××信息安全应急处置管理规范

第I页共15页**信息安全事件与应急响应管理规范修订状况当前版本v1.0章节编号章节名称修订内容简述修订日期修订前版本号批准人目录1.目的..........................................................12.适用范围......................................................13.工作原则......................................................14.组织体系和职责................................................15.信息安全事件分类和分级........................................25.1.信息安全事件分类...............................................................25.1.1信息系统攻击事件....................................................................................................................................25.1.2信息破坏事件............................................................................................................................................25.1.3信息内容安全事件....................................................................................................................................35.1.4发现安全漏洞事件....................................................................................................................................35.1.5其他信息安全事件....................................................................................................................................35.2.安全事件的分级.................................................................35.2.1重大信息安全事件（一级）....................................................................................................................35.2.2较大信息安全事件（二级）....................................................................................................................35.2.3一般信息安全事件（三级）....................................................................................................................36.上报流程......................................................47.后期处置.....................................................128.解释.........................................................12第1页共15页1.目的为建立健全**网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施。2.适用范围本文档适用于公司建立的信息安全管理体系。本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。3.工作原则统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各级信息系统突发安全执行小组的统一指挥。谁运行谁主管谁处置的原则：各类业务模块的责任人要按照公司统一要求，制定和维护本部门业务模块运行安全应急预案，认真根据应急预案进行演练与应急处置工作。最小损失原则：应对信息系统突发安全事件的各项措施最大程度地减少信息系统突发安全事件造成的危害和损失。预防为主原则:高度重视信息系统突发安全事件预防工作。坚持做好信息系统日常监控与运行维护工作，坚持预防与应急相结合，做好应对突发安全事件的各项准备工作。保密原则：参与信息系统突发安全事件处置工作的人员应严守公司保密规定，未经授权不得向外界提供与处置有关的工作信息，不得利用工作中获得的信息牟取私利。4.组织体系和职责所有人员（包含正式员工、合同雇佣人员、实习生、临时人员等）发现疑似信息安全异常事件时，都有实时通报的责任。各部门和各业务模块的信息安全专员是信息安全事件的识别和响应的联络窗口，负责配合安全小组，进行安全事件处理（信息安全员应熟悉本部门负责的业务模块）。第2页共15页信息安全执行小组由各部门信息安全员以及应急处理小组组成，是信息安全事件处理的权责单位，具有如下职责：(一)评审和更新公司的信息安全事件管理规范；(二)协调和监督信息安全事件纠正和预防措施的执行；(三)组织调查信息安全事件，配合有关部门进行计算机犯罪案件的调查；(四)向信息安全委员会报告并提出处理意见。信息安全委员会由公司领导层组成，会应对信息安全事件处理机制进行统筹和规划，具有如下职责：(一)指导**信息安全事件的防范与应急处置工作；(二)推动**信息安全事件应急响应机制的建立和落地执行。5.信息安全事件分类和分级5.1.信息安全事件分类信息系统攻击事件、信息破坏事件、信息内容安全事件、发现安全漏洞事件。5.1.1信息系统攻击事件信息系统攻击事件是指通过网络攻击、有害程序或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。信息系统攻击类事件包括拒绝服务攻击、后门攻击、漏洞利用攻击、网络扫描窃听、网络钓鱼、干扰事件等。5.1.2信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等第3页共15页5.1.3信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。例如：藏独、台独言论。5.1.4发现安全漏洞事件内部技术人员有意无意发现的安全漏洞。例如：XSS、注入、劫持、CSRF、上传漏洞、文件包含、权限漏洞等。5.1.5其他信息安全事件指不能归为以上4类的信息安全突发事件。5.2.安全事件的分级根据信息系统的重要程度、系统损失和社会影响，将信息安全事件划分为三个级别：重大信息安全事件（一级）、较大信息安全事件（二级）和一般信息安全事件（三级）。5.2.1重大信息安全事件（一级）重大信息安全事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：(一)大范围用户受到影响。(二)大部分业务模块不能正常工作。(三)公司内部发现业务模块存在安全漏洞。5.2.2较大信息安全事件（二级）较大信息安全事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：(一)小部分用户受到影响。(二)小部分业务模块不能工作。5.2.3一般信息安全事件（三级）一般信息安全事件是指不满足以上条件的信息安全事件，包括以下情况：第4页共15页(一)个别用户受到影响。(二)个别业务模块异常。6.上报流程安全事件发现者安全领导小组安全执行小组本部门信息安全员各部门主管、各业务模块主管安全级别第一时间通知第一时间通知第一时间通知1个小时内做出判断1级安全事件30分钟内给出指导意见2、3级安全事件30分钟给出解决方案业务模块落地后由安全小组复查得出结论公安部门重大、无法处理的安全事件(一)当信息安全事件发生时，根据事件类型及影响大小，按照规定汇报角色和处理流程。1)公司内部员工发现疑似信息安全事件或收到外部报告的信息安全事件时，由发现人应同时告知本通报部门信息安全专员、安全执行小组并告知直属主管、部门领导；2)各部门信息安全专员在发生信息安全事件时，应立即向信息安全执行小组报告。(二)信息安全事件汇报内容应尽量涵盖事件发生的事实、可能影响的范围、损失评估、需要的支持、采取的应对措施等。(三)信息安全执行小组在收到报告后，应对事件进行判断和分析：1)判定为非信息安全事件时，将结果回复发现人。2)判定为信息安全事件时，则进一步分析事件影响，并按公司相关制度流程进行处理：第5页共15页当发生一般信息安全事件或较大信息安全事件时，由信息安全执行小组处理，并采取相关的纠正及预防措施，以防止类似事件发生。当发生重大信息安全事件时，应上报信息安全委员会，并由信息安全执行小组根据信息安全委员会的决策对事件进行处理。处理过程中如发现造成的影响大于原先判定事件，应重新执行事件分析。(四)处理信息安全事件时，若需部门内部资源，则由信息安全执行小组沟通协调工作；如需部门外部资源协助，则由信息安全委员会进行协调。当重大信息安全事件发生需对外说明时，由公司的对外窗口统一对外说明情况与处置方式。(五)公司应建立相应机制，监视并记录信息安全事件，并对其类型、数量和造成损失的代价进行统计。(六)当一个信息安全事件涉及民事或刑事诉讼，需要进行司法取证时，应注意：设备封存过程需当事人、调查者及司法鉴定部门同时在场，封存处必须有各方签字；数据的保存和证据的挖掘过程均需司法鉴定部门在场，以确保数据的完整性和可靠性；司法鉴定机构需对获取证据的过程出具司法鉴定报告。(七)重大安全事件和无法处理的安全事件上报公安部门。(八)针对信息安全事件的处理时间；响应时间安全事件等级故障处理时间1小时三级2-8个小时30分钟二级1-2小时30分钟一级1-2小时7.应急处置流程信息安全事故处理流程包括三部分内容：规划及准备、安全事故应急、事后跟进，下面分别进行解释说明。第6页共15页6.1规划及准备事先规划可确保人员对应采取的应急行动有所了解，使其能在互相配合及有条不紊的情况下执行，同时还有助各部门在处理安全事故时做出适当和有效的决定，从而将安全事故可能造成的破坏减到最少。各业务模块应各自制定应急预案并定期进行应急演练。5.1.1安全事故处理计划安全事故处理计划主要包括事故处理的目标及优先级，具体定义如下：目标：尽快使系统恢复正常操作尽量减轻事故对其他系统的影响避免发生同类事故找出事故的根本成因评估事故的影响和破坏有必要时更新政策和程序收集证据为日后的个案调查提供证明优先考虑：保护敏感或关键资源保护遗失或损毁后造成较大损失的重要数据防止停顿后会造成较大损失及恢复成本较高的系统受到损坏对服务中断