信息安全事件报告和处置管理制度.docx
- 文档编号:3616628
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:12
- 大小:113.72KB
信息安全事件报告和处置管理制度.docx
《信息安全事件报告和处置管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全事件报告和处置管理制度.docx(12页珍藏版)》请在冰豆网上搜索。
信息安全事件报告和处置管理制度
X
网络信息中心
安全事件报告和处置管理制度
文件编号
SM-IS-SE-014
使用部门
网络信息中心
维护人
初版日期
X-12-15
修订日期
X-01-11
X保留所有权利。
未经版权所有者的书面许可,禁止通过直接复印机、缩微胶片、静电复印术或任何其他方式以任何形式分发本文任何部分。
修订及复核记录
修订记录
版次
修改
复核
批准
发行日期
摘要
X
X-11-15
X
X-1-11
依据第一次评审结果
X
X-4-11
依据第二次评审结果
审核栏
条目
姓名
审核
日期
批准
复核
起草
第一章总则
第一条为规范和加强X信息系统重大信息安全事件的信息报告管理工作,及时了解掌握和评估分析事件有关状况,加强对信息安全事件的预警通报机制,并为重大信息安全事件的应急响应和事故调查处理工作奠定基础,协调组织相关力量进行事件的应急响应处理,从而降低重大信息安全事件带来的损失和影响。
第二条根据有关法律、法规的规定,结合X信息系统的实际情况,制定本制度,请参照该制度要求,结合本单位、本部门实际情况认真贯彻落实。
第三条本程序适用于X网络信息中心管理的业务系统和流程。
第二章安全事故的管理
4.1事故的分级
在X信息安全委员会领导下,信息安全管理组和其小组成员决定安全事故的严重性,安全事故归分为以下几个等级:
三级:
指可能对本单位的设备或系统有严重和直接威胁的安全事故,需要立即处理。
这些设备包括服务器,路由器,防火墙,交换机和网络主机等;
二级:
指可能对本单位的设备或系统有潜在威胁的安全事故。
这些威胁是不确定的,因此,根据事故的实际情况,不一定需要做出立即的响应;
一级:
指可能对本单位的设备或系统造成很小的影响,或根本无实质性的影响的安全事故。
这些事故主要是信息性的,不需要马上进行处理。
4.2事故响应团队
本单位应该建立一个安全事故应急小组,由技术人员和管理人员组成。
小组应该由信息安全管理组来领导。
在整个事故处理中,X网络信息中心主任为信息安全协调员,负责与信息安全委员会中各个成员的沟通和交流,信息安全委员会拥有最高领导权。
网络信息中心主任负责从最初的响应到对小组成员的工作分配和指导。
技术人员包括网络信息中心所有成员,负责与他们维护的系统有关的事件。
管理人员包括网络信息中心负责人和来自其他部门的管理人员。
X信息安全应急响应组应保留一份突发事故发生时可能需要的本单位以外的人员名单,包括法律咨询,电信,设备供应商,服务供应商,业务合作伙伴和其他机构等的联系人。
所有和第三方的沟通和联系必须由信息安全委员中对外联络组的相关成员来发起。
a)事故响应过程
图1:
安全事件响应流程图
图2:
三级安全事件响应流程
三级安全事件是指对重要业务系统或流程的可用性和实时性有重大影响的事件。
快速解决问题并且恢复系统或流程的正常进行,保证业务的连续性是及至关键的。
在响应流程中,第一步就是将发生的问题控制在最小范围内,使其它的系统或流程不受到影响。
然后,在本单位信息安全委员会领导下由信息安全应急响应小组研究、讨论并且制定出相关的补救措施。
这个步骤可以由第三方服务商或者系统供应商一同参与,目的就是在最短的事件内使系统或流程恢复工作状态。
实施了补救措施之后,网络信息中心信息安全负责人需会同应急响应小组协同业务人员和第三方人员验证系统或流程恢复的情况,确保系统或流程恢复正常工作状态。
事件解决之后,应急小组应查找并且调查事件的真实发生原因,并且找出根本系统或流程修补措施。
最后,X网络信息中心的信息安全负责人应该通知所有相关部门,报告事件的解决结果,并且起草书面报告,提交至信息安全委员会。
书面报告应该包括,事件的发生情况及影响,补救措施以及将来的预防建议。
三级安全事件包括:
大规模病毒感染,网络中断,关键业务服务器当机,关键业务应用下线,机房漏水和着火,关键业务流程违规,机密信息未授权的访问痕迹,防火墙或路由器未授权的访问痕迹,业务环境数据库未授权的访问痕迹等。
图3:
二级安全事件响应流程
二级安全事件响应流程是针对那些对本单位重要业务系统和流程没有直接影响或只对那些无实时性业务系统和流程造成影响的事件而制定的流程。
因为这类业务系统的可用性相对不高,而且无时间性的需求,所以,二级安全时间响应流程以发现和解决根本问题为优先。
在确保系统可以无错误正常运行后,才可以在业务环境中恢复系统正常运作。
其流程也是以控制事件范围为先,确保其它系统不受关联影响。
然后由网络信息中心领导的信息安全应急小组讨论事件原因并且形成解决方案。
在实施补救方案时,必须在测试环境中验证补救措施,确保其有效性。
然后才可将其在业务环境中实施。
最后,网络信息中心的信息安全负责人应该通知所有相关部门,报告事件的解决结果,并且起草书面报告,提交至信息安全委员会。
书面报告应该包括,事件的发生情况及影响,补救措施以及将来的预防建议。
二级安全事件包括:
小规模病毒感染,非关键区域网络问题,关键业务服务器问题,关键业务应用问题,非关键业务服务器和应用问题,机房温度不正常,非关键业务流程违规等。
图4:
一级安全事件应急响应
一级安全事件是指对业务影响很小,无实时性要求的事件。
这类事件不需要立即做出回复和解决,但必须做好记录,并且定期在信息安全委员会上将这类事件放入议程中。
网络信息中心负责信息安全的相关人员应该在会议中组织讨论这类事件的发生原因并进行分析,并且做出解决方案。
在会后,网络信息中心主任应该督促相关人员实施解决方案,并且在完成之后通知相关部门,以及完成事件报告。
一级事件包括:
违反信息安全准则中关于密码使用,软件安装等规则,用户账号被锁,用户账号密码滥用等。
第三章事故处置程序
5.1事件/事故的汇报
当有事件发生时,汇报源可以来自多方面。
汇报可以是安全设备的报警,包括防火墙,防病毒软件,入侵检测系统等;可以是网络监控系统,也可以是员工个人。
因此,事件的辨认以及汇报的流程应该熟为人知从而确保最迅速有效的事件汇报和补救方案的开发和实施。
(一)网络管理员应该实时监控网络的状态,识别任何潜在的安全事件;
(二)员工如果发现任何事件,应报告于负责该业务的系统管理员以及该部门领导;
以下内容应该收集:
✓事件发生的日期和时间;
✓哪个或哪些系统或流程发生了问题;
✓为什么会怀疑发生了问题;
✓发现事件的员工名字。
5.2事故的调查
(一)当收集到足够的信息时,系统管理员应该进行初步的调查,判断事件是否对本单位的业务有影响。
如果无影响,则可以记录事件,在今后的信息安全委员会上讨论事件;
(二)如果系统管理员判断事件对业务有影响的,必须通知网络信息中心信息安全应急响应小组,由应急响应小组讨论划分事件的等级。
如果是三级事件,应急小组必须讨论并且计划实施业务延续性计划;
(三)对于三级事件以及部分二级事件,事件的响应流程应该在事件的调查之前执行,以确保业务的延续性;
(四)在调查过程中,必须时刻详细记录所有的调查步骤和发现,并且在整个过程中详细记录以下几点:
✓发现证据的时间,地点和人;
✓检查证据的时间,地点和人;
✓在每一个时段,监管证据的人;
✓存放证据的方式。
5.3事件的文档化
从发现事件起至事件的总结归档,整个过程中必须有详细的记录。
附件是事件记录过程中的两个文档。
一个是《信息安全事件应急报告表》,其中包括事件的发现,事件的初步诊断,事件的分级,事件的调查,事件的处理以及将来可能避免事件发生的方法。
这份表格由信息安全管理员填写,并且由相关的部门负责人,系统管理员,网络信息中心负责信息安全的管理人员和稽核部负责人签字。
另一份文档是《信息安全事件应急处理结果报告》。
这篇报告只针对三级安全事件的处理过程和总结。
所有文档必须最后归档,并且由信息安全管理员保管。
附件一:
X信息管理中心联系表
X信息管理中心应急通讯录
序号
单位名称
联系人
电话
电子邮件
1
2
3
4
5
6
7
8
9
10
附件二:
X安全专家工作组联系表
X安全专家通讯录
序号
单位名称
联系人
电话
电子邮件
1
2
3
4
5
6
7
8
9
10
附件三:
X信息安全事件应急报告表
报告时间:
年月日时分
单位名称
报告人
事件等级
联系电话
通讯地址
传真
电子邮件
发生信息安全事件的信息系统的基本信息
名称及用途
硬件及型号
操作系统
数据库
应用软件
系统安全测评
☐是,已经通过安全测评
☐是,但未通过安全测评
☐否,未经过安全测评
发生安全事件的网络基本信息
网络概况:
IP地址段:
网络结构:
主要网络设备:
其它:
负责部门
负责人
重大信息安全事件的简要描述(如以前出现过类似状况也应加说明)
初步判定事件的原因
当前采取的应对措施
本次事件的初步影响状况
事件后果
业务中断系统破坏数据丢失泄密其它
影响范围
局部大面积整个信息系统其它
严重程度
一级二级其它
值班电话:
传真:
电子信箱:
附件四:
X信息安全事件应急处理结果报告表
原报告时间:
年月日时分备案编号:
年月日第号总第号
单位名称
报告人
事件等级
联系电话
通讯地址
传真
电子邮件
发生信息安全事件的信息系统的基本信息
名称及用途
硬件及型号
操作系统
数据库
应用软件
系统安全测评
☐是,已经通过安全测评
☐是,但未通过安全测评
☐否,未经过安全测评
发生安全事件的网络基本信息
网络概况:
IP地址段:
网络结构:
主要网络设备:
其它:
负责部门
负责人
重大信息安全事件的补充描述及最后判定的事件的原因
本次重大信息安全事件的事后影响状况
事件后果
业务中断系统破坏数据丢失泄密其它
影响范围
局部大面积整个信息系统其它
严重程度
一级二级其它
本次重大信息安全事件的主要处理过程与结果(必要时可附文字、图片等材料)
针对此类事件应该采取的保障信息安全的措施和建议
报告人签字:
值班电话:
传真:
电子信箱:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 事件 报告 处置 管理制度
![提示](https://static.bdocx.com/images/bang_tan.gif)