ISMS-C-20信息安全事件管理制度

参考模版,仅供参考

1. 目的

为建立信息安全事件报告、反应与处理机制,减少信息安全事件所造成的损失,采取有效的纠正与预防措施,特制定本制度。

2. 范围

本制度适用于组织的信息安全事件的管理。

3. 职责

3.1 信息安全部

负责管理信息安全事件的调查、处理及纠正措施管理。

3.2 其他各部门

  1. 负责配合信息安全部调查和处理信息安全事件

  2. 负责对信息安全事件的整改,并符合安全要求

4. 相关文件

《信息安全管理手册》
《信息安全奖惩管理制度》
《业务连续性管理制度》

5. 内容

5.1 信息安全事件定义

由于人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件统称为信息安全事件。

5.2 信息安全事件的分类

信息安全事件主要分为:

  1. 有害程序事件
    蠕虫
    特洛伊木马
    计算机病毒
    僵尸网络
    混合攻击程序
    网页内嵌恶意代码
    等其他有害程序事件
    
  2. 网络攻击事件
    拒绝服务攻击
    后门攻击
    漏洞攻击
    网络扫描窃听
    网络钓鱼
    干扰
    等其他网络攻击事件
    
  3. 信息破坏事件
    信息篡改
    信息假冒
    信息泄漏
    误操作
    信息丢失
    等其它信息破坏事件
    
  4. 信息内容安全事件
    违反宪法和法律、行政法规的信息安全
    针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全
    组织串连、煽动集会游行的信息安全
    等其他信息内容安全事件
    
  5. 设备设施故障
    软硬件自身故障
    外围保障设施故障
    为破坏事故
    等其它设备设施故障
    
  6. 灾害性事件
    灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件
    灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件
    
  7. 其他信息安全事件

5.3 信息安全事件的分级

信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响。信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件

5.3.1 特别重大事件(Ⅰ级)

特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:

  1. 会使特别重要信息系统遭受特别严重的系统损失;
  2. 产生特别重大的社会影响。

5.3.1 重大事件(Ⅱ级)

重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:

  1. 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;
  2. 产生的重大的社会影响。

5.3.1 较大事件(Ⅲ级)

较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:

  1. 会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失,一般信息信息系统遭受特别严重的系统损失;
  2. 产生较大的社会影响。

5.3.1 一般事件(Ⅳ级)

一般事件是指不满足以上条件的信息安全事件,包括以下情况:

  1. 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;
  2. 产生一般的社会影响。

5.4 事件的报告渠道与处理

5.4.1 事件报告要求

事件的发现者应按照以下要求履行报告任务:

  1. 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事件,应该向该系统归口管理部门和信息部报告;如故障、事件会影响或已经影响业务运行,必须立即报告相关部门,采取必要措施,保证对业务的影响降至最低;
  2. 发生火灾应立即触发火警并向信息部报告,启动消防应急预案;
  3. 涉及组织的秘密、机密及绝密泄露、丢失应向信息部报告;
  4. 发现信息安全的弱点,应该信息安全部进行报告。

5.4.2 事件的响应

事件处理部门接到报告以后,应立即进行迅速、有效和有序的响应,包括采取以下适当措施:

  1. 对重大信息安全违规事件,要及时处理,任何拖延、推诿不处理的责任人,要给予问责;
  2. 报告者应保护好故障、事件的现场,并采取适当的应急措施,防止事态的进一步扩大;
  3. 按照有关的事件处理文件(制度、作业手册)排除故障,恢复系统或服务,必要时,启动业务持续性管理计划。

5.4.3 事件调查处理与纠正措施

故障处理部门应对故障原因进行分析,必要时,采取纠正措施,故障的原因及采取措施的结果予以记录。
对于信息安全事件,在故障排除或采取必要措施后,信息部会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件调查处理报告》,报信息部批准;
对于违反组织的信息方针、制度及安全规章所造成的信息安全事件责任者依据《信息安全奖惩管理制度》予以惩戒,并在组织内予以通报。
信息部要求事件责任部门制定纠正措施并实施,实施结果记录在《信息安全事件调查处理报告》。
由信息部对实施情况进行跟踪验证,验证结果记入《信息安全事件调查处理报告》。

5.5 重大信息安全事件处理要求

重大信息安全事件处理,除需要按照信息安全事件处理之外,需要遵循以下要求:

  1. 发生重大信息安全事件,事件受理部门应向信息部和有关领导报告;
  2. 重大信息安全处理方案,应该得到有关领导的审核和批准;
  3. 重大信息安全事件处理完毕应将其事件发生、处理、预防方案总结为知识,并传达给相关人员。

5.6 证据的收集

当一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。

5.7 信息安全弱点汇报处理机制

  1. 员工发现信息安全弱点时,应将信息安全弱点告知信息安全部;
  2. 信息安全部接收到相关弱点后,进行记录,并分析判断该弱点是否是新发现弱点,若此前已经发现并有相应的处理措施,则关闭该弱点;
  3. 若该弱点为新发现弱点,则将该弱点作为信息安全事件报告并处理。

6. 记录

《信息安全事件调查处理报告》

⭐您的支持将鼓励我继续创作⭐