MHWJW37-安全事件報告和處置-V1.1-網(wǎng)絡(luò)安全等級保護(等保2.0)管理制度模板-系統(tǒng)運維管理

安全事件報告和處置安全事件報告和處置文檔信息制度編號：生效日期：分發(fā)范圍:解釋部門：版次:Verl.l頁數(shù)：9制定人：審核人：批準人：□傳閱□閱后執(zhí)行并存檔區(qū)］保密保密等級內(nèi)部公開版本記錄版本號版本日期修改者說明文件名安全事件報告和處置安全事件報告和處置XX單位安全事件報告和處置1總則1.1目的為了嚴密規(guī)范XX單位信息系統(tǒng)的安全事件處理程序，確保各業(yè)務(wù)系統(tǒng)的正常運行和系統(tǒng)及網(wǎng)絡(luò)的安全事件得到及時響應(yīng)、處理和跟進，保障網(wǎng)絡(luò)和系統(tǒng)持續(xù)安全運行，特制定本流程。范圍本流程適用于XX單位范圍內(nèi)使用的網(wǎng)絡(luò)、計算機系統(tǒng)的安全事件處理。職責信息中心安全管理員負責流程的執(zhí)行和改進，安全管理員應(yīng)定期審閱安全事件處理狀況，監(jiān)督流程的執(zhí)行，并針對流程的執(zhí)行情況提出相應(yīng)的改進意見。2管理細則2.1事件分級對信息安全事件的分級可參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。信息系統(tǒng)的重要程度信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對XX單位信息安全、經(jīng)濟利益的重要性，以及業(yè)務(wù)對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。系統(tǒng)損失系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給XX單位業(yè)務(wù)所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價。社會影響社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經(jīng)濟利益、公眾利益和企業(yè)名譽等方面的影響。根據(jù)信息安全事件的分級參考要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件。2?1?1特別重大事件(I級)特別重大事件是指能夠?qū)е绿貏e嚴重影響或破壞的信息安全事件。特別重大事件：會使特別重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失，即造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴重破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發(fā)組織是不可承受的。產(chǎn)生的社會影響會波及到一個或多個省市的大部分地區(qū)，極大威脅國家安全，引起社會動蕩，對企業(yè)經(jīng)濟利益有極其惡劣的負面影響，或者嚴重損害企業(yè)名譽和公眾利益。2.1.2重大事件(II級)重大事件是指能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录Ｖ卮笫录?1)會使特別重要信息系統(tǒng)遭受重大的系統(tǒng)損失，即造成系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發(fā)組織是可承受的；或使重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失。(2)產(chǎn)生的社會影響波及到一個或多個地市的大部分地區(qū)，威脅到國家安全，引起社會恐慌，對企業(yè)經(jīng)濟利益有重大的負面影響，或者損害到企業(yè)名譽和公眾利益。2?1?3較大事件(III級)較大事件是指能夠?qū)е螺^嚴重影響或破壞的信息安全事件。較大事件：會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失，即造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；或使重要信息系統(tǒng)遭受重大的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別重大的系統(tǒng)損失。產(chǎn)生的社會影響波及到一個或多個地市的部分地區(qū)，可能影響到國家安全，擾亂社會秩序，對企業(yè)經(jīng)濟利益有一定的負面影響，或者影響到企業(yè)名譽和公眾利益。2?1?4一般事件(IV級)一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件。一般事件：(1)會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失，即造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運行和消除安全事件負面影響所需付出的代價較小；或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受重大的系統(tǒng)損失。(2)產(chǎn)生的社會影響波及到一個地市的部分地區(qū)，對國家安全、社會秩序、企業(yè)經(jīng)濟利益、企業(yè)名譽和公眾利益基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。故障類信息安全事件處理流程信息安全事件的處理流程主要包括：發(fā)現(xiàn)、報告、響應(yīng)(處理)、評價、整改、公告、備案等。如下圖所示：故障類信息安全事件管理2.3.1發(fā)現(xiàn)XX單位所有職工都有責任和義務(wù)將發(fā)現(xiàn)的信息安全事故及時向信息中心報告，并保護現(xiàn)場；同時信息中心應(yīng)填寫《信息安全事件記錄》。2.3.2報告信息中心接到故障申報后，填寫《信息安全事件記錄》并初步判定故障的嚴重程度、影響范圍，重大信息安全事件需要上報信息安全領(lǐng)導(dǎo)小組，同時按信息系統(tǒng)應(yīng)急預(yù)案處理故障。報告必須采用書面方式，如緊急情況下可以先用電話報告，隨后補填《信息安全事件記錄》。2.3.3響應(yīng)信息安全事故的響應(yīng)和處理應(yīng)遵循以下次序：(1)保護人員的生命與安全。(2)保護敏感的設(shè)備和資料。保護信息系統(tǒng)相關(guān)重要的數(shù)據(jù)資源。(4)保護應(yīng)用系統(tǒng)。2.3.4評價信息中心牽頭組織分析信息安全事故的類型、嚴重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責任人、預(yù)防措施等進行分析，確定信息安全事故等級，形成《信息安全事故報告》。重大及以上事故由信息中心報信息安全領(lǐng)導(dǎo)小組處理；重大事故以下由信息中心組織處理。特大信息安全事故的報告由信息安全領(lǐng)導(dǎo)小組審批；危急國家安全的須向國家相關(guān)主管部門報告；重大事故及以下信息安全事故的報告由信息中心自行審批2.3.5整改對系統(tǒng)存在的缺陷進行整改；對相關(guān)的責任人進行考核，觸犯法律的移送司法機關(guān)進行處理。2.3.6公告信息安全領(lǐng)導(dǎo)小組對《信息安全事件記錄》進行公示并組織學(xué)習(xí)，對信息安全事故違規(guī)處罰結(jié)果予以公布。2.3.7備案信息安全事故應(yīng)進行備案管理，重大以上的信息安全事故由信息安全領(lǐng)導(dǎo)小組備案，其他信息安全事故由信息中心和各業(yè)務(wù)部門進行備案。常見故障類信息安全事件的處理信息中心主管領(lǐng)導(dǎo)協(xié)調(diào)、組織相關(guān)資源，處理安全事件，并通告相關(guān)部門：向業(yè)務(wù)科室發(fā)出通知，通報發(fā)生的安全事件及進展。安全管理員聯(lián)系安全服務(wù)商，系統(tǒng)管理員負責相應(yīng)的系統(tǒng)，對事件進行診斷、定位，查找問題根源。找到原因后需要確定受影響的系統(tǒng)范圍，進行緊急修復(fù)，如系統(tǒng)隔離、設(shè)置防火墻、路由器規(guī)則，更新系統(tǒng)補丁等。在進行修復(fù)時應(yīng)注意采取措施進行證據(jù)的收集和保全，記錄或復(fù)制入侵證據(jù)、破壞和損失、歸檔備查。恢復(fù)系統(tǒng)服務(wù)和數(shù)據(jù)，解決安全事件后，安全管理員聯(lián)合安全服務(wù)商和系統(tǒng)管理員對受到影響的系統(tǒng)進行安全評估，并對存在類似隱患的所有系統(tǒng)進行分析統(tǒng)計，制定相應(yīng)的安全加固，安全防護等解決方案，并由安全管理員負責跟進落實。對于普通安全事件，由安全管理員進行調(diào)查處理，必要時聯(lián)合安全服務(wù)商和系統(tǒng)管理員。進行安全修復(fù)，加固防護所進行的配置和更改工作，都需要進行相關(guān)測試。安全管理員負責填寫并維護《信息安全事件記錄》，負責安全事件的跟蹤管理。泄密類信息安全事件處理流程需要全體職工了解的是，泄密類信息安全事件有其特殊性，需要與故障類信息安全事件區(qū)分對待，靈活處理，但總得來說，需要把握以下原則：泄密發(fā)現(xiàn)人員在第一時間需要先就泄密事件本身保密，不要隨意告訴身邊不夠涉密級別的無關(guān)人員。泄密發(fā)現(xiàn)人員如已經(jīng)發(fā)現(xiàn)或掌握泄密信息內(nèi)容，在做好保密工作的同時需要根據(jù)泄密信息的重要程度選擇據(jù)有相應(yīng)涉密級別的人員進行報告，如無法區(qū)分泄密信息重要程度或不清楚相應(yīng)涉密級別的人員，可選擇直接報告給信息安全領(lǐng)導(dǎo)小組組長。泄密發(fā)現(xiàn)人員如未發(fā)現(xiàn)掌握泄密信息內(nèi)容，但發(fā)現(xiàn)了泄密人員的泄密行為，可根據(jù)可能泄密人員的身份級別，找上一級別的信息安全主管領(lǐng)導(dǎo)報告。各級信息安全管理人員和信息安全主管領(lǐng)導(dǎo)在接到泄密事件報告后，需要根據(jù)泄密信息的重要程度，可能泄密人員的身份級別及時進行相關(guān)處理或報告上一級主管領(lǐng)導(dǎo)處理。3附件附1：信息安全事件記錄安全事件報告和處置安全事件報告和處置安全事件報告和處置安全事件報告和處置信息安全事件記錄時間信息安全事件/r