ITITP0012 信息安全事件管理程序资料.docx
《ITITP0012 信息安全事件管理程序资料.docx》由会员分享,可在线阅读,更多相关《ITITP0012 信息安全事件管理程序资料.docx(15页珍藏版)》请在冰豆网上搜索。
ITITP0012信息安全事件管理程序资料
修改记录
NO
修订
版本
修改内容摘要
修改人
修改日期
生效日期
1
1.0
新发行
梁继清
2011-11-01
2011-11-01
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
1.0目的
为规范公司网络与信息安全事件的分类、分级、以及网络与信息安全预警信息的分类、分级,确保与信息安全有关的信息安全事态、弱点事件能够被以正确方式处理,以便降低信息安全事故造成的安全风险。
2.0范围
适应于公司信息安全事件管理。
3.0定义
1.
2.
3.
3.1信息安全事态
信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是针对违反信息安全策略或防护措施的失效,或是和安全关联的一个先前未知的状态。
3.2信息安全事件
信息安全事件由单个或一系列有害的或意外的信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大可能性。
4.0角色与职责
4.
4.1信息中心负责制定、发行、修改、废除此管理程序;
4.2信息安全领导小组负责对信息安全的规程、策略进行审核、批准;
4.3其它各部门负责对信息事态及信息安全事件的反馈;
4.4信息安全工作小组负责处理信息安全事态、信息安全事件。
5.0流程图
5.
5.1信息安全事件报告流程
5.2信息安全事件调查流程
5.3信息安全事件应急处理流程图
6.0程序说明
6.
7.
1.
2.
3.
4.
5.
6.
6.1网络与信息安全突发事件的危害表象及分类、分级:
1
2
3
4
5
6
6.1
6.1.1根据网络与信息安全突发事件对网络与信息系统的直接危害表现,将突发事件的危害表象暂分为以下五种:
1
2
3
4
5
6
6.1
6.1.1
6.1.1.1网络中断:
指突发事件造成综合业务数据网络中断、不能正常使用网络的。
6.1.1.2系统瘫痪:
指突发事件造成主营业务系统主要功能不可用或不能正常使用的。
6.1.1.3数据毁坏:
主营业务数据毁坏后不能全部恢复的。
6.1.1.4数据泄密:
发生涉及公司秘密的数据泄漏。
6.1.1.5其它危害:
除上述4种以外的信息安全危害。
6.1.2根据网络与信息安全突发事件的起因、机理,将网络与信息安全突发事件分为以下七类:
6.1.2
6.1.2.1有害程序类突发事件:
指受到有害程序的影响而导致的信息安全突发事件。
有害程序类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。
6.1.2.2网络攻击类突发事件:
指通过网络或其它技术手段,利用配置缺陷、协议缺陷、程序缺陷等攻击信息系统,造成信息系统异常或不可用的信息安全突发事件。
网络攻击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。
6.1.2.3信息破坏类事件:
指通过网络或其它技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄密的信息安全突发事件。
信息破坏类事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件等。
6.1.2.4信息内容安全类突发事件:
指利用网络发布、传播危害国家安全、社会稳定和公共利益等违法内容的信息安全突发事件。
信息内容包括违反宪法和法律、行政法规的信息,组织串连、煽动集会游行的信息等。
6.1.2.5故障类突发事件:
指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。
故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故等。
6.1.2.6灾害类突发事件:
指由于不可抗力对网络与信息系统造成物理破坏而导致的信息安全突发事件。
灾害类事件包括水灾、台风、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的信息安全突发事件。
6.1.2.7其它类事件:
指不能归为以上6类的信息安全突发事件。
6.1.3按照网络与信息安全突发事件的危害程度、影响范围和造成的损失,将网络与信息安全突发事件分为特别重大突发事件(Ⅰ级)、重大突发事件(Ⅱ级)、较大突发事件(Ⅲ级)和一般突发事件(Ⅳ级)四个等级。
6.1.3
6.1.3.1特别重大突发事件(Ⅰ级)。
指网络与信息安全突发事件造成公司各单位综合数据网络大面积中断、或主营业务系统长时间瘫痪、或主营业务系统数据毁坏、或经营管理数据泄密,对公司各部门造成巨大经济损失的:
a)网络大面积中断:
因综合业务数据网络中断,造成公司三分之二以上各部门不能正常使用网络,持续时间达0.5小时以上的。
b)主营业务系统长时间瘫痪:
因主营业务系统主要功能不可用,造成公司三分之二以上各部门不能正常使用系统,系统瘫痪时间0.5个小时以上的。
6.1.3.2重大突发事件(Ⅱ级)。
指网络与信息安全突发事件造成公司综合数据网络较长时间中断、或主营业务系统较长时间瘫痪、或部分主营业务系统数据毁坏,对公司造成重大经济损失的。
a)网络较长时间中断:
因综合业务数据网络中断而不能正常使用网络,公司半数以上下属部门不能正常使用网络,持续时间超过1小时以上的。
b)主营业务系统较长时间瘫痪:
因主营业务系统主要功能不可用,造公司半数以上各部门不能正常使用系统,系统瘫痪时间1个小时以上的。
6.1.3.3较大突发事件(Ⅲ级)。
指网络与信息安全突发事件造成公司各单位综合数据网络中断、或主营业务系统瘫痪,对公司各单位造成较大经济损失的。
a)网络中断:
因综合业务数据网络中断而不能正常使用网络,造成公司四分之一以上部门不能正常使用网络,持续时间超过2小时以上的。
b)主营业务系统瘫痪:
因主营业务系统主要功能不可用,造成公司四分之一以上部门不能正常使用系统,系统瘫痪时间2个小时以上的。
c)数据毁坏:
主营业务数据毁坏后不能恢复的。
d)数据泄密:
发生涉及公司秘密的数据泄漏。
6.1.3.4一般突发事件(Ⅳ级)。
指网络与信息安全突发事件造成公司综合数据网络中断、或主营业务系统瘫痪,对公司造成一定的经济损失。
a)网络中断:
因综合业务数据网络中断而不能正常使用网络,造成公司至少1个下属部门或子公司不能正常使用网络,持续时间超过1小时以上的。
b)主营业务系统瘫痪:
因主营业务系统主要功能不可用,造成公司至少1个下属部门或子公司不能正常使用系统,系统瘫痪时间1个小时以上的。
C)数据毁坏:
主营业务数据毁坏后只能部分恢复的。
6.2网络与信息安全预警信息的分类、分级
6.2
6.2.1参照网络与信息安全突发事件的分类原则,按照网络与信息安全威胁产生原因,将网络与信息安全预警信息分以下六类:
6.2
6.2.1
6.2.1.1有害程序类预警信息:
指发现的网络与信息安全威胁源于有害程序,有可能导致网络与信息安全突发事件的。
有害程序包含计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等。
6.2.1.2网络攻击类预警信息:
指发现的网络与信息安全威胁源于网络攻击,有可能导致网络与信息安全突发事件的。
网络攻击包括拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼等。
6.2.1.3信息内容安全类预警信息:
指发现的网络与信息安全威胁为危害国家安全、社会稳定和公共利益等违法内容的信息,有可能导致网络与信息安全突发事件的。
6.2.1.4故障类预警信息:
指发现的网络与信息安全威胁源于软件、硬件自身的安全隐患、漏洞等,且同类软硬件或设施也有可能故障或不可用的,有可能导致故障类突发事件的。
6.2.1.5灾害类预警信息:
指发现的网络与信息安全威胁源于水灾、台风、火灾、雷击、地震、坍塌、恐怖袭击、战争等不可抗力因素,有可能导致灾害类突发事件的。
6.2.1.6其它类预警信息:
指不能归为以上5类的网络与信息安全预警信息。
6.2.2按照网络与信息安全可能造成的危害、紧急程度和发展势态,将网络与信息安全预警信息分为四级,即特别严重(红色)、严重(橙色)、较重(黄色)和一般(蓝色)。
6.2.2
6.2.2.1特别严重预警(红色):
指发现的网络与信息安全威胁,可能影响公司范围内所有网络和主营业务系统,并有扩散到公司全网的可能性。
6.2.2.2严重预警(橙色):
指发现的网络与信息安全威胁,可能影响公司范围内多个部门的网络和主营业务系统,并有继续扩散的可能性。
6.2.2.3较重预警(黄色):
指发现的网络与信息安全威胁,可能影响公司范围内多个部门的网络和主营业务系统,但无扩散性。
6.2.2.4一般预警(蓝色):
指发现的网络与信息安全威胁,只可能影响公司范围内1个或个别部门的网络和主营业务系统,且无扩散性。
6.3报告信息安全事态和弱点
6.3
6.3.1报告信息安全事态、事件按照公司《信息安全事件报告流程》执行。
6.3.2公司所有员工和在公司服务的第三方人员都有责任报告任何信息安全事态。
6.3.3公司信息安全事态报告策略应包括:
6.3
6.3.1
6.3.2
6.3.3
6.3.3.1建立适当的反馈渠道,以确保在信息安全事态处理完成后,能及时将处理结果通知事态报告人,详见《信息安全事件报告流程》、《信息安全应急指挥组织任命书》
6.3.3.2建立“信息安全事态、弱点报告单”,在反馈事件报告过程中明确信息安全事件发生时间,影响范围、危害或所带的损失情况等;
6.3.3.3信息安全事态发生后要所采取的应急策略:
a)立即记录下所有的重要细节,详细的描述信息安全事件、过程不符合项信息安全事件发生时间,影响范围、危害或所带的损失情况等。
b)即刻向公司网络与信息安全应急指挥部报告,由公司网络与信息安全应急指挥部实施分析,制定相应的“应急预案”,并通知责任部门按“应急预案”要求执行补救和控制。
6.3.3.4定期对新上岗的公司员工或提供商实施人员进行岗位安全培训,明确相关信息安全岗位职责要求与安全保密反馈义务,表明不遵守或违反后所带来的纪律处理,对于违规行为的员工、第三方工作人员。
公司可按照《信息安全奖惩管理办法》、“相应合同”及“相应保密协议”条款进行处理。
6.3.4信息安全事态和事件的异常案例有:
6.3.4
6.3.4.1信息系统、设备或设施的丢失;
6.3.4.2信息系统故障或容量不足;
6.3.4.3人为操作差错;
6.3.4.4信息系统安全策略设置错误;
6.3.4.5重点物理安全访问权限不限制;
6.3.4.6信息系统变更未控制;
6.3.4.7信息软件或信息设施硬件故障;
6.3.4.8非法访问等。
6.3.5报告信息安全弱点
所有为公司服务的使用者、第三方人员应记录并报告观察到的或怀疑的任何系统或服务的安全弱点。
所有安全弱点发现者在任何情况下都不得私自去纠正安全弱点,应及时上报公司网络与信息安全应急指挥部,以防止错误性的纠正导致信息系统或服务的损害。
6.4信息安全事件和改进的管理
在对信息安全事态和弱点进行报告外,应利用对系统、报警和脆弱性的监视来检测信息安全事件。
信息安全事件的管理应考虑以下指南:
6.4
6.4.1制定相应安全策略,防止以下信息安全事件发生:
6.4
6.4.1
6.4.1.1信息系统故障和服务丢失;
6.4.1.2恶意代码侵入;
6.4.1.3信息系统业务数据篡改、丢失;
6.4.1.4信息系统访问权限失控;
6.4.1.5信息系统程序未设置故障或异常报警反馈记录功能。
6.4.2制定和实施“应急预案”后,应:
6.4.2
6.4.2.1进一步调查、分析和验证事件根本原因;
6.4.2.2改进原有活动开展方式,制定并实施预防措施,以防止事件再发生。
6.4.3在系统上设置信息系统历史异常跟踪日志或建立信息安全事件跟踪机制,以防止重复性安全的事件发生。
6.4.4安全事件系统或信息业务恢复后,控制策略如下:
6.4.3
6.4.4
6.4.4.1确保授权人员才能访问正在运行的系统和数据;
6.4.4.2所有采取确认有效的应急措施可纳入相应的“操作规程”中,完善原有操作文件;
6.4.4.3完善修整原有的“应急预案”和控制措施,并重新交公司网络与信息安全应急指挥部进行评审。
6.4.5总结信息安全事件策略和应急处理方案
6.4.5
6.4.5.1应定期分类、统计、总结信息安全事态、事件、弱点,评价安全事件总体控制情况,形成《信息安全事件调查报告》,杜绝同个系统或业务重复性事件的发生。
6.4.5.2从信息安全事件评价中获取的信息宜用来识别再发生的事件或高影响的事件。
6.4.5.3对信息安全事件的评价可以指出需要增强的或另外的控制措施,以降低信息安全事件未来发生的频率、损害和费用。
6.4.6收集证据
6.4.6
6.4.6.1当一个信息安全事件需要进一步对个人或组织起诉时,宜收集、保留和呈递证据,应收集、保留和呈递证据,并确保信息安全事件证据完整、可用性、有效性、使信息安全事件证据符合相关诉讼管辖权。
6.4.6.2为确保信息安全事件证据完整、可用性、有效性,应做好信息安全事件处理过程记录收集保管。
对于对纸质文件原稿应被安全保存。
对于计算机存储介质证据可采用脱机移动介质、硬盘进行安全保管。
7.0相关文件
7.
7.1《信息安全管理体系手册》
8.0相关记录
8.
8.1《网络与信息安全突发事件报告》
8.2《网络与信息安全预警信息报告》
8.3《信息安全事态、弱点报告单》
9.0附件
无
升级会员 