信息安全事件管理辦法

信息安全事件管理辦法JRCB-ISMS-A13-BF-01ISO27001信息安全管理體系文件JRCB-ISMS-A13-BF-01信息安全事件管理辦法文件編號(hào)JRCB-ISMS-A13-BF-01文件版本V1.1Build20130116文檔密級(jí)內(nèi)部使用發(fā)布時(shí)間2013-1-16總行科技管理部2013年1月

文檔控制編制人倪敏審核人王衛(wèi)忠批準(zhǔn)人錢雪版本控制版本號(hào)變更操作變更時(shí)間變更人V1.0創(chuàng)建2013-01-05倪敏分發(fā)控制序號(hào)分發(fā)對(duì)象與文檔關(guān)系文檔權(quán)限1科技管理部員工讀者閱讀第18頁(yè)，共20頁(yè)信息安全事件管理辦法JRCB-ISMS-A13-BF-01目錄1目錄第一章 總則 2第二章 信息安全事件的范圍 2第三章 信息安全事件的監(jiān)控和處理 3第四章 信息安全事件監(jiān)督和總結(jié)管理 5第五章 附則 5第六章 附件 6附件1：信息安全事件分類 6附件2：信息安全事件分級(jí) 81. 特別重大事件（Ⅰ級(jí)） 82. 重大事件（Ⅱ級(jí)） 83. 較大事件（Ⅲ級(jí)） 84. 一般事件（Ⅳ級(jí)） 9附件3：信息安全事件說明 101. 有害程序事件（MI） 102. 網(wǎng)絡(luò)攻擊事件（NAI） 113. 信息破壞事件（IDI） 124. 信息內(nèi)容安全事件（ICSI） 135. 設(shè)備設(shè)施安全功能故障（FF） 136. 其它事件（OI）：所有不能歸為以上基本分類的信息安全事件。 14附件:4：信息安全違法事件基本取證原則 151. 目標(biāo) 152. 原則 153. 方法 15總則目的：為加強(qiáng)江陰農(nóng)村商業(yè)銀行（以下簡(jiǎn)稱“我行”）全行信息系統(tǒng)安全事件的管理，提高信息系統(tǒng)安全事件管理的制度化、規(guī)范化水平，及時(shí)掌握全行網(wǎng)絡(luò)和信息系統(tǒng)安全狀況，為協(xié)調(diào)組織相關(guān)力量進(jìn)行信息系統(tǒng)安全事件的應(yīng)急響應(yīng)處理奠定基礎(chǔ)，降低信息安全事件帶來的損失和影響，保障全行網(wǎng)絡(luò)和信息系統(tǒng)安全穩(wěn)定運(yùn)行，特訂定本管理辦法。依據(jù)：本管理辦法根據(jù)《江陰農(nóng)村商業(yè)銀行信息安全管理策略》制訂。范圍：本辦法適用于全行信息系統(tǒng)。定義：信息安全事件是指對(duì)任何信息技術(shù)資源合法使用、操作造成威脅的事件，或?qū)π畔⒓夹g(shù)資源具有潛在危險(xiǎn)的任何一種情況。總部科技管理部負(fù)責(zé)信息安全事件的接報(bào)、匯總、通報(bào)和處置工作。科技管理部總經(jīng)理負(fù)責(zé)信息安全事件協(xié)調(diào)，科技管理組安全合規(guī)崗位配合。信息安全事件的范圍銀行信息安全事件包括，但不限于：系統(tǒng)感染計(jì)算機(jī)病毒。銀行網(wǎng)絡(luò)遭遇外部入侵或攻擊。內(nèi)部人員、承包方人員和第三方人員利用銀行網(wǎng)絡(luò)進(jìn)行破壞。信息系統(tǒng)敏感數(shù)據(jù)泄露或失竊。銀行數(shù)據(jù)處理設(shè)備失竊。符合以下條件之一的信息安全事件必須報(bào)告上級(jí)主管單位：導(dǎo)致計(jì)算機(jī)重要信息系統(tǒng)中斷或運(yùn)行不正常超過30分鐘。嚴(yán)重威脅銀行資金、信譽(yù)安全。因計(jì)算機(jī)安全事件造成銀行不能正常運(yùn)營(yíng)，且影響范圍超過一個(gè)縣級(jí)行政區(qū)域。信息安全事件的監(jiān)控和處理安全事件管理分為安全事件監(jiān)控和安全事件處理。安全事件監(jiān)控完成對(duì)安全事件跡象的檢測(cè)和分析，發(fā)現(xiàn)和報(bào)告安全事件的存在。安全事件處理是對(duì)被發(fā)現(xiàn)的安全事件的響應(yīng)處理過程，包括四個(gè)主要階段：控制、證據(jù)收集、根除與恢復(fù)以及事后分析。安全事件監(jiān)控包括信息安全事件監(jiān)測(cè)、預(yù)測(cè)和預(yù)警，應(yīng)按照“早發(fā)現(xiàn)、早報(bào)告、早處置”的原則，加強(qiáng)對(duì)各類信息安全事件和可能引發(fā)信息安全事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測(cè)。員工發(fā)現(xiàn)銀行發(fā)生信息安全事件后，需向信息安全事件協(xié)調(diào)員報(bào)告，確認(rèn)故障情況，確認(rèn)故障處理時(shí)間，準(zhǔn)確定性故障級(jí)別，如果不能聯(lián)系上信息安全事件協(xié)調(diào)員，則向代理信息安全事件協(xié)調(diào)員報(bào)告。生產(chǎn)運(yùn)行環(huán)境出現(xiàn)的安全事件按照《信息系統(tǒng)應(yīng)急預(yù)案》執(zhí)行。信息安全事件協(xié)調(diào)員接到報(bào)告后，需立即采取措施控制事態(tài)，如斷開受病毒感染的系統(tǒng)的網(wǎng)絡(luò)連接，及時(shí)通知科技管理組和用戶部門負(fù)責(zé)人，協(xié)調(diào)控制事件的影響。保留相關(guān)的防火墻、路由器、入侵檢測(cè)系統(tǒng)、操作和應(yīng)用系統(tǒng)日志等，以備檢查。信息安全事件協(xié)調(diào)員根據(jù)事態(tài)發(fā)展，協(xié)調(diào)科技管理部相關(guān)科室進(jìn)行事件處理和平息，并及時(shí)向IT部門總經(jīng)理報(bào)告事件發(fā)展情況。根據(jù)本文附件信息安全事件分類分級(jí)相關(guān)內(nèi)容，如果安全事件屬I級(jí)或II級(jí)，IT部門總經(jīng)理需向分管行長(zhǎng)、總行IT上一級(jí)主管部門及負(fù)責(zé)人匯報(bào)事件的控制狀況。信息安全事件協(xié)調(diào)員在事發(fā)24小時(shí)內(nèi)，向科技管理組提交信息安全事件報(bào)告，填寫《信息安全事件報(bào)告》，信息安全事件報(bào)告包括以下內(nèi)容：信息安全事件發(fā)生的時(shí)間、地點(diǎn)、單位、單位負(fù)責(zé)人和聯(lián)系方式。信息安全事件的類別、涉及軟硬件系統(tǒng)的情況和事件發(fā)生的過程。信息安全事件造成的后果和影響范圍。信息安全事件發(fā)生的根本原因。責(zé)任人或涉案人員。信息安全事件發(fā)生后采取的應(yīng)急措施。未來的防范措施。參見《常見信息安全事件的恢復(fù)策略》。信息安全事件監(jiān)督和總結(jié)管理為預(yù)防同樣信息安全事件的再次發(fā)生，總部科技管理部安全合規(guī)崗應(yīng)按《江陰農(nóng)村商業(yè)銀行信息科技風(fēng)險(xiǎn)管理辦法》的規(guī)定，不定期進(jìn)行抽查，對(duì)各項(xiàng)制度、計(jì)劃、方案、人員和物資等方面進(jìn)行驗(yàn)證。對(duì)于發(fā)現(xiàn)的安全弱點(diǎn)應(yīng)及時(shí)上報(bào)科技管理部相關(guān)負(fù)責(zé)人。對(duì)未有效落實(shí)事件處理方案及預(yù)防措施和有關(guān)規(guī)定的內(nèi)部人員進(jìn)行通報(bào)批評(píng)。對(duì)于承包方或第三方服務(wù)商產(chǎn)生的安全弱點(diǎn)通報(bào)其項(xiàng)目負(fù)責(zé)人，并督促其限時(shí)整改，逾期未整改完成的將按照相關(guān)外包管理規(guī)定對(duì)其所在公司進(jìn)行處罰直至終止合同。科技管理部人員、承包方人員、第三方服務(wù)商人員、駐廠服務(wù)人員等科技管理部范圍內(nèi)人員，有義務(wù)對(duì)發(fā)現(xiàn)的安全弱點(diǎn)及時(shí)上報(bào)相應(yīng)科技管理部小組負(fù)責(zé)人。相關(guān)小組對(duì)發(fā)現(xiàn)的安全弱點(diǎn)應(yīng)及時(shí)進(jìn)行整改處理，避免信息安全事件的發(fā)生?？偛靠萍脊芾聿繎?yīng)將信息安全事件的應(yīng)急管理和工作流程等作為信息安全風(fēng)險(xiǎn)培訓(xùn)的內(nèi)容，增強(qiáng)信息安全事件處置工作中的組織能力。附則本管理辦法由江陰農(nóng)村商業(yè)銀行科技管理部負(fù)責(zé)解釋和修訂。本管理辦法自發(fā)布之日起施行。附件附件1：信息安全事件分類信息安全事件說明有害程序事件計(jì)算機(jī)病毒事件蠕蟲事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件混合攻擊程序事件網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件其它有害程序事件網(wǎng)絡(luò)攻擊事件拒絕服務(wù)攻擊事件后門攻擊事件網(wǎng)絡(luò)掃描竊聽事件網(wǎng)絡(luò)釣魚事件干擾事件其它網(wǎng)絡(luò)攻擊事件信息破壞事件信息篡改事件信息假冒事件信息泄漏事件信息竊取事件信息丟失事件其它信息破壞事件信息內(nèi)容安全事件違反憲法和法律、行政法規(guī)的信息安全事件針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論，形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件組織串聯(lián)、煽動(dòng)集會(huì)游行的信息安全事件其它信息內(nèi)容安全事件設(shè)備設(shè)施安全功能故障軟硬件安全功能故障安全設(shè)備設(shè)施故障人為破壞事件附件2：信息安全事件分級(jí)參照《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》、《信息安全技術(shù)信息安全事件分類分級(jí)指南GB/Z20986—2007》信息安全事件的分級(jí)考慮要素，將信息安全事件劃分為四個(gè)級(jí)別：特別重大事件、重大事件、較大事件和一般事件。特別重大事件（Ⅰ級(jí)）特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，造成經(jīng)濟(jì)秩序混亂或重大經(jīng)濟(jì)損失、影響金融穩(wěn)定的，或?qū)娎嬖斐商貏e嚴(yán)重?fù)p害的突發(fā)事件；由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致本行兩個(gè)(含)以上省(自治區(qū)、直轄市)業(yè)務(wù)無法正常開展達(dá)3個(gè)小時(shí)(含)以上，或一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無法正常開展達(dá)6個(gè)小時(shí)(含)以上的特別重大事件；業(yè)務(wù)服務(wù)時(shí)段以外，重要信息系統(tǒng)出現(xiàn)的故障或事件救治未果，可能產(chǎn)生上述1至2類的特別重大事件。重大事件（Ⅱ級(jí)）重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對(duì)本行或客戶利益造成嚴(yán)重?fù)p害的突發(fā)事件；由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致本行兩個(gè)(含)以上省(自治區(qū)、直轄市)業(yè)務(wù)無法正常開展達(dá)半小時(shí)(含)以上，或一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無法正常開展達(dá)3個(gè)小時(shí)(含)以上的重大事件；業(yè)務(wù)服務(wù)時(shí)段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類的重大事件。較大事件（Ⅲ級(jí)）較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：由于重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露，對(duì)本行或客戶利益造成較大損害的突發(fā)事件；由于重要信息系統(tǒng)服務(wù)異常，在業(yè)務(wù)服務(wù)時(shí)段導(dǎo)致本行一個(gè)省(自治區(qū)、直轄市)業(yè)務(wù)無法正常開展達(dá)半小時(shí)(含)以上的較大事件；業(yè)務(wù)服務(wù)時(shí)段以外，出現(xiàn)的重要信息系統(tǒng)故障或事件救治未果，可能產(chǎn)生上述1至2類的較大事件。一般事件（Ⅳ級(jí)）一般事件是指不滿足以上條件的信息安全事件，包括以下情況：會(huì)使重要信息系統(tǒng)服務(wù)中斷或重要數(shù)據(jù)損毀、丟失、泄露遭受較小的損失、或使重要信息系統(tǒng)遭受較小的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級(jí)別的系統(tǒng)損失；產(chǎn)生一般的社會(huì)影響。附件3：信息安全事件說明有害程序事件（MI）計(jì)算機(jī)病毒事件（CVI）：蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影響而導(dǎo)致的信息安全事件，計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令或者程序代碼，它可以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制。蠕蟲病毒（WI）：蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導(dǎo)致的信息安全事件。蠕蟲是指除計(jì)算機(jī)病毒以外，利用信息系統(tǒng)缺陷，通過網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播的有害程序。特洛伊木馬事件（THI）：蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影響而導(dǎo)致的信息安全事件。特洛伊木馬程序是指?jìng)窝b在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害的功能。僵尸網(wǎng)絡(luò)事件（BI）：利用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導(dǎo)致的信息安全事件。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制的一群計(jì)算機(jī)，它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)行信息竊取或傳播木馬、蠕蟲等其他有害程序?；旌瞎舫绦蚴录˙A。I）：蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導(dǎo)致的信息安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計(jì)算機(jī)病毒、蠕蟲、木馬或僵尸網(wǎng)絡(luò)等多種特征?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合作用的結(jié)果，例如一個(gè)計(jì)算機(jī)病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等。網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件（WBPI）：蓄意制造、傳播網(wǎng)頁(yè)內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁(yè)內(nèi)嵌惡意代碼影響而導(dǎo)致的信息安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中，未經(jīng)允許有瀏覽器執(zhí)行，影響信息系統(tǒng)正常運(yùn)行的有害程序。其他有害程序事件（OMI）：不能包含在以上6個(gè)子類之中的有害程序事件。網(wǎng)絡(luò)攻擊事件（NAI）拒絕服務(wù)攻擊事件（DOSAI）：利用信息系統(tǒng)缺陷，或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件。后門攻擊事件（BDAI）：利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計(jì)過程中留下的后門或有害程序所設(shè)置的后門而對(duì)信息系統(tǒng)實(shí)施的攻擊的信息安全事件。漏洞攻擊事件（VAI）：除拒絕服務(wù)攻擊事件和后門攻擊時(shí)間之外，利用信息系統(tǒng)配置缺陷、協(xié)議缺陷、程序缺陷等漏洞，對(duì)信息系統(tǒng)實(shí)施攻擊的信息安全事件。網(wǎng)絡(luò)掃描竊聽事件（NSEI）：利用網(wǎng)絡(luò)掃描或竊聽軟件，獲取信息系統(tǒng)網(wǎng)絡(luò)配置、端口、服務(wù)、存在的脆弱性等特征而導(dǎo)致的信息安全事件。網(wǎng)絡(luò)釣魚事件（PI）：利用欺騙性的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，使用戶泄露重要信息而導(dǎo)致的信息安全事件。例如，利用欺騙性電子郵件獲取用戶銀行賬號(hào)密碼等。干擾事件（II）：通過技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行干擾，或?qū)V播電視有線或無線傳輸網(wǎng)絡(luò)進(jìn)行插播，對(duì)衛(wèi)星廣播電視信號(hào)非法攻擊等導(dǎo)致的信息安全事件。其他網(wǎng)絡(luò)攻擊事件（ONAI）：不能被包含在以上6個(gè)子類之中的網(wǎng)絡(luò)攻擊事件。信息破壞事件（IDI）信息篡改事件（IAI）：未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)篡改等導(dǎo)致的信息安全事件。信息假冒事件（IMI）：指通過假冒他人信息系統(tǒng)收發(fā)信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)假冒等導(dǎo)致的信息安全事件。信息竊取事件（III）：未經(jīng)授權(quán)用戶利用可能的技術(shù)手段惡意主動(dòng)獲取信息系統(tǒng)中信息而導(dǎo)致的信息安全事件。信息丟失事件（ILOI）：因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中的信息丟失而導(dǎo)致的信息安全事件。其它信息破壞事件（OIDI）：不能被包含在以上5個(gè)子類之中的信息安全破壞事件。信息內(nèi)容安全事件（ICSI）違反憲法和法律、行政法規(guī)的信息安全事件。針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論，形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件。組織串連、煽動(dòng)集會(huì)游行的信息安全事件。其他信息內(nèi)容安全事件。設(shè)備設(shè)施安全功能故障（FF）軟硬件安全功