信息安全事件管理程序.doc

安阳肿瘤医院 编号：信息安全事件管理程序 版本及修改状态： A/11 范围本标准规定了单位信息安全的事件管理，包括事故分类、薄弱点与故障分类、报告的途径、方法与时限要求、响应、事故的调查处理、防止再发生的措施。本标准适用于单位各部门。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改或修订均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 22080-2008/ISO/IEC 27001: 2005 信息技术-安全技术-信息安全管理体系 要求GB/T 22081-2008/ISO/IEC 27002: 2005 信息技术-安全技术-信息安全管理实用细则3 术语和定义GB/T 22080-2008/ISO/IEC 27001: 2005信息技术-安全技术-信息安全管理体系要求和GB/T 22081-2008/ISO/IEC 27002: 2005信息技术-安全技术-信息安全管理实施细则规定的术语适用于本标准。4 职责和权限4.1 信息安全工作小组单位网络与信息安全工作遵守分级管理、逐级负责制度。各部门做好本部门的信息安全工作，共同构建信息安全联合防护体系。总经理办公室是单位信息安全最高组织机构，负责单位网络与信息安全重大事项的决策和协调，并对信息安全工作负责。4.2 信息科是信息安全监察工作的职能部门，履行信息安全监察职能，指导、协调、检查、监督和考核信息安全工作。负责信息安全事件的调查、分析、处理工作；对重大问题和隐患监督整改；对信息安全事件和事故进行处罚。信息安全归口信息科，履行以下职责：a)贯彻落实国家、上级部门有关网络与信息安全的法律法规、标准规范、规章制度和安全保护技术措施。b)建立、健全单位网络与信息安全管理制度和标准，组织制订网络与信息安全规划和策略，并负责组织实施。c)负责信息安全工作的统计分析、通报和上报工作。d)根据管理考核标准，对未构成信息安全事件和事故进行经济责任制考核。5 管理5.1 人员管理5.1.1 单位各部门设立兼职信息安全员、联络员等岗位。5.1.2 要加强对全体员工进行信息安全意识教育，增强员工的安全意识和技能。5.1.3 专（兼）职信息安全员、联络员应及时识别安全薄弱点及可能的安全威胁，一旦发现应及时按信息安全事故应急预案向有关人员或部门报告并记录。5.2 技术管理5.2.1 单位要按照资产关系在预算中安排网络与信息安全建设资金，在年度成本预算中单独列支信息系统的运行维护费用，建立稳定的资金渠道，确保网络与信息安全建设的顺利开展和信息系统的正常运行维护。5.2.2 单位应制定网络与信息安全策略，合理部署各项安全技术设施，逐步完善形成有效的网络与信息安全技术防护体系。5.2.3 在信息化基础建设中应加强信息系统的机房、网络综合布线、防雷设施等的建设5.2.4 对信息安全保护等级较高的信息系统，配置必要的冗余备用系统和高可用性措施，以便故障时切换使用。5.2.5 网络规划和建设中，要根据系统类型、性质与安全要求，划分不同的安全区域。各个区域之间定义明确的边界，实施访问控制。加强对网络出入口的管理，控制网络的接入与联出。5.3安全事件定义5.3.1信息安全事件是指计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患。5.3.2发生以下情况，可能定义为安全事件：1、非授权访问a)通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；b)发现有人在不断强行尝试登录系统；c)在系统日志中发现非法登录者；2、信息泄密，数据在传输中因数据被截取、篡改、分析等原因而造成信息的泄漏；3、拒绝服务a)正常用户不能正常访问服务器提供的相关服务；b)有不明的进程运行并占用大量的CPU处理时间；4、病毒攻击，发现系统感染计算机病毒；5、帐号安全，系统中出现不明的新用户账号；6、恶意入侵a)管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；b)文件的访问权限被修改；c)因安全漏洞导致的系统问题；7、其它的入侵行为。5.4安全事件级别1、信息安全事件由于安全隐患或系统遭受入侵、尝试性入侵但未造成不良后果的网络通信或系统业务运行中出现的一般故障，或利用本网发起的对其它网络的攻击。 2、信息安全事故安全事件造成业务中断或间断，造成业务系统数据损坏、丢失。例如，某服务器被入侵后，业务数据被删除。5.5 薄弱点/事件/事故报告5.5.1 各部门发现薄弱点或发生安全事件时，应即时采用电话、传真、电子邮件等方式向总经理办公室报告。填写信息安全事件报告。5.5.2 各部门发生有害信息传播、信息攻击事件，还应向当地人民政府信息安全主管部门报告。5.6 事件调查处理与纠正措施5.6.1 薄弱点发现者填写信息安全事件报告，提交总经理办公室，确定是否采用预防措施。5.6.2事件处理部门应对故障原因进行分析，必要时，采取纠正措施，事件的原因及采取措施的结果予以记录。5.6.3 对于信息安全事故，在故障排除或采取必要措施后，总经理办公室会同事故责任部门，对事故的原因、类型、损失、责任进行鉴定，对于违反单位信息方针、程序及安全规章所造成的信息安全事故责任者予以通报。5.6.4 事件责任部门应按纠正预防措施控制程序制定纠正措施并实施。5.6.5 由行政部按纠正预防措施控制程序对纠正措施实施情况进行跟踪验证。5.7 应急与防范5.7.1 应建立健全安全事件的防范体系，定期进行事件防范演习，针对薄弱环节不断改进完善。5.7.2 应制定事件发生时的应急预案，以快速、合理、有效地处理事件，减少影响范围。5.7.3 建立和规范信息安全事件的发现、分析、通报、预警及处置的工作机制，实现统一行动，联合防护，确保一旦发生信息安全事件时，能够及时有效处置，以减少损失、缩小影响范围。5.8 信息安全事件处理总结与分析1、信息安全事件处理完毕后，系统恢复正常运行后，总经理办公室要对整个事故进行分析研究，总结经验教训，并形成安全事件处理报告。2、报告中应详细记录事件的起因、处理过程、建议改进的安全方案，造成的直接损失等。3、对于安全事故、事件的处理报告首先应上报信息科，由信息科审核并反馈相关意见，最后报告由信息科归档备案。4、总经理办公室定期进行安全审计，在进行安全审计的时候，必需整理前一阶段所有安全事件的档案，进行总结和统计。 6 报告和记录序号记录编号报告/记录名称保管场所期限