10、信息安全事件管理程序

1、信息安全事件管理程序主導(dǎo)部門：IT部支持部門：N/A審批：IT部文檔編號：IT-V02生效日期：版本Version發(fā)布日期IssuanceDate發(fā)布原因ReasonsofIssuance生效日期EffectiveDate1.0新版本發(fā)布會簽批準(zhǔn)人Approval(s)簽名Signatures簽署日期DateSigned起草人EditorIT經(jīng)理ITManagerIT總監(jiān)（VP）ITDirector信息安全事件管理程序1 .目的為建立信息安全事件報告、反應(yīng)及處理機制，明確信息安全事件處理的責(zé)任和流程，有效處理信息安全事件，最大限度的減少和降低信息安全事件給公司帶來的損失，并采取有效的糾正與預(yù)防

2、措施，特制定本管理程序。2 .范圍本規(guī)定適用于公司發(fā)生的各類信息安全事件的檢測、報告和處理。3 .術(shù)語和定義引用ISO/IEC27001和ISO/IEC27002相關(guān)術(shù)語和定義。注釋：ISO/IEC27001信息安全管理體系要求ISO/IEC27002信息技術(shù)一安全技術(shù)一信息安全管理實踐規(guī)范本程序中的信息安全事件是標(biāo)準(zhǔn)中的“信息安全事態(tài)”和“信息安全事件”的總稱。4 .職責(zé)和權(quán)限闡述本規(guī)定涉及的部門（角色）職責(zé)與權(quán)限。4.1 IT部的職責(zé)和權(quán)限1） 歸口管理信息安全事件的調(diào)查、處理及糾正措施管理2）負(fù)責(zé)按照信息安全事件處理流程進(jìn)行事故處理3）通過準(zhǔn)入系統(tǒng)的策略機制，對其信息安全事件的檢查追溯5

3、 .程序5.1 事件管理目標(biāo)對于事件管理過重中，應(yīng)該遵循以下原則：5.1.1 盡快恢復(fù)正常業(yè)務(wù)應(yīng)用的服務(wù)5.1.2 最小化事件對業(yè)務(wù)的影響。5.1.3 確保統(tǒng)一的處理事件和服務(wù)請求而不會有任何其他遺漏。5.1.4 定向到最需要的支持資源（外部廠商和服務(wù)供應(yīng)商）。5.1.5 提供允許優(yōu)化支持流程、減少事件數(shù)量和執(zhí)行管理計劃的信息。5.2 信息安全事件的分類基于兩個方便對事件進(jìn)行分類：5.2.1 信息安全事件所造成的影響。5.2.2 信息安全事件的緊急程度。根據(jù)信息安全事件的影響等級:等級說明舉例高級信息安全事件影響到公司內(nèi)部生產(chǎn)運營或其他全局范圍機房設(shè)備損壞；核心系統(tǒng)失效；網(wǎng)絡(luò)服務(wù)中斷；企業(yè)機密

4、泄露；人為故意破壞或失職等原因造成信息安全事件；重要技術(shù)開發(fā)、研究及生產(chǎn)數(shù)據(jù)損壞或丟失；發(fā)生自燃災(zāi)害導(dǎo)致的信息安全事故；未經(jīng)授權(quán)的計算機系統(tǒng)參數(shù)的數(shù)據(jù)篡改和刪除；中級信息安全事件影響到一組用戶或特定用戶群局域網(wǎng)小范圍故障；文件服務(wù)器故障；驗證服務(wù)器故障；郵件服務(wù)故障低級信息安全事件影響到單一用戶服務(wù)器的日常維護(hù)；準(zhǔn)入客戶端登錄故障；共學(xué)義件恢復(fù)；用戶解鎖、密碼重置；根據(jù)信息安全事件的緊急程度等級:等級說明高級全部或嚴(yán)重影響到全公司業(yè)務(wù)生產(chǎn)運營的信息安全事件中級部分影響業(yè)務(wù)運營的信息安全事件低級不影響業(yè)務(wù)運營的信息安全事件?信息安全事件的優(yōu)先級事件的優(yōu)先級是根據(jù)事件的影響等級和事件的緊急程度來決

5、定的，影響等級高并且緊急程度高的事件優(yōu)先級為最高級，影響等級低并且緊急程度低的事件優(yōu)先級為低級。下表顯示了與這些相關(guān)事件的分類情況:影響等級低中高度程急緊低低低中中低中高高中高最高（重大事件）5.3 信息安全事件的發(fā)現(xiàn)、記錄與報告5.3.1 事件的發(fā)現(xiàn)?事件通常有IT團(tuán)隊通過監(jiān)控系統(tǒng)檢測到，對于各類來源所檢測到的事件報告，根據(jù)事件分類的原則進(jìn)行判斷，屬于高等級的事件，應(yīng)立即通過電話匯報至IT總監(jiān)。5.3.2 事件的記錄所有被報告或主動檢測到的事件均應(yīng)被記錄，記錄內(nèi)容如下：?記錄事件的日期和時間?受影響的配置詳細(xì)信息?癥狀描述和任何錯誤代碼?記錄事件的人員信息與屬性5.3.3 事件的報告?各個業(yè)

6、務(wù)系統(tǒng)的管理員，在使用過程中若發(fā)現(xiàn)軟硬件或網(wǎng)絡(luò)故障應(yīng)及時向Infra工程師匯報，同時向業(yè)務(wù)系統(tǒng)歸口管理負(fù)責(zé)人報備事件，如故障、事件會影響或已經(jīng)影響生產(chǎn)運營，必須立即匯報至IT總監(jiān)，并采取必要措施，保證對其影響降至最低。?對于所有事件，相關(guān)的系統(tǒng)管理員均應(yīng)進(jìn)行分析，如果原因是由于安全問題導(dǎo)致的，則應(yīng)該向IT總監(jiān)匯報，并告知采取糾正預(yù)防措施方案。?所有由于安全問題導(dǎo)致的事件均應(yīng)由系統(tǒng)管理員進(jìn)行記錄，形成事件故障記錄單，可由事件解決過程規(guī)避的安全問題。5.4 事件的解決與恢復(fù)?解決和恢復(fù)流程負(fù)責(zé)確保按照變更和發(fā)布管理流程，并確保采取任何附加恢復(fù)操作。?一旦完成解決操作的執(zhí)行，相關(guān)業(yè)務(wù)系統(tǒng)管理員將負(fù)責(zé)

7、確認(rèn)解決操作的成功。如果沒有成功，應(yīng)該檢查的第一件事情就是驗證是否所有變更都已正確地實施。?如果所有變更請求都已正確地實施，但是事件仍未解決，則應(yīng)該將事件傳回調(diào)查和診斷流程。一旦解決操作已成功實施，則相關(guān)管理員應(yīng)與用戶進(jìn)行確認(rèn)，確保用戶得到一致性的解決。6 .處理流程般安全事件處理流程出現(xiàn)安全事件重大安全事件處理流程出現(xiàn)安全事件數(shù)據(jù)與業(yè)務(wù)判定是否屬于不重大安全事件口IT系統(tǒng)管理員討論應(yīng)急措施安全事件報警進(jìn)入其他級別處理上報IT總監(jiān)數(shù)據(jù)與業(yè)務(wù)判定是否屬于一般安全事件IT系統(tǒng)管理員安全事件報警進(jìn)入其他級別處理備份數(shù)據(jù)討論措施實時跟蹤發(fā)布信息采取安全處理措施是否處理完畢提交安全處理報告采用改進(jìn)的技術(shù)和管理措施杜絕以后類似情況的發(fā)生匯報通知相應(yīng)的責(zé)任人是7 .更改歷史記錄新版本發(fā)布8 .附則本規(guī)定由IT部每年復(fù)審一次，根據(jù)復(fù)審結(jié)果進(jìn)行修訂并頒布執(zhí)行。本制度的解釋權(quán)歸IT部。本規(guī)定自發(fā)布的日起生效，凡有與該規(guī)定沖突的，以此規(guī)定為準(zhǔn)。9 .附件無事件故障記錄單編號：記錄人：時間：年月日地點描述：事件描述