1、信息安全事件管理办法信息安全事件管理办法第一章 总则第一条 为了保障好收益(北京)金融信息服务有限公司(以下简称“公司”)网络与信息安全应急响应机制,规范信息安全突发事件的应急响应工作,全面提高网络与信息安全水平,切实防范和化解系统运行的风险,保障网络通信畅通,提高系统服务质量,特制定本办法。第一条 本办法适用于公司。职 责第一条 公司技术领导小组负责协调指挥公司信息安全重大突发事件的应急处理。第二条 公司技术部负责督促信息安全重大突发事件应急预案的落实,包括负责信息安全突发事件处置的组织实施、工作协调,发布应急指令、事件级别,并组织协调各信息技术岗位执行应急响应预案。第三条 为有效落实公司信
2、息安全事件的应急响应工作,公司设立技术部应急响应小组。信息安全应急响应小组的职责是:(一) 负责编制应急响应预案、信息安全事件应急处置流程和措施;(二) 负责各部门业务的应急管理和处置;(三) 负责组织协调、处置和上报信息安全事件,并总结汇报相关结果;(四) 完成信息安全领导小组交办的有关事项。第四条 总裁办公室负责为信息安全应急响应处置过程中提供通信、公共设施、交通运输、生活保障、物资设备等后勤保障工作,企业文化部负责对外宣传和有关外部机构通报工作。信息安全事件定义第五条 信息安全事件是由于自然或者人为的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。信息安全事件由单个
3、或一系列意外或有害的信息安全异常现象所组成的,极有可能危害业务运行和威胁信息安全。第六条 信息安全事件的异常现象包括:信息被未授权地泄露或修改、被破坏或无法使用,或者公司内部资产被毁坏或偷窃等。 第七条 信息安全事件包括但不限于以下事件:(一) 未授权访问:内部或外部人员由于未经相关授权私自对信息系统进行操作而引发了信息安全事件的行为,最常见的未授权的误操作。(二) 服务中断:由于拒绝服务攻击或由应用系统及网络自身问题导致的系统、服务或网络失效而无法继续提供服务的信息安全事件,最常见的情况是完全合法用户无法正常访问;(三) 数据篡改:内部操作人员因误操作引起的数据完整性破坏或来自外部攻击造成的
4、恶意篡改等类似安全事件,可能导致公司信息泄露、信息系统和网络无法正常运行的后果。信息安全事件级别第八条 根据信息安全事件的危害程度,信息安全事件分为四个级别:特别重大事件、重大事件、较大事件、一般事件。第九条 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,发生以下情况可定义为特别重大事件(I级):(一) 工作日内网络通信物理或逻辑中断,10小时内通信无法恢复;(二) 工作日内系统重要业务运行停止,10小时内业务无法恢复;(三) 工作日内信息系统重要业务数据损坏,10小时内损坏数据无法恢复。第一十条 重大事件是指能够导致严重影响或破坏的信息安全事件,发生以下情况可定义为重大事件(II
5、级):(一) 工作日内网络通信物理或逻辑中断, 5小时内通信无法恢复;(二) 工作日内系统重要业务运行停止,5小时内业务无法恢复;(三) 工作日内信息系统重要业务数据损坏,5小时内损坏数据无法恢复。第一十一条 较大事件是指能够导致较严重影响或破坏的信息安全事件,发生以下情况可定义为较大事件(III级):(一) 工作日内系统部分重要业务运行停止,并造成严重故障,3小时内能够恢复;(二) 工作日内信息系统部分重要业务数据损坏,3小时内能够恢复;(三) 工作日内大规模的病毒爆发和传染,3小时内能够控制病毒传染范围;(四) 非工作日内发生上述事件,并能够在员工上班前得到解决,不影响公司正常工作开展。第
6、一十二条 一般事件是指能够导致较小影响或破坏的信息安全事件,发生以下情况可定义为一般事件(IV级):(一) 由于安全隐患或系统遭受入侵、尝试性入侵造成网络通信或系统业务运行中出现的一般故障;(二) 利用公司网络发起的对其它网络的攻击,但未造成严重损失。信息安全事件发现第一十三条 系统维护人员应加强监控措施和日志查看,采用必要的技术手段,确保及时发现信息安全事件。信息安全事件分级处理第一十四条 对于一般事件,系统维护人员在日常维护、巡检、日志检查等过程中发现异常,或接到其他人员的异常报告判断为安全事件,并确定级别为一般安全事件后,安全管理员应详细记录事件的情况并协调相关维护人员进行分析和处理,如
7、果未能第一时间决则转入较大事件处理流程。第一十五条 对于较大事件,系统维护人员与安全管理员共同分析和解决,并依据有关信息安全事件处置流程进行处置;必要时,对安全事件进行深入分析,并协调相关产品供应商或集成商,共同解决较大事件,如果2个小时内未能解决则转入重大事件处理流程。第一十六条 对于重大事件,应启动应急预案,并第一时间上报信息安全应急响应小组组长,应急响应小组组织应急响应相关工作,并协调各部门、相关服务商共同解决重大事件,如果5小时内未能解决则转入特别重大事件处理流程。第一十七条 对于特别重大事件应协调公司各领导、各部门、相关服务商共同解决,必要时,报请国资委及国家有关部门协调处置。信息安
8、全事件总结和上报第一十八条 信息安全事件处理完毕,系统恢复正常运行后,要对整个事故进行分析研究,并对相关人员加强教育,总结经验教训,形成信息安全事件处理报告。第一十九条 信息安全事件处理报告应详细记录事件的起因、处理过程、建议改进的安全方案,造成的直接损失等。第二十条 对于特别重大事件、重大事件和较大事件的处理报告应由技术部上报技术总监,由技术总监审核并反馈相关意见,最后由技术部小组归档备案。第二十一条 公司每年至少进行一次信息安全事件的安全审计,在进行安全审计时,必须整理前一阶段所有信息安全事件的档案,进行总结和统计。应急响应计划第二十二条 公司相关人员应通过业务影响分析,确定各信息系统关键
9、资源、信息安全事件影响以及应急响应的恢复目标,包括关键业务功能及恢复的优先顺序和恢复时间范围。第二十三条 技术部安全应急响应小组填写公司信息安全事件应急响应人员职责清单,确立各类应急事件的相关责任人,负责对清单及时更新,每年对清单内容进行一次确认。第二十四条 技术部安全应急响应小组建立公司基础设施供应商联络清单和公司应用系统供应商联络清单,并负责对清单进行及时更新,每年对清单内容进行一次确认。第二十五条 建立与完善信息安全事件检测、预测制度。按照“早发现、早报告、早处置”的原则,加强对信息安全事件和可能引发信息安全事件的有关信息的收集、分析判断和持续监测。如发现有异常情况或有信息安全事件发生时
10、,安全管理员应及时进行初步处理并立即向信息安全应急响应小组报告。应急预案的制定第二十六条 信息安全事件的应急预案由技术部安全应急响应小组制定,并确保应急响应工作能够贯彻落实。第二十七条 信息安全事件应急预案的制定原则:(一) 完整性原则:应急预案的制定必须完整,要覆盖应急处理的全方位与全过程,并涵盖实施应急的全部业务及相关机构、人员;(二) 关键业务优先原则:在分析业务的优先等级、风险危害程度的基础上,优先保证重要业务应用的持续运作;(三) 可操作性原则:应急响应措施必须明确、具体、切实、易行,操作对象与步骤必须有准确、详细的描述;(四) 可恢复性原则:应急预案中确定的各项处理措施必须为应急后
11、的系统恢复提供必需的数据与资料,符合系统恢复所必需的基本处理逻辑,以便对业务系统进行有效恢复,保证系统恢复后的正常运行;(五) 责任明确原则:应急预案要明确各级领导、各部门人员的职责,以保证计划实施过程中责任的落实,并最大限度地降低风险。第二十八条 信息安全事件应急预案需要在评估、测试以及认证后,由安全主管进行批准,经批准后,应急预案方可在安全事件发生后启用。第二十九条 应急预案启动的基本条件为:(一) 信息安全事件无法得到及时有效处理,已达到重大和特别重大的信息安全事件等级;(二) 信息安全应急响应小组判断无法及时进行处理的信息安全事件。第三十条 应急预案终止的基本条件为:(一) 确认故障已
12、排除,信息安全事件已解决,可恢复正常工作状态;(二) 确认各部门应用系统业务已得到有效恢复。应急响应执行和处理第三十一条 信息安全事件发生后,信息安全应急响应小组应对信息安全事件进行评估,确定信息安全事件的级别。第三十二条 根据事件等级实行分级响应,并由信息安全应急响应小组发布应急处理启动令。应急启动后,信息安全应急响应小组要对人力、物力到位情况实施检查与督察,并记录实际发生情况。第三十三条 启动应急后开始应急处置工作。应急处置工作应集中于建立临时业务处理机制、修复原系统损害、恢复业务运行能力等应急措施。第三十四条 在进行应急处置工作时,由信息安全应急响应小组按照相关要求及时向上级报告。第三十
13、五条 在应急处置工作结束后,信息安全应急响应小组要通过统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施网络及信息系统重建。第三十六条 应急响应总结是应急处置之后必须进行的工作,信息安全应急响应小组要分析事件发生原因;总结事件现象;评估系统损害程度;估计事件损失;总结应急处置记录。同时填写公司应急响应事件处理记录,由技术部安全应急响应小组备案。应急响应措施第三十七条 发生信息安全突发事件后,应立即判定事件危害程度,采取应急响应措施,并立即将情况向有关领导报告。在处置过程中,应尽最大可能收集事件相关信息、鉴别事件性质、确定事件来源、弄清
14、事件范围和评估事件带来的影响和损害,及时向安全主管报告工作进展情况,直至处置工作结束。第三十八条 按照信息安全突发事件引发原因的不同应区别对待,具体依照公司信息安全分类应急预案执行。第三十九条 应急预案中未列出的因不确定因素造成的事件,信息安全应急响应小组可根据公司总体安全原则,结合具体情况,做出相应的处理。应急响应的测试和演练第四十条 为了检验应急预案的有效性,同时使相关人员了解信息安全应急预案的目标和流程,熟悉应急响应的操作规程,应按以下要求,组织应急预案的测试和演练:(一) 预先制定测试和演练计划,在计划中说明测试和演练的场景;(二) 测试和演练的整个过程应有详细的记录,并形成报告;(三
15、) 测试和演练不能打断信息系统正常的业务运行;(四) 每年应至少完成一次有最终用户参与的完整测试和演练;(五) 根据公司实际情况进行不定期的分项应急演练。应急响应的管理和维护第四十一条 经过审核和批准的应急预案文档应:(一) 由专人负责保存与分发;(二) 具有多份拷贝在不同的地点保存;(三) 分发给参与应急响应工作的所有人员,并对其进行培训;(四) 在每次修订后所有拷贝统一更新,并保留一套存档,以备查阅;(五) 旧版本应按有关规定销毁。第四十二条 为了保证应急预案的有效性,应从以下方面对应急预案文档进行严格的维护:(一) 业务流程的变化、信息系统的变更、人员的变更都应在应急预案文档中及时反映;
16、(二) 应急响应预案在信息安全事件发生后实际执行时,其过程应有详细的记录,并应对执行的效果进行评估,同时对应急响应计划文档进行相应的修订;(三) 应急响应预案文档应定期评审和修订,至少每年一次。附 则第四十三条 本办法由技术部安全工作组负责解释和修订。第四十四条 本办法自发布之日起执行。附件1 公司技术部安全事件应急响应人员职责清单序号姓名部门/单位职责联系电话1附件2 公司基础设施供应商联络清单序号供应商名称支持对象联系人联系电话电子邮件登记人附件3 公司应用系统供应商联络清单序号供应商名称所属应用系统联系人联系电话电子邮件登记人附件4 公司应急响应事件处理记录事件报告人发现时间联系方式事件等级事件现象事件影响范围事件处理办法事件处理人处理时间事件处理结果安全管理员签字日期
