信息安全事件管理制度Word下载.docx
《信息安全事件管理制度Word下载.docx》由会员分享,可在线阅读,更多相关《信息安全事件管理制度Word下载.docx(17页珍藏版)》请在冰豆网上搜索。
及时准确的汇报信息安全事件,配合信息安全事件的调查取证工作;
配合执行处理措施,奖惩决定以及纠正预防措施。
4)异常现象和事件发现人:
异常现象和事件发现人有义务及时准确地报告异常现象和事件的真实情况,并采取适当的临时措施制止事故的进一步扩大。
4.信息安全异常现象
1.
2.
3.
4.
4.1.信息安全异常现象定义
信息安全异常现象是指被识别的一种系统、服务或网络状态的发生,表明一次可能的信息安全策略违规或某些防护措施失效,或者一种可能与安全相关但以前不为人知的一种情况。
4.2.信息安全异常现象处理流程
图1信息安全异常现象处理流程图
信息安全异常现象处理流程:
a)异常现象发现者应及时上报信息安全工作小组,由工作小组指派相应人员进行处理。
b)相应人员判断异常现象是否为信息安全事件,如果是的话进入信息安全事件处理流程;
如果不是,由相应人员对异常现象进行处理。
5.信息安全事件
5.
5.1.信息安全事件定义
信息安全事件:
是指办公设备/计算机/网络设备系统/信息管理系统的硬件、软件、数据因故障/非法攻击/病毒入侵/恶意破坏/非授权外传/遗失/灾难等安全原因而遭到破坏、更改、泄露而造成业务活动不能正常进行或者涉密信息泄露或者在其他方面造成损失的事件。
5.2.信息安全事件分类
5.2.1有害程序事件(MI)有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。
有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。
有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类,说明如下:
a)计算机病毒事件(CVI)是指蓄意制造、传播计算机病毒,或是因受到计算机病毒影响而导致的信息安全事件。
计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码,它可以破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制;
b)蠕虫事件(WI)是指蓄意制造、传播蠕虫,或是因受到蠕虫影响而导致的信息安全事件。
蠕虫是指除计算机病毒以外,利用信息系统缺陷,通过网络自动复制并传播的有害程序;
c)特洛伊木马事件(THI)是指蓄意制造、传播特洛伊木马程序,或是因受到特洛伊木马程序影响而导致的信息安全事件。
特洛伊木马程序是指伪装在信息系统中的一种有害程序,具有控制该信息系统或进行信息窃取等对该信息系统有害的功能;
d)僵尸网络事件(BI)是指利用僵尸工具软件,形成僵尸网络而导致的信息安全事件。
僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击,进行信息窃取或传播木马、蠕虫等其他有害程序;
e)混合攻击程序事件(BAI)是指蓄意制造、传播混合攻击程序,或是因受到混合攻击程序影响而导致的信息安全事件。
混合攻击程序是指利用多种方法传播和感染其它系统的有害程序,可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。
混合攻击程序事件也可以是一系列有害程序综合作用的结果,例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等;
f)网页内嵌恶意代码事件(WBPI)是指蓄意制造、传播网页内嵌恶意代码,或是因受到网页内嵌恶意代码影响而导致的信息安全事件。
网页内嵌恶意代码是指内嵌在网页中,未经允许由浏览器执行,影响信息系统正常运行的有害程序;
g)其它有害程序事件(OMI)是指不能包含在以上6个子类之中的有害程序事件。
5.2.2网络攻击事件(NAI)网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类,说明如下:
a)拒绝服务攻击事件(DOSAI)是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件;
b)后门攻击事件(BDAI)是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件;
c)漏洞攻击事件(VAI)是指除拒绝服务攻击事件和后门攻击事件之外,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的信息安全事件;
d)网络扫描窃听事件(NSEI)是指利用网络扫描或窃听软件,获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件;
e)网络钓鱼事件(PI)是指利用欺骗性的计算机网络技术,使用户泄漏重要信息而导致的信息安全事件。
例如,利用欺骗性电子邮件获取用户银行帐号密码等;
f)干扰事件(II)是指通过技术手段对网络进行干扰,或对广播电视有线或无线传输网络进行插播,对卫星广播电视信号非法攻击等导致的信息安全事件;
g)其他网络攻击事件(ONAI)是指不能被包含在以上6个子类之中的网络攻击事件。
5.2.3信息破坏事件(IDI)信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类,说明如下:
a)信息篡改事件(IAI)是指XX将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件;
b)信息假冒事件(IMI)是指通过假冒他人信息系统收发信息而导致的信息安全事件,例如网页假冒等导致的信息安全事件;
c)信息泄漏事件(ILEI)是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于XX者而导致的信息安全事件;
d)信息窃取事件(III)是指XX用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件;
e)信息丢失事件(ILOI)是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件;
f)其它信息破坏事件(OIDI)是指不能被包含在以上5个子类之中的信息破坏事件。
5.2.4信息内容安全事件(ICSI)信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。
信息内容安全事件包括以下4个子类,说明如下:
a)违反宪法和法律、行政法规的信息安全事件;
b)针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;
c)组织串连、煽动集会游行的信息安全事件;
d)其他信息内容安全事件等4个子类。
5.2.5设备设施故障(FF)设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类,说明如下:
a)软硬件自身故障(SHF)是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件;
b)外围保障设施故障(PSFF)是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件,例如电力故障、外围网络故障等导致的信息安全事件;
c)人为破坏事故(MDA)是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件;
或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏,影响信息系统正常运行的信息安全事件;
d)其它设备设施故障(IF-OT)是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。
5.2.6灾害性事件(DI)灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
4.2.7其他事件(OI)其他事件类别是指不能归为以上6个基本分类的信息安全事件。
5.3.信息安全事件分级
级别
说明
安全事故
(一级)
1)造成业务系统运行中断,严重影响业务活动进行的;
2)数据被破坏,无法恢复或者恢复时间过长,超过30分钟,严重影响业务活动进行的;
3)一级,二级机密信息泄露,给公司造成较大损害的,或产生重大影响的;
4)其它涉密信息泄露,给公司造成极大损害的,产生特别重大的社会影响的;
5)将恶意代码或其他有害程序传播至公司,产生特别重大的社会影响的;
6)客户真实数据泄漏或者对客户数据造成破坏的,产生特别重大的社会影响的;
7)内部人员(包括员工/外协人员/实习生/客户/服务人员等)任何故意破坏信息系统/泄漏涉密信息的行为,产生特别重大的社会影响的;
8)网络设备受到攻击,影响网络畅通的安全事件,攻击流量超过正常流量的30%,或者持续时间大于15分钟的安全事件;
9)相同业务一周重复出现的安全事件。
10)利用相关信息平台,传播违法等不良信息,产生特别重大的社会影响的;
严重安全事件
(二级)
1)数据被破坏,恢复时间较长,对业务活动进行造成相当影响的;
2)一二级涉密信息泄露,给公司造成一定损害的;
3)不遵守规章或者操作流程,造成客户投诉或者给公司造成一定损害的
4)使用不安全渠道传输信息,造成客户投诉或者对公司潜在损害较大的。
5)影响到各业务数据库的,30分钟内可处理解决的安全事件。
6)网络设备受到攻击,影响网络畅通的安全事件,攻击流量低于等于正常流量的30%,并持续时间小于等于15分钟的安全事件。
7)利用相关信息平台,传播违法等不良信息的;
8)30分钟内已查明原因,但没有在60分钟内解决完成的一般安全事件
9)30分钟内未查明原因的一般安全事件。
10)对影响恶劣的一般安全事件,应升级为重大安全事件
页面内容篡改;
泄漏用户信息、用户数据、用户密码;
泄漏设备相关信息,包括:
管理权限、用户使用权限、版本信息;
一般安全事件
(三级)
1)对业务活动进行没有造成太大影响,只影响到单台应用服务器,且为业务分布式服务器的安全事件,30分钟内已查明原因,可以在60分钟内解决的安全事件。
2)数据被破坏,可以较快恢复,对业务活动进行没有造成太大影响的;
3)涉密信息泄露,没有给公司造成明显损害的;
4)不遵守规章或者操作流程,没有给公司造成明显损害的;
5)任何外来的非法攻击/病毒入侵,尚没有对业务活动进行造成明显影响的;
6)已发布相关安全公告的安全事件。
5.4.信息安全事件处理流程
2.
3.
4.
5.
5.1.
5.2.
5.3.
5.3.1.安全事件的发现
相关部门应建立监控措施和日志查看制度,采用必要的技术手段,确保及时发现安全事件;
相关部门根据风险评估、安全事件和安全告警的内容,及时发现潜在安全事件;
应向所有员工和第三方服务商提供培训,使之认识到发现并报告安全事件是其应尽的义务。
5.3.2.安全事件的处理
1)一般安全事件处理流程图
图2一般安全事件处理流程图
一般安全事件处理流程:
a)相关工程师、管理人员、运营安全工作人员在日常维护、巡检、日志检查等过程中发现异常,或接到其他人员的异常报告,并判断为安全事件;
b)事件发现者将事件发生时的情况,内容包括事件发生的时间、地点系统名称、现象描述、初步分析等,用邮件或电话报告给运营安全工作人员,并确认相关人员可立即收到和处理。
c)运营安全工作人员判断事件安全级别,无法判断或非一般安全事件则上报运营安全组长按照严重安全事件处理;
对于严重安全事件,启动相应级别事件响应流程;
d)对于一般安全事件,运营安全工作人员应协助运营安全副组长直接处理解决问题。
e)一般应在30分钟内查明原因,并且在60分钟内能够处理完成并解决了问题。
f)如果在规定的时间范围内无法解决问题,运营安全工作人员应通过电话、传真等方式通知报告运营安全组长,并说明对处理情况的反馈要求,启动相应级别事件响应流程。
2)严重安全事件处理流程图
图3严重安全事件处理流程图
严重安全事件处理流程:
a)运营安全工作人员将安全事件发现情况或报告上报相应部门总监和运营安全组长;
b)相应部门总监负责随时跟踪运营安全管理组长的处理解决问题过程。
c)运营安全组长记录分析安全事件,对安全事件进行处理,解决问题,并上报信息安全管理领导小组;
d)信息安全领导小组指示信息安全工作小组协调对事件进行深入分析,必要时可告知相关专业安全厂商,由厂商协助运营安全组长处理解决安全事件;
e)信息安全工作小组负责协调专业安全商、产品商、集成商配合部门人员共同解决严重安全事件;
f)如果未能解决事件,则转入安全事故处理流程;
g)如果成功处理事件,则做系统恢复和事件总结。
3)安全事故处理流程图
图4安全事故处理流程图
安全事故处理流程:
a)对于安全事故,在安全事故发生后,相关人员第一时间汇报给信息安全工作运营安全小组组长,由运营安全组长填写信息安全事件报告表上报信息安全管理领导小组或公司上级组织,寻求帮助,同时运营安全组长迅速组织相关专业人员分析解决问题。
b)信息安全领导小组或上级组织协调信息安全工作小组、相关部门、相关服务商共同指导运营技术人员分析处理解决安全事故。
c)网络或系统恢复后,运营安全组长负责对本次事故情况作总结报告。
6.
6.信息安全事件的紧急处置和业务恢复
部门负责人、管理部门(行政部、系统服务部)、信息安全工作小组组长在接到信息安全事件的报告后,应该立刻相互协调进行处置。
1)事故责任部门应会同管理部门立即分析事故发生原因;
2)事故责任部门应会同管理部门立即采取紧急措施,防止事态进一步扩大;
3)事故责任部门应会同管理部门尽快采取措施,恢复核心业务活动。
必要时启动公司《业务连续性管理制度》所制定的应急预案。
4)事故发生部门应会同管理部门分析事故发生的影响范围以及造成的损失,并调整业务活动,弥补信息安全事故造成的损失。
5)在需要时与相关外部各方联系
●必要时部门负责人向客户报告,并协调以后的业务活动;
●当发生或发现涉及到违反国家法律法规的信息安全事件和异常现象,信息安全工作小组组长应与国家相关外部机构联系,报告信息安全事件和异常现象;
●当信息安全事故发生原因为外协人员、服务人员,应与相应协力公司、服务提供公司取得联系。
6)对于直接给客户造成影响的信息安全事件(级别至少是事故),需要由事故责任部门的部门负责人、体系负责人,管理部门相关人员立即成立紧急应对小组,根据事故的严重性、和对客户所造成影响,商讨紧急对策,并上报总经理批准后实施。
紧急应对小组应将事故处置过程和结果及时反馈给客户。
7.信息安全事件证据的收集
为了清楚地分析原因,过程和影响范围,确定级别和责任人,以利于改进,包括为可能涉及到的诉讼(民事的或刑事的)行为提供证据支持,在信息安全事件发生时,信息安全工作小组要进行证据的收集工作。
进行证据收集时要注意:
1)及时性
重要的证据可能存在被故意或意外毁坏的危险,所以要在第一时间就要进行证据收集的工作。
在证据收集超越公司管辖权边界的情况下,应及时联系相关方面,包括委托相关组织或人员去收集需要的信息作证据。
2)证据的份量:
即证据的质量和完备性。
为了保证证据的份量,公司应当采取必要的控制措施来保证证据的质量和完备性控制要求,在从证据被发现到存储和处理的整个过程中,应通过一种强证据踪迹来论证。
一般应该注意以下方面:
●对纸面文档:
原物应被安全保存且带有下列信息的记录:
谁发现了这个文档,文档是在哪儿被发现的,文档是什么时候被发现的,谁来证明这个发现;
任何调查应确保原物没有被篡改;
●对计算机介质上的信息:
任何可移动介质的镜像或拷贝(依赖于适用的要求)、硬盘或内存中的信息都应确保其可用性;
拷贝过程中所有的行为日志都应保存下来,且应有证据证明该过程;
原始的介质和日志(如果这一点不可能的话,那么至少有一个镜像或拷贝)应安全保存且不能改变。
●任何法律取证工作应仅在证据材料的拷贝上进行。
所有证据材料的完整性应得到保护。
证据材料的拷贝应在可信赖人员的监督下进行,什么时候在什么地方执行的拷贝过程,谁执行的拷贝活动,以及使用了哪种工具和程序,这些信息都应记录。
3)证据的可容许性:
即证据是否可在法庭上使用;
为了获得被容许的证据,公司应该确保信息系统符合任何公布的标准或实用规则来产生被容许的证据。
8.信息安全事件和信息安全异常现象的报告和反馈
1)
2)
3)
4)
5)
a)
i.
ii.
iii.
iv.
6.
7.
8.
8.1.对于信息安全事件
1)信息安全事件报告
事故责任部门应填写《信息安全事件报告表》,包括以下内容:
●信息安全事件的原因
●信息安全事件的处理过程与结果
●信息安全事件再发防止措施及改进计划
●附上相关的证据文件
●《信息安全事件报告表》提交给信息安全工作小组;
2)反馈
●信息安全工作小组应将信息安全事件处置过程和结果反馈给部门负责人和事故发现人;
●信息安全工作小组应将事故以上级别的信息安全事件处置过程和结果报告给总经理/部门负责人,事件级别的报告给部门负责人;
●必要时部门负责人应将信息安全事件处置过程和结果反馈给客户。
8.2.对于信息安全异常现象
1)信息安全异常现象的处理
信息安全工作小组根据安全异常现象报告组织相关人员调查;
证实异常现象的存在后,应明确异常现象处理责任部门,由处理责任部门进行处理。
2)信息安全异常现象报告
处置责任部门应填写安全异常现象报告在《信息安全事件报告表》中,包括以下内容:
●安全异常现象的原因;
●安全异常现象的预防处置措施及改进计划;
●安全异常现象报告提交给信息安全工作小组;
3)反馈
●信息安全工作小组应将信息安全异常现象处置结果反馈给发现人和涉及部门、项目组;
●信息安全工作小组应将重大信息安全异常现象处置结果报告给总经理;
9.改进和预防工作
1)信息安全事件或异常现象所涉及的部门应在信息安全工作小组的协调指导下根据事件或异常现象报告中的再发防止措施考虑进行安全体系的改进工作。
2)信息安全工作小组应监控并确认相关改进活动的执行,并向信息安全领导小组报告。
3)在需要启动内审和管理评审的情况下,根据规定启动相应的审核活动。
4)信息安全事件管理活动记录由信息安全工作小组保存,作为内审和管理评审的输入。
10.实施策略
1)发现一级信息安全事故后,事件责任部门经理会同发现人,填写《信息安全事件报告表》上报给信息安全工作小组。
2)信息安全工作小组对事件进行判断,调查取证,根据事件的不同级别采取相应的控制措施,填写《信息安全事件报告表》。
3)信息安全事件处理之后,信息安全工作小组应在《信息安全事件报告表》的结论中总结教训,提出预防措施,由相关部门实施。
以防止此类事件再次发生。
11.支持文件
《信息安全奖惩管理规定》
12.相关记录
序号
报告/记录名称
保管场所
期限
保存形式
备注
1
信息安全事件报告表
系统服务部
3年
电子
制度相关修改及解释权属于研发服务体系
文档编号(由总裁办填写)
密级
内部公开
文档发布级别
公司级
文档发布及实行范围
全员
制度试行日期(可选)
文档起草人
签字:
文档修订人:
修订说明:
备注:
文档负责人:
文档审批
信息安全管理者代表
文档审批人
升级会员 