横琴大数据平台_信息安全事件应急响应管理办法_v1.0.doc

横琴新区大数据平台项目（集成开发服务） 大横琴科技发展有限公司 信息安全事件应急响应管理办法 第一章 总则 第一条 为规范珠海大横琴科技发展有限公司（以下简称科技公司）对信息安全事件的应急响应管理，明确应急响应工作发现、处理、恢复、上报等活动，落实信息安全事件应急响应的岗位分工和岗位职责，保证信息安全事件能够得到及时有效的响应和处理，特制定本管理办法。 第二条 信息安全事件应急响应指在遇到影响系统或网络正常工作的突发信息安全事件后所采取的紧急应对措施和恢复业务的行为。 第三条 科技公司信息安全事件应急响应工作应坚持“积极预防、及时发现、快速反映、确保恢复”的原则，及时、高效的处理信息安全事件。 第二章 适用范围 第四条 本管理办法适用于科技公司及各部门拥有的、控制和管理的所有信息系统、数据和网络环境的信息安全事件应急响应管理。 第五条 在科技公司网络与信息安全维护管理工作中，本管理办法是指导信息安全事件应急响应的基本依据，相关人员必须认真执行本管理办法，并根据工作实际情况，制定并遵守相应的实施细则和应急响应流程，做好信息安全事件应急响应工作。 第三章 组织与职责 第六条 科技公司信息安全事件应急响应工作由信息安全工作组下属应急响应小组负责。应急响应小组成员从信息安全管理员、网络安全管理员、终端安全管理员、主机安全管理员、应用系统安全管理员和各部门信息安全接口人（网络/终端安全管理员）抽调人员组成。信息安全工作组组长兼任应急响应小组组长。 第七条 信息安全应急响应小组负责及时响应、处理、上报各类网络与信息安全事件，包括但不限于：及时响应、定位问题、记录取证、阻止攻击、联系第三方安全咨询公司和安全顾问、恢复系统的日常状态、向信息安全主管提交安全事故的处理报告等。 第八条 科技公司根据需要，可委托资质良好的第三方专业安全服务机构协助科技公司处理信息安全事件。 第九条 由于信息安全事件应急响应工作可能涉及科技公司内部的敏感信息，为保障科技公司的合法权益不受侵害，协助科技公司进行信息安全事件应急响应的第三方专业安全服务机构及其人员必须拥有相关合法资质。 第十条 被委托的第三方安全服务机构应当按照相关法律法规签订合同，明确信息安全事件应急响应服务中的权利和义务等；并签署合乎法律规范的保密协议，以约束第三方安全服务机构的行为。 第十一条 各网络与信息系统建设、使用、维护部门及人员应负责日常的信息安全事件监控、报告和初步处理，并积极协助应急响应小组开展应急响应工作。 第四章 安全事件分类分级 第十二条 信息安全事件是指科技公司的业务和办公网络的计算机或网络设备、系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏，造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患。信息安全事件包括但不限于： l 非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致信息泄密； l 数据在传输中因数据被截取、篡改、分析等而造成信息的泄密； l 拒绝服务，正常用户不能正常访问服务器提供的相关服务； l 系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间； l 在系统日志中发现非法登录者； l 发现系统感染计算机病毒； l 发现有人在不断强行尝试登录系统； l 系统中出现不明的新用户账号； l 管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁； l 文件的访问权限被修改； l 因安全漏洞导致的系统问题； l 发现网络侦察行为； l 其它入侵行为。 第十三条 根据信息安全事件对系统可用性、完整性或保密性的不同影响，信息安全事件可做如下分类： l 影响系统可用性的安全事件：拒绝服务攻击、恶意代码攻击、漏洞攻击、僵尸网络、垃圾邮件等； l 影响系统完整性的安全事件：信息篡改（如网页篡改、DNS劫持等）、后门木马（以破坏系统数据为目的）、漏洞攻击等； l 影响系统保密性的安全事件：信息窃取（如后门木马、间谍软件、盗号软件等）、信息泄密、信息假冒（如网络钓鱼）、网络嗅探、漏洞攻击、僵尸网络等。 第十四条 根据信息系统等级保护级别以及信息安全事件对系统可用性、完整性、保密性的影响程度，信息安全事件可分为特别重大（一级）、重大（二级）、较大（三级）和一般（四级）四个级别： l 特别重大安全事件（一级）指以下安全事件： 1. 导致2级及以上系统出现紧急故障的安全事件； 2. 导致3级或4级系统出现重大故障的安全事件； 3. 导致特别重大影响的完整性或保密性被破坏的安全事件； 4. 对外网站、信息群发系统、外呼系统等对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件。 l 重大安全事件（二级）指以下安全事件： 1. 导致2级系统出现重大故障的安全事件； 2. 导致3级或4级系统出现严重故障的安全事件； 3. 导致重大影响的完整性或保密性被破坏的安全事件。 l 较大安全事件（三级）指以下安全事件： 1. 导致2级系统出现严重故障的安全事件； 2. 导致3级或4级系统出现一般故障的安全事件； 3. 导致较大影响的完整性或保密性被破坏的安全事件。 l 一般安全事件（四级）指以下安全事件： 1. 导致2级系统一般故障和1级系统或未定级系统出现故障的安全事件。 2. 导致一般影响的完整性或保密性被破坏的安全事件。 第十五条 特殊时期（如国家重大活动等）发生的信息安全事件级别应在原有级别上提升一级，特别重大安全事件级别不再向上提升；信息安全事件大范围发生时，安全事件的级别应在原有级别上提升一级。 第五章 安全事件监控 第十六条 科技公司信息安全事件监控工作由科技公司信息安全工作组统一负责。信息安全工作组各网络和系统信息安全运维人员对各自职责范围内的信息系统和网络实施集中的5×8小时安全监控。 第十七条 各网络与信息系统建设、使用、维护人员应及时向信息安全应急响应小组报告发现的各类信息安全事件或安全隐患。 第十八条 安全事件监控信息主要来自以下三个方面： l 各系统产生的安全告警信息以及安全监控平台监控到的安全告警信息； l 政府相关部门、上级主管单位或其他安全组织通报的安全事件信息； l 安全事件报告等。 第六章 安全事件上报 第十九条 信息安全事件发生时，应急响应小组应及时对安全事件的影响范围和级别进行判断并决定是否需要上报： l 特别重大安全事件发生时，应急响应小组应立即逐级上报。疑似特别重大安全事件发生时，应急响应小组应首先通过电话方式立即告知信息安全主管，事件确认后再逐级上报。特别重大安全事件逐级上报直至科技公司信息安全领导小组的时间不得超过10分钟。 l 重大安全事件发生时，应急响应小组应及时逐级上报。疑似重大安全事件发生时，应急响应小组应首先通过电话方式及时告知信息安全主管，事件确认后再逐级上报。重大安全事件逐级上报直至科技公司信息安全领导小组的时间不得超过30分钟。 l 较大或一般安全事件应每月汇总后按时上报信息安全主管。 第二十条 信息安全事件上报表格参见附录1。 第七章安全事件处理 第二十一条 信息安全事件应急响应主要包括安全事件应急准备、安全事件应急处理和安全事件后期处理等阶段。 第二十二条 安全事件应急准备阶段的主要工作包括以下内容： l 为确保安全事件发生都能采取及时、合理、有效的措施加以处理，信息安全应急响应小组以及各个信息系统和网络安全运维人员应做好安全事件应急方案/预案的编制工作并定期开展安全演练，应急预案的内容应包括但不限于： 1. 应急目标； 2. 应急的组织体系和职责的明确； 3. 应急人员的通信联络方式； 4. 应急响应级别应与安全事件级别保持一致； 5. 事件处理所用硬件及软件工具、各业务系统相关文档、数据备份或镜像、事件恢复时所用安装程序、补丁等的完备性和充分性； l 明确应急的组织体系和职责，建立完备的应急安全队伍； l 建立多样化完备的应急人员的通信联络方式； l 确保事件处理所用硬件及软件工具、各业务系统相关文档、数据备份或镜像、事件恢复时所用安装程序、补丁等的完备性和充分性； l 确保应急所需的资金需求等。 第二十三条 安全事件应急处理阶段的主要工作包括以下内容： l 当对系统或网络正常运行造成影响的安全事件已经发生，或可能影响系统或网络正常运行的安全事件已经发生时，应立即启动应急响应机制，其中： 1. 特别重大安全事件的应急响应由信息安全领导小组启动应急预案并统一指挥和协调相关部门和人员实施应急响应； 2. 重大安全事件的应急响应由信息安全主管启动应急预案并组织协调相关部门和人员实施应急响应； 3. 较大安全事件由应急响应小组启动应急预案并组织协调相关部门和人员实施应急响应； 4. 一般安全事件的应急响应由相应信息系统或网络的安全运维人员自行组织和实施应急响应。 l 依据“谁下达任务，谁结束任务”的原则，任务下达组织或人员应明确信息安全事件应急响应任务的结束时间。应急响应结束的判断标准为信息系统或网络恢复正常运行，且由事件衍生的其他事件已经消失，安全隐患已经消除。 l 对于信息安全事件的处理，应该尽快采取抑制措施，以避免影响面和损失的扩大。 l 在信息安全事件的处理过程中，原则上应保护好各类原始数据，给将来的取证或者分析提供客观证据。 第二十四条 信息安全事件处理的时限要求如下： l 应急响应启动后，特别重大安全事件应在2小时得到有效控制； l 应急响应启动后，重大安全事件应在4小时内得到有效控制； l 应急响应启动后，一般安全事件应在8小时内得到有效控制； l 当对外网站、信息群发系统、外呼系统等对外信息发布系统出现扰乱公共秩序、造谣蛊惑、破坏安定团结以及反动、淫秽、色情内容的信息安全事件时，应在10分钟内撤掉相应内容并关闭系统。 第二十五条 信息安全事件处理结束后，应积极稳妥、深入细致地做好善后处置工作，具体包括： l 调查评估：对信息安全事件的起因、性质、影响、责任、经验教训等问题进行调查和评估； l 责任确定：分析产生此次事件的原因，对事件进行调查，确定责任人。如果涉及违法犯罪行为，报司法机关追究当事人的刑事责任； l 事件备案：较大及以上安全事件发生后应编写详细的信息安全事件处理记录表格（参见附件2）并报备信息安全领导小组； l 应急方案维护：根据应急响应过程中暴露出的问题和调查评估结果，对应急方案进行相应的修改和维护； l 总结归档：对案例进行经验总结，避免今后再次发生类似信息安全事故。 第八章 安全事件审计 第二十六条 为贯彻和落实信息安全事件处理的各项要求，安全审计组应根据本办法的相关内容定期或不定期对信息安全事件应急响应的执行情况进行审计与考核。审计内容包括但不限于： l 安全事件应急预案的制定情况以及应急演练开展情况； l 安全事件上报情况，包括安全事件上报的及时性、准确性等； l 安全事件的记录情况，包括安全事件分析报告等。 第九章 标准维护与解释 第二十七条 本管理办法由科技公司信息安全领导小组每年复核一次，在必要时进行修订，并颁发执行。 第二十八条 本管理办法解释权归珠海大横琴科技发展有限公司。 第二十九条 本管理办法自下发之日起生效。 附件1 信息安全事件上报单 部门名称：XX 填报时间：YYYY年MM月DD日 安 全 事 件 基 本 信 息 事件标题 事件上报信息 事件上报时间 事件上报人 联系电话 事件上报方式 事件涉及系统 是否上报公安机关 YYYY-MM-DD HH:MM 事件定位信息 事件发生地点 事件类型 事件原因类别 涉及设备信息 涉及设备厂家 涉及代维厂商 涉及设备类型 事件时间信息 事件发生时间 YYYY-MM-DD HH:MM 事 件 已 历 时 小时 影响业务时间信息 影响业务时间 影响业务时长 影响业务种类 影响业务范围 YYYY-MM-DD HH:MM 小时 事件等级 特大（一级） 重大（二级） 较大（三级） 一般（四级） 是否上报有限公司 安 全 事 件 现 象 描 述 监控系统对安全事件的发现情况 监控系统名称 告警内容 节点名称 开始时间 监控系统发现安全事件详细情况或未监控故障原因 安全事件内容描述 影响业务详细情况（或未影响业务原因） 附件2 信息安全事件处理记录 部门名称：XX 填报时间：YYYY年MM月DD日 安 全 事 件 基 本 信 息 事件标题 事件上报信息 事件上报时间 事件上报人 联系电话 事件上报方式 事件涉及系统 是否上报公安机关 YYYY-MM-DD HH:MM 事件定位信息 事件发生地点 事件类型 事件原因类别 涉及设备信息 涉及设备厂家 涉及代维厂商 涉及设备类型 事件时间信息 事件发生时间 事件处理完成时间 事 件 历 时 YYYY-MM-DD HH:MM YYYY-MM-DD HH:MM 小时 影响业务时间信息 影响业务时间 业务恢复时间 影响业务时长 影响业务种类 影响业务范围 YYYY-MM-DD HH:MM YYYY-MM-DD HH:MM 小时 事件等级 特大（一级） 重大（二级） 较大（三级） 一般（四级） 是否上报有限公司 安 全 事 件 现 象 描 述 监控系统对安全事件的发现情况 监控系统名称 告警内容 节点名称 开始时间 结束时间 监控系统发现安全事件详细情况或未监控故障原因 安全事件内容描述 影响业务详细情况（或未影响业务原因） 安 全 事 件 原 因 及 处 理 情 况 安全事件处理情况 安全事件原因分析 应急预案执行情况分析 经验总结 需第三方协调事项 填报人 联系电话