MHWJW37-安全事件报告和处置-V1.1-网络安全等级保护(等保2.0)管理制度模板-系统运维管理

安全事件报告和处置安全事件报告和处置文档信息制度编号：生效日期：分发范围:解释部门：版次:Verl.l页数：9制定人：审核人：批准人：□传阅□阅后执行并存档区］保密保密等级内部公开版本记录版本号版本日期修改者说明文件名安全事件报告和处置安全事件报告和处置XX单位安全事件报告和处置1总则1.1目的为了严密规范XX单位信息系统的安全事件处理程序，确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程。范围本流程适用于XX单位范围内使用的网络、计算机系统的安全事件处理。职责信息中心安全管理员负责流程的执行和改进，安全管理员应定期审阅安全事件处理状况，监督流程的执行，并针对流程的执行情况提出相应的改进意见。2管理细则2.1事件分级对信息安全事件的分级可参考下列三个要素：信息系统的重要程度、系统损失和社会影响。信息系统的重要程度信息系统的重要程度主要考虑信息系统所承载的业务对XX单位信息安全、经济利益的重要性，以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。系统损失系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给XX单位业务所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。社会影响社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济利益、公众利益和企业名誉等方面的影响。根据信息安全事件的分级参考要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。2・1・1特别重大事件(I级)特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。特别重大事件：会使特别重要信息系统遭受特别重大的系统损失，即造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的。产生的社会影响会波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对企业经济利益有极其恶劣的负面影响，或者严重损害企业名誉和公众利益。2.1.2重大事件(II级)重大事件是指能够导致严重影响或破坏的信息安全事件。重大事件：(1)会使特别重要信息系统遭受重大的系统损失，即造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；或使重要信息系统遭受特别重大的系统损失。(2)产生的社会影响波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对企业经济利益有重大的负面影响，或者损害到企业名誉和公众利益。2・1・3较大事件(III级)较大事件是指能够导致较严重影响或破坏的信息安全事件。较大事件：会使特别重要信息系统遭受较大的系统损失，即造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；或使重要信息系统遭受重大的系统损失、一般信息信息系统遭受特别重大的系统损失。产生的社会影响波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对企业经济利益有一定的负面影响，或者影响到企业名誉和公众利益。2・1・4一般事件(IV级)一般事件是指能够导致较小影响或破坏的信息安全事件。一般事件：(1)会使特别重要信息系统遭受较小的系统损失，即造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小；或使重要信息系统遭受较大的系统损失，一般信息系统遭受重大的系统损失。(2)产生的社会影响波及到一个地市的部分地区，对国家安全、社会秩序、企业经济利益、企业名誉和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。故障类信息安全事件处理流程信息安全事件的处理流程主要包括：发现、报告、响应(处理)、评价、整改、公告、备案等。如下图所示：故障类信息安全事件管理2.3.1发现XX单位所有职工都有责任和义务将发现的信息安全事故及时向信息中心报告，并保护现场；同时信息中心应填写《信息安全事件记录》。2.3.2报告信息中心接到故障申报后，填写《信息安全事件记录》并初步判定故障的严重程度、影响范围，重大信息安全事件需要上报信息安全领导小组，同时按信息系统应急预案处理故障。报告必须采用书面方式，如紧急情况下可以先用电话报告，随后补填《信息安全事件记录》。2.3.3响应信息安全事故的响应和处理应遵循以下次序：(1)保护人员的生命与安全。(2)保护敏感的设备和资料。保护信息系统相关重要的数据资源。(4)保护应用系统。2.3.4评价信息中心牵头组织分析信息安全事故的类型、严重程度、发生的原因、性质、产生的损失、责任人、预防措施等进行分析，确定信息安全事故等级，形成《信息安全事故报告》。重大及以上事故由信息中心报信息安全领导小组处理；重大事故以下由信息中心组织处理。特大信息安全事故的报告由信息安全领导小组审批；危急国家安全的须向国家相关主管部门报告；重大事故及以下信息安全事故的报告由信息中心自行审批2.3.5整改对系统存在的缺陷进行整改；对相关的责任人进行考核，触犯法律的移送司法机关进行处理。2.3.6公告信息安全领导小组对《信息安全事件记录》进行公示并组织学习，对信息安全事故违规处罚结果予以公布。2.3.7备案信息安全事故应进行备案管理，重大以上的信息安全事故由信息安全领导小组备案，其他信息安全事故由信息中心和各业务部门进行备案。常见故障类信息安全事件的处理信息中心主管领导协调、组织相关资源，处理安全事件，并通告相关部门：向业务科室发出通知，通报发生的安全事件及进展。安全管理员联系安全服务商，系统管理员负责相应的系统，对事件进行诊断、定位，查找问题根源。找到原因后需要确定受影响的系统范围，进行紧急修复，如系统隔离、设置防火墙、路由器规则，更新系统补丁等。在进行修复时应注意采取措施进行证据的收集和保全，记录或复制入侵证据、破坏和损失、归档备查。恢复系统服务和数据，解决安全事件后，安全管理员联合安全服务商和系统管理员对受到影响的系统进行安全评估，并对存在类似隐患的所有系统进行分析统计，制定相应的安全加固，安全防护等解决方案，并由安全管理员负责跟进落实。对于普通安全事件，由安全管理员进行调查处理，必要时联合安全服务商和系统管理员。进行安全修复，加固防护所进行的配置和更改工作，都需要进行相关测试。安全管理员负责填写并维护《信息安全事件记录》，负责安全事件的跟踪管理。泄密类信息安全事件处理流程需要全体职工了解的是，泄密类信息安全事件有其特殊性，需要与故障类信息安全事件区分对待，灵活处理，但总得来说，需要把握以下原则：泄密发现人员在第一时间需要先就泄密事件本身保密，不要随意告诉身边不够涉密级别的无关人员。泄密发现人员如已经发现或掌握泄密信息内容，在做好保密工作的同时需要根据泄密信息的重要程度选择据有相应涉密级别的人员进行报告，如无法区分泄密信息重要程度或不清楚相应涉密级别的人员，可选择直接报告给信息安全领导小组组长。泄密发现人员如未发现掌握泄密信息内容，但发现了泄密人员的泄密行为，可根据可能泄密人员的身份级别，找上一级别的信息安全主管领导报告。各级信息安全管理人员和信息安全主管领导在接到泄密事件报告后，需要根据泄密信息的重要程度，可能泄密人员的身份级别及时进行相关处理或报告上一级主管领导处理。3附件附1：信息安全事件记录安全事件报告和处置安全事件报告和处置安全事件报告和处置安全事件报告和处置信息安全事件记录时间信息安全事件/r