安全事件管理制度
Posted 杨治中
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全事件管理制度相关的知识,希望对你有一定的参考价值。
第一章 总 则
第一条 为规范和加强中国国际工程咨询公司安全事件的报告与处理程序,减少信息安全事件所造成的损失,并采取有效的纠正与预防措施,特制定本制度。
第二条 安全事件相关人员工作职责见《系统与网络安全应急响应预案》。
第二章 管理规定
-
- 信息安全事件定义
由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。
-
- 信息安全事件分类
将信息安全事件分为7类:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件。
- 有害程序事件:指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等。
- 网络攻击事件:指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等。
- 信息破坏事件:指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等。
- 信息内容安全事件:指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下子类,违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件;其他信息内容安全事件等。
- 设备设施故障:指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事件和其它设备设施故障等。
- 灾害性事件:指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
- 其他信息安全事件:指不能归为以上基本分类的信息安全事件。
- 信息安全事件分级
根据信息安全事件对信息系统造成的影响,将信息安全事件划分为三个级别:重大信息安全事件、较大信息安全事件和一般信息安全事件。
- 重大信息安全事件:造成信息丢失或泄露,或者信息系统业务中断一天以上的信息安全事件。导致造成重大信息安全事件的情况有:
-
- 自然灾害导致中心机房主要设施遭受毁灭性破坏,形成灾难性故障,持续一天以上不能修复;
- 中心机房或中心机房所在办公大楼遭遇重大火灾;
- 关键设备的重大故障引起的业务中断,如业务系统主机、存储设备、网络核心设备(交换机、路由器)两套热备的设备同时故障,持续一天以上无法修复;
- 严重的存储设备故障或数据库崩溃等原因,造成业务数据丢失;
- 遭受恶意攻击形成灾难性故障,业务数据被破坏;
- 市电供电系统停止一天以上,且UPS机组和发电机组工作异常;
- 信息系统数据、资料丢失或泄露。
-
- 较大信息安全事件:造成信息丢失或泄露,或者信息系统业务中断一天以内两个小时以上的信息安全事件。导致较大信息安全事件的情况有:
- 主机系统两套设备同时发生故障;
- 网络系统故障:
-
- 主、备核心路由器、核心交换机同时发生故障;
- 通信线路中断;
-
- 磁盘阵列故障,破坏数据的完整性;
- 软件系统故障:
-
- 核心业务的数据库系统出现无法使用的故障;
- 操作系统软件故障,系统无法运行。
-
- 机房附属设备故障:
-
- 两台UPS同时故障;
- 空调故障,引起机房、主机温度、湿度异常,超过临界值;
- 消防系统出现故障,持续24小时不能修复;
- 市电供电系统出现异常故障超过两小时,或单路供电系统异常失效超过一天。
-
- 一般信息安全事件:造成非涉密信息丢失或泄露,或者信息系统业务中断两个小时以内的信息安全事件。导致一般信息安全事件的情况有:
-
- 主机系统故障:
- 业务系统主机需切换到备份机;
- 数据库服务器需切换到备份机。
- 网络系统故障:
- 中心机房单台骨干交换机故障;
- 中心机房单台骨干路由器故障;
- 单条主干通信线路故障。
- 磁盘阵列故障:
- 磁盘阵列出现可修复性磁盘损坏(少数磁盘坏);
- 数据备份过程中发现硬件故障,不能正常完成数据备份。
- 机房附属设备故障:
- 外部电源线路停止供电超过UPS最大负载时间;
- 机房空调故障,引起机房、主机温度、湿度异常,超过临界值;
- 单台UPS故障而不能正常供电。
- 各种因素(疫情、离岗等)导致信息系统的关键岗位人员不能上岗。
- 主机系统故障:
- 系统中断信息安全事件处理流程
-
告知用户在发现安全弱点和可疑事件及时向安全管理部门报告的管理要求,当发现安全弱点和可疑事件时应及时向信息中心运维处报告,形成安全弱点和可疑事件的书面报告或记录
发现和报告
- 各个信息管理系统使用者,在使用过程中如果发现系统中断安全事件,任何情况下用户均不应尝试验证弱点,应填写《信息安全事件记录》,向部门主管报告,部门主管审核《信息安全事件记录》,提交信息中心;
- 各个信息管理系统维护者,在维护过程中如果发现系统中断安全事件,应填写《信息安全事件记录》,提交信息中心。
- 如事件会影响或已经影响业务系统的使用,必须立即报告信息中心,保证对业务系统的影响降至最低。
- 发现人尽量不要改变现状,应保护好事件的现场。
- 在紧急情况下,信息管理系统使用和维护者直接口头报告信息中心,随后再附上《信息安全事件记录》。
分析
- 信息中心接到报告以后,相关管理人员须第一时间赶赴现场。
- 经管理员分析后判断事件级别,联系相关人员进行事件分析和鉴定事件产生原因,收集证据。
- 填写《信息安全事件记录》,记录事故分析情况。
- 判断为重大信息安全事件和较大信息安全事件时,应立即上报信息中心负责人,由信息中心负责人向应急领导小组报告。
响应
- 相关管理人员组织确定事件解决方案,对安全事件进行迅速、有效的处理。包括采取以下适当措施:
- 采取措施防止事态的进一步扩大;
- 对于事件的响应和处理应遵循以下次序:保护人员的生命与安全、保护敏感的设备和资料、保护重要的数据资源、防止系统被损坏、将遭受的损失降至最小;
- 组织商讨事件解决方案,准备事件处理工作,排除故障,恢复系统或服务,必要时启动应急预案。
- 填写《信息安全事件处理结果报告表》,记录处理过程。
评价
对于信息安全事件,在故障排除或采取必要措施后,由信息中心组织对实施情况进行跟踪验证,验证结果记入《信息安全事件处理结果报告表》。
备案
信息中心将《信息安全事件记录》及其他相关文件存档备案。
-
- 信息泄露安全事件处理流程
发现和报告
任何人发现信息系统信息泄露时,立即报告信息中心。
分析
- 必要时相关管理人员须第一时间赶赴现场。
- 经管理员分析后判断事件级别,联系相关人员进行事件分析,鉴定事件产生原因,收集证据。
- 填写《信息安全事件记录》,记录事故分析情况。
- 判断为重大信息安全事件和较大信息安全事件时,应立即上报信息中心负责人,由信息中心负责人向应急领导小组报告。
响应
- 相关管理人员组织确定事件解决方案,对安全事件进行迅速、有效的处理。包括采取以下适当措施:
- 采取措施防止事态的进一步扩大,将损失降至最低。
- 组织商讨事件解决方案,准备事件处理工作,必要时启动应急预案。
- 填写《信息安全事件处理结果报告表》,记录处理过程。
评价
对于信息安全事件,在采取必要措施后,由信息中心组织对实施情况进行跟踪验证,验证结果记入《信息安全事件处理结果报告表》。
备案
信息中心将《信息安全事件记录》及其他相关文件存档备案。
-
- 后期工作
- 对于重大信息安全事件和较大信息安全事件,在应急处置工作结束后,应急领导小组应立即组织有关人员和专家在有关部门和单位的配合下,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,并制定防止再次发生的补救措施,写出调查评估报告;
- 对于重大信息安全事件和较大信息安全事件,应急领导小组根据有关规定,对有关责任人员作出处理。特别重大信息安全事件的调查评估报告,经应急领导小组审核后,报上级部门处理。
- 对于安全事件及时报告和响应的人员,给予相应奖励。
- 对于一般安全事件责任人进行批评教育,给予相应惩罚。
以上是关于安全事件管理制度的主要内容,如果未能解决你的问题,请参考以下文章