XX_3_IS_信息安全事件管理规定v2.doc

文档编号 XX_3_IS_信息安全事件管理规定 版 本 号 V1.1 密 级 内部公开 信息安全事件管理规定 XXX信息技术有限公司 版本控制 编号 修订人 修订时间 版本号 修订内容说明 1 2 3 第 20 页 共 20 页 目 录 第一章 目的 4 第二章 适用范围 4 第三章 职责与分工 4 第四章 事件定义与分类 5 第五章 事件的报告途径 7 第六章 事件调查与处置 7 第七章 编写事件报告与通告 8 第八章 安全弱点报告 9 第九章 信息安全奖惩规定 9 第十章 维护与解释 9 第十一章 附件 10 附件一：信息安全事件报告模板 11 附件二：信息安全事件登记表 13 附件三：应急响应各部门联系方式及处理流程 14 a) 组织结构及职责 14 b) 应急联系人及联系方式 15 附件四：系统部服务支持电话 16 附件五：系统异常处理步骤 17 第一章 目的 第一条 为加强XXX信息技术有限公司（以下简称“XXX”）信息安全事件管理，制订本文件。 第二条 信息安全事件管理的目标： (一) 建立有效的信息安全事件管理流程，提高信息安全事件处理效率； (二) 确保能及时发现、准确报告和快速响应信息安全事件； (三) 分析信息安全事件的根本原因，降低信息安全事件的发生频率； (四) 逐步完善有效的信息安全事件防范机制。 第二章 适用范围 第三条 本文件适用于集团范围内发生的信息安全事件。信息安全事件包括但不限于计算机系统或网络系统中发生的对社会、公司造成负面影响的事件。 第三章 职责与分工 第四条 职责与分工 (一) 首席执行官 负责批准本规定。 (二) 风险委员会 是公司信息安全事件管理的最高决策机构，负责对信息安全事件报告的审批。 (三) 信息安全部 负责组织编制、审核并发布本规定，检查并监督本规定执行情况，协调解决相关问题。 负责组织成立公司信息安全专业应急响应小组，对信息安全事件处置措施进行督促落实。组织定期应急演练。 (四) 信息安全专业应急响应小组 ***为应急响应小组总指挥。信息安全应急响应小组，由信息安全部、系统部、核心平台、技术部、质量部、各产品技术组、运营部组成，风险委员会指派公司内某一部门负责信息安全事件的调查分析、证据收集、事件处置和报告编写等工作。应急响应小组的工作内容： 1. 应急情况下信息安全技术支持与保障； 2. 信息安全日常性工作、相关领域新技术跟踪、研究和应用； 3. 公司信息安全事件的接警、处警以及应急响应与处置工作； (五) 系统部 系统部负责配合具体工作的执行和落实。相关部门与人员负责信息安全事件和信息安全弱点的报告、现场和证据的保护，并协助进行事件处置和调查等工作。 (六) 各产品技术组 如是系统应用层面信息安全事件，各产品技术组配合具体工作的执行和落实。 1. 产品技术组负责人牵头，第一时间内协调相关技术负责人 查找事件原因，并解决风险事件； 2. 产品技术负责人将解决结果及时通报信息安全部及各负责人。 其他部门应急流程见《应急计划_各部门》制度。 第四章 事件定义与分类 第五条 信息安全事件是指由于自然的或人为的、软硬件本身缺陷或故障的原因，对公司资产的机密性、完整性、可用性造成危害的事件。信息安全事件包括但不限于在计算机系统或网络系统中发生的对社会、公司造成负面影响的事件。 第六条 对信息系统安全事件的分级主要考虑下列两个要素：预计故障恢复时间、系统重要度。预计故障恢复时间是指系统从故障发生到恢复系统正常状态预计需要的时间总和；系统重要度是指系统在故障情况下对财务损失、交易量、公司声誉等危害程度。综合考虑上述两要素，制定《系统故障与危害程度对应等级表》，如4-1所示： 4-1：系统故障与危害程度对应等级表 预计故障恢复时间（t） 系统名称 t>小时 12小时<t<24小时 关键系统 1级 2级 重要系统 2级 3级 一般系统 3级 第七条 根据信息安全事件分级要素，将信息安全事件划分为五个级别：灾难性事件、重大事件、较大事件、一般事件和轻度事件。 信息安全事件分类分级表 级别 1 2 3 4 5 描述 轻度事件 一般事件 较大事件 重大事件 灾难性事件 财务损失[1] 1万元以下（含1万） 1－5万元（含5万） 5－50万（含50万） 50－500万（含500万） 500万以上 系统运行 因突发事件导致全部业务[2]中断3分钟以内，部分功能中断0.5小时以内或损失交易量占总交易量0.1%以下 因突发事件导致全部业务中断3-10分钟，部分功能或接口中断0.5-2小时以上且损失交易量[3]占总交易量0.1%-1% 因突发事件导致全部业务中断10-30分钟，部分功能或接口中断2-24小时且损失交易量占总交易量1%-10% 因突发事件导致全部业务中断30-120分钟，部分功能或接口中断24小时以上且损失交易量超过总交易量10%以上 因突发事件导致全部业务中断120分钟以上 日常运行（产品线、支持部门） 轻微影响(造成轻微的资料损失，通过补救情况立刻受到控制) 中度影响(造成1%以下的交易量流失[4]，0.1%以下的财务或业务档案、交易数据丢失或泄漏) 中度影响(造成1%-10%的交易量流失， 0.1%-1%的财务或业务档案、交易数据丢失或泄漏) 重大影响(造成10%-50%的交易量流失， 1%-10%的财务或业务档案、交易数据丢失或泄漏) 严重影响(造成50%以上的交易量流失， 10%以上的财务或业务档案、交易数据丢失或泄漏) 监管处罚 _ _ 受到监管部门警告 涉嫌违法违规行为，面临监管部门限制部分业务经营或经济处罚 涉嫌重大违法违规行为，面临监管部门取消经营资格或停业整顿的处罚 常规公关 声誉损失 负面消息 在公司内部流传，公司声誉未受损 负面消息 在部分合作商之间流传，对公司声誉 造成轻微 损害 负面消息 在某领域被部分网络媒体及 非主流媒 体传播[5]报道，对公司声誉造成中等损害 负面消息被地方性主流媒体传播报道，对公司声誉造成重 大损害 负面消息 持续15天 以上流传各全国性主流媒体[5]，对公司声 誉造成无法弥补的 损害 网络公关声誉损失 负面消息 在公司论 坛流传，后期可以删除处理，公司声誉未受损 负面消息 在公司官 方博客下方的评论里流传， 可进行删 除，对公 司声誉造成轻微损害 负面消息 在互联网 一般性论  坛、百度 贴吧知道、搜搜问问等流传， 对公司声誉造成中等损害 负面消息 通过微博转发20条 以上，引起媒体关注并跟踪  报道，对公司声誉造成重大  损害 负面消息持续15天 以上流传各重点论 坛、百度贴吧、知道及315网站，对公司声誉造  成无法弥补的损害 第五章 事件的报告途径 第八条 确立应急待命人员的手机、值班电话、家庭电话的即时联系方式，使得普通用户可通过多种联系方式进行报警，保证报警渠道的畅通。 第九条 对于公司网络与信息系统普通用户发现信息安全事件时，第一时间向本部门负责人或***负责人报告，***负责人初步分析和判断事件类型及级别，并通知相关负责人处理。***及以上事件，***负责人向应急总指挥汇报。应急总指挥依据事件情况，总指挥决定是否需要相关人员到公司现场办公。 第六章 事件调查与处置 第十条 应急总指挥接到系统问题通知后，根据事件严重程度及预计解决时长决定是否启动系统应急状态。应急总指挥授权后启动应急组织，统一指挥、领导和协调事件应急响应与处置行动。响应小组各成员必须听从总指挥的指令并解决信息安全事件。轻度事件，不需要启动应急响应组织的突发事件警情，事件处理人进行备案处理。并通知信息安全部确认。 第十一条 信息安全事件在完成下列步骤后，可视为已经解决： 1. 已找出信息安全事件的根本原因； 2. 导致信息安全事件的主要信息安全弱点和漏洞已受到控制； 3. 出现问题的安全控制措施已经得到改善； 4. 已制定改进或加强现有安全控制措施的计划，并实施完成； 5. 导致信息安全事件发生的责任人受到相应惩戒。 第十二条 信息安全事件相关的纠正措施和预防措施的落实情况，由信息安全部负责跟踪，并督促相关部门或人员落实。 第十三条 在信息安全事件调查处理的过程中，需要收集必要的证据，作为查找原因、追究责任的依据。如果可能导致法律诉讼，信息安全专业应急响应小组在收集证据时要注意： 1. 收集证据的程序必须合法，所收集的证据必须符合客观性和时效性的要求； 2. 需要时，可请公司风险合规部参与；或在得到信息化领导小组批准后，可代表公司与外部执法机构取得联系，并协助其进行调查取证工作。 第十四条 对于重大信息安全事件如果需要司法部门介入调查，则必须事先得到风险委员会的批准。 第七章 编写事件报告与通告 第十五条 发生一般及以上信息安全事件时，应急总指挥应适时授权相关专业应急响应小组开展内部公众信息发布。 第十六条 内、外部公众信息发布之前应加强沟通，以保持内、外信息发布内容的一致性，避免引起公众和传媒的误解和不安。 第十七条 信息安全专业应急响应小组负责编写一般级以上信息安全事件的调查报告，《信息安全事件报告》的内容包括事件描述、事件原因、事件处理情况、经验教训总结、如有必要，增加责任追究等内容；并由信息安全部存档。《信息安全事件报告》格式参见附件一。 第十八条 信息安全部要组织相关各方在信息安全会议上对一般及以上信息安全事件及其控制措施进行确认，所得结论和商定的措施应在《信息安全事件报告》中记录。 第十九条 信息安全事件处理中可能产生新的业务流程或对业务流程进行改进，新流程须经过相关部门负责人批准并记录在《信息安全事件报告》中。 第八章 安全弱点报告 第二十条 对于观察到的或怀疑的任何系统或服务的信息安全弱点，公司员工或外部人员应及时报告给信息安全专业应急响应小组，经应急响应总指挥批准后，由相关的技术人员进行处置，同时报告给信息安全部备案。 第二十一条 信息安全部负责跟踪已备案的信息安全弱点处置情况。 第二十二条 未经信息安全部允许，公司员工和外部人员禁止利用测试等方法去证明他们怀疑的信息安全弱点。测试弱点可以被解释为对系统可能的滥用，可能导致信息系统和服务的损坏。 第九章 信息安全奖惩规定 第二十三条 为了减少信息安全事件的发生，提高信息安全事件处理效率，保证业务的持续性，对于在信息安全事件处理中做出贡献的先进部门和个人给予奖励，对于不按公司信息安全事件管理流程要求操作，造成不良影响及损失的个人或部门给予惩罚。 第二十四条 信息安全部负责对各个部门的信息安全事件工作进行考核、评判，并提出奖惩意见。由风险委员会对工作小组提出的奖惩建议进行复议、审核，并形成最终处理意见，由人力资源部负责执行。 （对信息安全事件的奖惩要综合考虑当事人行为是故意还是非故意、当事人有无从轻或从重处罚的行为、当事人的立功表现等因素。） 第十章 维护与解释 第二十五条 本规定由公司信息安全部起草和维护。 第二十六条 本规定由信息安全部负责解释。 第二十七条 本规定自发布之日起执行。 第十一章 附件 附件一：信息安全事件报告模板 附件二：信息安全事件登记表 附件三：应急响应各部门联系方式及处理流程 附件四：系统部服务支持电话表 附件五：系统异常处理步骤 附件一：信息安全事件报告模板 一、基础情况 事件发生日期: 事件上报日期: 受影响的业务/服务: <受影响系统提供的服务> 是否实施发生: 实际发生的　¨　　　　未遂的　¨　　　　　可疑的　¨ 事件描述: <涉及的人员、发生的时间、地点、经过和原因> 二、信息安全事件分类 事件大类： ¨ 事件小类： ¨ 起因：　 故意¨ 　 过失¨ 　人为 ¨ 非人为¨ 　未知¨ 三、事件调查结果 <导致事故的原因、事故的性质、造成的破坏、背后的动机、入侵的源头及入侵者的身份> 寻求外界的援助? 是 / 否 组织: <提供援助的组织，注意签订保密协议> 终止服务? 是 / 否 参考文件: 四、纠正和预防措施: 序号 纠正/预防措施内容 实施部门/人员 完成时间 效果确认 1 2 3 4 5 五、事后总结 经验教训： 措施的有效性: 进一步的预防措施: 诉诸于法律? 是 / 否 报告撰写人: 日期 / 时间: 信息安全管理工作小组组长: 日期 / 时间: 事故状况: 处理中 / 完结 后续工作: 附件二：信息安全事件登记表 序号 日期 事件描述 影响的业务/服务 事件种类 初步定级 报告部门 报告人 处理人员 事件原因 事件级别 处理措施 备注 附件三：应急响应各部门联系方式及处理流程 a) 组织结构及职责 部门 主要负责人 备份人 职责 总指挥 邓凯 George 在公司授权下，全权处理并独立决策，负责应急事件的处理，包括应急措施、信息沟通； 市场部 余晨 制定说辞、统一说法 客服 吴丽华 刘晓军 1、回答商户/用户问题； 2、处理投诉； 3、投诉的进行补单； 4、执行通报的短信和邮件； 5、整理跟汇报目前系统状态； 6、销售体系以外的进度发布 技术 姜树柱 李均柠 核心平台（姜树柱）： 1、在线支付所有问题；2、核心二代问题；3、测试；4、所有的技术协助（开发、查询、工具提供、补单）；5、问题订单处理；6、风控白名单； 技术支持 许阳 梁川 1、解决客户问题； 2、安抚客户； 3、协助组长发布通知 4、接收销售反馈的问题 系统 刘刚 柴栋 所有应急具体操作 结算 刘丹 杨薇 1、人工补单； 2、银行查单、对账； 3、修改银行接口URL 质量 周博 陈佳 1、紧急上线； 2、关键业务测试； 销售 章凯 宁福生 1、向销售体系通报统一说辞 2、根据问题严重性独立决定通知的销售体系哪些环节以及相应的通知方式； 2、与产品线总经理一起决定商户策略； 3、销售体系的进度发布； 风控 付燕 　 了解进度 信息安全部 王庆 　 协助总指挥相关联络协调工作 b) 应急联系人及联系方式 主要负责人 姓名 第一联系方式 第二联系方式 邓凯 13511012401 18901138917 余 晨 13701110519 吴丽华 13651380431 13810234553 姜树柱 13810234553 18601222863 梁 川 13910823366 81734212 刘 刚 13701208982 81544468、  13241837129 杨 薇 13701328973 13501008407 周 博 13621215789 85785031 章 凯 18601075011 13520332694 付 燕 13693058811 69557199 参与人 姓名 第一联系方式 第二联系方式 George 15810802163 65867199 刘晓军 18910133136 13366270538 均柠 13651077536 65004533 许扬 13718568691 68523720 陈军 15010370612 58870087 李岩 15300156526 89817868 陈佳 18600030416 13581512568 宁福生 13910682724 13661360815 附件四：系统部服务支持电话 公司系统部技术员紧急支持电话 系统部紧急联系表 岗位 姓名 联系方式 备注 总监 陈军 15010370612 58870087 第一联系人 副总监 刘刚 13701208982 010-81544468 13241837129 系统小组 柴栋 18601034232 13910046550 010-60770258 13141332968 系统小组组长 黄小龙 15710026798 18701344096 系统工程师 王超 13911155527 系统工程师 数据库小组 李卓 15311656406 13439387526 数据小组组长 张有彬 13611125981 DB工程师 付乐庆 13601161728 13325250671 DB工程师 网络小组 闫振宇 13436687479 网络工程师 IT小组 张习温 13691096502 13810550601 IT组组长 孙维平 13611125918 010-51678379 13811495939 IT工程师 欧野 13683248024 IT工程师   附件五：系统异常处理步骤 系统异常转给技术部处理的要素 Ø 说明 系统出现问题时，开发人员需要了解当时相关的各种情况，只有了解了当时的系统、网络、数据库等相关情况，才能进行问题的分析。因此，保留当时出现问题的现场对开发人员的至关重要。同时，系统人员也需要提供一个系统变化的情况（这个可以通过定时采样实现），便于开发人员了解其变化的上下文、同时有助于系统及时发现变化趋势。 Ø 现象描述： u 事件通知人、通知人联系信息、通知日期时间 u 事件通知人的描述 u 受理人、受理日期时间 u 受理人的应急处理步骤 u 受理人的初步诊断 Ø 网络状态： u 各种网络设备（比如黑洞、防火墙、F5、交换机）的设备状态、访问状态 u 网络设备与问题应用服务器的连接状态 Ø 数据库状态： u 交易库（或其他业务对应的数据库）的负载 u 查询库的负载 u 2个查询库的复制是否正常 Ø 服务器状态： u 服务器的名称 u 本机访问应用是否正常（比如访问超时、访问报错、正常返回） u 内存/IO/CPU/网络连接等情况，suse linux可以采用如下命令获取 l vmstat、iostat、mpstat、cat /proc/net/netstat、cat /proc/net/sockstat等命令获取 u 问题服务器与交易库、查询库的连接情况 Ø JAVA进程的状态： u 应用进程的是否在运行：使用jps -lmVv显示所有的java进程 u java进程的端口连接情况：netstat -anp | grep <jboss java进程号> 的所有信息 u java进程的打开文件情况：lsof <jboss java进程号>的所有信息 u 应用进程的线程情况（线程数）： ps TH –p <jboss java进程号> | wc -l u Java进程的堆栈状况，命令为：jstack <jboss java进程号> u Java的运行环境，命令为：jinfo <jboss java进程号> Ø Jboss的日志： u 访问日志access_log u 应用日志nohup.out 支付无法打开支付页面的询问要素 Ø 获取对方DNS解析的XXXIP地址。方法： 进入Windows命令行（XP 在中选择 “开始” –> 运行 ->输入cmd后回车，出现黑色命令行窗口）. u 输入ping ，页面显示的IP地址是什么。比如示例输出内容：Pinging [58.83.140.10] with 32 bytes of data…） u 记录用户这个IP地址。 Ø 获取对方的IP地址。方法： u 在游览器上输入，在游览器上会显示客户的IP地址。比如，我的游览器显示”您的IP地址是：[202.91.188.251] ” Ø 检查对方是否能够访问XXX主页 u 在浏览器上输入，看看页面是否正常 Ø 检查XXX主页上的一分钱支付是否正常。方法： Ø 获取用户访问服务器的信息。方法： u Ø 检查请求是否能够正常POST/GET过来。方法： u 手工把URL请求串拼接起来，一般来说来URL有两部分：一部分为URL，另外一部分为参数。比如：