数据安全事件管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
第一章 总则
第一条 目标
为提高北京思度安全股份有限公司(以下简称公司)对数据安全事件的防范和快速处置能力,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规行业标准,结合本公司实际情况,特制定本办法。
第二条 适用范围
本办法适用于集团公司总部,各分子公司、基层企业。
第三条 基本原则
统筹规划原则是指数据安全事件由信息与数据管理委员会进行统筹管理。
以数据为中心原则是指数据安全事件处理过程中始终以数据保护为中心。
第四条 术语
数据资产是指由公司合法拥有或控制的数据资源,以电子或其他方式记录、例如文本、图像、语音、视频、网页、数据库、传感信号等结构化或非结构化数据,能直接或间接带来经济效益和社会效益。
数据安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对公司数据造成危害,或对数据保护造成负面影响的事件。
数据安全事件响应组(DSIRT Data Security Incident Response Team) 是由公司的安全部、业务部、基础服务部组成的一个小组,负责处理与数据安全事件相关的全部工作。
第二章 组织与职责
第五条 组织机构
公司设立的信息与数据管理委员会统筹管理公司范围内的数据安全事件。
各业务团队应设置数据安全接口人负责本部门范围内数据安全事件的支撑工作 。
第六条 职责
(一) 制定数据安全事件分类分级管理办法。
(二) 制定数据安全事件应急预案并每年组织数据安全预案演练。
(三) 出现数据安全事件后,按本制度进行落地实施。
第三章 数据安全事件分类规定
第七条 恶意破坏类事件
恶意破坏事件是指事件责任人主观蓄意对数据的安全进行破坏,影响数据的保密性、完整性或可用性。
第八条 网络攻击事件
网络攻击事件是指攻击者通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,对数据的机密性、完整性或可用性造成影响。
第九条 数据内容安全事件
数据内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的数据安全事件。
数据内容安全事件包括以下 4 个子类,说明如下:
(一) 违反宪法和法律、行政法规的信息安全事件;
(二) 针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的数据安全事件;
(三) 组织串连、煽动集会游行的数据安全事件;
(四) 其他数据内容安全事件等 4 个子类。
第四章 数据安全事件分级规定
第十条 数据安全事件分级原则
数据安全事件的分级要素主要包括数据重要程度、事件损失和社会影响。
(一) 数据重要程度是指数据按照公司数据安全分类分级管理制度属于哪级数据;
(二) 事件损失是指事件对公司经济利益产生的影响;
(三) 社会影响是指数据安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、 经济建设和公众利益等方面的影响。
第十一条 特别重大数据安全事件
特别重大事件是指能够导致特别严重影响或破坏的数据安全事件,包括以下情况,会使特别重要数据系统遭受特别严重的损失,产生特别重大的社会影响。
第十二条 重大数据安全事件
重大数据安全事件是指能够导致严重影响或破坏的数据安全事件,包括以下情况,会使特别重要数据系统遭受严重的系统损失、或使重要数据系统遭受特别严重的系统损失,产生的重大的社会影响。
第十三条 较大数据安全事件
较大数据安全事件是指能够导致较严重影响或破坏的数据安全事件,包括以下情况:会使特别重要数据系统遭受较大的系统损失、或使重要数据系统遭受严重的系统损失、一般数据信息系统遭受特别严重的系统损失,产生较大的社会影响。
第十四条 一般数据安全事件
一般数据安全事件是指不满足以上条件的数据安全事件,包括以下情况:会使特别重要信息系统遭受较小的系统损失、或使重要数据系统遭受较大的系统损失,一般数据系统遭受严重或严重以下级别的系统损失,产生一般的社会影响。
第五章 数据安全事件管理规定
第十五条 数据安全事件规划和准备
(一) 制定数据安全事件管理策略,并得到信息与数据管理委员会确认;
(二) 制定数据安全事件管理方案;
(三) 对公司及系统、服务、网络安全进行风险分析和管理,更新策略;
(四) 建立 DSIRT;
(五) 发布数据安全事件管理意识简报并开展培训;
(六) 测试数据安全事件管理方案。
第十六条 数据安全事件使用
(一) 检测并报告数据安全事态;
(二) 评估并决定是否将事态归类为数据安全事件;
(三) 对数据安全事件做出响应,其中包括进行法律取证分析;
第十七条 数据安全事件评审
(一) 进一步进行法律取证分析;
(二) 总结经验教训;
(三) 确定安全的改进之处;
(四) 确定数据安全事件管理方案的改进之处。
第十八条 数据安全事件改进
(一) 改进安全风险分析和管理评审的结果;
(二) 启动对安全的改进;
(三) 改进数据安全事件管理方案。
第六章 数据安全事件应急预案
第十九条 准备工作
(一) 各公司、驻场各单位和机关各部门在发现网络安全突发事件后,必须在第一时间向设在公司信息中心的安全与信息化领导小组办公室(以下简称领导小组办公室)通报。
(二) 收到通报后,由信息中心安全质量处进行初步判定。判定结果必须立即向领导小组办公室汇报。
(三) 如判定属于重大数据安全事件,则按照领导小组办公室的指示,立即成立事件应急小组,启动应急预案进行处置。应急小组组长原则上由领导小组办公室主任或副主任担任,成员由公司信息中心、突发事件系统所属部门、公司相关部门人员组成。
(四) 由应急小组组长迅速指派人员进行数据安全事件的应急处理,并保持应急小组与公司领导、公司相关应急部门、紧急事件现场间的联系。
第二十条 现场处置
紧急反应联席会议
(一) 当应急小组组长指示需要召开紧急反应联席会议时,由公司信息中心配合准备、调试视频显示设备、连接应急电话、调试无线网络等。
(二) 应急小组成员需参加或安排人员参加紧急反应联席会议,了解紧急事件情况,汇报已采取措施,并及时向相关人员传达会议指示。
系统敏感数据的及时处理
(一) 检查与数据安全事件相关的系统服务器、数据库、网络设备的日志是否处于正常的工作状态。确保数据安全事件发生时及应急处置过程中的信息能够顺利保存。
(二) 在数据泄露或有需要的情况下,由突发事件的系统所属部门协助应急小组临时限制外界对相关信息系统的访问,协助锁定、提取、保存有关数据资料的电子记录或制作相应的拷贝。根据应急小组的要求,可采取对敏感数据进行屏蔽或者脱敏数据处理等措施。
第七章 监督检查
第二十一条 考核评价
集团公司按年度对分子公司数据安全工作进行综合评价,评价主要从数据安全事件分类分级情况、数据安全事件处置等方面开展,评价结果公司评估考核体系。
第二十二条 奖惩措施
建立奖惩机制,对于数据安全事件工作突出,为公司做出贡献的予以表彰。对于组织落实不到位的企业,对其主要领导、分管领导及相关责任人进行处罚。
第八章 附则
本办法由公司信息中心负责解释。 本办法自发布之日起执行。
第九章 附件
第二十三条 数据安全事件应急检查单
日期: 时间: 应急小组组长: 应急小组成员:
主要职责:
1、迅速解决网络安全事件; 2、保障信息系统的正常运行。
事件基本信息:
备注: 可描述事件涉及的信息系统相关信息;
操作指引:
检查项目(完成后请在□内打√) 责任部门 完成时间
(一)初始处置
□收到紧急事件通知; /
□成立应急小组; /
(二)现场处置
1、紧急联席会议
□准备、调试应急指挥中心的视频显示设备、连接应急电话、调试无线网络等; 信息中心
2、现场处置
□检查与事件相关的服务器、数据库、网络设备是否存在被入侵的痕迹。如果发现,则进一步深挖出隐藏的网络安全漏洞; 责任部门
□在找到入侵的源头后,由应急小组组长决定是采取立刻封堵的措施,还是采取蹲守以抓获攻击者的措施。必要时,应急小组组长可向领导小组办公室汇报,以确定下一步的工作方向 应急小组组长、责任部门
□检查与突发事件相关的应用系统服务器、数据库、网络设备及备用设备是否正常,确保相关信息系统处于良好的工作状态。在优先解决网络安全问题的情况下,尽量减少对业务的影响时间 责任部门
□达到公安部门介入的条件后,由应急小组组长决定是否需要进行报案处理。如果需要,由处置牵头部门负责后续的报案和跟进。 责任部门
3、系统敏感数据的及时处理
□检查与网络安全事件相关的系统服务器、数据库、网络设备的日志是否处于正常的工作状态,确保网络安全事件发生时及紧急处理过程中的重要信息能够顺利保存下来。 责任部门
□在信息泄露或有需要的情况下,由责任部门协助应急小组及时严格限制外界对重要计算机系统和数据的访问,并协助锁定、提取、保存有关数据资料的电子记录或制作相应的拷贝。根据应急小组的要求,可采取对敏感信息进行屏蔽或者脱敏处理等措施。 责任部门
□对_系统进行数据备份,包括(在括号中打√,并填写详细信息):
( )系统配置文件:_;
( )参数表_;
( )生产数据:_;
( )其他:_; 责任部门
4、现场支持
□采取以下临时措施(在括号中打√,并填写详细信息):
( )启动_的备用系统;
( )启动__的单机版应用程序;
( )临时修改数据库_;
( )临时调用硬件设备:__;
( )临时开通网络访问关系:___;
( )其他__; 应急小组
5、协助舆情处理
□通过不同的渠道(包括但不限于□官方网站、□官方微博、□官网微信、□移动APP、□呼叫语音系统、□其他_等)、不同的形式(包括但不限于文字、图片、语音、视频等)对外发布公司声明和通报突发事件的最新进展; 应急小组
6、生产恢复
□收到应急小组组长指示突发事件的应急处理结束; 应急小组
□针对有发生过变更的_系统进行系统恢复,确保:
( )生产系统切换回主系统;
( )恢复临时修改的数据;
( )恢复临时开通的网络访问;
( )归还临时调用的硬件设备;
( )其他______等。 应急小组
(三)后续处置
□对整个突发事件进行总结,包括事件的处理过程、人员安排、经验总结、改进建议等内容。同时,需编写总结材料,向领导小组办公室汇报,并向相关部门通报。 应急小组
□做好事件处理的归档工作以备查询; 应急小组
□根据总结材料或实际情况的变化等,确定(□是,□否)需修订《网络安全事件应急处置预案》; 应急小组
□根据网络安全与信息化领导小组的指令,承办其他所涉及的工作。 应急小组
参考文档
GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南
GB-T 20985.1-2017 信息技术 安全技术 信息安全事件管理 第1部分:事件管理原理
GB-T 20985.2-2020 信息技术 安全技术 信息安全事件管理 第2部分:事件响应规划和准备指南
GB-T 28827.3-2012 信息技术服务 运行维护 第3部分:应急响应规范
GB-Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB-T 24363-2009 信息安全技术 信息安全应急响应计划规范
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国个人信息保护法
关键信息基础设施安全保护条例
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型(DSMM)