ISO27001-2022程序文件之信息安全事件管理程序

信息安全事件管理程序1 目的為對公司信息安全的事件管理活動實施控制，特制定本程序。2 范圍適用于對信息安全的事件管理。3 職責(zé)3.1綜合部負(fù)責(zé)信息安全的事件的收集、響應(yīng)、處置和調(diào)查處理。3.2相關(guān)部門負(fù)責(zé)信息安全事件的及時報告，及時落實相關(guān)的處理措施。4 程序4.1信息安全弱點(diǎn)定義信息安全弱點(diǎn)是指被識別的一種系統(tǒng)服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生表明一次可能的信息安全策略違規(guī)或某些防護(hù)措施失效，或者一種可能與安全相關(guān)但以前不為人知的一種情況。4.2信息安全弱點(diǎn)報告信息安全弱點(diǎn)的發(fā)現(xiàn)（包括使用公司信息系統(tǒng)和服務(wù)的員工和合同方應(yīng)將任何觀察到的或可疑的的系統(tǒng)或服務(wù)中的信息安全弱點(diǎn)向信息安全管理小組報告。4.3信息安全弱點(diǎn)處理流程是否1 信息安全事件5.1信息安全事件定義信息安全事件：一個或一系列意外或不期望的信息安全事態(tài)，它/它們極有可能損害業(yè)務(wù)運(yùn)行并威脅信息安全。信息安全事件是指危及公司發(fā)展與業(yè)務(wù)運(yùn)作威脅公司信息安全的其他情況可能與信息成一定損失的信息安全事件，本程序定義為嚴(yán)重事件。5.2信息安全事態(tài)的定義信息安全事態(tài)已識別的一種系統(tǒng)服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生指出可能違反信息安全方針或控制措施失效，或者一種可能與安全相關(guān)但以前不為人知的情況。5.3信息安全事件分級級別說明1)造成業(yè)務(wù)系統(tǒng)中斷而且恢復(fù)時間過長，嚴(yán)重影響業(yè)務(wù)活動進(jìn)行的。2)數(shù)據(jù)被破壞，無法恢復(fù)或者恢復(fù)時間過長，嚴(yán)重影響業(yè)務(wù)活動進(jìn)行的。安全事故3)4)極密信息泄露。其它涉密信息泄露給公司造成極大損害的。5)將惡意代碼傳播至客戶公司。6)客戶真實數(shù)據(jù)泄漏或者對客戶現(xiàn)場數(shù)據(jù)造成破壞的。7)公司內(nèi)部人員（包括員工/外協(xié)人員/實習(xí)生/客戶/服務(wù)人員等）任何故意破壞信息系統(tǒng)/泄漏涉密信息的行為。1)造成業(yè)務(wù)系統(tǒng)中斷而且恢復(fù)時間較長，對業(yè)務(wù)活動進(jìn)行造成相當(dāng)影響的。2)數(shù)據(jù)被破壞，恢復(fù)時間較長，對業(yè)務(wù)活動進(jìn)行造成相當(dāng)影響的。嚴(yán)重安全事件3)涉密信息泄露，給公司造成一定損害的。4)不遵守規(guī)章或者操作流程，造成客戶投訴或者給公司造成一定損害的。5)使用不安全渠道傳輸信息，造成客戶投訴或者對公司潛在損害較大的。1)造成業(yè)務(wù)系統(tǒng)中斷，但是對業(yè)務(wù)活動進(jìn)行沒有造成太大影響的。2)數(shù)據(jù)被破壞，可以較快恢復(fù)，對業(yè)務(wù)活動進(jìn)行沒有造成太一般安全事件3)大影響的。涉密信息泄露，沒有給公司造成明顯損害的。4)不遵守規(guī)章或者操作流程，沒有給公司造成明顯損害的。5)任何外來的非法攻擊/病毒入侵尚沒有對業(yè)務(wù)活動進(jìn)行造成明顯影響的。5.4信息安全事件處理流程5.4.1信息安全事件的報告a)各個信息管理系統(tǒng)使用者在使用過程中如果發(fā)現(xiàn)軟硬件故障事件應(yīng)該向該系統(tǒng)管理部門和信息安全管理小組報告如故障事件會影響或已經(jīng)影響業(yè)務(wù)運(yùn)行必須立即報告相關(guān)部門，采取必要措施，保證對業(yè)務(wù)的影響降至最低；b)發(fā)生火災(zāi)應(yīng)立即觸發(fā)火警并向信息安全管理小組報告，啟動消防應(yīng)急預(yù)案；c)涉及組織的秘密、機(jī)密及絕密泄露、丟失應(yīng)向信息安全管理小組報告；d)發(fā)生重大信息安全事件,事件受理部門應(yīng)向信息安全管理員和有關(guān)領(lǐng)導(dǎo)報告。5.4.2安全事件的處理告表否告表否是否是告表) ) ) ) e) 2)嚴(yán)重安全事件處理流程圖商成商告知告表上報告知廠商委員會上報記錄分析安全事故處理流程評估判斷協(xié)助理處理未解決解決判斷確認(rèn)網(wǎng)主持總結(jié)結(jié)束嚴(yán)重安全事件處理流程：a）安全管理員將安全事件發(fā)現(xiàn)情況或報告上報體系管理工作小組；b）體系管理工作小組協(xié)調(diào)對事件進(jìn)行深入分析，同時告知相關(guān)產(chǎn)品供應(yīng)商或集成商，并上報公司體系領(lǐng)導(dǎo)小組；）體系管理工作小組負(fù)責(zé)協(xié)調(diào)專業(yè)安全商、產(chǎn)品商、集成商配合部門人員共同解決嚴(yán)重安全事件；d）如果未能解決事件，則轉(zhuǎn)入安全事故處理流程；e）如果成功處理事件，則做系統(tǒng)恢復(fù)和事件總結(jié)。3)安全事故處理流程圖現(xiàn)報告指導(dǎo)決匯報協(xié)調(diào)幫助未解決解決確認(rèn)解決提出意見網(wǎng)絡(luò)總結(jié)結(jié)束安全事故處理流程：a) 對于安全事故，體系管理工作小組在分析解決的同時，應(yīng)上報體系領(lǐng)導(dǎo)小組或公上級組織，并需求幫助。) 由信息安全委員會或上級組織協(xié)調(diào)體系管理工作小組長、相關(guān)部門、相關(guān)服務(wù)商同解決安全事故。2 信息安全事件的響應(yīng)部門負(fù)責(zé)人管理部門體系管理工作小組在接到信息安全事件的報告后應(yīng)該立刻相互協(xié)調(diào)進(jìn)行處置。1) 事故責(zé)任部門應(yīng)會同管理部門立即分析事故發(fā)生原因；2) 事故責(zé)任部門應(yīng)會同管理部門立即采取緊急措施，防止事態(tài)進(jìn)一步擴(kuò)大；3) 事故責(zé)任部門應(yīng)會同管理部門盡快采取措施，恢復(fù)核心業(yè)務(wù)活動。4) 事故發(fā)生部門應(yīng)會同管理部門分析事故發(fā)生的影響范圍以及造成的損失，并調(diào)整業(yè)務(wù)活動，彌補(bǔ)信息安全事故造成的損失。5) 在需要時與相關(guān)外部各方聯(lián)系a）必要時部門負(fù)責(zé)人向客戶報告，并協(xié)調(diào)以后的業(yè)務(wù)活動；b）當(dāng)發(fā)生或發(fā)現(xiàn)涉及到違反國家法律法規(guī)的信息安全事件和弱點(diǎn)，體系管理工作小組組長應(yīng)與國家相關(guān)外部機(jī)構(gòu)聯(lián)系，報告信息安全事件和弱點(diǎn)；）當(dāng)信息安全事故發(fā)生原因為外協(xié)人員、服務(wù)人員，應(yīng)與相應(yīng)協(xié)力公司、服務(wù)提供公司取得聯(lián)系。對于直接給客戶造成影響的信息安全事件（級別至少是事故，需要由事故責(zé)任部門的部客戶所造成影響商討緊急對策并上報總經(jīng)理批準(zhǔn)后實施緊急對應(yīng)小組應(yīng)將事故處置過程和結(jié)果及時反饋給客戶。具體參見T應(yīng)急響應(yīng)流程規(guī)定。3 信息安全事件調(diào)查與糾正措施事件責(zé)任部門應(yīng)對事件原因進(jìn)行分析必要時采取糾正措施事件的原因及采取措施的結(jié)果要予以記錄。對于重大信息安全事件在故障排除或采取必要措施后公司綜合部和重大信息安全事件管理體系方針程序及安全規(guī)章的規(guī)定所造成的重大信息安全事件的責(zé)任者要予以懲戒并予以通報。重大信息安全事件應(yīng)填寫《信息安全事件處理記錄，由公司運(yùn)營部在事件發(fā)生后的5天內(nèi)報送信息安全領(lǐng)導(dǎo)小組和公司分管領(lǐng)導(dǎo)。重大信息安全事件責(zé)任部門制定糾正措施并實施運(yùn)營部對糾正措施實施情況進(jìn)行跟蹤驗證，并形成跟蹤驗證記錄。所有事件的調(diào)查處理結(jié)果應(yīng)反饋報告單位、人員。4 信息安全事態(tài)和信息安全弱點(diǎn)的報告和反饋8.1對于信息安全事態(tài)1 信息安全事態(tài)報告事故責(zé)任部門應(yīng)填寫《信息安全事件處理記錄，包括以下內(nèi)容： 信息安全事態(tài)的原因； 信息安全事態(tài)的處理過程與結(jié)果； 信息安全事態(tài)再發(fā)防止措施及改進(jìn)計劃； 附上相關(guān)的證據(jù)文件?！缎畔踩录幚碛涗洝诽峤唤o體系管理工作小組組長。2 反饋a）體系管理工作小組應(yīng)將信息安全事態(tài)處置過程和結(jié)果反饋給部門負(fù)責(zé)人和事故發(fā)現(xiàn)人；b）體系管理工作小組組長應(yīng)將事故以上級別的信息安全事件處置過程和結(jié)果報告給總經(jīng)理/部門負(fù)責(zé)人，事件級別的報告給部門負(fù)責(zé)人；）必要時部門負(fù)責(zé)人應(yīng)將信息安全事件處置過程和結(jié)果反饋給客戶。8.2信息安全弱點(diǎn)1 信息安全弱點(diǎn)的處理體系管理工作小組根據(jù)安全弱點(diǎn)報告組織相關(guān)人員調(diào)查證實弱點(diǎn)的存在后應(yīng)明確弱點(diǎn)處理責(zé)任部門，由處理責(zé)任部門進(jìn)行處理。2 信息安全弱點(diǎn)報告處置責(zé)任部門應(yīng)填寫安全弱點(diǎn)報告在《信息安全事件處理記錄》中，包括以下內(nèi)容：a）安全弱點(diǎn)的原因；b）安全弱點(diǎn)的預(yù)防處置措施及改進(jìn)計劃；）安全弱點(diǎn)報告提交給體系管理工作小組。3 反饋a）體系管理工作小組應(yīng)將信息安全弱點(diǎn)處置結(jié)果反饋給發(fā)現(xiàn)人和涉及部門、項目組；b）體系管理工作小組應(yīng)將重大信息安全弱點(diǎn)處置結(jié)果報告給總經(jīng)理。5 信息安全事態(tài)的評估和決策1發(fā)現(xiàn)信息安全事件或弱點(diǎn)后，事件責(zé)任部門經(jīng)理會同發(fā)現(xiàn)人，填寫《信息安全事件處理記錄》上報給體系管理工作小組。2體系管理工作小組對事件進(jìn)行判斷調(diào)查取證根據(jù)事件的不同級別采取相應(yīng)的控制措施，填寫《信息安全事件處理記錄。3信息安全事件處理之后，體系管理工作小組應(yīng)在《信息安全事件處理記錄》的結(jié)論中總結(jié)教訓(xùn)，提出預(yù)防措施，由相關(guān)部門實施。以防止此類事件再次發(fā)生。6 從信息安全事件中學(xué)習(xí)10.1信息安全事件或弱點(diǎn)所涉及的部門應(yīng)在體系管理工作小組的協(xié)調(diào)指導(dǎo)下根據(jù)事件或弱點(diǎn)報告中的再發(fā)防止措施考慮進(jìn)行安全體系的改進(jìn)工作。10.2體系管理工作小組應(yīng)監(jiān)控并確認(rèn)相關(guān)改進(jìn)活動的執(zhí)行，并向信息安全委員會報告。10.3在需要啟動內(nèi)審和管理評審的情況下，根據(jù)規(guī)定啟動相應(yīng)的審核活動。10.4信息安全事件管理活動記錄由體系管理工作小組保存，作為公司內(nèi)審和管理評審的輸入。7 證據(jù)的收集（客戶要求，事故，嚴(yán)重）為了清楚地分析原因，過程和影響范圍，確定級別和責(zé)任人，件發(fā)生時，體系管理工作小組要進(jìn)行證據(jù)的收集工作。進(jìn)行證據(jù)收集時要注意：1)及時性重要的證據(jù)可能存在被故意或意外毀壞的危險所以要在第一時間就要進(jìn)行證據(jù)收集的工作在證據(jù)收集超越公司管轄權(quán)邊界的情況下應(yīng)及時聯(lián)系相關(guān)方面包括委托相關(guān)組織或人員去收集需要的信息作證據(jù)。2)證據(jù)的份量：即證據(jù)的質(zhì)量和完備性。為了保證證據(jù)的份量，公司應(yīng)當(dāng)采取必要的控制措施來保證證據(jù)的質(zhì)量和完備性控制要求在從證據(jù)被發(fā)現(xiàn)到存儲和處理的整個過程中應(yīng)通過一種強(qiáng)證據(jù)蹤跡來論證一般應(yīng)該注意以下方面：a）對紙面文檔：原物應(yīng)被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l發(fā)現(xiàn)了這個文檔，文檔是在哪兒被發(fā)現(xiàn)的文檔是什么時候被發(fā)現(xiàn)的誰來證明這個發(fā)現(xiàn)任何調(diào)查應(yīng)確保原物沒有被篡改；b）或內(nèi)存中的信息都應(yīng)確保其可用性拷貝過程中所有的行為日志都應(yīng)保存下來且應(yīng)有證據(jù)證保存且不能改變。）任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。所有證據(jù)材料的完整性應(yīng)得到保護(hù)證據(jù)材料的拷貝應(yīng)在可