安全事件报告与处置管理制度

安全事件报告与处置管理制度

XXX系统网站安全事件报告与处置管理制度文档编号：XXX使用部门：全体员工编制日期：2014/4/22发行日期：2014/4/22文档名称：网站安全事件报告与处置管理制度服务对象：公司内部文档版本：V1.3修订及审核记录：修订日期：2014/3/27，修订人：XXX，修正章节：整篇文档，修订版式变更记录：修订版本、内容，修订版式，审核时间，审核意见目录：一、总则二、安全事故管理三、事件报告四、事件处理一、总则为规范XXX系统安全事件的报告和处理，防止和减少安全事件，及时对安全事件进行处理，以保证网站的安全运行，加强对信息安全事件的预警通报机制，并为重大信息安全事件的应急响应和事故调查处理工作奠定基础，协调组织相关力量进行事件的应急响应处理，从而降低重大信息安全事件带来的损失和影响，特制定本制度。根据有关法律、法规的规定，结合XXX系统的实际情况，制定本制度。请参照该制度要求，结合本单位、本部门实际情况认真贯彻落实。二、安全事故管理1.安全事故的定义安全事故是指在XXX系统中，因人为或非人为原因导致的安全问题，包括但不限于以下情况：（1）系统遭受黑客攻击，导致系统瘫痪或数据泄露；（2）员工泄露公司机密信息；（3）系统运行出现异常，影响正常业务运行；（4）其他可能危及系统安全的情况。2.安全事故的等级划分根据安全事故的影响程度和严重性，将安全事故划分为一般、重要、特别重要三个等级。（1）一般安全事故：对公司业务运行影响较小，可以通过日常维护和管理解决。（2）重要安全事故：对公司业务运行影响较大，需要及时处理，防止事态扩大。（3）特别重要安全事故：对公司业务运行影响极大，需要立即启动应急响应机制，迅速采取措施解决。3.安全事故的报告和处置流程（1）一旦发现安全事故，应立即报告上级领导和安全管理部门。（2）安全管理部门应立即启动应急响应机制，成立应急处理小组，制定应急响应方案，并向公司领导报告。（3）应急处理小组应根据安全事故等级，采取相应的措施进行处置，并在处理过程中不断汇报进展情况。（4）安全管理部门应对安全事故进行调查，查明事故原因，并制定相应的整改措施，防止事故再次发生。三、事件报告1.事件报告的范围事件报告包括但不限于以下情况：（1）系统运行出现异常，影响正常业务运行；（2）员工在工作中发现的问题或隐患；（3）其他可能影响公司正常运营的情况。2.事件报告的流程（1）员工发现事件后，应立即向上级领导或安全管理部门报告。（2）安全管理部门应对事件进行评估，确定事件等级，并制定相应的处理方案。（3）安全管理部门应及时向公司领导报告事件的处理情况，并定期向公司领导汇报事件的进展情况。四、事件处理1.事件处理的流程（1）安全管理部门应根据事件等级，制定相应的处理方案，并组织相关人员进行处理。（2）事件处理过程中，应及时向公司领导报告处理情况，并定期向公司领导汇报处理进展情况。（3）事件处理完成后，安全管理部门应对事件进行总结和评估，并制定相应的整改措施，防止类似事件再次发生。2.事件处理的要求（1）事件处理应符合公司的相关政策、法律法规和标准要求；（2）事件处理应及时、准确、有效，确保公司业务正常运行；（3）事件处理应注重信息的保密性，避免信息泄露。本制度适用于XXX。安全事故管理分为安全事件分类和安全事件分级。安全事件分类包括服务器系统安全事件、设备安全事件、网络安全事件、病毒安全事件、黑客攻击安全事件和信息安全事件。安全事件分级由网站组和技术组成员决定，分为三级、二级和一级。事故响应团队由技术人员和管理人员组成，由信息安全管理组领导，XXX主任为信息安全协调员。安全事件相应过程如图1所示，三级事件响应流程包括控制问题范围、制定补救措施和恢复系统或流程工作状态。在响应流程中，第三方服务商或系统供应商也可以参与。实施补救措施后，信息安全管理组负责人需要与应急响应小组、业务人员和第三方人员协同合作，验证系统或流程是否已恢复正常工作状态。事件解决后，应急小组应该查找和调查事件真实发生原因，并找出根本系统或流程修补措施。最后，XXX的信息安全负责人应通知所有相关部门，报告事件解决结果，并起草书面报告，提交至信息安全管理组。书面报告应包括事件发生情况及影响、补救措施以及将来的预防建议。三级安全事件包括：大规模病毒感染、网络中断、关键业务服务器当机、关键业务应用下线、机房漏水和着火、关键业务流程违规、机密信息未授权访问痕迹、防火墙或路由器未授权访问痕迹、业务环境数据库未授权访问痕迹等。图2展示了三级安全事件响应流程。第九条是二级事件响应流程。该流程针对对本单位重要业务系统和流程没有直接影响或只对无实时性业务系统和流程造成影响的事件而制定。因为这类业务系统的可用性相对不高，且无时间性需求，所以二级安全时间响应流程以发现和解决根本问题为优先。在确保系统可以无错误正常运行后，才可以在业务环境中恢复系统正常运作。其流程也是以控制事件范围为先，确保其他系统不受关联影响。然后由信息安全领导的信息安全应急小组讨论事件原因并形成解决方案。在实施补救方案时，必须在测试环境中验证补救措施，确保其有效性。然后才可将其在业务环境中实施。最后，信息安全的信息安全负责人应通知所有相关部门，报告事件解决结果，并起草书面报告，提交至信息安全管理组。书面报告应包括事件发生情况及影响、补救措施以及将来的预防建议。二级安全事件包括：小规模病毒感染、非关键区域网络问题、关键业务服务器问题、关键业务应用问题、非关键业务服务器和应用问题、机房温度不正常、非关键业务流程违规等。图3展示了二级安全事件响应流程。第十条是一级事件响应流程。一级安全事件是指对业务影响很小，无实时性要求的事件。这类事件不需要立即做出回复和解决，但必须做好记录，并定期在信息安全委员会上将这类事件放入议程中。信息安全相关人员应在会议中组织讨论这类事件的发生原因并进行分析，并做出解决方案。会后，信息安全主任应督促相关人员实施解决方案，并在完成后通知相关部门，以及完成事件报告。，这些过程中产生的所有文件和记录都应当妥善保存。一级安全事件包括违反信息安全准则中关于密码使用、软件安装等规则，用户账号被锁，用户账号密码滥用等。在事件发生后，事件发现者应立即向网站安全小组负责人报告。网站安全小组负责人在接到通报后应立即通知相关人员在十分钟内赶到现场，并向网站组副主任报告。如果安全领导小组会商后认为情况极为严重，应立即向公安部门或上级机关报告。安全小组负责人向上级领导报告事件时，应包括事件发生的时间和概况、事件已经造成或可能造成的后果、已经采取的措施以及其他应当报告的情况。如果事件报告后出现新情况，应及时补报。网站安全小组负责人接到事件报告后应立即启动事件相应应急预案，并采取有效措施。事件发生后，应妥善保留事件相关数据，及时清查事件原因。对于情况严重的，应对事件责任者依法追究责任。网站安全小组应当建立值班制度，并向社会公布值班电话，受理事件报告和举报。在接到安全事件通报后，网站安全小组负责人应立即通知相关人员在十分钟内赶到现场，并按照“网站突发紧急预案”和“网站信息安全应急预案”进行处理。网站安全小组工作人员应当具有事件处理所需的知识和专长，网站安全小组负责人主持事件处理的工作。网站安全小组的职责包括对发生的事件及时处理、记录事件处理情况、查明事件发生的原因、总结事件教训并提出防范和整改措施、认定事件的性质和事件责任。事件处理后，应认真吸取事件教训，落实防范和整改措施，防止类似事件再次发生。相关事件的资料应当归档保存。应及时报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点。在安全事件报告和响应处理过程中，应分析和鉴定事件产生的原因、收集证据、记录处理过程、总结经验教训并制定防止再次发生的补救措施。这些过程中产生的所有文件和记录都应当妥善保存。第二十三条规定了在统一的应急预案框架下，制定不同事件的应急预案。这些预案应包括启动条件、应急处理流程、系统恢复流程、事后教育和培训等内容。同时，针对每个事件，应加强总结分析，并进行相应的安全意识和技能培训，以提高应对事件的处理能力。第二十四条要求在人力、设备、技术和财务等方面，确保应急预案的执行有足够的资源保障。这样才能保证在应急情况下，能够快速有效地采取措施，减少损失。第二十五条规定了对系统相关人员进行应急预案培训，每年至少举办一次。这样可以让人员熟悉应急预案的内容，提高应对应急情况的能力。第二十六条要求定期对应急预案进行演练，并根据不同的应急恢复内容确定演练周期。一级事件演