DSMM-019 数据安全事件应急管理规范V1.0
第一章 总则
第一条 为加强数据安全事件应急管理,对已发生的安全事件进行及时有效处理,最大限度降低数据安全事件产生的影响,并预防类似事件再次发生,特制定本规范。
第二条 本规范适用于北京思度咨询科技有限公司的数据安全事件应急处置工作。
第三条 本规范中所指的事件仅限于数据安全事件,包括数据泄露、数据窃取、数据滥用、数据误删除等。网络、系统和应用等安全事件的处置遵照《信息系统应急响应流程与预案》执行。
第二章 术语定义
第四条 数据安全事件:指已发生且造成影响的数据被泄露、滥用、删除及窃取等安全行为,如违规下载或外泄公司敏感数据或个人隐私信息,误操作导致数据被删除或泄露等。
第五条 数据安全风险:发生数据安全事件的可能或迹象,是一种前瞻性的预判,预判的事件并未发生。
第六条 舆情:指公众对现实生活和互联网上某些热点、焦点问题所持的有较强影响力、倾向性的言论和观点,包括正面和负面的,本规范重点关注互联网负面舆情。
第三章 职责权限
第七条 数据安全领导小组,主要履行的职责包括但不限于:
(一)负责对组织的重大数据安全事件进行协调和决策;
(二)负责收集和响应数据安全事件,对事件的真实性和详细内容进行确认,快速定位当事人及责任部门,并评估影响及严重级别。
第八条 数据安全事件管理岗主要履行的职责包括但不限于:
(一)参与制定数据安全事件应急管理规范;
(二)开展数据安全事件分析、响应、应急处置等工作;
(三)负责安全事件的跟进和处理工作;
(四)组织开展应急演练工作;
(五)对安全事件的真实性和详细内容进行确认,快速定位当事人及责任部门,并评估影响及严重基本,全程跟进事件的处理过程。
第九条 事件当事人:如是还原事件发生时的具体情况,配合对事件进行紧急修复处理,尽可能将损失降到最小。
第十条 责任人/处置人:对已发生的事件进行处置或消除风险,及时止损。
第十一条 当事人部门负责人:对归属于自己团队的安全事件的真实性和详细内容进行确认,并评估影响和严重级别,并给出处置意见和建议。
第十二条 数据安全管理小组:对上报的安全事件进行确认,跟进事件处置过程,对事件发生的原因进行调查,并将调查结果上报数据安全领导小组。
第十三条 人事部门:协助数据安全管理小组跟进事件处理过程,对涉及员工处罚的给出处置意见和建议。
第四章 数据安全事件分类
第十四条 数据泄露。指数据被违规传输或共享到非公司规定的环境或介质,如外泄到公网,移动硬盘、网盘,或将数据和信息发给不相关或不应有权限查看的内、外部人员。
第十五条 数据删除。指需要持久化的数据从数据库或其他存储介质上被删除和被格式化。
第十六条 数据窃取。通过非正常手段违规获取数据库和其他存储介质上的数据,非法手段包括但不限于越权访问、非法入侵和攻击网络和数据库等。
第十七条 数据滥用。在拥有权限但没有合理工作场景下随意查询、下载和共享数据。如违规查询个人隐私信息、公司敏感数据等。
第五章 数据安全事件分级
第十八条 特级事件(P0)
(一)受到或可能受到监管部门的重大行政处罚(如责令暂停核心业务、停业整顿、关闭网站、吊销营业执照或吊销相关业务许可证),或者刑事处罚的;
(二)对公司造成或可能造成重大经济损失、声誉损失或恶劣社会影响的(如引发大范围媒体负面报道/传播);
(三)引发特大量用户投诉,且极可能造成严重纠纷或客户流失,对公司造成或可能造成重大经济、声誉损失或恶劣社会影响。
第十九条 重大事件(P1)
(一)受到或可能受到行政机关一般行政处罚的(如书面警告、没收违法所得、行政罚款等);
(二)对公司造成或可能造成较大经济损失、声誉损失或产生较大社会影响的(如引发较大范围媒体负面报道/传播);
(三)引发大量用户投诉,核心业务的上下游合作伙伴投诉,且极可能造成严重纠纷或客户流失,对公司造成或可能造成较大经济、声誉损失或产生较大社会影响的。
第二十条 较大事件(P2)
(一)受到行政机关通过来电/当面等方式表示关注的;
(二)对公司造成或可能造成一定经济损失、声誉损失的(如小范围或个别媒体负面报道/传播);
(三)引发部分用户投诉,非核心业务的上下游合作伙伴投诉,可能造成部分纠纷或客户流失,对公司造成或可能造成一定声誉损失的。
第二十一条 一般事件(P3)
(一)轻微影响个人信息主体或组织合法权益的,但未造成合规和媒体负面报道的;
(二)对公司未造成经济损失的;
(三)未引发用户及上下游合作伙伴投诉的。
第二十二条 事件定级及升级原则
(一)升级原则。当处理某具体个案的事件时,如果未及时应对或在处理过程中出现风险泛化和蔓延,事件定级直接升一级,直至P0(特级事件)为止。
(二)就高原则。当事件等级指标有所交叉或难以判断级别时,应按照较高一级事件处理。
第六章 数据安全事件应急处置流程
第二十三条 数据安全事件应急处置工作涉及多个角色,重大事件处置流程如图1所示:
图1 重大数据安全事件应急处置流程
第二十三条 复盘和总结
(一)复盘会议
数据安全事件管理岗全程跟进事件的处理过程,保证事件能得到及时有效的处理,待紧急修复止损和查到原因后,组织相关人员进行复盘和总结,复盘及报告内容包括但不限于:发现人、发现途径、事件内容概述、事件处理经过、当事人、当事人所属部门、受影响业务/部门、数据敏感级别、已造成的影响、事件严重级别、导致事件原因、紧急修复措施、预防措施、总结和反思。
(二)处置和通报(如有)
数据安全管理小组和人事负责人介入调查,调查报告和处置提案提交数据安全领导小组进行相应处置,确定为违规的,由数据安全管理小组主导提出处罚提案,经当事人所属部门负责人确认后,进行处罚和公告;对因为事件处理得当避免公司声誉受损或利益未受损失的,进行表彰。
(三)备案和归档
数据与网络安全部对事件报告及处置结果报告等进行归档,方便后续回溯和查阅。
第七章 应急预案的编制
第二十四条 应急预案的编制应当符合下列基本要求:
(一)符合有关法律、法规、规章和标准的规定;
(二)结合本公司的实际情况;
(三)结合本公司的危险性分析情况;
(四)应急组织和人员的职责分工明确,并有具体的落实措施;
(五)有明确、具体的事故预防措施和应急程序,并与其应急能力相适应;
(六)有明确的应急保障措施,并能满足本公司的应急工作要求;
(七)预案基本要素齐全、完整,预案附件提供的信息准确;
(八)预案内容与相关应急预案相互衔接。
第二十五条 应急预案应当包括应急组织机构人员的联系方式、应急物资装备清单等记录信息。记录信息应当经常更新,确保信息准确有效。
第八章 应急预案的评审
第二十六条 评审方法,应急预案评审采取形式评审和要素评审两种方法。形式评审主要用于应急预案备案时的评审,要素评审用于应急预案评审工作。应急预案评审采用符合、基本符合、不符合三种意见进行判定。对于基本符合和不符合的项目,应给出具体修改意见或建议。
(一)形式评审。依据有关规范,对应急预案的层次结构、内容格式、语言文字、附件项目以及编制程序等内容进行审查,重点审查应急预案的规范性和编制程序。
(二)要素评审。依据国家有关法律法规和行业规章,从合法性、完整性、针对性、实用性、科学性、操作性和衔接性等方面对应急预案进行评审。为细化评审,采用列表方式分别对应急预案的要素进行评审。评审时,将应急预案的要素内容与评审表中所列要素的内容进行对照,判断是否符合有关要求,指出存在问题及不足。
第二十七条 应急预案要素分为关键要素和一般要素。
(一)关键要素是指应急预案构成要素中必须规范的内容。包括危险源辨识与风险分析、组织机构及职责、信息报告与处置和应急响应程序与处置技术等要素。关键要素必须符合公司实际和有关规定要求;
(二)一般要素是指应急预案构成要素中可简写或省略的内容。包括应急预案中的编制目的、编制依据、适用范围、工作原则等要素。
第二十八条 评审程序:应急预案编制完成后,应对应急预案进行评审。
(一)评审准备。成立应急预案评审工作组,成员包括技术中心、数据与网络安全部及保障服务中心各部门负责人及数据安全服务人员。
(二)组织评审。评审工作由数据安全事件管理岗主持,应急预案评审工作组讨论并提出会议评审意见。现场处置方案的评审,采取演练的方式对应急预案进行论证。
(三)修订完善。数据安全管理员及数据安全事件管理岗应认真组织分析研究评审意见,按照评审意见对应急预案进行修订和完善。
(四)批准印发。应急预案经评审或论证,符合要求的,由数据安全领导小组签发。
第九章 应急预案的实施
第二十九条 公司采取多种形式开展应急预案的宣传教育,提高员工的信息安全意识和应急处置技能。
第三十条 定期组织开展本单位的应急预案培训活动,使有关人员了解应急预案内容,熟悉应急职责、应急程序和岗位应急处置方案。
第三十一条 预案修订情况应有记录并归档。
第三十二条 有下列情形之一的,应急预案应当及时修订:
(一)应急组织指挥体系或者职责已经调整的;
(二)依据的法律、法规、规章和标准发生变化的;
(三)应急预案演练评估报告要求修订的;
(四)应急预案发布年满2年从未修订的;
(五)应急预案管理部门要求修订的。
第三十三条 应急演练
(一)公司在制定年度安全工作计划时,同时制定应急预案演练计划,每年至少组织一次应急预案演练。
(二)应急预案演练结束后,应急预案演练组织单位应当对应急预案演练效果进行评估,撰写应急预案演练评估报告,分析存在的问题,并对应急预案提出修订意见。
第十章 附则
第三十四条 本规范由数据安全领导小组办公室负责制定、解释和修改。
第三十五条 对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。
第三十六条 本规范自发布之日起执行。