农村商业银行信息安全事件管理办法.docx

1、农村商业银行信息安全事件管理办法信息安全事件管理办法总行科技管理部目录第一章 总 则 2第二章 信息安全事件的范围 2第三章 信息安全事件的监控和处理 3第四章 信息安全事件监督和总结管理 5第五章 附 则 5第六章 附件 6附件1：信息安全事件分类 6附件2：信息安全事件分级 81. 特别重大事件（级） 82. 重大事件（级） 83. 较大事件（级） 84. 一般事件（级） 9附件3：信息安全事件说明 101. 有害程序事件（MI） 102. 网络攻击事件（NAI） 113. 信息破坏事件（IDI） 124. 信息内容安全事件（ICSI） 135. 设备设施安全功能故障（FF） 136. 其

2、它事件（OI）：所有不能归为以上基本分类的信息安全事件。 14附件:4：信息安全违法事件基本取证原则 151. 目标 152. 原则 153. 方法 15第一章 总 则第一条 目的：为加强农村商业银行（以下简称“我行”）全行信息系统安全事件的管理，提高信息系统安全事件管理的制度化、规范化水平，及时掌握全行网络和信息系统安全状况，为协调组织相关力量进行信息系统安全事件的应急响应处理奠定基础，降低信息安全事件带来的损失和影响，保障全行网络和信息系统安全稳定运行，特订定本管理办法。第二条 依据：本管理办法根据农村商业银行信息安全管理策略制订。第三条 范围：本办法适用于全行信息系统。第四条 定义：信息

3、安全事件是指对任何信息技术资源合法使用、操作造成威胁的事件，或对信息技术资源具有潜在危险的任何一种情况。第五条 总部科技管理部负责信息安全事件的接报、汇总、通报和处置工作。科技管理部总经理负责信息安全事件协调，科技管理组安全合规岗位配合。第二章 信息安全事件的范围第六条 银行信息安全事件包括，但不限于：(一) 系统感染计算机病毒。(二) 银行网络遭遇外部入侵或攻击。(三) 内部人员、承包方人员和第三方人员利用银行网络进行破坏。(四) 信息系统敏感数据泄露或失窃。(五) 银行数据处理设备失窃。第七条 符合以下条件之一的信息安全事件必须报告上级主管单位：(一) 导致计算机重要信息系统中断或运行不正

4、常超过30分钟。(二) 严重威胁银行资金、信誉安全。(三) 因计算机安全事件造成银行不能正常运营，且影响范围超过一个县级行政区域。第三章 信息安全事件的监控和处理第八条 安全事件管理分为安全事件监控和安全事件处理。安全事件监控完成对安全事件迹象的检测和分析，发现和报告安全事件的存在。安全事件处理是对被发现的安全事件的响应处理过程，包括四个主要阶段：控制、证据收集、根除与恢复以及事后分析。第九条 安全事件监控包括信息安全事件监测、预测和预警，应按照“早发现、早报告、早处置”的原则，加强对各类信息安全事件和可能引发信息安全事件的有关信息的收集、分析判断和持续监测。第一十条 员工发现银行发生信息安全

5、事件后，需向信息安全事件协调员报告，确认故障情况，确认故障处理时间，准确定性故障级别，如果不能联系上信息安全事件协调员，则向代理信息安全事件协调员报告。第一十一条 生产运行环境出现的安全事件按照信息系统应急预案执行。第一十二条 信息安全事件协调员接到报告后，需立即采取措施控制事态，如断开受病毒感染的系统的网络连接，及时通知科技管理组和用户部门负责人，协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应用系统日志等，以备检查。第一十三条 信息安全事件协调员根据事态发展，协调科技管理部相关科室进行事件处理和平息，并及时向IT部门总经理报告事件发展情况。根据本文附件信息安全事件分类分

6、级相关内容，如果安全事件属I级或II级，IT部门总经理需向分管行长、总行IT上一级主管部门及负责人汇报事件的控制状况。第一十四条 信息安全事件协调员在事发24小时内，向科技管理组提交信息安全事件报告，填写信息安全事件报告，信息安全事件报告包括以下内容：(一) 信息安全事件发生的时间、地点、单位、单位负责人和联系方式。(二) 信息安全事件的类别、涉及软硬件系统的情况和事件发生的过程。(三) 信息安全事件造成的后果和影响范围。(四) 信息安全事件发生的根本原因。(五) 责任人或涉案人员。(六) 信息安全事件发生后采取的应急措施。(七) 未来的防范措施。第一十五条 参见常见信息安全事件的恢复策略。第

7、四章 信息安全事件监督和总结管理第一十六条 为预防同样信息安全事件的再次发生，总部科技管理部安全合规岗应按农村商业银行信息科技风险管理办法的规定，不定期进行抽查，对各项制度、计划、方案、人员和物资等方面进行验证。对于发现的安全弱点应及时上报科技管理部相关负责人。对未有效落实事件处理方案及预防措施和有关规定的内部人员进行通报批评。对于承包方或第三方服务商产生的安全弱点通报其项目负责人，并督促其限时整改，逾期未整改完成的将按照相关外包管理规定对其所在公司进行处罚直至终止合同。第一十七条 科技管理部人员、承包方人员、第三方服务商人员、驻厂服务人员等科技管理部范围内人员，有义务对发现的安全弱点及时上报

8、相应科技管理部小组负责人。相关小组对发现的安全弱点应及时进行整改处理，避免信息安全事件的发生。第一十八条 总部科技管理部应将信息安全事件的应急管理和工作流程等作为信息安全风险培训的内容，增强信息安全事件处置工作中的组织能力。第五章 附 则第一十九条 本管理办法由农村商业银行科技管理部负责解释和修订。第二十条 本管理办法自发布之日起施行。第六章 附件附件1：信息安全事件分类信息安全事件说明有害程序事件计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件混合攻击程序事件网页内嵌恶意代码事件其它有害程序事件网络攻击事件拒绝服务攻击事件后门攻击事件网络扫描窃听事件网络钓鱼事件干扰事件其它网络攻击事件信息破

9、坏事件信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丢失事件其它信息破坏事件信息内容安全事件违反宪法和法律、行政法规的信息安全事件针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件组织串联、煽动集会游行的信息安全事件其它信息内容安全事件设备设施安全功能故障软硬件安全功能故障安全设备设施故障人为破坏事件附件2：信息安全事件分级 参照商业银行业务连续性监管指引、信息安全技术 信息安全事件分类分级指南 GB/Z 209862007信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。 1. 特别重大事件（级） 特别

10、重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况： 1) 由于重要信息系统服务中断或重要数据损毁、丢失、泄露，造成经济秩序混乱或重大经济损失、影响金融稳定的，或对公众利益造成特别严重损害的突发事件；2) 由于重要信息系统服务异常，在业务服务时段导致本行两个(含)以上省(自治区、直辖市)业务无法正常开展达3个小时(含)以上，或一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的特别重大事件；3) 业务服务时段以外，重要信息系统出现的故障或事件救治未果，可能产生上述1至2类的特别重大事件。2. 重大事件（级） 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情

11、况： 1) 由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对本行或客户利益造成严重损害的突发事件；2) 由于重要信息系统服务异常，在业务服务时段导致本行两个(含)以上省(自治区、直辖市)业务无法正常开展达半小时(含)以上，或一个省(自治区、直辖市)业务无法正常开展达3个小时(含)以上的重大事件；3) 业务服务时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1至2类的重大事件。3. 较大事件（级） 较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况： 1) 由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对本行或客户利益造成较大损害的突发事件；2) 由于重要信

12、息系统服务异常，在业务服务时段导致本行一个省(自治区、直辖市)业务无法正常开展达半小时(含)以上的较大事件；3) 业务服务时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1至2类的较大事件。4. 一般事件（级） 一般事件是指不满足以上条件的信息安全事件，包括以下情况： 1) 会使重要信息系统服务中断或重要数据损毁、丢失、泄露遭受较小的损失、或使重要信息系统遭受较小的系统损失，一般信息系统遭受严重或严重以下级别的系统损失； 2) 产生一般的社会影响。附件3：信息安全事件说明1. 有害程序事件（MI）1) 计算机病毒事件（CVI）：蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导

13、致的信息安全事件，计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制。2) 蠕虫病毒（WI）：蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序。3) 特洛伊木马事件（THI）：蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能。4) 僵尸网络事件（BI）：利用僵尸工具软件，形成僵尸网络而导致的

14、信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序。5) 混合攻击程序事件（BA。I）：蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等。6) 网页内嵌恶意代码事件（WBPI）：蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意

15、代码是指内嵌在网页中，未经允许有浏览器执行，影响信息系统正常运行的有害程序。7) 其他有害程序事件（OMI）：不能包含在以上6个子类之中的有害程序事件。2. 网络攻击事件（NAI）1) 拒绝服务攻击事件（DOSAI）：利用信息系统缺陷，或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。2) 后门攻击事件（BDAI）：利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件。3) 漏洞攻击事件（VAI）：除拒绝服务攻击事件和后门攻击时间之外，利用信息系统配置缺陷、协议缺陷、程

16、序缺陷等漏洞，对信息系统实施攻击的信息安全事件。4) 网络扫描窃听事件（NSEI）：利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件。5) 网络钓鱼事件（PI）：利用欺骗性的计算机网络技术，使用户泄露重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行账号密码等。6) 干扰事件（II）：通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件。7) 其他网络攻击事件（ONAI）：不能被包含在以上6个子类之中的网络攻击事件。3. 信息破坏事件（IDI）1) 信息篡改事件（IAI

17、）：XX将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件。2) 信息假冒事件（IMI）：指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件。3) 信息窃取事件（III）：XX用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件。4) 信息丢失事件（ILOI）：因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件。5) 其它信息破坏事件（OIDI）：不能被包含在以上5个子类之中的信息安全破坏事件。4. 信息内容安全事件（ICSI）1) 违反宪法和法律、行政法规的信息安全事

18、件。2) 针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件。3) 组织串连、煽动集会游行的信息安全事件。4) 其他信息内容安全事件。5. 设备设施安全功能故障（FF）1) 软硬件安全功能故障（SHSF）：因信息系统中软硬件设备的安全功能故障而导致的信息安全事件，比如系统访问控制功能失效而导致信息的非授权访问。2) 安全设备故障（SSHF）：因信息系统中安全设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件。3) 人为破坏事故（MDA）：指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件。或由于人为的遗失

19、、误操作以及其它无意行为造成信息系统硬件、软件等遭到破坏，影像信息系统正常运行的信息安全事件。4) 其他设备设施故障（IF-OT）：不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。6. 其它事件（OI）：所有不能归为以上基本分类的信息安全事件。附件:4：信息安全违法事件基本取证原则1. 目标使调查的结果能够经受法庭的检查。2. 原则1) 应该从一开始就把计算机作为物证对待，在不对原有无证进行任何改动或损坏的前提下获取证据；2) 证明你所获取的证据和原有的数据是相同的；3) 在不改动数据的前提下对其进行分析；4) 务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因；5) 信息安全员应遵循证据链的原则进行取证。3. 方法采用证据链的方法，其所指的是证据介质从最初的采集，到运输、使用、中间的保管及最后的存放归档，都要有明确记录、职责归属，以确保原本的证据介质完全没有任何机会被影响和破坏，证据链应显示：1) 谁获得了证据；2) 证据是什么；3) 什么时间和地点获得的证据；4) 谁保护了证据；5) 谁控制或占用了证据。传统工具包括：1) 记录本，用于对证据收集过程进行记录以协助调查员对调查过程的记忆，不能用做法庭证据；2) 容器，用于对证据进行封装和保护的容器；3) 照相机，用于现场拍照记录；4) 证据标签，用于对证据进行标注。