安全管理體系(ISO27001)信息安全事件管理策略

1、信息安全事件管理策略TOC o 1-5 h z HYPERLINK l bookmark0 1目的12范圍1 HYPERLINK l bookmark2 3職責(zé)14策略內(nèi)容1 HYPERLINK l bookmark4 4.1信息安全事件1 HYPERLINK l bookmark6 4.2信息安全事件分類2 HYPERLINK l bookmark8 4.3信息安全事件分級3 HYPERLINK l bookmark10 4.4報(bào)告信息安全事件和弱點(diǎn)4 HYPERLINK l bookmark12 4.5信息安全違法事件4 HYPERLINK l bookmark14 4.6信息安全事件上報(bào)

2、4 HYPERLINK l bookmark24 4.7信息安全事件的響應(yīng)、處置及取證5 HYPERLINK l bookmark26 4.8信息安全事件回顧65相關(guān)文件6 HYPERLINK l bookmark28 6相關(guān)記錄7 HYPERLINK l bookmark30 附件：信息安全事件處理流程8 /81目的為規(guī)范公司信息安全事件的報(bào)告、處理、回顧和改進(jìn)機(jī)制，明確信息安全事件的管理職責(zé)和管理流程，確保信息安全事件發(fā)生后能得到及時處置，特制定本策略。本策略適用于公司信息安全事件的處置活動。3職責(zé)角色職責(zé)信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)對信息安全事件的統(tǒng)計(jì)分析報(bào)告進(jìn)行定期評審。信息安全管理小組負(fù)責(zé)協(xié)

3、調(diào)、跟蹤信息安全事件的處理情況；收集匯總信息安全事件報(bào)告，并對信息安全事件發(fā)生的原因和處置過程進(jìn)行回顧和總結(jié)，提出改進(jìn)建議；定期編制統(tǒng)計(jì)分析報(bào)告，并提交給公司信息安全領(lǐng)導(dǎo)小組。各部門負(fù)責(zé)及時響應(yīng)信息安全事件，組織進(jìn)行信息安全事件的處置和證據(jù)收集工作，編制上報(bào)信息安全事件報(bào)告，并對信息安全事件發(fā)生的原因和處置過程進(jìn)行回顧和總結(jié)，提出改進(jìn)措施。全體員工負(fù)責(zé)及時報(bào)告信息安全事件，積極配合信息安全事件的處置和證據(jù)收集工作。4策略內(nèi)容4.1信息安全事件信息安全事件是指由于自然或者人為以及軟硬件本身缺陷或故障的原因，對信息系統(tǒng)造成危害，或?qū)ι鐣斐韶?fù)面影響的事件，詳見信息安全事件說明細(xì)則。信息安全事件的分

4、類分級主要參照GB/Z209862007信息安全事件分類分級指南的要求進(jìn)行。一體化質(zhì)量管理體系的事件管理程序中所描述的事件包含信息安全事件。4.2信息安全事件分類根據(jù)信息安全事件發(fā)生的原因、表現(xiàn)形式等，將信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施安全故障、災(zāi)害性事件其它事件，具體如下表所示：表1信息安全事件分類說明信息安全事件說明內(nèi)容有害程序事件指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件計(jì)算機(jī)病毒事件蠕蟲事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件混合攻擊程序事件網(wǎng)頁內(nèi)嵌惡意代碼事件其它有害程序事件網(wǎng)絡(luò)攻擊事件指通過網(wǎng)絡(luò)或其他技術(shù)手段，利

5、用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件拒絕服務(wù)攻擊事件后門攻擊事件網(wǎng)絡(luò)掃描竊聽事件網(wǎng)絡(luò)釣魚事件干擾事件其它網(wǎng)絡(luò)攻擊事件信息破壞事件指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件信息篡改事件信息假冒事件信息泄漏事件信息竊取事件信息丟失事件其它信息破壞事件信息內(nèi)容安全事件指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容而導(dǎo)致的安全事件違反憲法和法律、行政法規(guī)的信息安全事件針對社會事項(xiàng)進(jìn)行討論、評論，形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的

6、信息安全事件組織串聯(lián)、煽動集會游行的信息安全事件其它信息內(nèi)容安全事件設(shè)備設(shè)施安全故障指由于信息系統(tǒng)自身故障、外圍保障、設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件軟硬件安全功能故障外圍保障設(shè)施故障人為破壞事件其它設(shè)備設(shè)施安全故障災(zāi)難性事件指由于不可抗力對信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件水災(zāi)、臺風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等其它事件不能歸為以上6個基本分類的信息安全事件4.3信息安全事件分級根據(jù)各種信息安全事件對公司經(jīng)營管理的影響范圍、程度，以及可能造成的后果和損失，將信息安全事件劃分為一般信息安全事件、較大信息安全

7、事件、重大信息安全事件和特別重大信息安全事件四個級別，如下表所示：表2信息安全事件分級描述事件級別描述一般信息安全事件由于非法攻擊、病毒入侵等原因造成辦公PC、局部網(wǎng)絡(luò)、非重要生產(chǎn)系統(tǒng)等受到損害；由于信息系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、基礎(chǔ)設(shè)施服務(wù)異常，導(dǎo)致業(yè)務(wù)無法正常開展。較大信息安全事件由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對公司或客戶利益造成較大損害的突發(fā)事件；由于信息系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、基礎(chǔ)設(shè)施服務(wù)異常，導(dǎo)致業(yè)務(wù)無法正常開展。重大信息安全事件由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對公司或客戶利益造成嚴(yán)重?fù)p害的突發(fā)事件；由于信息系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、基礎(chǔ)設(shè)施服務(wù)

8、異常，導(dǎo)致業(yè)務(wù)無法正常開展。特別重大信息安全事件由于數(shù)據(jù)損毀、丟失、泄露，造成經(jīng)濟(jì)秩序混亂，對公司或客戶利益造成特別嚴(yán)重?fù)p害的突發(fā)事件；由于信息系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、基礎(chǔ)設(shè)施服務(wù)異常，導(dǎo)致業(yè)務(wù)無法正常開展；重大自然災(zāi)害，導(dǎo)致業(yè)務(wù)無法正常開展。按照信息安全事件的影響范圍、程度可以確定信息安全事件級別，滿足多個定級條件時按照最高級別定義，級別定義矩陣如下：表3信息安全事件影響范圍和影響程度矩陣影響多個業(yè)務(wù)板塊影響多個部門影響一個部門以內(nèi)影響業(yè)務(wù)4小時以上特別重大重大較大影響業(yè)務(wù)4小時以下重大較大較大影響辦公4小時以上較大較大一般影響辦公4小時以下較大一般一般報(bào)告信息安全事件和弱點(diǎn)各部門可通過網(wǎng)絡(luò)

9、系統(tǒng)監(jiān)控、日志審核、安全掃描、殺毒軟件、風(fēng)險(xiǎn)評估等手段發(fā)現(xiàn)信息安全事件及系統(tǒng)和設(shè)備的安全弱點(diǎn)；所有員工和第三方人員應(yīng)接受培訓(xùn)，使之認(rèn)識到有責(zé)任和義務(wù)發(fā)現(xiàn)并及時報(bào)告信息安全事件和弱點(diǎn)；所有員工和第三方人員發(fā)現(xiàn)疑似信息安全事件和弱點(diǎn)后，應(yīng)根據(jù)信息安全事件分類、分級的定義進(jìn)行初步判斷，按照本策略定義的信息安全事件上報(bào)流程進(jìn)行報(bào)告和配合處理；事件報(bào)告時應(yīng)盡可能將事件描述清晰，報(bào)告內(nèi)容應(yīng)包括但不限于事件的性質(zhì)、發(fā)生的時間、現(xiàn)象、影響范圍、嚴(yán)重程度以及已經(jīng)采取的措施和下一步計(jì)劃；任何企圖或?qū)嵤┳钄r、干擾、報(bào)復(fù)事件報(bào)告者的行為都視為違反本策略，將給予相應(yīng)的處罰；所有員工不得以任何原因或借口延誤信息安全事件的

10、上報(bào)，更不能隱瞞不報(bào)，由于報(bào)告不及時而產(chǎn)生的一切后果由責(zé)任部門或個人承擔(dān)；重大級及以上信息安全事件處置策略需由管理者代表批準(zhǔn)，若造成重要信息系統(tǒng)中斷，則需由信息安全領(lǐng)導(dǎo)小組批準(zhǔn)。批準(zhǔn)時應(yīng)指定負(fù)責(zé)事件處置的相關(guān)組織或人員，由相關(guān)組織或人員協(xié)調(diào)資源及時處置；信息安全事件應(yīng)按照事件等級及報(bào)送時限要求書面形式進(jìn)行報(bào)告，書面報(bào)告需經(jīng)主管領(lǐng)導(dǎo)簽發(fā)后上報(bào)。涉密內(nèi)容按有關(guān)保密要求報(bào)告。需要向監(jiān)管部門報(bào)告的，按照相關(guān)報(bào)告方式要求及時上報(bào)。信息安全違法事件各級部門接到事件報(bào)告后需判斷事件是否屬于違法事件，如果屬于違法事件，應(yīng)及時報(bào)告主管領(lǐng)導(dǎo)，通知相關(guān)法律部門并注意保留證據(jù)，證據(jù)包括但不限于各類系統(tǒng)日志、監(jiān)控設(shè)備日

11、志、相關(guān)信息系統(tǒng)數(shù)據(jù)備份、監(jiān)控錄像等。信息安全事件上報(bào)根據(jù)信息安全事件的表現(xiàn)和影響，事件發(fā)現(xiàn)者應(yīng)參照信息安全事件分級定義，判斷事件級別并執(zhí)行相應(yīng)措施。4.6.1一般信息安全事件事件發(fā)生后，應(yīng)及時開展處置工作，必要時啟動應(yīng)急預(yù)案，并將事件相關(guān)情況在事發(fā)1小時內(nèi)向部門負(fù)責(zé)人報(bào)告。事件處置結(jié)束后，應(yīng)編制正式書面報(bào)告，并于5天內(nèi)提交信息安全管理小組。4.6.2較大信息安全事件事件發(fā)生后，要立即啟動應(yīng)急預(yù)案，開展處置工作，努力阻斷風(fēng)險(xiǎn)源，防止事件升級，并將事件相關(guān)情況在事發(fā)1小時內(nèi)向部門負(fù)責(zé)人和信息安全管理小組報(bào)告。事件處置結(jié)束后，應(yīng)編制正式書面報(bào)告，并于3天內(nèi)提交信息安全管理小組。4.6.3重大信息安

12、全事件事件發(fā)生時，要立即啟動應(yīng)急預(yù)案，開展處置工作，采取先期處置措施，控制事件發(fā)展，并將事件相關(guān)情況在事發(fā)30分鐘內(nèi)向部門負(fù)責(zé)人匯報(bào)，同時于事發(fā)1小時內(nèi)向信息安全管理小組、管理者代表報(bào)告。事件處置結(jié)束后，應(yīng)編制正式書面報(bào)告，并于1天內(nèi)提交信息安全管理小組。4.6.4特別重大信息安全事件事件發(fā)生時，應(yīng)立即啟動應(yīng)急預(yù)案，即刻將事件相關(guān)情況向部門負(fù)責(zé)人報(bào)告、管理者代表及總經(jīng)理報(bào)告。事件處置結(jié)束后，應(yīng)編制正式書面報(bào)告，并于12小時內(nèi)提交信息安全管理小組。重大級及以上信息安全事件發(fā)生后，各部門需每2小時將應(yīng)急處置進(jìn)展情況向公司總經(jīng)理報(bào)告，直至處置結(jié)束。信息安全事件的響應(yīng)、處置及取證信息安全事件發(fā)生后，應(yīng)

13、迅速判斷事件類型及級別，通知各責(zé)任部門及人員，及時實(shí)施應(yīng)急措施，避免事態(tài)的蔓延或惡化，最大程度的減少事件影響；若涉及到客戶，應(yīng)協(xié)調(diào)業(yè)務(wù)部門及時正式通知客戶臨時過渡措施，以及該措施的持續(xù)時間。事件處置結(jié)束后，應(yīng)按要求編制信息安全事件分析報(bào)告。信息安全管理小組應(yīng)及時組織按照應(yīng)急預(yù)案進(jìn)行事件處置，對于沒有應(yīng)急預(yù)案的事件，應(yīng)組織人員共同分析事件發(fā)生的原因，制定解決方案，并對可能引起的風(fēng)險(xiǎn)進(jìn)行評估，根據(jù)評估結(jié)果采取一定的風(fēng)險(xiǎn)處置措施，在解決方案實(shí)施過程中要注意控制可能產(chǎn)生的風(fēng)險(xiǎn)，記錄處置過程。如果該級別事件在預(yù)計(jì)的解決時間內(nèi)仍無法解決，應(yīng)及時向管理者代表匯報(bào)，決定是否對事件進(jìn)行升級，并執(zhí)行相應(yīng)措施。事件

14、處置完成后，處置部門負(fù)責(zé)將解決方案及結(jié)果反饋給事件報(bào)告部門，重大、特別重大信息安全事件處置后應(yīng)在當(dāng)天反饋給事件報(bào)告部門。事件報(bào)告部門收到事件解決反饋后，若對解決方案或結(jié)果不認(rèn)同的，可以按照事件報(bào)告流程重新提交報(bào)告，或向管理者代表反映，由其協(xié)調(diào)解決。較大級及以上信息安全事件解決后，事件報(bào)告部門及其它受影響的部門，應(yīng)配合信息安全管理小組對事件的類型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失進(jìn)行全面評估分析，進(jìn)行責(zé)任認(rèn)定，提供處罰建議，并提出防止此類事件再次發(fā)生的措施或建議，提交給管理者代表審批后分發(fā)各級部門貫徹實(shí)施。對違反相關(guān)法律法規(guī)的信息安全事件，應(yīng)依法交由行政執(zhí)法機(jī)構(gòu)進(jìn)行處理。信息安全管理小組負(fù)責(zé)對相關(guān)證據(jù)進(jìn)行收集和保護(hù)，以便能通過法律手段來保護(hù)自身的利益。為證明證據(jù)可信度，應(yīng)詳盡而完整地記錄事件處置所采取的方式、負(fù)責(zé)執(zhí)行處置的人員、執(zhí)行處置的時間，相關(guān)責(zé)任人應(yīng)在文檔的每一頁上簽名并標(biāo)注日期。信息安全事件回顧各級部門應(yīng)將信息安全事件調(diào)查結(jié)果、處罰結(jié)果、處置方法、處理流程記錄及其它證據(jù)資料及時整理成事件處理記錄，并和其它有關(guān)材料上報(bào)公司歸檔，信息安