响应小组研究、讨论并且制定出相关的补救措施。这个步骤可以由第三方服务商或者系统供应商一同参与，目的就是在最短的事件内使系统或流程恢复工作状态。实施了补救措施之后，网络信息中心信息安全负责人需会同应急响应小组协同业务人员和第三方人员验证系统或流程恢复的情况，确保系统或流程恢复正常工作状态。事件解决之后，应急小组应查找并且调查事件的真实发生原因，并且找出根本系统或流程修补措施。最后，X网络信息中心的信息安全负责人应该通知所有相关部门，报告事件的解决结果，并且起草书面报告，提交至信息安全委员会。书面报告应该包括，事件的发生情况及影响，补救措施以及将来的预防建议。

三级安全事件包括：大规模病毒感染，网络中断，关键业务服务器当机，关键业务应用下线，机房漏水和着火，关键业务流程违规，机密信息未授权的访问痕迹，防火墙或路由器未授权的访问痕迹，业务环境数据库未授权的访问痕迹等。

图3：二级安全事件响应流程

二级安全事件响应流程是针对那些对本单位重要业务系统和流程没有直接影响或只对那些无实时性业务系统和流程造成影响的事件而制定的流程。因为这类业务系统的可用性相对不高，而且无时间性的需求，所以，二级安全时间响应流程以发现和解决根本问题为优先。在确保系统可以无错误正常运行后，才可以在业务环境中恢复系统正常运作。其流程也是以控制事件范围为先，确保其它系统不受关联影响。然后由网络信息中心领导的信息安全应急小组讨论事件原因并且形成解决方案。在实施补救方案时，必须在测试环境中验证补救措施，确保其有

效性。然后才可将其在业务环境中实施。最后，网络信息中心的信息安全负责人应该通知所有相关部门，报告事件的解决结果，并且起草书面报告，提交至信息安全委员会。书面报告应该包括，事件的发生情况及影响，补救措施以及将来的预防建议。

二级安全事件包括：小规模病毒感染，非关键区域网络问题，关键业务服务器问题，关键业务应用问题，非关键业务服务器和应用问题，机房温度不正常，非关键业务流程违规等。

图4：一级安全事件应急响应

一级安全事件是指对业务影响很小，无实时性要求的事件。这类事件不需要立即做出回复和解决，但必须做好记录，并且定期在信息安全委员会上将这类事件放入议程中。网络信息中心负责信息安全的相关人员应该在会议中组织讨论这类事件的发生原因并进行分析，并且做出解决方案。在会后，网络信息中心主任应该督促相关人员实施解决方案，并且在完成之后通知相关部门，以及完成事件报告。

一级事件包括：违反信息安全准则中关于密码使用，软件安装等规则，用户账号被锁，用户账号密码滥用等。

第三章事故处置程序

5.1 事件/事故的汇报

当有事件发生时，汇报源可以来自多方面。汇报可以是安全设备的报警，包括防火墙，防病毒软件，入侵检测系统等；可以是网络监控系统，也可以是员工个人。因此，事件的辨认以及汇报的流程应该熟为人知从而确保最迅速有效的事件汇报和补救方案的开发和实施。

（一）网络管理员应该实时监控网络的状态，识别任何潜在的安全事件；

（二）员工如果发现任何事件，应报告于负责该业务的系统管理员以及该部门领导；

以下内容应该收集：

✓事件发生的日期和时间；

✓哪个或哪些系统或流程发生了问题；

✓为什么会怀疑发生了问题；

✓发现事件的员工名字。

5.2事故的调查

（一）当收集到足够的信息时，系统管理员应该进行初步的调查，判断事件是否对本单位的业务有影响。如果无影响，则可以记录事件，在今后的信息安全委员会上讨论事件；

（二）如果系统管理员判断事件对业务有影响的，必须通知网络信息中心信息安全应急响应小组，由应急响应小组讨论划分事件的等级。如果是三级事件，应急小组必须讨论并且计划实施业务延续性计划；

（三）对于三级事件以及部分二级事件，事件的响应流程应该在事件的调查之前执行，以确保业务的延续性；

（四）在调查过程中，必须时刻详细记录所有的调查步骤和发现，并且在整个过程中详细记录以下几点：