信息安全事件管理规定 IT Security Incident Management

信息安全事件管理规定

IT Security Incident Management

目录

第一章总则 (3)

第二章相关角色与工作职责 (3)

第三章安全事件分类分级 (3)

第四章安全事件响应 (5)

第五章安全事件处理 (5)

第六章安全事件总结 (6)

第一章总则

第一条为规范公司的安全事件管理，确保安全事件被及时发现并得到有效处理，最大限度地减小安全事件对系统运行造成影响的可能性，特制定本规定。

第二条本规范适用于公司的信息安全事件管理活动。

第二章相关角色与工作职责

第一条IT主管工作职责：

（一）IT主管担任应急领导小组组长；

（二）启动/终止应急预案，并负责安全应急工作的总体指挥和协调；

第二条 IT管理员，其主要职责为：

（一）分析整理上报信息安全事件，初步判定安全事件级别，并根据安全事件级

别及时上报；

（二）及时处理安全事件和投诉处理工作；

（三）组织安全技术交流和培训，包括应急处理演练工作；

第三条全体员工，其主要职责为：

发现安全事件上报IT部门。

第三章安全事件分类分级

第一条本规定所指的安全事件是一个或一系列与网络与系统安全、业务安全、信息安全相关的，并极有可能危害系统可用性、完整性或保密性的事件。其中（一）影响系统可用性的安全事件主要包括：拒绝服务攻击（DOS和DDOS)、

恶意代码攻击、漏洞攻击、僵尸网络、垃圾邮件等；

（二）影响系统完整性的安全事件主要包括：信息篡改（如网页篡改、DNS劫

持等）、后门木马（以破坏系统数据为目的）、漏洞攻击等；

（三）影响系统保密性的安全事件主要包括：信息窃取（如后门木马、间谍

软件、盗号软件等）、信息泄密、信息假冒（如网络钓鱼）、网络嗅探、漏洞攻击、僵尸网络等。

第二条根据系统重要性以及安全事件对系统可用性、完整性、保密性的影响程度，安全事件可分为特别重大（一级）、重大（二级）、较大（三级）和一般（四级）四个级别，详见“附件一”。

第三条特别重大安全事件（一级）指以下安全事件：

（一）导致2级及以上系统出现紧急故障的安全事件；

（二）导致3级或4级系统出现重大故障的安全事件；

（三）导致3级及以上系统完整性或保密性被破坏的安全事件；

（四）对外网站、信息群发系统、外呼系统等对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件。

第四条重大安全事件（二级）指以下安全事件：

（一）导致2级系统出现重大故障的安全事件；

（二）导致3级或4级系统出现严重故障的安全事件；

（三）导致2级系统完整性或保密性被破坏的安全事件。

第五条较大安全事件（三级）指以下安全事件：

（一）导致2级系统出现严重故障的安全事件；

（二）导致3级或4级系统出现一般故障的安全事件。

第六条一般安全事件（四级）指以下安全事件：

（一）在较大级别以下或未对系统运行产生影响的安全事件。

第七条特殊时期（如重大活动、重大赛事等）发生的安全事件的级别应在原有级别上提升一级，特别重大安全事件级别不再向上提升。

第四章安全事件响应

对于安全监控发现的安全事件，安全管理员在进行预处理的同时，应及时对安全事件的影响范围和级别进行判断并决定是否需要上报，当：

（一）特别重大安全事件发生时，应立即上报组织信息部负责人确认，初步

确认到上报时间不得超过7分钟；并上报CERT.

（二）重大安全事件发生时，应及时上报IT主管确认，初步确认到上报时间

不得超过20分钟, 并上报CERT；

（三）较大安全事件或一般安全事件汇总后每月汇报IT主管。

第五章安全事件处理

第一条当对系统正常运行造成影响的安全事件已经发生，或可能影响系统正常运行的安全事件已经发生时，应立即启动应急响应机制。其中：

（一）一级安全事件的应急响应由组织信息部负责人启动应急预案并统一指

挥和协调相关部门实施应急响应；

（二）二级、三级安全事件的应急响应由公司IT主管启动应急预案并组织协

调相关部门实施应急响应；

（三）四级安全事件的应急响应由IT管理员实施应急响应。

第二条对于安全事件的处理，应该尽快采取抑制措施，以避免影响面的扩大。第三条在安全事件的处理过程中，应该保护好被处理设备的数据，给将来的取证或者分析入侵行为提供依据。

第四条安全事件处理时限：

（一）特别重大安全事件应在2小时内解决，对外信息发布系统安全事件应在10

分钟内撤掉相应内容直至关闭系统；

（二）重大安全事件应在4小时内解决；

（三）较大安全事件应在8小时内解决。

第六章安全事件总结

第五条信息安全管理员对安全事件总结归档，形成安全事件案例库，并对案例进行经验教训培训。