××信息安全应急处置管理规范
企业信息安全应急管理规范
企业信息安全应急管理规范一、背景和意义随着信息技术的快速发展,企业的信息系统已成为企业运营的重要基础设施。
然而,信息系统的安全问题在日常运营中无时不在,如数据泄露、网络攻击等。
这些问题对企业的业务运营和声誉造成了严重威胁。
因此,企业应当建立完善的信息安全应急管理规范,及时应对并应急处理各类信息安全事件,以保障企业信息系统的安全性和可靠性。
二、应急管理规范的基本原则1.预防为主:在信息系统设计和建设过程中,应充分考虑信息安全要求,减少信息安全事件的发生。
2.及时发现:建立完善的监控和检测机制,及时发现信息安全事件的迹象和异常行为。
3.快速响应:一旦发现信息安全事件,应立即采取相应的措施,遏制事件蔓延并防止损失扩大。
4.精确评估:对信息安全事件进行准确评估,判断事件的影响程度和威胁程度,以便采取合适的处理方案。
5.及时上报:对于较为严重的信息安全事件,应及时向有关部门报告,共同制定应对措施并进行协调。
三、应急管理规范的主要内容1.事件响应组织机构的设立:企业应成立专门的信息安全应急响应组织机构,明确各成员职责和工作流程,并定期进行组织机构的演练和评估。
2.应急响应流程的制定:企业应制定详细的信息安全应急响应流程,包括事件报告、评估、分类、响应、处置等各个环节的工作步骤和要求。
3.应急检测和监控体系的建立:企业应建立完整的信息安全检测和监控体系,包括入侵检测系统、安全事件日志监控系统等,及时发现和记录异常行为。
4.应急资源准备和协调:企业应事先准备好必要的应急资源,如备用设备、备份数据等,以便在信息安全事件发生时能够迅速投入使用。
5.事件后续处理和总结:企业应对信息安全事件进行彻底的后续处理,包括排查原因、修复漏洞、修复系统等,同时还应总结经验教训,提出改进建议,以避免类似事件再次发生。
四、应急管理规范的实施1.加强宣传教育:企业应加强对员工的信息安全意识教育,提高他们对信息安全事件的识别和处理能力。
信息安全事件应急处置管理办法
1.总则1.1目的信息安全关系到国家安全、社会稳定、客户权益及公司利益,是企业履行社会责任、保护用户合法权益的核心工作。
为进一步落实信息安全管理责任,有效预防和处置信息安全事件、控制影响,特制定本办法。
1.2信息安全事件的定义本办法定义的信息安全事件,是指在生产运营过程中,因未执行政府及公司相关规章制度与安全管控要求,或对已存在的安全隐患未及时整改,或业务平台被内部、外部不法分子非法攻击和利用,导致对国家安全、社会稳定、客户权益及公司利益产生较大影响或较严重后果的信息安全事件。
1. 3应急处置基本原则1.3.1 ”谁主管,谁负责;谁运营,谁负责;谁接入,谁负责”是安全事件处置责任划分的基本原则,发生事件的业务和设备所属单位为相应安全事件的牵头处置责任单位(以下简称责任单位),信息安全领导小组负责事件的督办、跟踪、检查。
1-3.2信息安全事件的处理应遵照“积极预防、及时发现、快速响应、确保恢复、减小影响”的方针。
在信息安全事件发生后,以最大程度地维护国家和社会稳定、最大限度地保障客户权益和公司利益为目的,确保事件快速、准确处置并有效控制影响面。
1.4适用范围本办法适用于XX公司各部门、中心、区县分公司(以下简称各单位)信息安全事件应急处置工作,各单位可参照本办法制定适合自己的执行细则。
2.组织机构和职责2.1组织机构2.1.1成立领导小组为加强组织保障,XX公司建立信息安全领导小组,全面强化对网络信息安全的管理和指导。
领导小组组长:XX公司总经理领导小组副组长:XX公司副总经理领导小组成员:综合部、财务部、市场经营部、集客部、客户体验管理部、校园中心、网络部、全业务支撑中心、龙泉分公司、双流分公司分管领导1.1.2领导小组下设信息安全办公室信息安全办公室主任:网络部总经理办公室成员:综合部、财务部、市场经营部、集客部、客户体验管理部、校园中心、网络部、全业务支撑中心、龙泉分公司、双流分公司分管领导和网络信息安全管理员2.2信息安全办公室职责负责信息安全总体目标、总体方针和安全策略的制定,对重大信息安全事件的处置进行指导与协调。
信息安全事件报告和处置管理制度
信息安全事件报告和处置管理制度信息安全事件报告和处置管理制度是组织内部建立起来,用于规范和管理信息安全事件的报告和处理流程的一套制度和规定。
它对于保障组织信息系统的安全,及时发现、处置和预防信息安全事件具有重要的作用。
下面是一份较为详细的信息安全事件报告和处置管理制度,供参考。
一、制度目的1.优化信息安全事件的报告和处置流程,提高响应速度和有效性;2.确保信息安全事件的严密控制,避免扩大事态;3.及时发现、处置和预防信息安全事件,保障组织信息系统的安全。
二、适用范围该制度适用于组织内所有相关人员,包括但不限于信息安全部门、系统管理员和员工等。
三、信息安全事件的定义四、信息安全事件的分类和级别根据严重程度和影响范围,信息安全事件分为三个级别:1.一级事件(严重事件):对组织和用户利益造成重大损害,可能导致机密信息泄露、系统瘫痪等。
2.二级事件(重大事件):对组织和用户利益造成一定损害,可能导致数据丢失、系统不稳定等。
3.三级事件(一般事件):对组织和用户利益影响较小,可能导致服务中断、网站不可访问等。
五、信息安全事件的报告流程1.发现事件:发现任何信息安全事件,不论大小,都应立即上报。
2.报告审查:信息安全部门对上报的事件进行审查,确定事件的分类和级别,并指定处理人员。
3.事件报告:信息安全部门向所属领导层和相关人员发出信息安全事件报告。
4.应急响应:根据事件级别,采取相应的应急响应措施,以控制事态发展。
5.调查和分析:对事件进行调查和分析,确定事件的原因和影响范围,并制定相应的处理方案。
6.处理和修复:按照处理方案,进行事件的处理和系统修复工作。
7.评估和改进:对事件的处理过程进行评估和总结,提出相应的改进意见。
六、信息安全事件的处置流程1.初步评估:对事件进行初步评估,确定事件的紧急程度和对组织的威胁程度。
2.应急响应:采取相应的应急响应措施,以控制和限制事件的进一步扩大。
3.事件调查:对事件进行调查和分析,尽快确定事件的原因和影响范围。
网络和信息安全事件应急处置和报告制度
网络和信息安全事件应急处置和报告制度网络和信息安全是当今社会亟需关注的问题之一。
随着信息技术的迅猛发展和互联网的普及,网络攻击、数据泄露、恶意软件等安全事件也层出不穷。
为了应对这些网络和信息安全事件,各行各业都需要建立应急处置和报告制度,及时发现和解决安全问题,保护企业和个人的信息安全。
一、网络和信息安全事件应急处置制度网络和信息安全事件应急处置制度是为了及时处理网络和信息安全事件而制定的一套规章制度和流程。
它包括事件报告、应急处置、调查与分析、修复与恢复等环节,旨在缩短事件的响应时间,降低损失和影响。
1. 事件报告事件报告是网络安全事件应急处置的第一步,它是发现安全事件后的第一时间内向上级报告事件情况并触发应急响应的过程。
事件报告的内容应包括事件的基本信息(如时间、地点、影响范围等)、事件的性质和等级、事件的原因和发生机理等。
报告应向上级领导、安全责任人、安全专家等相关人员发送,并尽可能详细地描述事件情况,以便进一步的处置。
2. 应急处置应急处置是网络安全事件应急处置的核心环节,它是在事件发生后立即采取措施阻止攻击并保护系统和数据不受进一步损坏。
应急处置包括以下几个方面:(1)隔离被攻击系统:立即停止被攻击系统的服务,与事件相关的系统隔离,以防止攻击者对其他系统进行利用或进一步扩散。
(2)收集证据:及时收集与安全事件相关的证据,例如系统日志、恶意代码、攻击轨迹等,以便后续的调查和分析。
(3)修复漏洞:分析事件发生的原因和漏洞,修复系统中的漏洞,以便提高系统的安全性,防止类似事件再次发生。
(4)恢复系统:在确保系统安全的前提下,尽快将被攻击系统恢复正常。
3. 调查与分析调查与分析是为了进一步了解安全事件的原因和影响,并采取相应的措施以阻止类似事件的发生。
调查与分析的过程中,可以借助安全专家的帮助,通过对攻击者的攻击方式、使用的工具和技术、攻击目标等进行分析,以便更好地防御未来的攻击。
4. 修复与恢复修复与恢复是在安全事件处理完毕后对被攻击系统进行修复和恢复的过程。
信息安全事件报告和处置管理制度
安全事件报告和处置管理制度第一条为加强内部管理,规范信息系统安全事件处理流程,提高安全事件发生时的应急处理能力,做到快速反应、正确应对,最大程度地降低安全事件带来的负面影响,确保信息系统业务正常、稳定开展,特制定本规定。
第二条本规定适用于XXXXXXX局信息系统管理和使用部门,包括局信息中心及其他相关业务部门。
第三条局信息中心是主要安全事件的受理、解决部门,负责受理XXXXXXX 局的信息安全事件,协调组织安全事件解决方案或措施,并反馈处理结果。
安全管理员是安全事件具体受理人员,并协调组织相关人员处理安全事件。
第四条系统管理员负责信息系统日常监控,并做好记录,发现信息安全事件及时通知局信息中心领导。
第五条其他相关部门应配合局信息中心做好信息安全事件的解决,如发现信息安全事件,应及时通知局信息中心。
第六条信息安全事件是指针对信息系统中,由于硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏,(可能)造成信息系统不能正常运行,影响正常的业务运行,称为信息安全事件,包括但不限于以下几类事件:1)恶意代码:病毒、蠕虫、木马等会给计算机带来不良影响的代码;2)未授权访问:在没有得到允许的情况下,获得对系统资源的访问权限;3)不当应用:违反安全策略的行为,包括我局和部门制定的流程、制度、标准和规范;4)安全漏洞:信息系统中潜在的一些问题,这些问题有可能对系统造成影响;5)系统故障:信息系统的软硬件故障;6)上述安全事件的结合。
第七条根据信息安全事件对业务可能造成的影响或已经造成影响的严重程度,并结合信息安全事件的紧急程度把信息安全事件分为一般、严重和重大三个级别。
第八条由于非法攻击、病毒入侵等安全原因对信息系统的主机、网络、数据库和数据等IT资产造成影响,但由于已经采取了安全预防措施,没有影响业务系统的正常运行,并能够通过安全管理员协调进行处理,在短期内发现并解决的安全问题,称为一般安全事件。
信息安全事件应急处置计划规范
信息安全事件应急处置计划规范1. 引言信息安全是现代社会一个重要的议题,随着互联网的快速发展,信息安全事件的频发已经成为一个全球性的挑战。
面对这一挑战,制定并执行一个完善的信息安全事件应急处置计划,对于保护个人和组织的信息安全至关重要。
本文旨在规范信息安全事件应急处置计划的制定和执行流程,以确保对各类信息安全事件的有效处置。
2. 应急处置计划编制流程2.1 信息安全事件分类首先,需要对可能发生的信息安全事件进行分类。
常见的信息安全事件包括计算机病毒感染、网络攻击、数据泄露等。
明确各类信息安全事件的特点和影响,以便能够制定相应的应急处置策略和措施。
2.2 制定信息安全事件应急处置团队在制定信息安全事件应急处置计划时,需要明确责任人和组织架构。
可以设立信息安全应急处置团队,由专业人员组成,负责事件的警报、响应和处置。
团队成员应具备丰富的信息安全知识和经验,并定期进行应急演练,以保持应对各类事件的能力。
2.3 制定信息安全事件应急响应流程明确信息安全事件的应急响应流程非常关键。
可以参考以下步骤:2.3.1 事件的检测和报告任何发现的异常行为都需要被及时检测和报告,以便能够快速采取措施进行处置。
2.3.2 事件的鉴定和评估一旦事件被报告,应急处置团队应该迅速鉴定事件的性质和严重程度,并评估对组织的影响。
2.3.3 事件的遏制和阻断为了降低进一步的损失,应急处置团队应该立即采取措施遏制和阻断事件的扩散,例如隔离受感染的计算机或网络。
2.3.4 事件的恢复和修复一旦事件得到控制,应急处置团队需要迅速对受影响的系统进行恢复和修复,以便能够恢复正常的业务运作。
2.3.5 事件的分析和总结经过处置的事件需要进行分析和总结,以便能够改进应急处置计划和预防措施,提高信息安全水平。
3. 应急处置资源和工具准备为了能够有效地处置信息安全事件,需要准备相应的资源和工具。
例如,备份的数据、加密的通信渠道、专用的防火墙等,都能够提高应急处置的效果和效率。
网络和信息安全事件应急处置和报告制度
网络和信息安全事件应急处置和报告制度一、总则1.1 编制目的为了有效预防、及时处置网络和信息安全事件,保障我国网络和信息安全,维护国家安全、公共利益和社会稳定,根据《中华人民共和国网络安全法》、《国家网络安全事件应急预案》等相关法律法规,制定本制度。
1.2 编制依据本制度依据《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《信息安全技术信息安全事件分类分级指南》等相关法律法规和标准。
1.3 适用范围本制度适用于我国各类网络和信息安全事件的应急处置和报告工作。
二、组织体系2.1 成立应急指挥部各级政府部门、企业、社会组织等应成立应急指挥部,负责组织、协调和指挥网络和信息安全事件的应急处置工作。
2.2 设立应急小组各级政府部门、企业、社会组织等应设立应急小组,负责具体实施网络和信息安全事件的应急处置工作。
三、预防预警3.1 信息监测与报告各级政府部门、企业、社会组织等应建立健全信息监测机制,定期对网络和信息安全状况进行监测,发现异常情况及时报告。
3.2 预警处理与发布各级政府部门、企业、社会组织等应在发现网络和信息安全异常情况时,及时进行预警处理,并根据情况发布预警信息。
四、应急预案4.1 制定应急预案各级政府部门、企业、社会组织等应根据实际情况,制定网络和信息安全事件的应急预案,明确应急响应流程、处置措施和责任分工。
4.2 应急预案的启动和终止网络和信息安全事件发生后,各级政府部门、企业、社会组织等应立即启动应急预案,按照应急响应流程和处置措施进行处置。
当网络和信息安全事件得到有效控制和处置,经评估符合终止条件时,应终止应急预案。
五、应急处置5.1 记录事件内容网络和信息安全事件发生后,应详细记录事件内容,包括发现事件的人员、时间、地点,涉及的网络和信息安全及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门等。
5.2 评估事件可能造成的影响对网络和信息安全事件可能造成的影响进行评估,并采取必要措施控制事态,消除隐患。
信息系统安全措施应急处理预案范本
信息系统安全措施应急处理预案范本信息系统安全是企业运营中至关重要的一环,而信息系统安全措施应急处理预案的建立更是保障信息安全的关键。
以下是一个信息系统安全措施应急处理预案的示范范本:一、背景介绍为了确保公司的信息系统安全,防范可能发生的风险和威胁,特制定本信息系统安全措施应急处理预案。
二、应急处理组织1. 应急处理领导小组:负责组织应急处理工作,包括决策、协调和指挥;2. 应急处理专家组:负责提供技术支持和指导;3. 应急处理工作组:负责执行应急处理任务;4. 应急处理公关组:负责对外宣传和沟通。
三、应急响应流程1. 接收告警信息:任何员工接收到异常信息应立即向信息安全部门报告;2. 信息确认:信息安全部门接收到告警后,立即进行信息核实和确认;3. 应急处理决策:应急处理领导小组根据情况做出应急处理决策;4. 应急处理实施:应急处理工作组按照领导小组的决策进行应急处理;5. 应急处理评估:应急处理工作组完成应急处理后,应对应急处理工作进行评估。
四、应急处理措施1. 确保信息系统的备份工作及时、完整;2. 随时监控信息系统的运行情况,及时发现异常情况;3. 加强信息系统的安全防护措施,提高系统的抗攻击和抗干扰能力;4. 定期组织信息系统安全演练,提高应急处理的效率和水平。
五、应急处理预案的修订与完善1. 本预案需要定期进行评估和修订,确保其与企业实际情况相符;2. 针对预案执行过程中出现的问题和不足,需要及时进行整改和改进。
六、总结信息系统安全措施应急处理预案的建立是企业保障信息安全的重要保障措施,只有建立并不断完善这样的预案,才能在面对各种安全风险和威胁时,及时有效地应对,最大限度地减少损失,维护企业信息系统的安全稳定。
以上是信息系统安全措施应急处理预案的简要范本,希望能对您的实际工作有所帮助。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
**信息安全事件与应急响应管理规范修订状况当前版本v1.0第 I 页共 15 页目录1.目的 (1)2.适用范围 (1)3.工作原则 (1)4.组织体系和职责 (1)5.信息安全事件分类和分级 (2)5.1.信息安全事件分类 (2)5.1.1信息系统攻击事件 (2)5.1.2信息破坏事件 (2)5.1.3信息内容安全事件 (3)5.1.4发现安全漏洞事件 (3)5.1.5其他信息安全事件 (3)5.2.安全事件的分级 (3)5.2.1重大信息安全事件(一级) (3)5.2.2较大信息安全事件(二级) (3)5.2.3一般信息安全事件(三级) (3)6.上报流程 (4)7.后期处置 (12)8.解释 (12)1.目的为建立健全**网络安全事件处理工作机制,提高网络安全事件处理能力和水平,保障公司的整体信息系统安全,减少信息安全事件所造成的损失,采取有效的纠正与预防措施。
2.适用范围本文档适用于公司建立的信息安全管理体系。
本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。
本程序适用于公司全体员工;适用于公司的信息安全事故、弱点和故障的管理。
3.工作原则●统一指挥机制原则:在进行信息系统安全应急处置工作过程中,各部门的人员应服从各级信息系统突发安全执行小组的统一指挥。
●谁运行谁主管谁处置的原则:各类业务模块的责任人要按照公司统一要求,制定和维护本部门业务模块运行安全应急预案,认真根据应急预案进行演练与应急处置工作。
●最小损失原则:应对信息系统突发安全事件的各项措施最大程度地减少信息系统突发安全事件造成的危害和损失。
●预防为主原则:高度重视信息系统突发安全事件预防工作。
坚持做好信息系统日常监控与运行维护工作,坚持预防与应急相结合,做好应对突发安全事件的各项准备工作。
●保密原则:参与信息系统突发安全事件处置工作的人员应严守公司保密规定,未经授权不得向外界提供与处置有关的工作信息,不得利用工作中获得的信息牟取私利。
4.组织体系和职责●所有人员(包含正式员工、合同雇佣人员、实习生、临时人员等)发现疑似信息安全异常事件时,都有实时通报的责任。
●各部门和各业务模块的信息安全专员是信息安全事件的识别和响应的联络窗口,负责配合安全小组,进行安全事件处理(信息安全员应熟悉本部门负责的业务模块)。
●信息安全执行小组由各部门信息安全员以及应急处理小组组成,是信息安全事件处理的权责单位,具有如下职责:(一)评审和更新公司的信息安全事件管理规范;(二)协调和监督信息安全事件纠正和预防措施的执行;(三)组织调查信息安全事件,配合有关部门进行计算机犯罪案件的调查;(四)向信息安全委员会报告并提出处理意见。
●信息安全委员会由公司领导层组成,会应对信息安全事件处理机制进行统筹和规划,具有如下职责:(一)指导**信息安全事件的防范与应急处置工作;(二)推动**信息安全事件应急响应机制的建立和落地执行。
5.信息安全事件分类和分级5.1.信息安全事件分类信息系统攻击事件、信息破坏事件、信息内容安全事件、发现安全漏洞事件。
5.1.1 信息系统攻击事件信息系统攻击事件是指通过网络攻击、有害程序或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
信息系统攻击类事件包括拒绝服务攻击、后门攻击、漏洞利用攻击、网络扫描窃听、网络钓鱼、干扰事件等。
5.1.2 信息破坏事件信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等5.1.3 信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。
例如:藏独、台独言论。
5.1.4 发现安全漏洞事件内部技术人员有意无意发现的安全漏洞。
例如:XSS、注入、劫持、CSRF、上传漏洞、文件包含、权限漏洞等。
5.1.5 其他信息安全事件指不能归为以上4类的信息安全突发事件。
5.2.安全事件的分级根据信息系统的重要程度、系统损失和社会影响,将信息安全事件划分为三个级别:重大信息安全事件(一级)、较大信息安全事件(二级)和一般信息安全事件(三级)。
5.2.1 重大信息安全事件(一级)重大信息安全事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:(一)大范围用户受到影响。
(二)大部分业务模块不能正常工作。
(三)公司内部发现业务模块存在安全漏洞。
5.2.2 较大信息安全事件(二级)较大信息安全事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:(一)小部分用户受到影响。
(二)小部分业务模块不能工作。
5.2.3一般信息安全事件(三级)一般信息安全事件是指不满足以上条件的信息安全事件,包括以下情况:(一) 个别用户受到影响。
(二)个别业务模块异常。
6. 上报流程安全事件发现者安全领导小组安全执行小组本部门信息安全员各部门主管、各业务模块主管安全级别第一时间通知第一时间通知第一时间通知1个小时内做出判断1级安全事件30分钟内给出指导意见2、3级安全事件30分钟给出解决方案业务模块落地后由安全小组复查得出结论公安部门重大、无法处理的安全事件(一)当信息安全事件发生时,根据事件类型及影响大小,按照规定汇报角色和处理流程。
1) 公司内部员工发现疑似信息安全事件或收到外部报告的信息安全事件时,由发现人应同时告知本通报部门信息安全专员、安全执行小组并告知直属主管、部门领导; 2) 各部门信息安全专员在发生信息安全事件时,应立即向信息安全执行小组报告。
(二)信息安全事件汇报内容应尽量涵盖事件发生的事实、可能影响的范围、损失评估、需要的支持、采取的应对措施等。
(三)信息安全执行小组在收到报告后,应对事件进行判断和分析:1) 判定为非信息安全事件时,将结果回复发现人。
2) 判定为信息安全事件时,则进一步分析事件影响,并按公司相关制度流程进行处理:⏹当发生一般信息安全事件或较大信息安全事件时,由信息安全执行小组处理,并采取相关的纠正及预防措施,以防止类似事件发生。
⏹当发生重大信息安全事件时,应上报信息安全委员会,并由信息安全执行小组根据信息安全委员会的决策对事件进行处理。
⏹处理过程中如发现造成的影响大于原先判定事件,应重新执行事件分析。
(四)处理信息安全事件时,若需部门内部资源,则由信息安全执行小组沟通协调工作;如需部门外部资源协助,则由信息安全委员会进行协调。
当重大信息安全事件发生需对外说明时,由公司的对外窗口统一对外说明情况与处置方式。
(五)公司应建立相应机制,监视并记录信息安全事件,并对其类型、数量和造成损失的代价进行统计。
(六)当一个信息安全事件涉及民事或刑事诉讼,需要进行司法取证时,应注意:⏹设备封存过程需当事人、调查者及司法鉴定部门同时在场,封存处必须有各方签字;⏹数据的保存和证据的挖掘过程均需司法鉴定部门在场,以确保数据的完整性和可靠性;⏹司法鉴定机构需对获取证据的过程出具司法鉴定报告。
(七)重大安全事件和无法处理的安全事件上报公安部门。
(八)针对信息安全事件的处理时间;7.应急处置流程信息安全事故处理流程包括三部分内容:规划及准备、安全事故应急、事后跟进,下面分别进行解释说明。
6.1 规划及准备事先规划可确保人员对应采取的应急行动有所了解,使其能在互相配合及有条不紊的情况下执行,同时还有助各部门在处理安全事故时做出适当和有效的决定,从而将安全事故可能造成的破坏减到最少。
各业务模块应各自制定应急预案并定期进行应急演练。
5.1.1 安全事故处理计划安全事故处理计划主要包括事故处理的目标及优先级,具体定义如下:目标:●尽快使系统恢复正常操作●尽量减轻事故对其他系统的影响●避免发生同类事故●找出事故的根本成因●评估事故的影响和破坏●有必要时更新政策和程序●收集证据为日后的个案调查提供证明优先考虑:●保护敏感或关键资源●保护遗失或损毁后造成较大损失的重要数据●防止停顿后会造成较大损失及恢复成本较高的系统受到损坏●对服务中断的影响减到最少●维护部门或公司整体的公众形象5.1.2 报告程序1. 报告内容:●已经发生的信息安全事件;●观察到的或怀疑的任何系统或服务的安全弱点;2. 报告联系人:●安全执行小组在信息安全领导小组负责人的授权下对信息安全事故进行处理;●安全事件发现人需要同时告知本部门安全员、安全应急小组、本部门主管。
3. 报告途径:电话;邮件;亲自报告;微信等。
5.1.3 升级处理程序升级处理程序是指将事故上报管理层和有关方面,以确保立即做出重要决策的程序。
在发生事故时,往往需要处理大量紧急事项,所以很难找到适当的人选处理林林总总的事项。
为顺利执行安全事故处理的各阶段工作,应事先编备处理技术和管理事项所需的重要联络名单。
公司应提供足够的员工培训,以确保相关的全体员工和管理层人员均懂得如何处理安全事故。
各人员应熟习由事故上报、确认和采取适当行动到恢复系统正常操作的处理事故程序。
公司可组织事故处理演习,使全体人员熟习处理安全事故的程序。
此外,为了加强系统或职能范围的安全保护措施,并减少发生事故的机会,应向系统管理和支持人员提供足够的培训,使他们掌握有关安全预防的知识。
5.1.5 事故监控措施应采取足够的事故监察安全措施以便在正常操作时保护系统,同时防范潜在的安全事故。
所采取措施的程度和范围则取决于系统、系统处理的数据及系统提供的功能的重要性和敏感程度。
下列是目前已经部署的安全事故监察措施:●安装防火墙并采取认证和访问控制措施,以保护重要系统和数据资源;●安装入侵侦测工具,主动监察、侦测并就系统入侵或黑客入侵做出应对;●安装计算机防病毒工具和恶性程序代码侦测及修复软件,以侦测及清除计算机病毒及恶性程序代码,并防止计算机病毒和恶性程序代码影响系统操作;●定期利用安全扫描工具进行安全检查,以找出目前存在的安全漏洞,并进行既定安全政策水平与实际安全工作环境之间的差距分析;●开启系统及网络审计日志功能,以便侦测和追踪未获授权活动;6.2 安全事故应急响应安全事故应急涉及制定程序评估事故并做出应急,尽快将受影响的系统元服务恢复正常。
有关程序大致可分为五个阶段:如下图5.1所示的确认、升级处理、遏制、杜绝和恢复。
认识各阶段具体工作有利于在发生安全事故时迅速做出响应。
上报系统的异常表现确认:-判断是否确实安全事件发生-进行初步安全评估-记录安全事件当前状态遏制:-限制影响范围和严重程度,争取降到最低。
-保护关键资源-决定是否暂停系统服务升级处理:-通知相关方(引起关注、寻求协助及核准建议的行动)恢复:-恢复受损活丢失资料-恢复生成前安全评估-系统恢复正常工作杜绝:-安全补丁、修复程序、修改安全策略等去除安全漏洞-纠正系统不当配置、更换密码等。