XX_3_IS_信息安全事件管理规定(1).doc

u文档编号 XX_3_IS_信息安全事件管理规定 版 本 号 V1.1 密 级 内部公开 信息安全事件管理规定 XXX信息技术有限公司 版本控制 编号 修订人 修订时间 版本号 修订内容说明 1 2 3 第 19 页 共 19 页 目 录 第一章 目的 4 第二章 适用范围 4 第三章 职责与分工 4 第四章 事件定义与分类 5 第五章 事件的报告途径 7 第六章 事件调查与处置 8 第七章 编写事件报告与通告 9 第八章 安全弱点报告 9 第九章 应急演练 10 第十章 信息安全奖惩规定 10 第十一章 维护与解释 10 第十二章 附件 11 附件一：信息安全事件报告模板 12 附件二：信息安全事件登记表 14 附件三：信息安全事件处理流程 15 附件五：系统异常处理步骤 17 第一章 目的 第一条 为加强XXX信息技术有限公司（以下简称“XXX”）信息安全事件管理，制订本文件。 第二条 信息安全事件管理的目标： (一) 建立有效的信息安全事件管理流程，提高信息安全事件处理效率； (二) 确保能及时发现、准确报告和快速响应信息安全事件； (三) 分析信息安全事件的根本原因，降低信息安全事件的发生频率； (四) 逐步完善有效的信息安全事件防范机制。 第二章 适用范围 第三条 本文件适用于集团范围内发生的信息安全事件。信息安全事件包括但不限于计算机系统或网络系统中发生的对社会、集团造成负面影响的事件。 第三章 职责与分工 第四条 职责与分工 （一） 首席执行官 负责批准本规定。 （二） 风险委员会 是公司信息安全事件管理的最高决策机构，负责对信息安全事件报告的审批。 （三） 信息安全部 负责组织编制、审核并发布本规定，检查并监督本规定执行情况，协调解决相关问题。 负责组织成立公司信息安全专业应急响应小组，对信息安全事件处置措施进行督促落实。组织定期应急演练。 （四） 系统部 系统部负责配合具体工作的执行和落实。相关部门与人员负责信息安全事件和信息安全弱点的报告、现场和证据的保护，并协助进行事件处置和调查等工作。 （五） 信息安全专业应急响应小组 依据事件类型，风险委员会指派公司内某一部门负责信息安全事件的调查分析、证据收集、事件处置和报告编写等工作。 1. 应急情况下信息安全技术支持与保障； 2. 信息安全日常性工作、相关领域新技术跟踪、研究和应用； 3. 公司信息安全事件的接警、处警以及应急响应与处置工作。 （六） 公共信息与后勤支持组 信息安全事件的接警、处警以及应急响应与处置工作。 第四章 事件定义与分类 第五条 信息安全事件是指由于自然的或人为的、软硬件本身缺陷或故障的原因，对公司资产的机密性、完整性、可用性造成危害的事件。信息安全事件包括但不限于在计算机系统或网络系统中发生的对社会、公司造成负面影响的事件。 第六条 对信息系统安全事件的分级主要考虑下列两个要素：预计故障恢复时间、系统重要度。预计故障恢复时间是指系统从故障发生到恢复系统正常状态预计需要的时间总和；系统重要度是指系统在故障情况下对 站生产运营、工程建设以及集团经营管理工作的危害程度。综合考虑上述两要素，制定《系统故障与危害程度对应等级表》，如4-1所示： 4-1：系统故障与危害程度对应等级表 预计故障恢复时间（t） 系统名称 t>24小时 12小时<t<24小时 关键系统 1级 2级 重要系统 2级 3级 一般系统 3级 第七条 根据信息安全事件分级要素，将信息安全事件划分为四个级别：重大事件、较大事件、一般事件和轻度事件。 信息安全事件分类分级表 事件类别 事件级别 事件级别描述 A、有害程序事件 范围：指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。 B、网络攻击事件 范围：指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击。 C、设备设施故障 范围：指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。 D、信息破坏事件 范围：信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。 重大 Ⅱ 发生公司外部门户网站被攻击或利用，已造成或有潜在不良政治和社会影响的事件。 较大 Ⅲ 发生以下事件之一的： a、 公司核心网络瘫痪，丧失业务处理能力； b、 表4-1中所发生的1级系统事件。 一般 Ⅳ 发生以下事件之一的： a、 生产、公司本部局域网瘫痪； b、 表4-1中所发生的2级系统事件。 轻度 Ⅴ  发生以下事件之一且需要应急响应的： a、 造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响； b、 表4-1中所发生的3级系统事件。 E、信息传播事件 范围：指通过网络泄露国家和企业秘密信息、恶意散布反动言论和谣言、攻击中国共产党、国家领导人、企业主要领导人员、干扰企业正常经营秩序等而导致的信息安全事件。 重大 Ⅱ 发生以下事件之一的： a、 在公司网络上出现党和国家秘密信息； b、 恶意散布反动言论和谣言并造成重大政治和社会影响的事件； c、 在公司网络上出现恶意攻击中国共产党、国家领导人、和国家机关的信息。 较大 Ⅲ 发生以下事件之一的： a、 在公司网络上出现恶意攻击企业主要领导人员和干扰企业正常经营秩序信息，导致影响干部职工队伍稳定等不良后果的事件； b、 在集团网络上非受控出现涉及企业内部不应公开的敏感信息。 第五章 事件的报告途径 第八条 确立应急待命值班人员的手机、值班电话、家庭电话的即时联系方式，使得普通用户可通过多种联系方式进行报警，保证报警渠道的畅通。 第九条 对于公司网络与信息系统普通用户发现信息安全事件时，可向应急待命值班人员报告。应急待命值班人员接到报警后，详细记录事件描述、事件发生地点、事件发生时间和报告人等信息，并进行初步分析与判断，对安全事件进行初步分类和定级，对属于正常事故维修业务工作范围的事件警情，可按照其正常业务处理流程进行处置（参见附件4）；对于轻度及以上信息安全事件警情，应立即向所属 公司应急监控中心或应急办公室报警。 第十条 信息安全事件报告流程见附件3；正常事故处理流程见附件4；公司技术支持电话请参见附件5。信息安全事件发现人员要保护信息安全事件现场，并协助证据收集工作。 第六章 事件调查与处置 第十一条 公司级应急监控中心接收到信息安全事件警情后，应立即根据信息安全事件分类分级标准初步判定事件的类型和级别；对需要启动应急组织的突发事件警情，应立即上报负责信息安全事件的应急副总指挥以及应急办公室主任、副主任，并视情况通报应急办公室；对不需要启动应急响应组织的突发事件警情，进行备案处理。对一般及以上级别的信息安全事件警情，公司负责信息安全事件的应急副总指挥经应急总指挥授权后启动应急组织，指挥、领导和协调事件应急响应与处置行动。 第十二条 应急办公室接收到信息事件警情后，立即根据信息安全事件分类分级标准初步判定事件的类型和级别。对需要公司进行应急处置的突发事件警情，公司应急办公室立即上报应急指挥部。对一般及以上级别信息安全事件警情，公司应急指挥部立即启动公司应急组织，统一指挥、领导和协调事件应急响应与处置行动。 第十三条 信息安全事件在完成下列步骤后，可视为已经解决： 1. 已找出信息安全事件的根本原因； 2. 导致信息安全事件的主要信息安全弱点和漏洞已受到控制； 3. 出现问题的安全控制措施已经得到改善； 4. 已制定改进或加强现有安全控制措施的计划，并实施完成； 5. 导致信息安全事件发生的责任人受到相应惩戒。 第十四条 信息安全事件相关的纠正措施和预防措施的落实情况，由信息办负责跟踪，并督促相关部门或人员落实。 第十五条 在信息安全事件调查处理的过程中，需要收集必要的证据，作为查找原因、追究责任的依据。如果可能导致法律诉讼，信息安全专业应急响应小组在收集证据时要注意： 1. 收集证据的程序必须合法，所收集的证据必须符合客观性和时效性的要求； 2. 需要时，可请公司风险合规部参与；或在得到信息化领导小组批准后，可代表公司与外部执法机构取得联系，并协助其进行调查取证工作。 第十六条 对于重大信息安全事件如果需要司法部门介入调查，则必须事先得到信息化领导小组的批准。 第七章 编写事件报告与通告 第十七条 应急办公室及时向应急指挥部报告信息安全事件警情及应急响应与处置工作进展情况；应急办公室及时向应急指挥部报告信息安全事件警情及应急响应与处置工作进展情况、以及造成的后果。 第十八条 发生一般及较大级别信息安全事件时，应急指挥部适时授权公司内相关专业应急响应小组开展内部公众信息发布；发生重大及以上级别信息安全事件时，应急指挥部应适时授权相关专业应急响应小组开展内部公众信息发布。 第十九条 内、外部公众信息发布之前应加强沟通，以保持内、外信息发布内容的一致性，避免引起公众和传媒的误解和不安。 第二十条 信息安全专业应急响应小组负责编写一到三级信息安全事件的调查报告，《信息安全事件报告》的内容包括事件描述、事件原因、事件处理情况、经验教训总结、责任追究等内容；并由信息安全部存档。《信息安全事件报告》格式参见附件一。 第二十一条 信息安全部要组织相关各方在信息安全会议上对重大信息安全事件及其控制措施进行确认，所得结论和商定的措施应在《信息安全事件报告》中记录。 第二十二条 信息安全事件处理中可能产生新的业务流程或对业务流程进行改进，新流程须经过相关部门负责人批准并记录在《信息安全事件报告》中。 第八章 安全弱点报告 第二十三条 对于观察到的或怀疑的任何系统或服务的信息安全弱点，公司员工或外部人员应及时报告给信息安全专业应急响应小组，经相关负责人批准后，由相关的技术人员进行处置，同时报告给信息安全部备案。 第二十四条 信息安全部负责跟踪已备案的信息安全弱点处置情况。 第二十五条 未经公司信息化领导小组同意，公司员工和外部人员禁止利用测试等方法去证明他们怀疑的信息安全弱点。测试弱点可以被解释为对系统可能的滥用，可能导致信息系统和服务的损坏。 第九章 信息安全奖惩规定 第二十六条 为了减少信息安全事件的发生，提高信息安全事件处理效率，保证业务的持续性，对于在信息安全事件处理中做出贡献的先进部门和个人给予奖励，对于不按公司信息安全事件管理流程要求操作，造成不良影响及损失的个人或部门给予惩罚。 第二十七条 信息安全部负责对各个部门的信息安全事件工作进行考核、评判，并提出奖惩意见。由风险委员会对工作小组提出的奖惩建议进行复议、审核，并形成最终处理意见，由人力资源部负责执行。 对信息安全事件的奖惩要综合考虑当事人行为是故意还是非故意、当事人有无从轻或从重处罚的行为、当事人的立功表现等因素。 第十章 维护与解释 第二十八条 本规定由公司信息安全部起草和维护。 第二十九条 本规定由信息安全部负责解释。 第三十条 本规定自发布之日起执行。 第十一章 附件 附件1 信息安全事件报告模板 附件2 信息安全事件登记表 附件3 信息安全事件处理流程 附件4 系统部服务支持电话表 附件5 系统异常处理步骤 附件一：信息安全事件报告模板 一、基础情况 事件发生日期: 事件上报日期: 受影响的业务/服务: <受影响系统提供的服务> 是否实施发生: 实际发生的　¨　　　　未遂的　¨　　　　　可疑的　¨ 事件描述: <涉及的人员、发生的时间、地点、经过和原因> 二、信息安全事件分类 事件大类： ¨ 事件小类： ¨ 起因：　 故意¨ 　 过失¨ 　人为 ¨ 非人为¨ 　未知¨ 三、事件调查结果 <导致事故的原因、事故的性质、造成的破坏、背后的动机、入侵的源头及入侵者的身份> 寻求外界的援助? 是 / 否 组织: <提供援助的组织，注意签订保密协议> 终止服务? 是 / 否 参考文件: 四、纠正和预防措施: 序号 纠正/预防措施内容 实施部门/人员 完成时间 效果确认 1 2 3 4 5 五、事后总结 经验教训： 措施的有效性: 进一步的预防措施: 诉诸于法律? 是 / 否 报告撰写人: 日期 / 时间: 信息安全管理工作小组组长: 日期 / 时间: 事故状况: 处理中 / 完结 后续工作: 附件二：信息安全事件登记表 序号 日期 事件描述 影响的业务/服务 事件种类 初步定级 报告部门 报告人 处理人员 事件原因 事件级别 处理措施 备注 附件三：信息安全事件处理流程 附件四：公司信息技术服务支持电话 公司系统部技术员紧急支持电话 系统部紧急联系表 岗位 姓名 联系方式 备注 总监 陈军 15010370612 58870087 第一联系人 副总监 刘刚 13701208982 010-81544468 13241837129 系统小组 柴栋 18601034232 13910046550 010-60770258 13141332968 系统小组组长 黄小龙 15710026798 18701344096 系统工程师 王超 13911155527 系统工程师 数据库小组 李卓 15311656406 13439387526 数据小组组长 张有彬 13611125981 DB工程师 付乐庆 13601161728 13325250671 DB工程师 网络小组 闫振宇 13436687479 网络工程师 IT小组 张习温 13691096502 13810550601 IT组组长 孙维平 13611125918 010-51678379 13811495939 IT工程师 欧野 13683248024 IT工程师   附件五：系统异常处理步骤 系统异常转给技术部处理的要素 Ø 说明 系统出现问题时，开发人员需要了解当时相关的各种情况，只有了解了当时的系统、网络、数据库等相关情况，才能进行问题的分析。因此，保留当时出现问题的现场对开发人员的至关重要。同时，系统人员也需要提供一个系统变化的情况（这个可以通过定时采样实现），便于开发人员了解其变化的上下文、同时有助于系统及时发现变化趋势。 Ø 现象描述： u 事件通知人、通知人联系信息、通知日期时间 u 事件通知人的描述 u 受理人、受理日期时间 u 受理人的应急处理步骤 u 受理人的初步诊断 Ø 网络状态： u 各种网络设备（比如黑洞、防火墙、F5、交换机）的设备状态、访问状态 u 网络设备与问题应用服务器的连接状态 Ø 数据库状态： u 交易库（或其他业务对应的数据库）的负载 u 查询库的负载 u 2个查询库的复制是否正常 Ø 服务器状态： u 服务器的名称 u 本机访问应用是否正常（比如访问超时、访问报错、正常返回） u 内存/IO/CPU/网络连接等情况，suse linux可以采用如下命令获取 l vmstat、iostat、mpstat、cat /proc/net/netstat、cat /proc/net/sockstat等命令获取 u 问题服务器与交易库、查询库的连接情况 Ø JAVA进程的状态： u 应用进程的是否在运行：使用jps -lmVv显示所有的java进程 u java进程的端口连接情况：netstat -anp | grep <jboss java进程号> 的所有信息 u java进程的打开文件情况：lsof <jboss java进程号>的所有信息 u 应用进程的线程情况（线程数）： ps TH –p <jboss java进程号> | wc -l u Java进程的堆栈状况，命令为：jstack <jboss java进程号> u Java的运行环境，命令为：jinfo <jboss java进程号> Ø Jboss的日志： u 访问日志access_log u 应用日志nohup.out 支付无法打开支付页面的询问要素 Ø 获取对方DNS解析的XXXIP地址。方法： 进入Windows命令行（XP 在中选择 “开始” –> 运行 ->输入cmd后回车，出现黑色命令行窗口）. u 输入ping ，页面显示的IP地址是什么。比如示例输出内容：Pinging [58.83.140.10] with 32 bytes of data…） u 记录用户这个IP地址。 Ø 获取对方的IP地址。方法： u 在游览器上输入，在游览器上会显示客户的IP地址。比如，我的游览器显示”您的IP地址是：[202.91.188.251] ” Ø 检查对方是否能够访问XXX主页 u 在浏览器上输入，看看页面是否正常 Ø 检查XXX主页上的一分钱支付是否正常。方法： Ø 获取用户访问服务器的信息。方法： u Ø 检查请求是否能够正常POST/GET过来。方法： u 手工把URL请求串拼接起来，一般来说来URL有两部分：一部分为URL，另外一部分为参数。比如：