信息安全应急处置管理综合规范Word文档格式.docx

1、应对信息系统突发安全事件各项方法最大程度地降低信息系统突发安全事件造成危害和损失。预防为主标准:高度重视信息系统突发安全事件预防工作。坚持做好信息系统日常监控和运行维护工作，坚持预防和应急相结合，做好应对突发安全事件各项准备工作。保密标准：参与信息系统突发安全事件处理工作人员应严守企业保密要求，XX不得向外界提供和处理相关工作信息，不得利用工作中取得信息牟取私利。4.组织体系和职责全部些人员（包含正式职员、协议雇佣人员、实习生、临时人员等）发觉疑似信息安全异常事件时，全部有实时通报责任。各部门和各业务模块信息安全专员是信息安全事件识别和响应联络窗口，负责配合安全小组，进行安全事件处理（信息安全

2、员应熟悉本部门负责业务模块）。信息安全实施小组由各部门信息安全员和应急处理小组组成，是信息安全事件处理权责单位，含有以下职责：（一）评审和更新企业信息安全事件管理规范；（二）协调和监督信息安全事件纠正和预防方法实施；（三）组织调查信息安全事件，配合相关部门进行计算机犯罪案件调查；（四）向信息安全委员会汇报并提出处理意见。信息安全委员会由企业领导层组成，会应对信息安全事件处理机制进行统筹和计划，含有以下职责：（一）指导*信息安全事件防范和应急处理工作；（二）推进*信息安全事件应急响应机制建立和落地实施。5.信息安全事件分类和分级5.1.信息安全事件分类信息系统攻击事件、信息破坏事件、信息内容安全

3、事件、发觉安全漏洞事件。5.1.1信息系统攻击事件信息系统攻击事件是指经过网络攻击、有害程序或其它技术手段，利用信息系统配置缺点、协议缺点、程序缺点或使用暴力攻击对信息系统实施攻击，造成信息系统异常或对信息系统目前运行造成潜在危害信息安全事件。信息系统攻击类事件包含拒绝服务攻击、后门攻击、漏洞利用攻击、网络扫描窃听、网络钓鱼、干扰事件等。5.1.2信息破坏事件信息破坏事件是指经过网络或其它技术手段，造成信息系统中信息被篡改、假冒、泄漏、窃取等而造成信息安全事件。信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等5.1.3信息内容安

4、全事件信息内容安全事件是指利用信息网络公布、传输危害国家安全、社会稳定和公共利益内容安全事件。比如：藏独、台独言论。5.1.4发觉安全漏洞事件内部技术人员有意无意发觉安全漏洞。XSS、注入、劫持、CSRF、上传漏洞、文件包含、权限漏洞等。5.1.5其它信息安全事件指不能归为以上4类信息安全突发事件。5.2.安全事件分级依据信息系统关键程度、系统损失和社会影响，将信息安全事件划分为三个等级：重大信息安全事件（一级）、较大信息安全事件（二级）和通常信息安全事件（三级）。5.2.1重大信息安全事件（一级）重大信息安全事件是指能够造成严重影响或破坏信息安全事件，包含以下情况：（一）大范围用户受到影响。

5、（二）大部分业务模块不能正常工作。（三）企业内部发觉业务模块存在安全漏洞。5.2.2较大信息安全事件（二级）较大信息安全事件是指能够造成较严重影响或破坏信息安全事件，包含以下情况：（一）小部分用户受到影响。（二）小部分业务模块不能工作。5.2.3通常信息安全事件（三级）通常信息安全事件是指不满足以上条件信息安全事件，包含以下情况：（一）部分用户受到影响。（二）部分业务模块异常。6.上报步骤（一）当信息安全事件发生时，依据事件类型及影响大小，根据要求汇报角色和处理步骤。1）企业内部职员发觉疑似信息安全事件或收到外部汇报信息安全事件时，由发觉人应同时通知本通报部门信息安全专员、安全实施小组并通知直

6、属主管、部门领导；2）各部门信息安全专员在发生信息安全事件时，应立即向信息安全实施小组汇报。（二）信息安全事件汇报内容应尽可能涵盖事件发生事实、可能影响范围、损失评定、需要支持、采取应对方法等。（三）信息安全实施小组在收到汇报后，应对事件进行判定和分析：1）判定为非信息安全事件时，将结果回复发觉人。2）判定为信息安全事件时，则深入分析事件影响，并按企业相关制度步骤进行处理： 当发生通常信息安全事件或较大信息安全事件时，由信息安全实施小组处理，并采取相关纠正及预防方法，以预防类似事件发生。当发生重大信息安全事件时，应上报信息安全委员会，并由信息安全实施小组依据信息安全委员会决议对事件进行处理。处

7、理过程中如发觉造成影响大于原先判定事件，应重新实施事件分析。（四）处理信息安全事件时，若需部门内部资源，则由信息安全实施小组沟通协调工作；如需部门外部资源帮助，则由信息安全委员会进行协调。当重大信息安全事件发生需对外说明时，由企业对外窗口统一对外说明情况和处理方法。（五）企业应建立对应机制，监视并统计信息安全事件，并对其类型、数量和造成损失代价进行统计。（六）当一个信息安全事件包含民事或刑事诉讼，需要进行司法取证时，应注意：设备封存过程需当事人、调查者及司法判定部门同时在场，封存处必需有各方签字； 数据保留和证据挖掘过程均需司法判定部门在场，以确保数据完整性和可靠性；司法判定机构需对获取证据过

8、程出具司法判定汇报。（七）重大安全事件和无法处理安全事件上报公安部门。（八）针对信息安全事件处理时间；响应时间安全事件等级故障处理时间1小时三级2-8个小时30分钟二级1-2小时一级7.应急处理步骤 信息安全事故处理步骤包含三部分内容：计划及准备、安全事故应急、事后跟进，下面分别进行解释说明。6.1 计划及准备事先计划可确保人员对应采取应急行动有所了解，使其能在相互配合及有条不紊情况下实施，同时还有助各部门在处理安全事故时做出合适和有效决定，从而将安全事故可能造成破坏减到最少。各业务模块应各自制订应急预案并定时进行应急演练。5.1.1 安全事故处理计划安全事故处理计划关键包含事故处理目标及优先

9、级，具体定义以下：目标：立即使系统恢复正常操作尽可能减轻事故对其它系统影响避免发生同类事故找出事故根本成因评定事故影响和破坏有必需时更新政策和程序搜集证据为以后个案调查提供证实优先考虑：保护敏感或关键资源保护遗失或损毁后造成较大损失关键数据预防停顿后会造成较大损失及恢复成本较高系统受到损坏对服务中止影响减到最少维护部门或企业整体公众形象5.1.2 汇报程序1. 汇报内容：已经发生信息安全事件；观察到或怀疑任何系统或服务安全弱点；2. 汇报联络人：安全实施小组在信息安全领导小组责任人授权下对信息安全事故进行处理；安全事件发觉人需要同时通知本部门安全员、安全应急小组、本部门主管。3. 汇报路径：电

10、话；邮件；亲自汇报；微信等。5.1.3 升级处理程序升级处理程序是指将事故上报管理层和相关方面，以确保立即做出关键决议程序。在发生事故时，往往需要处理大量紧急事项，所以极难找到合适人选处理林林总总事项。为顺利实施安全事故处理各阶段工作，应事先编备处理技术和管理事项所需关键联络名单。联络名单联络方法事故发生后30分钟内杨代兵联络方法见企业微信通讯录事故发生后60分钟内侯杰系统恢复后怀疑组成犯罪，则由企业安全领导小组决定5.1.4 安全培训企业应提供足够职员培训，以确保相关全体职员和管理层人员均知道怎样处理安全事故。各人员应熟习由事故上报、确定和采取合适行动到恢复系统正常操作处理事故程序。企业可组

11、织事故处理演练，使全体人员熟习处理安全事故程序。另外，为了加强系统或职能范围安全保护方法，并降低发生事故机会，应向系统管理和支持人员提供足够培训，使她们掌握相关安全预防知识。5.1.5 事故监控方法应采取足够事故监察安全方法方便在正常操作时保护系统，同时防范潜在安全事故。所采取方法程度和范围则取决于系统、系统处理数据及系统提供功效关键性和敏感程度。下列是现在已经布署安全事故监察方法：安装防火墙并采取认证和访问控制方法，以保护关键系统和数据资源；安装入侵侦测工具，主动监察、侦测并就系统入侵或黑客入侵做出应对；安装计算机防病毒工具和恶性程序代码侦测及修复软件，以侦测及清除计算机病毒及恶性程序代码，

12、并预防计算机病毒和恶性程序代码影响系统操作；定时利用安全扫描工具进行安全检验，以找出现在存在安全漏洞，并进行既定安全政策水平和实际安全工作环境之间差距分析；开启系统及网络审计日志功效，方便侦测和追踪未获授权活动；6.2 安全事故应急响应安全事故应急包含制订程序评定事故并做出应急，立即将受影响系统元服务恢复正常。相关程序大致可分为五个阶段：以下图5.1所表示确实定、升级处理、遏制、杜绝和恢复。认识各阶段具体工作有利于在发生安全事故时快速做出响应。图5.2 安全事故应急步骤6.3 信息安全事故总结和改善系统恢复正常操作并不代表安全事故处理程序结束，采取必需跟进行动十分关键。跟进行动包含评定事故所造

13、成破坏、系统改良以预防再度发生事故、安全政策和程序更新及为以后检控进行个案调查。5.3.1安全事故分析 事小说后分析是对事故及事故应急方法分析，这有利于更深入地了解系统受到威胁及可能存在安全漏洞，方便采取更有效保障方法。分析结果表现在安全事故汇报中，分析范围能够包含以下内容：预防再度受攻击提议行动；在事故应急时，须快速取得资料及获取相关资料方法；供侦测及杜绝程序所用或所需额外工具；准备和应急方法足够程度；沟通足够程度；实际困难；事故破坏，当中包含：处理事故所需人力消耗金钱成本中止操作损失遗失或遭破坏数据、软件和硬件，包含被泄露敏感数据受托保密数据法律责任难堪或丧失信誉吸收其它教训。5.3.2

14、安全事故汇报依据事故分析所编制事小说后汇报，应概述事故、应急、恢复行动、破坏和吸收教训。相关信息系统主管负责编制汇报，并提交信息安全事故应急小组作参考，方便以后立即采取预防方法，避免其它系统和服务再度发生同类安全事故。事小说后汇报应包含下列项目：事故类型、范围和程度；事故详情：攻击起源、时间和可能方法及发觉攻击方法等；概述受攻击系统，包含系统范围及功效、技术资料（比如系统硬件、软件和操作系统，和版本、网络体系结构及程序编制语言等）；事故应急及杜绝方法；恢复程序；吸收其它教训。安全事故汇报模版参见附件信息安全事故汇报模版5.3.3 安全评定可能受到安全风险威胁系统宜定时进行安全风险评定和审计，尤

15、其是曾经受安全事故影响系统。安全复检及系统审计应连续进行，方便立即发觉可能存在安全漏洞及或因应安全保护方法及攻击入侵科技发展，而须做出系统改善。在发生安全事故时搜集资料亦有利于事后安全评定，对找出系统安全漏洞和安全威胁尤其有用。5.3.4安全改善依据事小说后分析和定时安全评定所得出结果，可确定应对系统安全政策、程序和保护机制做出哪些改善。技术发展一日千里，所以必需定时更新安全相关政策、程序和保护机制，以确保整体安全保护方法对计算机系统效用。在进行事小说后分析时，如有需要应复检和修订政策、程序和指南，以配合预防方法。5.3.5 取证及检控1、取证规则：证据可许可性：证据是否能够在法庭上使用；证据

16、份量：证据质量和完备性；2、取证内容：系统事件和其它相关资料，比如审计日志、服务器日志、网络日志、防火墙路由器日志、访问统计等系统日志文件；仍在进行活动系统登录或网络连接及程序状态资料；受攻击系统；已采取全部行动，包含日期、时间和参与行感人员；全部对外通讯，包含日期、时间、内容及相关各方；3、证据维护：纸面文档：原物应被安全保留且包含以下信息统计：时间、地点、发觉人、证实人；应确保原物没有被篡改；计算机介质中信息：任何可移动介质镜像或拷贝、硬盘或内存中信息全部应确保其可用性；拷贝过程中全部行为日志全部应保留下来，且应有证据证实该过程；原始介质和日志应安全保留且不能改变；任何法律取证工作应仅在证据资料拷贝上进行；4、检控：在合适情况下，还必需对引发事故个人采取个案调查、纪律处分或法律检控等行动。8.后期处理安全事件应急处理结束后，立即对此次安全事件发生原因、事件规模进行调查，估算事件损失后果，对应急处理手段效果和后续风险进行评定，总结应急处理经验教训并提出改善提议。9.解释本管理措施由信息安全小组负责解释。10 文档信息安全事故汇报