17-信息安全事件管理辦法1

1、信息平安事務(wù)管理方法總則為了保障好收益（北京）金融信息服務(wù)有限公司（以下簡(jiǎn)稱“公司”）網(wǎng)絡(luò)與信息平安應(yīng)急響應(yīng)機(jī)制，規(guī)范信息平安突發(fā)事務(wù)的應(yīng)急響應(yīng)工作，全面提高網(wǎng)絡(luò)與信息平安水平，切實(shí)防范和化解系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)通信暢通，提高系統(tǒng)服務(wù)質(zhì)量，特制定本方法。本方法適用于公司。職 責(zé)公司技術(shù)領(lǐng)導(dǎo)小組負(fù)責(zé)協(xié)調(diào)指揮公司信息平安重大突發(fā)事務(wù)的應(yīng)急處理。公司技術(shù)部負(fù)責(zé)督促信息平安重大突發(fā)事務(wù)應(yīng)急預(yù)案的落實(shí)，包括負(fù)責(zé)信息平安突發(fā)事務(wù)處置的組織實(shí)施、工作協(xié)調(diào)，發(fā)布應(yīng)急指令、事務(wù)級(jí)別，并組織協(xié)調(diào)各信息技術(shù)崗位執(zhí)行應(yīng)急響應(yīng)預(yù)案。為有效落實(shí)公司信息平安事務(wù)的應(yīng)急響應(yīng)工作，公司設(shè)立技術(shù)部應(yīng)急響應(yīng)小組。信息平安應(yīng)急響

2、應(yīng)小組的職責(zé)是：負(fù)責(zé)編制應(yīng)急響應(yīng)預(yù)案、信息平安事務(wù)應(yīng)急處置流程和措施；負(fù)責(zé)各部門業(yè)務(wù)的應(yīng)急管理和處置；負(fù)責(zé)組織協(xié)調(diào)、處置和上報(bào)信息平安事務(wù)，并總結(jié)匯報(bào)相關(guān)結(jié)果；完成信息平安領(lǐng)導(dǎo)小組交辦的有關(guān)事項(xiàng)?？偛棉k公室負(fù)責(zé)為信息平安應(yīng)急響應(yīng)處置過程中供應(yīng)通信、公共設(shè)施、交通運(yùn)輸、生活保障、物資設(shè)備等后勤保障工作，企業(yè)文化部負(fù)責(zé)對(duì)外宣揚(yáng)和有關(guān)外部機(jī)構(gòu)通報(bào)工作。信息平安事務(wù)定義信息平安事務(wù)是由于自然或者人為的緣由，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事務(wù)。信息平安事務(wù)由單個(gè)或一系列意外或有害的信息平安異樣現(xiàn)象所組成的，極有可能危害業(yè)務(wù)運(yùn)行和威逼信息平安。信息平安事務(wù)的異樣現(xiàn)象包括：信息被

3、未授權(quán)地泄露或修改、被破壞或無(wú)法運(yùn)用，或者公司內(nèi)部資產(chǎn)被毀壞或偷竊等。 信息平安事務(wù)包括但不限于以下事務(wù)：未授權(quán)訪問：內(nèi)部或外部人員由于未經(jīng)相關(guān)授權(quán)私自對(duì)信息系統(tǒng)進(jìn)行操作而引發(fā)了信息平安事務(wù)的行為，最常見的未授權(quán)的誤操作。服務(wù)中斷：由于拒絕服務(wù)攻擊或由應(yīng)用系統(tǒng)及網(wǎng)絡(luò)自身問題導(dǎo)致的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)失效而無(wú)法接著供應(yīng)服務(wù)的信息平安事務(wù)，最常見的狀況是完全合法用戶無(wú)法正常訪問；數(shù)據(jù)篡改：內(nèi)部操作人員因誤操作引起的數(shù)據(jù)完整性破壞或來自外部攻擊造成的惡意篡改等類似平安事務(wù)，可能導(dǎo)致公司信息泄露、信息系統(tǒng)和網(wǎng)絡(luò)無(wú)法正常運(yùn)行的后果。信息平安事務(wù)級(jí)別依據(jù)信息平安事務(wù)的危害程度，信息平安事務(wù)分為四個(gè)級(jí)別：特殊重

4、大事務(wù)、重大事務(wù)、較大事務(wù)、一般事務(wù)。特殊重大事務(wù)是指能夠?qū)е绿厥鈬?yán)峻影響或破壞的信息平安事務(wù)，發(fā)生以下狀況可定義為特殊重大事務(wù)（I級(jí)）：工作日內(nèi)網(wǎng)絡(luò)通信物理或邏輯中斷，10小時(shí)內(nèi)通信無(wú)法復(fù)原；工作日內(nèi)系統(tǒng)重要業(yè)務(wù)運(yùn)行停止，10小時(shí)內(nèi)業(yè)務(wù)無(wú)法復(fù)原；工作日內(nèi)信息系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)損壞，10小時(shí)內(nèi)損壞數(shù)據(jù)無(wú)法復(fù)原。重大事務(wù)是指能夠?qū)е聡?yán)峻影響或破壞的信息平安事務(wù)，發(fā)生以下狀況可定義為重大事務(wù)（II級(jí)）：工作日內(nèi)網(wǎng)絡(luò)通信物理或邏輯中斷, 5小時(shí)內(nèi)通信無(wú)法復(fù)原；工作日內(nèi)系統(tǒng)重要業(yè)務(wù)運(yùn)行停止，5小時(shí)內(nèi)業(yè)務(wù)無(wú)法復(fù)原；工作日內(nèi)信息系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)損壞，5小時(shí)內(nèi)損壞數(shù)據(jù)無(wú)法復(fù)原。較大事務(wù)是指能夠?qū)е螺^嚴(yán)峻影響或

5、破壞的信息平安事務(wù)，發(fā)生以下狀況可定義為較大事務(wù)（III級(jí)）：工作日內(nèi)系統(tǒng)部分重要業(yè)務(wù)運(yùn)行停止，并造成嚴(yán)峻故障,3小時(shí)內(nèi)能夠復(fù)原；工作日內(nèi)信息系統(tǒng)部分重要業(yè)務(wù)數(shù)據(jù)損壞,3小時(shí)內(nèi)能夠復(fù)原；工作日內(nèi)大規(guī)模的病毒爆發(fā)和傳染,3小時(shí)內(nèi)能夠限制病毒傳染范圍；非工作日內(nèi)發(fā)生上述事務(wù)，并能夠在員工上班前得到解決，不影響公司正常工作開展。一般事務(wù)是指能夠?qū)е螺^小影響或破壞的信息平安事務(wù)，發(fā)生以下狀況可定義為一般事務(wù)（IV級(jí)）：由于平安隱患或系統(tǒng)遭遇入侵、嘗試性入侵造成網(wǎng)絡(luò)通信或系統(tǒng)業(yè)務(wù)運(yùn)行中出現(xiàn)的一般故障；利用公司網(wǎng)絡(luò)發(fā)起的對(duì)其它網(wǎng)絡(luò)的攻擊，但未造成嚴(yán)峻損失。信息平安事務(wù)發(fā)覺系統(tǒng)維護(hù)人員應(yīng)加強(qiáng)監(jiān)控措施和日志查

6、看，采納必要的技術(shù)手段，確保剛好發(fā)覺信息平安事務(wù)。信息平安事務(wù)分級(jí)處理對(duì)于一般事務(wù)，系統(tǒng)維護(hù)人員在日常維護(hù)、巡檢、日志檢查等過程中發(fā)覺異樣，或接到其他人員的異樣報(bào)告推斷為平安事務(wù)，并確定級(jí)別為一般平安事務(wù)后，平安管理員應(yīng)具體記錄事務(wù)的狀況并協(xié)調(diào)相關(guān)維護(hù)人員進(jìn)行分析和處理，假如未能第一時(shí)間決則轉(zhuǎn)入較大事務(wù)處理流程。對(duì)于較大事務(wù)，系統(tǒng)維護(hù)人員與平安管理員共同分析和解決，并依據(jù)有關(guān)信息平安事務(wù)處置流程進(jìn)行處置；必要時(shí)，對(duì)平安事務(wù)進(jìn)行深化分析，并協(xié)調(diào)相關(guān)產(chǎn)品供應(yīng)商或集成商，共同解決較大事務(wù)，假如2個(gè)小時(shí)內(nèi)未能解決則轉(zhuǎn)入重大事務(wù)處理流程。對(duì)于重大事務(wù)，應(yīng)啟動(dòng)應(yīng)急預(yù)案，并第一時(shí)間上報(bào)信息平安應(yīng)急響應(yīng)小組組

7、長(zhǎng)，應(yīng)急響應(yīng)小組組織應(yīng)急響應(yīng)相關(guān)工作，并協(xié)調(diào)各部門、相關(guān)服務(wù)商共同解決重大事務(wù)，假如5小時(shí)內(nèi)未能解決則轉(zhuǎn)入特殊重大事務(wù)處理流程。對(duì)于特殊重大事務(wù)應(yīng)協(xié)調(diào)公司各領(lǐng)導(dǎo)、各部門、相關(guān)服務(wù)商共同解決，必要時(shí)，報(bào)請(qǐng)國(guó)資委及國(guó)家有關(guān)部門協(xié)調(diào)處置。信息平安事務(wù)總結(jié)和上報(bào)信息平安事務(wù)處理完畢，系統(tǒng)復(fù)原正常運(yùn)行后，要對(duì)整個(gè)事故進(jìn)行分析探討，并對(duì)相關(guān)人員加強(qiáng)教化，總結(jié)閱歷教訓(xùn)，形成信息平安事務(wù)處理報(bào)告。信息平安事務(wù)處理報(bào)告應(yīng)具體記錄事務(wù)的起因、處理過程、建議改進(jìn)的平安方案，造成的干脆損失等。對(duì)于特殊重大事務(wù)、重大事務(wù)和較大事務(wù)的處理報(bào)告應(yīng)由技術(shù)部上報(bào)技術(shù)總監(jiān)，由技術(shù)總監(jiān)審核并反饋相關(guān)看法，最終由技術(shù)部小組歸檔備案。

8、公司每年至少進(jìn)行一次信息平安事務(wù)的平安審計(jì)，在進(jìn)行平安審計(jì)時(shí)，必需整理前一階段全部信息平安事務(wù)的檔案，進(jìn)行總結(jié)和統(tǒng)計(jì)。應(yīng)急響應(yīng)安排公司相關(guān)人員應(yīng)通過業(yè)務(wù)影響分析，確定各信息系統(tǒng)關(guān)鍵資源、信息平安事務(wù)影響以及應(yīng)急響應(yīng)的復(fù)原目標(biāo)，包括關(guān)鍵業(yè)務(wù)功能及復(fù)原的優(yōu)先依次和復(fù)原時(shí)間范圍。技術(shù)部平安應(yīng)急響應(yīng)小組填寫公司信息平安事務(wù)應(yīng)急響應(yīng)人員職責(zé)清單，確立各類應(yīng)急事務(wù)的相關(guān)責(zé)任人，負(fù)責(zé)對(duì)清單剛好更新，每年對(duì)清單內(nèi)容進(jìn)行一次確認(rèn)。技術(shù)部平安應(yīng)急響應(yīng)小組建立公司基礎(chǔ)設(shè)施供應(yīng)商聯(lián)絡(luò)清單和公司應(yīng)用系統(tǒng)供應(yīng)商聯(lián)絡(luò)清單，并負(fù)責(zé)對(duì)清單進(jìn)行剛好更新，每年對(duì)清單內(nèi)容進(jìn)行一次確認(rèn)。建立與完善信息平安事務(wù)檢測(cè)、預(yù)料制度。依據(jù)“早發(fā)

9、覺、早報(bào)告、早處置”的原則，加強(qiáng)對(duì)信息平安事務(wù)和可能引發(fā)信息平安事務(wù)的有關(guān)信息的收集、分析推斷和持續(xù)監(jiān)測(cè)。如發(fā)覺有異樣狀況或有信息平安事務(wù)發(fā)生時(shí)，平安管理員應(yīng)剛好進(jìn)行初步處理并馬上向信息平安應(yīng)急響應(yīng)小組報(bào)告。應(yīng)急預(yù)案的制定信息平安事務(wù)的應(yīng)急預(yù)案由技術(shù)部平安應(yīng)急響應(yīng)小組制定，并確保應(yīng)急響應(yīng)工作能夠?qū)嵭小Ｐ畔⑵桨彩聞?wù)應(yīng)急預(yù)案的制定原則：完整性原則：應(yīng)急預(yù)案的制定必需完整，要覆蓋應(yīng)急處理的全方位與全過程，并涵蓋實(shí)施應(yīng)急的全部業(yè)務(wù)及相關(guān)機(jī)構(gòu)、人員；關(guān)鍵業(yè)務(wù)優(yōu)先原則：在分析業(yè)務(wù)的優(yōu)先等級(jí)、風(fēng)險(xiǎn)危害程度的基礎(chǔ)上，優(yōu)先保證重要業(yè)務(wù)應(yīng)用的持續(xù)運(yùn)作；可操作性原則：應(yīng)急響應(yīng)措施必需明確、具體、切實(shí)、易行，操作對(duì)象

10、與步驟必需有精確、具體的描述；可復(fù)原性原則：應(yīng)急預(yù)案中確定的各項(xiàng)處理措施必需為應(yīng)急后的系統(tǒng)復(fù)原供應(yīng)必需的數(shù)據(jù)與資料，符合系統(tǒng)復(fù)原所必需的基本處理邏輯，以便對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行有效復(fù)原，保證系統(tǒng)復(fù)原后的正常運(yùn)行；責(zé)任明確原則：應(yīng)急預(yù)案要明確各級(jí)領(lǐng)導(dǎo)、各部門人員的職責(zé)，以保證安排實(shí)施過程中責(zé)任的落實(shí)，并最大限度地降低風(fēng)險(xiǎn)。信息平安事務(wù)應(yīng)急預(yù)案須要在評(píng)估、測(cè)試以及認(rèn)證后，由平安主管進(jìn)行批準(zhǔn)，經(jīng)批準(zhǔn)后，應(yīng)急預(yù)案方可在平安事務(wù)發(fā)生后啟用。應(yīng)急預(yù)案啟動(dòng)的基本條件為：信息平安事務(wù)無(wú)法得到剛好有效處理，已達(dá)到重大和特殊重大的信息平安事務(wù)等級(jí)；信息平安應(yīng)急響應(yīng)小組推斷無(wú)法剛好進(jìn)行處理的信息平安事務(wù)。應(yīng)急預(yù)案終止的基本

11、條件為：確認(rèn)故障已解除，信息平安事務(wù)已解決，可復(fù)原正常工作狀態(tài)；確認(rèn)各部門應(yīng)用系統(tǒng)業(yè)務(wù)已得到有效復(fù)原。應(yīng)急響應(yīng)執(zhí)行和處理信息平安事務(wù)發(fā)生后，信息平安應(yīng)急響應(yīng)小組應(yīng)對(duì)信息平安事務(wù)進(jìn)行評(píng)估，確定信息平安事務(wù)的級(jí)別。依據(jù)事務(wù)等級(jí)實(shí)行分級(jí)響應(yīng)，并由信息平安應(yīng)急響應(yīng)小組發(fā)布應(yīng)急處理啟動(dòng)令。應(yīng)急啟動(dòng)后，信息平安應(yīng)急響應(yīng)小組要對(duì)人力、物力到位狀況實(shí)施檢查與督察，并記錄實(shí)際發(fā)生狀況。啟動(dòng)應(yīng)急后起先應(yīng)急處置工作。應(yīng)急處置工作應(yīng)集中于建立臨時(shí)業(yè)務(wù)處理機(jī)制、修復(fù)原系統(tǒng)損害、復(fù)原業(yè)務(wù)運(yùn)行實(shí)力等應(yīng)急措施。在進(jìn)行應(yīng)急處置工作時(shí)，由信息平安應(yīng)急響應(yīng)小組依據(jù)相關(guān)要求剛好向上級(jí)報(bào)告。在應(yīng)急處置工作結(jié)束后，信息平安應(yīng)急響應(yīng)小組要

12、通過統(tǒng)計(jì)各種數(shù)據(jù)，查明緣由，對(duì)事務(wù)造成的損失和影響以及復(fù)原重建實(shí)力進(jìn)行分析評(píng)估，仔細(xì)制定復(fù)原重建安排，快速組織實(shí)施網(wǎng)絡(luò)及信息系統(tǒng)重建。應(yīng)急響應(yīng)總結(jié)是應(yīng)急處置之后必需進(jìn)行的工作，信息平安應(yīng)急響應(yīng)小組要分析事務(wù)發(fā)生緣由；總結(jié)事務(wù)現(xiàn)象；評(píng)估系統(tǒng)損害程度；估計(jì)事務(wù)損失；總結(jié)應(yīng)急處置記錄。同時(shí)填寫公司應(yīng)急響應(yīng)事務(wù)處理記錄，由技術(shù)部平安應(yīng)急響應(yīng)小組備案。應(yīng)急響應(yīng)措施發(fā)生信息平安突發(fā)事務(wù)后，應(yīng)馬上判定事務(wù)危害程度，實(shí)行應(yīng)急響應(yīng)措施，并馬上將狀況向有關(guān)領(lǐng)導(dǎo)報(bào)告。在處置過程中，應(yīng)盡最大可能收集事務(wù)相關(guān)信息、鑒別事務(wù)性質(zhì)、確定事務(wù)來源、弄清事務(wù)范圍和評(píng)估事務(wù)帶來的影響和損害，剛好向平安主管報(bào)告工作進(jìn)展?fàn)顩r，直至處

13、置工作結(jié)束。依據(jù)信息平安突發(fā)事務(wù)引發(fā)緣由的不同應(yīng)區(qū)分對(duì)待，具體依照公司信息平安分類應(yīng)急預(yù)案執(zhí)行。應(yīng)急預(yù)案中未列出的因不確定因素造成的事務(wù)，信息平安應(yīng)急響應(yīng)小組可依據(jù)公司總體平安原則，結(jié)合具體狀況，做出相應(yīng)的處理。應(yīng)急響應(yīng)的測(cè)試和演練為了檢驗(yàn)應(yīng)急預(yù)案的有效性，同時(shí)使相關(guān)人員了解信息平安應(yīng)急預(yù)案的目標(biāo)和流程，熟識(shí)應(yīng)急響應(yīng)的操作規(guī)程，應(yīng)按以下要求，組織應(yīng)急預(yù)案的測(cè)試和演練：預(yù)先制定測(cè)試和演練安排，在安排中說明測(cè)試和演練的場(chǎng)景；測(cè)試和演練的整個(gè)過程應(yīng)有具體的記錄，并形成報(bào)告；測(cè)試和演練不能打斷信息系統(tǒng)正常的業(yè)務(wù)運(yùn)行；每年應(yīng)至少完成一次有最終用戶參加的完整測(cè)試和演練；依據(jù)公司實(shí)際狀況進(jìn)行不定期的分項(xiàng)應(yīng)急演練。應(yīng)急響應(yīng)的管理和維護(hù)經(jīng)過審核和批準(zhǔn)的應(yīng)急預(yù)案文檔應(yīng)：由專人負(fù)責(zé)保存與分發(fā)；具有多份拷貝在不同的地點(diǎn)保存；分發(fā)給參加應(yīng)急響應(yīng)工作的全部人員，并對(duì)其進(jìn)行培訓(xùn)；在每次修訂后全部拷貝統(tǒng)一更新，并保留一套存檔，以備查閱；舊版本應(yīng)按有關(guān)規(guī)定銷毀。為了保證應(yīng)急預(yù)案的有效性，應(yīng)從以下方面對(duì)應(yīng)急預(yù)案文檔進(jìn)行嚴(yán)格的維護(hù)：業(yè)務(wù)流程的改變、信息系統(tǒng)的變更、人員的變更都應(yīng)在應(yīng)急預(yù)案文檔中剛好反映；應(yīng)急響應(yīng)預(yù)案在信息平安事務(wù)發(fā)生后實(shí)際執(zhí)行時(shí)，其過程應(yīng)有具體的記錄，并應(yīng)對(duì)執(zhí)行的效果進(jìn)行評(píng)估，同時(shí)對(duì)應(yīng)急響應(yīng)安排文檔進(jìn)行相應(yīng)的修訂；應(yīng)急響應(yīng)預(yù)案文檔應(yīng)定期評(píng)審和修訂，至少每年一次。附 則本方法由技術(shù)部平安工