信息安全事件管理制度

XXXX

信息安全事件管理制度

文件修订履历

目录

1目的 (5)

2适用围 (5)

3职责 (5)

4术语和定义 (6)

4.1信息安全事件 (6)

4.2信息安全事故 (6)

4.3信息安全事故分级 (6)

5事件报告途径 (7)

6安全弱点报告 (7)

7控制流程 (7)

7.1信息安全事件、事故处理流程 (7)

7.1.2报告 (7)

7.1.3响应 (8)

7.1.4跟踪 (8)

7.1.5评价/调查 (8)

7.1.6惩戒 (8)

7.1.7公告 (9)

7.1.8备案 (9)

7.1.9培训 (9)

7.2信息安全事件、事故定期分析 (9)

7.2.1总结 (9)

7.2.2分析 (9)

7.2.3报告 (10)

7.2.4公告 (10)

7.2.5备案 (10)

7.2.6培训 (10)

8附则 (10)

9附录...........................................................................................................................错误!未定义书签。

附录1信息安全事件报告模板 .............................................................................错误!未定义书签。

XXXX

信息安全事件管理制度

1目的

为加强XXXX（以下简称“XXXX”）信息安全事件管理，对发生的信息安全事件进行调查和处理，及时处理各类安全事故,最大限度降低由于信息安全事件而引发的事故而遭受的损失，对信息安全事件进行监控，并从事故中吸取教训，特制订本制度。

2适用围

适用于XXXX单位发生的信息安全事件以及引发信息安全事故的响应、调查和处理。3职责

1、信息安全管理委员会：

?负责对本文档的审批和管理；

?听取信息安全事故定期分析报告，并做出决策；

?作为本单位信息安全管理的最高管理机构，对本单位信息安全管理中的重大事宜做出决策；

?为本单位信息安全管理建立和维护，配备必要的资源。

2、信息安全工作主管领导：

?负责本文档的审核及组织编写；

? 定期向信息安全管理最高管理机构 信息安全管理委员会进行事故汇报；

? 发生重大安全事故时应及时进行汇报；

?建立信息安全紧急事故应急处理小组；

?定期组织信息安全事件分析与事故总结例会；

?听取信息安全事故处理结果的报告，批准信息安全事故调查报告。

3、信息安全工作小组：

? 负责对本文档的组织编写、修订工作；

? 发生重大安全事故时应及时向安全管理安全工作主管领导进行汇报；

? 制定信息安全事件与事故的处理流程，并依据流程进行相应的信息安全事件与事故的处理；

? 定期进行信息安全事件分析，填写《信息安全事件与事故汇总报告》，并向信息化工作主管领导汇报详细容；

? 定期进行单位已发生的信息安全事故的分析、总结及培训，防止事故的再发生。

4、信息安全审计小组：

? 负责定期对本文档的适用性进行审定；

? 定期审计本文档的执行情况。

5、各部门：负责本文档在本部门的执行、管理。

4术语和定义

4.1信息安全事件

信息安全事件：信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。

常见的信息安全事件有：服务器或主要网络设备软硬件故障、服务器异常停机、电力中断、水灾、火灾等重大灾害、重大恶性计算机病毒传播、大规模黑客入侵、重大信息安全漏洞、重要业务数据丢失或被篡改、重大信息安全投诉、人为的故意破坏等影响严重到单位正常业务运作，造成或极可能造成单位业务活动中断、信息泄露的事件等。

根据有关规定并结合国家食品药品监督管理局系统实际，制定突发信息网络安全事件分级标准，作为各单位信息部门按照应急预案规定进行分级处置的依据。

网络运行各类突发事件按照其严重程度、可控性和影响围等因素，分为四个等级：一般（IV级、蓝色）、较重（III级、黄色）、严重（II级、橙色）、特别严重（I级、红色）。

4.2信息安全事故

信息安全事故：一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成，是由事件引发而来，它们具有损害业务运作和威胁信息安全的极大的可能性。

根据信息安全事故对单位造成的影响的程度不同，可以将信息安全事故划分重大安全事故、普通安全事故、轻微安全事故。

4.3信息安全事故分级

1、系统故障——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍，在短时间，经处理恢复应用功能且未影响业务处理，未增加用户人工成本（加班）的情况。

2、一般事故——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍，在一定时间，经处理恢复应用功能但影响了业务处理，造成用户人工成本增加（加班）的情况。

3、重大事故——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍，在较长时间，经处理恢复应用功能，但已经对生产经营、业务处理带来负面影响及损失的情况。

4、特大事故——是指因硬件、软件、网络、供电及相关设施等引发的计算机系统应用障碍，在长时间，无法恢复应用功能，对生产经营、业务处理造成严重影响，单位效益蒙受巨大损失的情况。

（ 5事件报告途径

确立应急待命人员的手机、值班、家庭的即时联系方式，使得普通用户可通过多种联系方式进行报警，保证报警渠道的畅通。

对于单位网络与信息系统普通用户发现信息安全事件时，第一时间向本部门负责人或 IT 中心负责人报告，IT 中心负责人初步分析和判断事件类型及级别，并通知相关负责人处理。重大事故及以上事件，IT 中心负责人向应急总指挥汇报。应急总指挥依据事件情况，总指挥决定是否需要相关人员到单位现场办公。

6安全弱点报告

对于观察到的或怀疑的任何系统或服务的信息安全弱点，单位员工或外部人员应及时报告给信息安全小组，经应急响应总指挥批准后，由相关的技术人员进行处置，同时报告给信息安全部备案。

信息安全部负责跟踪已备案的信息安全弱点处置情况。

未经信息安全部允许，单位员工和外部人员禁止利用测试等方法去证明他们怀疑的信息安全弱点。测试弱点可以被解释为对系统可能的滥用，可能导致信息系统和服务的损坏。

7控制流程

7.1信息安全事件、事故处理流程

信息安全事件的处理流程主要有：发现、报告、响应（处理）、跟踪、评价、惩戒、公告、备案、培训等。

1、单位全体员工都有责任和义务将已发现的或可疑的事件、故障和薄弱点及时报告给相关部门或人员。

2、任何企图阻拦、干扰、报复事件报告者的行为都被视为违反本单位信息安全策略。

3、事件、故障、薄弱点在报告受理人到来处理之前，发现人尽量不要改变现状。

7.1.2报告

1、事件报告相关人员联系方式参见附录中的《安全事件/事故联络单》（见 附录1）。

2、对于部门围的、仅与部门自身业务系统相关的安全事件，当事人可直接向部门负责人报告，并按照本部门规进行处理，做好记录。

3、对于与计算机及网络使用相关的安全事件，当事人可向信息安全工作小组报告。

4、信息安全工作小组根据事件、故障和薄弱点的性质及其可能造成的影响程度，确定是否进一步向信息安全工作主管领导、相关负责人及信息安全管理委员会报告。

5、报告方式分为口头报告和书面报告。如遇紧急情况，可先报告，随后附上书面报告《异常报告单》（见附录 2）。无论是口头报告还是书面报告，参与响应、处理等相关人员都需做好书面记录，填写《异常事件日常登记表》 见附录 3），以便跟踪和统计。

6、安全事件报告应注明发生时间、地点、名称、威胁及后果等，详细填写《异常报告单》。

7.1.3响应

责任部门、信息安全工作小组根据所发生的信息安全事件的性质、对单位商业活动影响的程度，会同有关部门在第一时间采取有效措施处理信息安全事件，尽可能减少由于信息安全事件而引发事故所造成的损失。

1、信息安全工作小组可对安全事件做出最初响应，并在信息安全工作主管领导的支持下，对安全事件做进一步处理。

2、如果发生严重信息安全事件，信息安全工作小组应及时向信息安全工作主管报告，由信息安全工作主管领导向信息安全工作管理委员会报告，并视情况向外部相关机构报告，需要注意的是：

?采取恰当的方式，联系相关机构；

?采集并保存有效证据，特别是如果牵涉到部员工的时候；

?考虑以对本单位信息安全产生最小影响的方式来进行调查，可能需要寻求外部专家的支持。

3、事件响应及处理者在处理安全事件时应考虑以下优先次序：

?保护人员的生命与安全；

?保护敏感的设备和资料；

?保护重要的数据资源；

?防止系统被损坏；

?将单位遭受的损失降至最小。

4、相关处理人员填写完《异常报告单》后，报信息安全工作小组填写意见，并抄送到信息安全审计小组，以备进行跟踪审核。

7.1.4跟踪

1、信息安全审计小组组织人员对《异常报告单》中纠正预防措施容进行再次审核，如果发现纠正预防措施不能消除不符合项，可责成责任部门重新制定纠正预防措施。

2、信息安全审计小组对整个响应过程进行跟踪，在需要时可要求其它相关部门一起对纠正预防措施的效果进行验证。如果所执行的纠正预防措施无效，需重新开出《异常报告单》进行跟踪和验证，直到问题得到最终解决。

7.1.5评价/调查

安全事件或故障发生之后，信息安全工作小组或事件处理者要对事件或故障的类型、严重程度、发生的原因、性质、产生的损失、责任人进行调查确认，形成事件或故障评价资料，填写在《异常报告单》的工作小组意见中。

7.1.6惩戒

1、为减少信息安全事件的发生，提高信息安全事件处理效率，保证业务连续性，对于在信息安全事件处理中做出贡献的先进部门和个人给予奖励。

2、对于不按单位信息安全事件处理流程要求操作的，造成不良影响及损失的个人或部门应给予惩罚。

3、根据事件的严重程度、造成的损失、产生的原因对违规者进行处罚。对于信息安全事件的惩罚要综合考虑当事人行为是故意还是非故意、当事人有无从轻或从重处罚的行为、当事人的立功表现等因素。

4、具体处罚措施根据情节给予警告、记过、记大过、开除、解除委任的处理等。

5、信息安全部负责对各部门的信息安全事件工作进行考核、评判，并提出奖惩意见。由信息安全委员会对信息安全部提出的奖惩建议进行复议、审核，并形成最终处理意见，由人力资源部执行。

7.1.7公告

1、事件的调查结果要反馈给相应部门，信息安全工作小组应组织相关人员进行案例分析。

2、人力资源部可组织相关人员进行学习和培训。

3、对处罚结果，要在公布栏上贴或通过其他途径告知相关人员（如电子）。

7.1.8备案

1、信息安全审计小组要将事件调查结果、处罚结果和处理方法及时整理成事件处理记录，以日期为索引妥善存放。

2、信息安全审计小组应对备案的信息安全事件做定期审核。

3、在信息安全管理评审活动中，信息安全事件记录应作为重要的信息输入。

7.1.9培训

对于发生的信息安全事件及事故，经信息安全工作小组与相关业务部门进行研讨，分析后，找出解决问题的方法，定期对部门相关人员进行培训或在网进行相关资料登录，减少事件再次发生概率，提高人员遇到事件的处理能力．

7.2信息安全事件、事故定期分析

7.2.1总结

1、信息安全工作小组对于每月收集的《异常报告单》进行分析，每月由信息安全工作主管领导召开例会进行分析、研讨，并把最终的信息安全事/事故分析结果上报信息安全管理委员会。

2、每年12月对一年中发生的事故进行总结，分析发生的原因，提交《信息安全事件汇总报告》（见附录4），找出工作中存在的隐患，以便提出预防措施。当信息安全工作小组发现某一事件在一段时间发生的频率较高时，信息安全管理委员会召开会议，讨论处理及预防措施。

7.2.2分析

根据事故发生的频率和时间，分析原因，找出事故发生趋势的可能性。

7.2.3报告

将事故发生情况及趋势分析报告信息安全管理委员会。

报告容要求：

?发生时间、频率

?地点

?名称

?描述（发生状况和后果）

?趋势分析

7.2.4公告

以会议、布告或电子方式将对事故发生趋势分析向全体员工公布。

7.2.5备案

将事故分析报告交信息安全审计小组备案。

7.2.6培训

由信息安全审计小组将整理后的事故档案交于人力资源部，定期组织全体员工学习和培训。

8附则

1.本制度由IT中心、信息安全部负责制定、修订和解释。

2.本制度自发布之日起实施。