您的位置:360文档中心› 北京市国家机关信息安全事件定级指南

北京市国家机关信息安全事件定级指南

北京市国家机关信息安全事件定级指南
北京市国家机关信息安全事件定级指南

北京市国家机关信息安全事件定级指南(试行)目录

1 引言 (1)

2 信息安全事件定义 (1)

3 信息安全事件分级 (1)

3.1 分级参考要素 (1)

3.2 事件的分级描述 (1)

3.3 分级规范 (2)

4 信息安全事件分类 (3)

4.1 分类参考要素 (3)

4.2 分类规范 (3)

5 信息安全事件定级、分类的流程与方法 (10)

5.1 事件定级分类的特点 (10)

5.2 定级流程与方法 (10)

5.3 分类流程与方法 (11)

附件1:信息安全事件报告表 (14)

附件2:信息安全事件处理结果报告表 (15)

1 引言

为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的要求和2004年1月全国信息安全保障工作会议精神,依据《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》(京办发[2004]3号)关于进一步完善信息安全政策法规和标准体系的工作部署,市信息办组织制定了《北京市国家机关重大信息安全事件报告制度》(试行),该制度已于2004年8月1日起正式实施。为配合该制度实施和北京市国家机关信息安全应急响应其他工作的开展,需要对信息安全事件进行科学地定级和分类。

《北京市国家机关信息安全事件定级指南》对信息安全事件定义,信息安全事件分级、分类规范,信息安全事件定级、分类方法及流程等进行了系统的阐述。

本指南适用于事发单位、信息安全管理部门及信息安全事件调查部门对信息安全事件的定级和分类。

2 信息安全事件定义

信息安全事件是指对计算机系统或网络系统的可用性、完整性、保密性、真实性、可核查性和可靠性造成危害的事件,或者是在计算机系统或网络系统中发生的对社会造成负面影响的其他事件。

信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。

信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。

3 信息安全事件分级

对信息安全事件分级是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。

本章在明确信息安全事件分级要素的基础上,给出信息安全事件的分级规范。

3.1 分级参考要素

信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下:

(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素;

(2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素;

(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素;

(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

3.2 事件的分级描述

根据信息安全事件所造成后果的严重程度,信息安全事件可划分为5个等级。其中1级危害程度最高,5级危害程度最低。

各级别的信息安全事件具体描述如下:

1级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏,对社会稳定和国家安全产生灾难性的危害;

2级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社

会公共利益有极其严重的影响或破坏,对社会稳定、国家安全造成严重危害;

3级:本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏,对社会稳定、国家安全产生一定危害;

4级:本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏;

5级:本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小。

3级和3级以上的信息安全事件称为重大信息安全事件。

3.3 分级规范

3.3.1 信息密级

根据《中华人民共和国保守国家秘密法》规定,国家秘密的密级分为“绝密”、“机密”、“秘密”三个等级。“绝密”是最重要的国家秘密,泄露会使国家的安全和利益遭受非常严重的损害;“机密”是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害;“秘密”是一般的国家秘密,泄露会使国家的安全和利益遭受损害。同时单位的工作秘密、单位的敏感信息和个人隐私的泄漏也会造成不同程度的影响和损害。

综合以上方面,信息密级分级规范如表3-1所示。

表3-1信息密级分级规范

级别信息密级

1级明确标注有“绝密”的信息失窃或泄密

2级明确标注有“机密”的信息失窃或泄密

3级明确标注有“秘密”的信息失窃或泄密

4级本单位的工作秘密信息失窃或泄密

5级本单位敏感信息或个人隐私信息的失窃或泄密

加密机等保密设备失窃的信息安全事件请参照表3-1中相应密级信息失窃或泄密信息安全事件处理。

3.3.2 公众影响

依据信息安全事件的公众影响,对信息安全事件分级主要参

考信息安全事件负面影响的范围和程度进行划分。分级结果

如表3-2所示。

表3-2公众影响分级规范

发生时间

敏感时期[1]平常时期[2]影响范围和程度

对国家安全造成影响的信息安全事件1~2级2~3级

对社会稳定造成影响的信息安全事件1~2级2~3级

对事发单位的正常工作秩序、单位的形象和声誉等

3~4级4级

造成影响的信息安全事件

只对事发单位部分人员的正常工作秩序造成影响的

4~5级5级

信息安全事件

[1] 敏感时期是指国家或北京市举行重大活动期间、重大节假日期间或重大政治事件、重大历史事件的发生日等特殊时期。

[2] 平常时期是指除敏感时期以外的时期。

3.3.3 业务影响

根据信息安全事件的业务影响,对信息安全事件分级主要涉及信息系统的安全等级和业务中断的时间两个因素。这里信息系统的安全等级引用《关于本市各级党政机关网络与信息系统开展安全等级保护工作的通知》和《北京市党政机关网络与信息系统安全定级指南(试行)》中信息系统安全等级的概念。业务影响参考要素分级规范如表3-3所示。

表3-3业务影响分级规范

中断时间

信息系统安全等级4小时以内

4小时(含)以上,

8小时以内

8小时(含)以上

52~3级1~2级1~2级

42~3级1~2级1~2级

33~4级2~3级1~2级

24~5级3~4级3级

15级4~5级3~4级3.3.4 资产损失

根据信息安全事件所造成的资产损失,对信息安全事件的分级结果如表3-4所示。

表3-4资产损失分级规范

级别合计资产损失(人民币)

1级1000万元(含)以上

2级300万元(含)~1000万元之间

3级50万(含)~300万元之间

4级5万元(含)~50万元之间

5级5万元以下

4 信息安全事件分类

对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的重要依据。

本章在明确信息安全事件分类参考要素的基础上,依据分类参考要素给出信息安全事件的分类规范。

4.1 分类参考要素

信息安全事件分类的参考要素包括信息安全事件行为、信息安全事件客体、信息安全事件主体和信息安全事件发生频度等。

4.2 分类规范

依据分类参考要素,信息安全事件可分为环境灾害、常规事故、内容异常、网络或系统异常和其他事件等5个第一层分

类,在此基础上,信息安全事件又细分成若干个第二层和第三层分类,具体类别参见表4-1。

表4-1 信息安全事件分类规范

第一层

分类

第二层分类第三层分类

环境灾害

自然灾害

水灾

地震灾害

地质灾害

气象灾害

自然火灾

其他自然灾害

人为灾害

人为火灾

恐怖袭击

战争

其他人为灾害外围保障设施

故障

电力故障

外围网络故障

其他外围保障设施故障

常规事故有意事故

硬件窃取

软件窃取

数据窃取

故意破坏硬件设备故意破坏软件

故意破坏数据

其他有意事故

无意事故

硬件设备遗失

软件遗失

数据遗失

误操作破坏硬件误操作破坏软件误操作破坏数据其他无意事故

软硬件自身故障

软件自身故障

硬件自身故障

内容异常反动内容

通过邮件传播反动信息

网页被篡改为反动页面

通过网页传播反动信息

通过其他方式传播反动信息色情内容

通过邮件传播色情信息

网页被篡改为色情页面

通过网页传播色情信息

通过其他方式传播色情信息敏感内容

通过邮件传播敏感信息

通过网页传播敏感信息通过其他方式传播敏感信息

其他异常内容

垃圾邮件

网页被篡改成异常信息通过网页传播其他异常信息

通过其他方式传播异常信息

网络或系统异常计算机病毒

传统计算机病毒

邮件病毒

脚本病毒

蠕虫病毒

木马程序

其他计算机病毒间接攻击

扫描探测

网络监听

口令攻击

网络社交攻击

其他方式间接攻击直接攻击

拒绝服务攻击

后门攻击

漏洞攻击

其他方式直接攻击

其他事

不能归为以上四个第一层分类的信息安全事件

4.2.1 环境灾害

环境灾害类别是指对计算机系统或网络系统的自身运行环境或外围保障条件造成影响而导致的信息安全事件。

环境灾害类别包括自然灾害、人为灾害和外围保障设施故障等三个第二层分类。

4.2.1.1 自然灾害

自然灾害类别是指由于自然灾害对计算机系统或网络系统造成物理破坏而导致的信息安全事件。

自然灾害类别的信息安全事件根据成因的不同又可以分为水灾、地震灾害、地质灾害、气象灾害、自然火灾和其他自然灾害等第三层分类,各第三层分类的描述如表4-2所示。

表4-2 自然灾害类别

类别说明

水灾由暴雨、洪涝灾害等自然因素而导致的信息安全事件

地震灾害由地震而导致的信息安全事件

地质灾害由地质或建筑设计不合理等因素造成的坍塌事故而导致的信息安全事件

气象灾害由雷击等气象灾害而导致的信息安全事件

自然火灾由电力线路老化和易燃易爆物自然氧化等非人为因素引起的火灾而导致的信息安全事件

其他自然灾害由于除以上五类因素之外的自然灾害因素而导致的信息安全事件

4.2.1.2 人为灾害

人为灾害类别是指由于人为因素对事发单位计算机系统或网络系统造成破坏而导致的信息安全事件。

根据成因的不同,人为灾害类别的信息安全事件可分为人为火灾、恐怖袭击、战争及其他人为灾害等第三层分类,各第三层分类的描述如表4-3所示。

表4-3 人为灾害类别

类别说明

人为火灾人为纵火或人为失火而导致的信息安全事件

恐怖袭击由汽车炸弹、人体炸弹、施放毒气等恐怖活动而导致的信息安全事件

战争由战争因素而导致的信息安全事件

其他人为灾害由以上三类因素之外的人为灾害因素而导致的信息安全事件

4.2.1.3 外围保障设施故障

外围保障设施故障类别是指由于保障事发单位计算机系统或网络系统正常运行所必须的外部设施出现故障而导致的信息安全事件。

根据成因的不同,外围故障设施类别的信息安全事件可分为电力故障、外围网络故障及其他外围保障设施故障等第三层分类,各第三层分类的描述如表4-4所示。

表4-4 外围保障设施故障类别

说明

电力故障由于供电线路、供电设备出现故障或供电调配的原因而导致的信息安全事件

外围网络故障事发单位自身计算机系统和网络系统正常,但由于保障该单位信息系统正常工作的外围网络传输信道出现故障而导致该单位信息系统无法对外正常服务的信息安全事件,例如因施工切断光缆或非法偷盗光缆而导致信息安全事件

其他外围保障设施故障事发单位自身计算机系统和网络系统正常,但由于保障该单位信息系统正常工作的除电力系统、外围网络之外的外围保障设施的故障而导致该单位信息系统无法对外正常服务的信息安全事件,如:DNS服务器、CA 服务器等故障

4.2.2 常规事故

常规事故类别指因为使用常规手段人为地对硬件、软件、数据造成危害,或者由于软硬件自然故障而导致的信息安全事件。这里的常规手段特指网络技术之外的常规手段。根据事件行为动机或原因,常规事件类别可以进一步分为有意事故、无意事故和软硬件故障等三个第二层分类。

4.2.2.1 有意事故

有意事故类别是指蓄意对保障计算机系统或网络系统正常运行的硬件、软件及数据等实施窃取、破坏造成的信息安全事件。

根据事件行为的不同,有意事故类别的信息安全事件可分为硬件窃取、软件窃取、数据窃取、故意破坏硬件设备、故意破坏软件、故意破坏数据及其他有意造成的事故等第三层分类,各第三层分类的描述如表4-5所示。

表4-5 有意事故类别

类别

说明

硬件窃取窃取计算机系统、计算机部件、网络设备、信息安全设备等硬件的信息安全事件

软件窃取因非法复制软件或窃取软件存储介质等导致的信息安全事件

数据窃取因非法复制重要数据或窃取重要数据信息存储介质等导致的信息安全事件

故意破坏硬件设备蓄意破坏计算机系统、计算机部件、网络设备、信息安全设备等,造成硬件设备物理损坏的信息安全事件

故意破坏软件通过非法删除、篡改等方式蓄意破坏支撑信息系统正常运行的操作系统、数据库系统、应用业务系统等相关软件系统,导致信息系统无法正常运行的信息安全事件

故意破坏数据非法删除、篡改信息系统中重要数据,导致信息系统无法正常运行的信息安全事件

其他有意事故除以上六类情况之外的其他蓄意行为导致的信息安全事件

4.2.2.2 无意事故

无意事故类别是指由于遗失、误操作以及其他无意行为造成的,影响计算机系统或网络系统正常运行的信息安全事件。

根据事件行为的不同,无意事故类别的信息安全事件可分为硬件设备遗失、软件遗失、数据遗失、误操作破坏硬件、误操作破坏软件、误操作破坏数据及其他无意造成的事故等第三层分类。各第三层分类的描述如表4-6所示。

表4-6 无意事故类别

类别

说明

硬件设备遗失与信息系统正常运行和使用相关的计算机系统、计算机部件、网络设备、信息安全设备等硬件丢失的信息安全事件

软件遗失由于与信息系统正常运行和使用相关的软件遗失而导致的信息安全事件

数据遗失因信息系统中重要数据信息遗失而导致的信息安全事件

误操作破坏硬

件因误操作造成与信息系统正常运行和使用相关的计算机系统、计算机部件、网络设备、信息安全设备等硬件损坏而导致的信息安全事件

误操作破坏软

件因误操作造成与信息系统正常运行和使用相关的软件系统损坏而导致的信息安全事件

误操作破坏数

因误操作造成信息系统重要数据信息损坏的信息安全事件

其他无意事故以上六种情况之外的人为失误而造成的信息安全事件

4.2.2.3软硬件自身故障

软硬件自身故障类别是指因信息系统中硬件设备的自然故障、软硬件设计或者软硬件运行环境发生变化等原因而导致的信息安全事件。软硬件自身故障类别分为软件自身故障和硬件自身故障两个第三层分类,各第三层分类描述如表4-7。

表4-7 软硬件自身故障类别

类别

说明

软件自身故障由于软件设计存在漏洞或软件系统运行环境发生变化等原因而导致软件运行不正常的信息安全事件

硬件自身故障由于硬件设计不合理、硬件自然老化失效等原因引起硬件设备故障而导

致信息系统不能正常运行的信息安全事件

4.2.3 内容异常

内容异常类别是指因制造、传播异常内容信息而导致的信息安全事件,异常内容信息是指对人们身心健康、事发单位声誉、社会稳定或国家安全等具有负面影响的数据信息。内容异常类别包括反动内容、色情内容、敏感内容及其他异常内容等第二层分类。

4.2.3.1 反动内容

反动内容是指煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;煽动民族仇恨、民族歧视,破坏民族团结;组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施等损害国家根本利益的信息。

反动内容类别是指通过计算机系统或网络系统传播反动信息的信息安全事件。

根据传播途径的不同,反动内容类别的信息安全事件可分为通过邮件传播反动信息、网页被篡改为反动页面、通过网页传播反动信息或以其他方式传播反动信息等第三层分类,各第三层分类的描述如表4-8所示。

表4-8 反动内容类别

类别

说明

通过邮件传播

反动信息

利用电子邮件传播反动内容的信息安全事件

网页被篡改为反动页面未经授权将网站中的网页更换为攻击者所提供的、包含反动信息的网页的信息安全事件

通过网页传播反动信息通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传播反动信息的信息安全事件

通过其他方式

传播反动信息

通过除电子邮件、网页以外的其他方式传播反动信息的事件4.2.3.2 色情内容

色情内容类别是指通过计算机系统或网络系统传播色情信息的信息安全事件。

根据传播途径的不同,色情内容类别的信息安全事件可分为通过邮件传播色情信息、网页被篡改为色情页面、通过网页传播色情信息或以其他方式传播色情信息等第三层分类,各第三层分类的描述如表4-9所示。

表4-9 色情内容类别

类别

说明

通过邮件传播

色情信息

利用电子邮件传播色情内容的信息安全事件

网页被篡改为色情页面未经授权将网站中的网页更换为攻击者所提供的、包含色情内容的网页的信息安全事件

通过网页传播色情信息通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传播色情信息的信息安全事件

通过其他方式

传播色情信息

通过除电子邮件、网页以外的其他方式传播色情信息的事件

4.2.3.3 敏感内容

敏感信息是指可能引起公众不满情绪的内容信息。

敏感内容类别是指通过计算机系统或网络系统传播敏感信息的信息安全事件。

根据传播途径的不同,敏感内容类别的信息安全事件可分为通过邮件传播敏感信息、通过网页传播敏感信息或以其他方式传播敏感信息等第三层分类,各第三层分类的描述如表4-10所示。

表4-10 敏感内容类别

类别

说明

通过邮件传播

敏感信息

利用电子邮件传播敏感信息的信息安全事件

通过网页传播通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传

敏感信息

播敏感信息的信息安全事件

通过其他方式

传播敏感信息

通过除电子邮件、网页以外的其他方式传播敏感信息的事件

4.2.3.4 其他异常内容

其他异常内容类别是指通过计算机系统或网络系统传播除反动信息、色情信息和敏感信息之外的异常信息的信息安全事件。

根据传播途径的不同,其他异常内容类别的信息安全事件可分为垃圾邮件、网页被篡改为其他异常信息、通过网页传播其他异常信息或以其他方式传播异常信息等第三层分类,各第三层分类的描述如表4-11所示。

表4-11 其他异常内容类别

类别

说明

垃圾邮件因在互联网上大量复制并发送内容相同、收件人不愿意接收的电子邮件而导致的信息安全事件

网页被篡改成异常信息未经授权将网站中的网页更换为攻击者所提供的、包含除反动信息、色情信息、敏感信息以外其他异常内容的网页的信息安全事件

通过网页传播其他异常信息通过非法架设网站、开启论坛,或利用职务之便在所管辖的服务器上传播如赌博、暴力等其他异常信息的信息安全事件

通过其他方式传播异常信息以邮件和网页以外的其他方式,传播除反动信息、色情信息、敏感信息以外的其他异常信息的信息安全事件

4.2.4 网络或系统异常

网络或系统异常类别是指通过网络或其他手段,使用暴力攻击或利用计算机系统或网络系统的配置缺陷、协议缺陷、程序缺陷对计算机系统或网络系统实施攻击而导致的信息安全事件。

网络或系统异常类别的信息安全事件可分为计算机病毒、间接攻击和直接攻击等三个第二层分类。

4.2.4.1 计算机病毒

计算机病毒类别是指蓄意制造、传播计算机病毒或因受到计算机病毒影响而导致的信息安全事件。

计算机病毒类别的信息安全事件可以分为传统计算机病毒、邮件病毒、脚本病毒、蠕虫病毒、木马程序和其他计算机病毒等第三层分类,各第三层分类的描述如表4-12所示。

表4-12计算机病毒类别

类别

说明

传统计算机病毒由于制造、传播或因受到传统计算机病毒影响而导致的信息安全事件,其中传统计算机病毒特指不能通过电子邮件、网站页面等常见互联网服务进行直接传播和感染的计算机病毒

邮件病毒由于制造、传播或因受到邮件病毒影响而导致的信息安全事件,其中邮件病毒是指通过电子邮件方式进行传播和感染的计算机病毒

脚本病毒由于制造、传播或因受到脚本病毒影响而导致的信息安全事件,其中脚本病毒是指通过JavaScript、VBScript、ActiveX等网页脚本语言方式进行传播和感染的计算机病毒

蠕虫病毒由于制造、传播或因受到蠕虫病毒影响而导致的信息安全事件,其中蠕虫病毒特指除邮件病毒以外,利用网络系统或计算机系统缺陷,通过网络自动传播的计算机病毒

木马程序由于制造、传播或因受到木马程序影响而导致的信息安全事件

其他计算机病毒由于制造、传播或因受到不能归为以上类别的计算机病毒影响而导致的信息安全事件

4.2.4.2 间接攻击

间接攻击类别是指除属常规事故类别和计算机病毒类别以外的,以获取计算机系统或网络系统配置、账号、口令、服务等重要信息为主要目的,对计算机系统或网络系统当前运行造成潜在危害的信息安全事件。

根据实施途径的不同,间接攻击类别的信息安全事件可分为扫描探测、网络监听、口令

攻击、网络社交攻击和其他方式间接攻击等第三层分类,各第三层分类的描述如表4-13所示。

表4-13间接攻击类别

类别

说明

扫描探测通过网络扫描的手段获取重要信息的信息安全事件

网络监听通过监听的手段获取重要信息的信息安全事件

口令攻击利用口令攻击软件或程序,通过暴力猜测口令的方式获取口令信息的信息安全事件

网络社交攻击因在网络聊天室、网络虚拟社区、电子论坛等互联网虚拟场所骗取重要信息而导致的信息安全事件

其他方式间接攻

通过其他方式非法获取重要信息的信息安全事件

4.2.4.3 直接攻击

直接攻击是指除属计算机病毒类别以外的,通过网络或其他途径,利用计算机系统或网络系统的配置缺陷、协议缺陷、程序缺陷或使用暴力对计算机系统或网络系统实施攻击,并造成计算机系统或网络系统异常的信息安全事件。

根据实施途径的不同,直接攻击类别的信息安全事件可分为拒绝服务攻击、后门攻击、漏洞攻击及其他方式恶意攻击等第三层分类,各第三层分类的描述如表4-14所示。

表4-14直接攻击类别

类别

说明

拒绝服务攻击利用计算机系统或网络系统缺陷、或通过暴力的手段,以大量消耗计算机系统或网络系统的CPU、内存、磁盘空间或网络带宽等资源为目标的信息安全事件

后门攻击利用软件系统、硬件系统设计过程中留下的后门而对信息系统实施攻击的信息安全事件

漏洞攻击除拒绝服务攻击、后门攻击之外的,利用计算机系统或网络系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击而导致的信

信息安全管理方案计划经过流程

信息安全管理流程说明书 (S-I)

信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。

5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。

信息安全事件应急处理报告实用模板.docx

叮叮小文库 XX单位 信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录 一、概述 (1) 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1应急处理服务委托协议 (2) 1.4.2基础标准与法律文件 (2) 1.4.3参考文件 (2) 二、应急处理服务流程 (3) 三、应急处理服务内容和方法 (5) 3.1准备阶段 (5) 3.1.1准备阶段工作流程 (5) 3.1.2准备阶段处理过程 (5) 3.1.3准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2检测阶段处理过程 (7) 3.2.3检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1抑制阶段工作流程 (9) 3.3.2抑制阶段处理过程 (9) 3.3.3抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1根除阶段工作流程 (11) 3.4.2根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1恢复阶段工作流程 (13) 3.5.2恢复阶段处理过程 (13) 3.5.3恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1总结阶段工作流程 (14) 3.6.2总结阶段现场记录表 (15) 四、结论与建议 (16)

信息安全事件应急处理报告 应急处理单位 XX单位 委托单位 服务类别委托应急处理 受理日期2017 年 X 月 XX日处理日期2017 年 X 月 XX日服务成员监督人 处理结论: 通过本次应急处理服务,解决了XX单位存在的网站漏洞,修补后,经测试有效。 建议委托单位针对报告中提出的建议,增强安全控制措施,切实提高信息安全 水平,降低相关风险。 XX公司 2017 年 X 月 XX 日 批准人: 应急处理服务人员: 审核人:

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、潜江新闻网信息系统描述 (一)该信息系统于年月由潜江新闻网自主研发。目前该系统由潜江新闻网技术部负责运行维护。潜江市委宣传部是该信息系统的主管部门,潜江新闻网为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备,设施构成的,是按照一定的应用目标和新闻信息进行采集,加工,存储,发布,检索等处理的人机系统。同时在潜江新闻网技术部建立了独立机房,数据中心的核心设备部署了交换机,配置了两台与外部网络互联的浪潮服务器、专业级防火墙和路由器等…… (三)该信息系统业务主要包含:新闻发布,采集系统,网友报料,论坛,视频发布系统等模块功能。 二、信息系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 、业务信息描述 潜江新闻网新闻信息系统主要以发布潜江市域内对内外宣传新闻,发布潜江市各项政府公告及政策,收集网上百姓心声等各项信息业务。 、业务信息受到破坏时所侵害客体的确定

侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵,修改,增加,删除等不明侵害(形式可以包括丢失,破坏,损坏等),会对公民,法人和其他组织的合法权益造成影响和损害,可以表现为:影响正常工作的开展,导致社公不安,造成不良影响,引起法律纠纷等. 、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度,确定业务信息安全等级。 (二)系统服务安全保护等级的确定 、系统服务描述 描述信息系统的服务范围、服务对象等。 、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么,即对三个客体(国家安全;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。 、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。 、系统服务安全等级的确定

信息安全事故管理办法

信息安全事故管理办法 第一章总则 第一条目的:为加强公司信息系统安全事故的管理,提高信息系统安全事故管理的制度化、规范化水平,及时掌握全行网络和信息系统安全状况,为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础,降低信息安全事故带来的损失和影响,保障全行网络和信息系统安全稳定运行,特订定本管理办法。 第二条依据:本管理办法根据《公司信息安全管理策略》制订。 第三条范围:本办法适用于全公司信息系统。 第四条定义:信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件,或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员,并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括,但不限于: (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。

第七条符合以下条件之一的信息安全事故必须报告: (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营,且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析,发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程,包括四个主要阶段:控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警,应按照“早发现、早报告、早处置”的原则,加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后,需向信息安全事故协调员报告,确认故障情况,确认故障处理时间,准确定性故障级别,如果不能联系上信息安全事故协调员,则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后,需立即采取措施控制事态,如断开受病毒感染的系统的网络连接,及时通知DXC安全科和用户部门负责人,协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应

信息安全事件管理程序.docx

信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针; ? 确定信息安全管理组织架构、角色和职责划分; ? 负责信息安全小组之间的协调,内部和外部的沟通; ? 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略; ? 组织安全管理技术责任人进行风险评估; ? 组织安全管理技术责任人制定信息安全改进建议和控制措施; ? 编写风险改进计划; 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控; ? 信息安全风险评估;

? 确定信息安全控制措施; ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的,均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的,属于重大信息安全事件。 a) 组织机密泄露; b) 导致业务中断十小时以上; c) 造成机房设备毁灭的火灾; d) 损失在十万元人民币(含)以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求,确认代码管理相关信息系统的安全需求; ? 对代码管理相关信息系统进行信息安全风险评估,预测风险类型、

信息安全事件应急处理报告模板

XX单位 信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录 一、概述 (1) 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1 应急处理服务委托协议 (2) 1.4.2 基础标准与法律文件 (2) 1.4.3 参考文件 (2) 二、应急处理服务流程 (3) 三、应急处理服务内容和方法 (5) 3.1准备阶段 (5) 3.1.1 准备阶段工作流程 (5) 3.1.2 准备阶段处理过程 (5) 3.1.3 准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2 检测阶段处理过程 (7) 3.2.3 检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1 抑制阶段工作流程 (9) 3.3.2 抑制阶段处理过程 (9)

3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15) 四、结论与建议 (16)

信息安全事件应急处理报告 XX公司 2017年X月XX 日批准人: 应急处理服务人员: 审核人:

一、概述 1.1 应急处理服务背景 XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX单位网站服务器发现存在恶意文件,直接威胁网站的正常运营与使用,XX单位立即拨通XX公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。 1.2 应急处理服务目的 尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。 1.3 应急处理服务范围

《信息系统安全等级保护定级报告》.doc

《信息系统安全等级保护定级报告》 一、马尔康县人民检察院门户网站信息系统描述 (一)该信息系统于2014年4月上线。目前该系统由马尔康县人民检察院办信息股负责运行维护。九龙县县政府办是该信息系统业务的主管部门,信息股为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对门户网站信息进行采集、加工、存储、传输、检索等处理的人机系统。 服务器托管在九龙县电信公司机房 (三)该信息系统业务主要包含:等业务。 二、马尔康县人民检察院门户网站信息系统安全保护等级确定 (一)业务信息安全保护等级的确定 1、业务信息描述 该信息系统业务主要包含:九龙新闻、信息公开、在线下载、旅游在线、县长信箱等业务。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是社会秩序和公众利 —9 —

益。 侵害的客观方面(客观方面是指定级对象的具体侵害行为,侵害形式以及对客体的造成的侵害结果)表现为:一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害(形式可以包括丢失、破坏、损坏等),会对社会秩序和公众利益造成影响和损害,可以表现为:发布虚假信息,影响公共利益,造成不良影响,引起法律纠纷等。 3、信息受到破坏后对侵害客体的侵害程度的确定 上述结果的程度表现为严重损害,即工作职能受到严重影响,造成较大范围的不良影响等。 4、业务信息安全等级的确定 业务信息安全保护等级为第二级。 (二)系统服务安全保护等级的确定 1、系统服务描述 该系统属于为民生、经济、建设等提供信息服务的信息系统,其服务范围为全国范围内的普通公民、法人等。 2、系统服务受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益,同时也侵害社会秩序和公共利益。客观方面表现得侵害结果为:一可以对公民、法人和其他组织的合法权益造成侵害(影响正常工作的开展,造成不良影响,引起法律纠纷等);—10 —

信息安全事件处理流程

信息安全事件处理流程 LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】

信息安全事件处理流程 一、信息安全事件分类 根据公司实际生产运行情况,将信息安全事件分为两大类:重大信息安全事件和一般信息安全事件。 1、重大信息安全事件 1) 重要信息系统遭受严重的系统损失; 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断不能为超过80%(包括80%)的网络注册用户提供服务,时间达4小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达8小时。 系统(硬、软件)损坏或失窃,直接经济损失达1万元以上者。 重要技术开发、研究数据损坏或丢失,或重要信息系统数据损坏或丢失,数据量在时间上连续超过48小时。 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用,网络地址和用户身份信息的窃取、盗用。 发生自然灾害性事件导致的信息安全事故。 2)产生的社会影响波及到一个或多个地市的大部分地区,引起社会恐慌,对经济的建设和发展有较大负面影响,或损害到公众利益。 2、一般信息安全事件 1)重要信息系统遭受较小的系统损失; 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断导致不能为超过80%(包括80%)的网络注册用户提供服务,时间达2小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达4小时。 系统(硬、软件)损坏或失窃,造成直接经济损失达1万元以下者。

重大事件期间网络与信息安全管理规定

**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改

2020年(安全生产)TCWGN_信息安全事件分类分级指南(编制说

(安全生产)TCWGN_信息安全事件分类分级指南 (编制说

《信息安全事件分类分级指南》(征求意见稿)编制说明 壹、项目背景 目前国外对信息安全事件的分类分级仍没有单独的标准和指南,不过在和信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述,例如ISO/IEC18044《信息安全事件管理》、NISTSP800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义,明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别,以及事件级别的描述,只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类,其第6节描述了信息安全事件及其原因的举例,介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A:信息安全事件报告单示例中,列出了在事件报告中可参考的事件类别。NISTSP800-61《计算机安全事件处理指南》针对安全事件处理,特别是安全事件相关数据的分析以及确定采用哪种方式来响应每壹安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义,只是对安全事件作出了解释。本治安介绍了安全事件的分类,但明确说明所列出的安全事件分类不是包罗壹切的,也不打算对安全事件进行明确的分类。 2003年出版的LANDEurope在为EuropeanCommissionDirectorate-GeneralInformationSociety研究且得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中,提出壹个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。且给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本,而不是提供无壹遗漏的清单。 在国内,北京市出台了《北京市国家机关重大信息安全事件报告制度(试行)》,且为

信息安全事件管理规范

信息安全管理部 信息安全事件管理规范 V1.0

文档信息: 文档修改历史: 评审人员:

信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;

信息安全等级保护定级指南

附件2 信息系统安全保护等级定级指南 (试用稿) 公安部 二〇〇五年十二月

目次 1范围 (11) 2术语和定义 (11) 2.1 业务信息(Business Information) (11) 2.2 业务信息安全性(Security of Business Information) (11) 2.3 业务服务保证性(Assurance of Business Service) (11) 2.4 信息系统(Information System) (11) 2.5 业务子系统(Business Subsystem) (11) 3定级对象 (11) 3.1 信息系统的划分 (12) 3.2 信息系统和业务子系统 (12) 4决定信息系统安全保护等级的要素 (12) 4.1 决定信息系统重要性的要素 (13) 4.2 定级要素赋值 (13) 5确定信息系统安全保护等级的步骤 (15) 6信息系统安全保护等级的确定方法 (16) 6.1 确定业务信息安全性等级 (16) 6.2 确定业务服务保证性等级 (16) 6.3 确定信息系统安全保护等级 (18) 7信息系统安全保护等级的调整 (18) 8附录 (20) 8.1 实例1 (20) 8.2 实例2 (21)

信息系统安全保护等级定级指南 1范围 本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。 有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。 各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。 2术语和定义 下列术语和定义适用于本指南。 2.1 业务信息(Business Information) 为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2 业务信息安全性(Security of Business Information) 保证业务信息机密性、完整性和可用性程度的表征。 2.3 业务服务保证性(Assurance of Business Service) 保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。 2.4 信息系统(Information System) 基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。 2.5 业务子系统(Business Subsystem) 由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。 3定级对象 如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。 如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。

信息安全事件报告和处置管理制度

安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案,制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。

分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3 先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。

TC260WG7N01_《信息安全事件分类分级指南》(编制说明)

《信息安全事件分类分级指南》(征求意见稿)编制说明一、项目背景 目前国外对信息安全事件的分类分级还没有单独的标准和指南,不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述,例如ISO/IEC 18044《信息安全事件管理》、NIST SP 800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义,明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别,以及事件级别的描述,只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类,其第6节描述了信息安全事件及其原因的举例,介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A:信息安全事件报告单示例中,列出了在事件报告中可参考的事件类别。NIST SP 800-61《计算机安全事件处理指南》针对安全事件处理,特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义,只是对安全事件作出了解释。本治安介绍了安全事件的分类,但明确说明所列出的安全事件分类不是包罗一切的,也不打算对安全事件进行明确的分类。 2003年出版的LAND Europe在为European Commission Directorate-General Information Society研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中,提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本,而不是提供无一遗漏的清单。 在国内,北京市出台了《北京市国家机关重大信息安全事件报告制度(试行)》,并为配合报告制度,随同发布了《北京市国家机关信息安全事件定级指南(试行)》,其中对安全事件的分类分级做出了描述,并于05年进行了修订。 “国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作,编写制定了《网络与信息安全事件分类分级办法》,本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述,还规定了事件的报告流程。 根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求,急需制定信息安全事件分类分级的标准,来指导用户对信息安全事件进行分类定级,以便于更好的对信息安全事件进行应急处理和通报。 信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节,也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级,其意义在于:①促进信息安全事件信

信息系统安全等级保护定级报告示例

信息系统安全等级保护定级报告 一、XX平台系统描述 (一)2014年8月,XX正式上线,XX隶属于北京XX科技有限公司,该公司是从事网络借贷信息中介业务活动的金融信息服务企业。主要是通过线上XX平台,将出借人和借款人衔接,为二者提供中介服务进而实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务解决借款人和出借人的投融资难的问题。目前该XX平台系统由公司运维部负责维护。我公司是该平台系统业务的主要负责机构,也是为该信息系统定级的责任单位。 (二)此系统是计算机及其相关的和配套的设备、设施构成的,是按照一定的应用目标和规则对该系统金融业务数据信息进行存储、传输、检索等处理的人机机制。 该系统相关的用户数据中心网络,资金管理等边界部分都是等级保护定级的范围和对象。在此次定级过程中,将该系统的网络设备和数据中心连同业务数据作为一个定级对象加以考虑,统一进行定级、备案。该系统的网络设备和数据中心还要作为整个系统的分系统分别进行定级、备案。 (三)该系统业务主要包含:用户身份安全信息、业务平台数据、购买服务等业务,并新增加了法务审核,风险控制等等业

务。系统针对业务实现的差异分别提供实时联机处理和批量处理两种方式。其中:通过网络与第三方支付平台的连接,均采用约定好的报文格式进行通讯,业务处理流程实时完成。 业务处理系统以内部财务结算模式,负责各类买入转让还款的业务处理,包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。系统结构拓扑图如下: 二、XX平台系统安全保护等级确定(定级方法参见国家标准《信息系统安全等级保护定级指南》) (一)业务信息安全保护等级的确定 1、业务信息描述 北京XX科技有限公司是从事网络借贷信息中介业务活动的金融信息服务企业,XX为旗下借贷平台主要是通过线上平台,将出借人和借款人衔接,为二者提供中介服务实现借贷关系。通过提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务,解决借款人和出借人的投融资难的问题。 2、业务信息受到破坏时所侵害客体的确定 该业务信息遭到破坏后,所侵害的客体是公民、法人和其他组织的合法权益。 侵害的客观方面表现为:一旦信息系统的业务信息遭到入侵、

信息安全事件处置预案

信息安全事件处置预案 为保证我院信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合我院实际,特制定本应急预案。 一、总则 (一)工作目标 保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全。 (二)编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神,制定本预案。 (三)基本原则 1、预防为主。建立、健全计算机信息安全管理制度,有效预防网络与信息安全事故的发生。 2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。 3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。 二、组织体系

成立网络与信息安全领导组,为我院网络与信息安全应急处置的组织协调机构。 三、预防预警 (一)信息监测与报告。 1、按照“早发现、早报告、早处置”的原则,加强对院属科室有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,按规定及时向应急领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。 2、建立网络与信息安全报告制度。 发现下列情况时应及时向应急领导小组报告: 利用网络从事违法犯罪活动的情况; 网络或信息系统通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改,丢失等情况; 网络恐怖活动的嫌疑情况和预警信息; 其他影响网络与信息安全的信息。 (二)预警处理与发布。 1、对于可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施控制事态,并向应急领导小组汇报情况。

信息安全事件应急处理报告模板

信息安全事件应急处理报告模板

XX单位 信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1 应急处理服务委托协议 (2) 1.4.2 基础标准与法律文件 (2) 1.4.3 参考文件 (2) 3.1准备阶段 (5) 3.1.1 准备阶段工作流程 (5) 3.1.2 准备阶段处理过程 (5) 3.1.3 准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2 检测阶段处理过程 (7) 3.2.3 检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1 抑制阶段工作流程 (9) 3.3.2 抑制阶段处理过程 (9) 3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15)

信息安全事件应急处理报告 XX公司 2017年 X月 XX 日批准人: 应急处理服务人员: 审核人:

一、概述 1.1 应急处理服务背景 XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX 单位网站服务器发现存在恶意文件,直接威胁网站的正常运营与使用,XX单位立即拨通XX公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。 1.2 应急处理服务目的 尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。 1.3 应急处理服务范围

信息安全事件管理程序(正式版)

信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________

信息安全事件管理程序 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 确定信息安全目标和方针; 确定信息安全管理组织架构、角色和职责划分; 负责信息安全小组之间的协调, 内部和外部的沟通; 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 负责制定组织中的安全策略; 组织安全管理技术责任人进行风险评估;

组织安全管理技术责任人制定信息安全改进建议和控制措施; 编写风险改进计划; 3.3 信息安全管理技术责任人 负责信息安全日常监控; 信息安全风险评估; 确定信息安全控制措施; 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的, 均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的, 属于重大信息安全事件。 a) 组织机密泄露;

相关主题
相关文档
最新文档