1、ISMS信息安全事件管理规定V02* 主办部门:系统运维部 执 笔 人: 审 核 人:XXXXX信息安全事件管理规定XX-ISMS-SM-020122014年3月17日本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。文件版本信息版本日期拟稿和修改说明V0.12014.3.17拟稿文件版本信息说明记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案
2、,仅可作为参照资料之目的。阅送范围内部发送部门:综合部、系统运维部、第一章 总则第一条 为加强内部管理,规范信息安全事件处理流程,提高信息安全事件发生时的应变能力,做到快速反应、正确应对,最大程度地降低安全事件带来的负面影响,确保信息系统业务正常、稳定开展,根据金融行业信息系统信息安全等级保护实施指引(JR/T 00712012),并结合XXXXX实际情况。特制定本规定。第二条 本规定适用于对清算所信息安全事件的监控、报告、受理、处置、总结和通报等全过程的管理。第三条 网络与信息安全工作领导小组办公室(以下简称办公室)负责信息安全工作的日常管理;统筹协调相关部门处理信息安全事件、完成对信息安全
3、事件的处置、总结、通报等工作。第四条 信息安全管理员负责安全事件、信息系统安全设备的日常监控;负责汇总信息安全事件信息;负责收集和发布上级领导单位、国内外信息安全网站提供的信息安全报告;提供信息系统安全管理优化建议。第五条 公司相关部门应配合做好安全事件的解决,如发现安全事件,应及时上报办公室。第二章 信息安全事件的分类和分级第六条 信息安全事件的分类信息安全事件根据起因、表现、结果等因素分为有害程序类事件、网络攻击类事件、信息破坏类事件、信息内容安全类事件、设备设施故障类事件、灾害性事件和其他信息安全事件等7个基本分类:(一)有害程序类事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响
4、而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。(二)网络攻击类事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。(三)信息破坏类事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。(四)信息内容安全类事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。(五)设备设施故障类事件是指由于信息系
5、统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。(六)灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。(七)其他事件类别是指不能归为以上6个基本分类的信息安全事件。第七条 信息安全事件的分级信息安全事件根据信息系统重要程度、系统损失和社会影响共划分为5级:(一)1级事件程度为导致重大影响或破坏的信息安全事件。包括以下情况:1.造成系统大面积瘫痪,丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统运行和消除安全事件负面影响所需付出的代价十分巨大,对于公司是不可承受的;2.
6、波及公司多数部门,极大威胁公司安全,对信息系统建设有极其恶劣的负面影响,或严重损害公司利益。(二)2级事件程度为导致严重影响或破坏的信息安全事件。包括以下情况:1.造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统运行和消除安全事件负面影响所需付出的代价巨大,但对于公司是可以承受的;2.波及公司多数部门,威胁公司安全,对信息系统建设有重大的负面影响,或损害到公司利益。(三)3级事件程度为导致较大影响或破坏的信息安全事件。包括以下情况:1.造成系统中断,明显影响系统效率,业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到
7、破坏,恢复系统运行和消除安全事件负面影响所需付出的代价较大,但对于公司是可以承受的;2.波及公司少数部门,对公司安全、信息系统建设有一定的负面影响,或影响到公司利益。(四)4级事件程度为导致较小影响或破坏的信息安全事件。包括以下情况:1.造成系统短暂中断,影响系统业务处理能力,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统运行和消除安全事件负面影响所需付出的代价较小;2.波及公司单个部门,对公司安全、信息系统建设和公司利益基本没有影响,但对个别员工或其他组织的利益会造成损害。(五)5级事件程度为导致一般影响,但由于已经采取了安全预防措施,没有影响信息系统正常运行,并能够通过安全管理员
8、进行协调处理,在短期内发现并解决的信息安全事件。第三章 信息安全事件管理第八条 清算所任何员工发现安全弱点和可疑事件时均应及时报告,均不得以任何理由和借口缓报或瞒报,任何情况下员工均不应尝试验证弱点。第九条 在疑似信息安全事件发生时,员工应及时联系安全管理员,联网设备应首先断网,经安全管理员确认是否为信息安全事件。第十条 信息安全事件受理后,由办公室确认信息安全事件类别和级别。5级信息安全事件由安全管理员直接协调处置,4级及以上信息安全事件由办公室分派任务。第十一条 事件处置部门接受任务后,应根据事件类别和级别采取相应有效措施,及时消除安全事件的影响,恢复信息系统的安全运行。第十二条 处理信息
9、安全事件过程中,各部门应及时将信息安全事件的进展情况向领导进行汇报。第十三条 信息安全事件处置过程中应注意以下几点:(一)现场保护:如果信息安全事件与数据和程序相关,则要求对存有数据和程序的存储介质进行备份,以保护数据和证据的安全、完整;(二)防止扩散:如果发生信息安全事件设备或人员会影响系统其它设备和人员,则应立即采取隔离措施,如发现有设备感染网络病毒,则使设备从网络上断开。第十四条 信息安全事件解决后,办公室应组织人员完成系统功能和数据验证;及时备份系统及应用数据信息。确保日常运维的恢复。第十五条 信息安全事件解决后,安全管理员负责将事件解决方案及结果反馈办公室。第十六条 在信息安全事件处
10、理完毕后,应将事件发现和处理全过程通知网络与信息安全工作领导小组。第十七条 办公室根据事件后果的严重程度确定是否需要开展重大信息安全事件调查,对事件的类型、严重程度、发生的原因、性质、产生的损失进行证据收集、记录处理过程、全面评估分析、责任认定,形成调查报告。责任部门应确定整改方案或补救措施并实施整改,以防止此类事件再次发生。上述活动中形成的所有文件和记录均应妥善保存。第十八条 办公室负责根据调查结果和责任认定,对责任部门和责任人员进行考核与处理。第十九条 对瞒报、漏报信息安全事件者,根据事件的严重程度对责任人进行处理。对于触犯法律者交司法机关处理。第二十条 对于重大的信息安全事件,事后各部门
11、需尽快组织进行深入分析和学习,吸取教训,预防此类事件再次发生。第二十一条 系统运维部应建立有效的技术保障机制,加强部门人员技能及岗位人员规划管理,每年遵照演练计划实施完成应急演练,确保在安全事件处置过程中不会因技术能力缺乏而导致处置中断或延长应急处置时间。第二十二条 信息安全事件的通报,遵照银行间清算所清算所信息系统安全检查和通报管理规定执行。第四章 附则第一条 第二条 第三条 第四条 第五条 第六条 第七条 第八条 第九条 第一十条 第一十一条 第一十二条 第一十三条 第一十四条 第一十五条 第一十六条 第一十七条 第一十八条 第一十九条 第二十条 第二十三条 各部门可根据本规定制定相应的实
12、施细则。第二十四条 本规定由网络与信息安全工作领导小组办公室负责制定、解释和更新。第二十五条 本规定自颁布之日起实行。附件:附件1:信息安全事件报告单(模板)事件编号:日期平台发现人联系方式事件发现过程:事件影响范围和程度:安全管理员建议:签字: 附件2:信息安全事件调查报告(模板)事件编号:日期调查部门调查人联系方式事件发生原因:事件影响范围和程度:事件处置过程:处置人签字: 日期: 事件处置结果:审核人签字: 日期: 网络与信息安全工作领导小组建议:签字: 日期: 附件3:信息安全违法事件取证原则(一)目标:使调查的结果能够经受法庭的检查。(二)原则:1) 应该从一开始就把计算机作为物证对
13、待,在不对原有物证进行任何改动或损坏的前提下获取证据。2) 证明你所获取的证据和原有的数据是相同的。3) 在不改动数据的前提下对其进行分析。4) 务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因。5) 信息安全员应遵循证据链的原则进行取证。(三)方法: 采用证据链的方法,其所指的是证据介质从最初的采集,到运输、使用、中间的保管及最后的存放归档,都要有明确记录、职责归属,以确保原本的证据介质完全没有任何机会被影响和破坏,证据链应显示:1) 谁获得了证据2) 证据是什么3) 什么时间和地点获得的证据4) 谁保护了证据5) 谁控制或占用了证据 传统工具包括:1) 记录本,用于对证据收集过程进行记录以协助调查员对调查过程的记忆,不能用做法庭证据。2) 容器,用于对证据进行封装和保护的容器。3) 照相机,用于现场拍照记录。4) 证据标签,用于对证据进行标注。
