ISMS-02-15-V1.0 信息安全事件管理规定
信息安全事件管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心信息安全事件的报告、处理、回顾和改进机制,明确信息安全事件的管理职责和管理流程,确保信息安全事件发生后能得到快速反应,将信息安全事件造成的损害程度降到最低,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心职责范围内的信息安全事件的管理活动。
第二章 组织与职责
第三条 工作指挥小组
信息安全工作指挥小组负责审批需上报上级部门或监管机构的信息安全事件报告;负责定期评审信息安全事件的统计、分析报告。
第四条 风险管理组
思度安全运营中心风险管理组负责统计并分析信息安全事件;协调、跟踪信息安全事件的处理情况。负责对事件发生的原因和处理过程进行回顾和总结,提出改进建议。
第五条 运维中心
负责协调各部门处理造成生产系统中断的信息安全事件,及时恢复生产。若造成生产系统中断的信息安全事件达到总行上报要求,应及时进行报告。
第六条 各部门
负责处理本部门职责范围内的信息安全事件,及时通报思度安全运营中心风险管理组,信息安全事件的处理情况,编写事件报告;根据信息安全工作指挥小组评审通过的改进建议实施整改。
第七条 全体员工
负责及时报告信息安全事件,配合处理信息安全事件。
第三章 信息安全事件的分类
第八条 信息安全事件分类
依据《GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南》,共分7类,分别为:网络攻击事件、病毒事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件。
第四章 信息安全事件的报告和处理
第九条 事件报告
员工发现信息安全事件后应根据事件造成的影响进行上报:若造成生产系统中断,应及时报告本部门信息安全负责人,由其通报思度安全运营中心风险管理组;若未造成生产系统中断,应及时报告部门安全管理组。报告时应将事件描述清晰,报告内容应包括但不限于发生的时间、现象、影响。
第十条 事件处置
造成生产系统中断的信息安全事件的报告和处理,参见《思度安全信息安全事件报告管理办法》,造成生产环境系统非中断信息安全事件报告和处理,参见《事件管理流程》,其他信息安全事件报告和处理依照本规定执行。
第五章 信息安全事件的回顾和分析
第十一条 安全事件总结
思度安全运营中心风险管理组应组织相关人员对信息安全事件总结、分析,查找风险隐患,提出改进建议,制定预防措施,形成《信息安全事件分析报告》。
第十二条 定期回顾。
思度安全运营中心风险管理组定期(至少每6个月进行一次)对信息安全事件进行汇总,形成《信息安全事件清单》。根据《信息安全事件清单》对信息安全事件进行统计、分析,形成报告报信息安全工作指挥小组。
第六章 附则
本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效。 记录 《信息安全事件报告处理表》 《信息安全事件分析报告》 《信息安全事件清单》
附件二: 信息安全事件分类表 信息安全事件类型 信息安全事件子类 详细描述 1.网络攻击事件 拒绝服务攻击事件 利用信息系统缺陷,或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
后门攻击事件 利用软件系统、硬件系统设计过程中留下的后门或病毒程序所设置的后门而对信息系统实施的攻击的信息安全事件。
漏洞攻击事件 除拒绝服务攻击事件和后门攻击时间之外,利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞,对信息系统实施攻击的信息安全事件。
网络扫描窃听事件 利用网络扫描或窃听软件,获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件。
网络钓鱼事件 利用欺骗性的计算机网络技术,使用户泄露重要信息而导致的信息安全事件。例如,利用欺骗性电子邮件获取用户安全账号密码等。
干扰事件 通过技术手段对网络进行干扰,或对广播电视有线或无线传输网络进行插播,对卫星广播电视信号非法攻击等导致的信息安全事件。
其它网络攻击事件 不能被包含在以上6个子类之中的网络攻击事件。 2.病毒事件 指蓄意制造、传播计算机病毒,或是因受到计算机病毒的影响而导致的信息安全事件。计算机病毒简称病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,包括蠕虫病毒、木马病毒、文件型病毒、脚本病毒、后门病毒、流氓软件以及间谍软件等。在思度安全运营中心病毒事件具体为生产网中发现病毒、办公网发现防病毒客户端无法处理的网络传播病毒的事件。 3.信息破坏事件 信息篡改事件 未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件。
信息假冒事件 指通过假冒他人信息系统收发信息而导致的信息安全事件,例如网页假冒等导致的信息安全事件。
信息泄漏事件 因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件。
信息窃取事件 未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件。
信息丢失事件 因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件。
其它信息破坏事件 不能被包含在以上5个子类之中的信息安全破坏事件。 4.信息内容安全事件 违反宪法和法律、行政法规的信息安全事件。
针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件。
组织串联、煽动集会游行的信息安全事件。
其他信息内容安全事件等4个子类。 5.设备设施故障 软硬件自身故障 因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的生产系统中断的信息安全事件。
外围保障设施故障 由于保障信息系统正常运行所必须的外部设施出现故障而导致的生产系统中断的信息安全事件,例如电力故障、外围网络故障等信息安全事件。
人为破坏事件 人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件;或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏,影响信息系统正常运行的信息安全事件。 6.灾害性事件 由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。 7.其他信息安全事件 不能归为以上6类基本分类的信息安全事件。