信息安全应急处置管理规范

《信息安全应急处置管理规范》由会员分享，可在线阅读，更多相关《信息安全应急处置管理规范（26页珍藏版）》请在装配图网上搜索。

1、信息安全应急处置管理规范*信息安全事件与应急响应管理规范修订状况 当前版本v1.0章节编号章节名称修订内容简述修订日期修订前版本号批准人目录1.目的12合用范围1.工作原则.组织体系和职责1.信息安全事件分类和分级25.信息安全事件分类25.1.1信息系统袭击事件251.2信息破坏事件25.1.3信息内容安全事件35.发现安全漏洞事件35.1其它信息安全事件32.安全事件的分级5.1重大信息安全事件(一级）35.2.2较大信息安全事件（二级）35.2.3一般信息安全事件（三级)36上报流程7.后期解决68.解释61. 目的为建立健全*网络安全事件解决工作机制，提高网络安全事件解决能力和水平,保

2、障公司的整体信息系统安全，减少信息安全事件所导致的损失,采用有效的纠正与防止措施。2. 合用范围本文档合用于公司建立的信息安全管理体系。本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目的的不断变化而进行版本升级。本程序合用于公司全体员工；合用于公司的信息安全事故、弱点和故障的管理。3. 工作原则l 统一指挥机制原则：在进行信息系统安全应急解决工作过程中，各部门的人员应服从各级信息系统突发安全执行小组的统一指挥。l 谁运营谁主管谁解决的原则:各类业务模块的负责人要按照公司统一规定,制定和维护本部门业务模块运营安全应急预案,认真根据应急预案进行演练与应急解决工作。l 最小

3、损失原则：应对信息系统突发安全事件的各项措施最大限度地减少信息系统突发安全事件导致的危害和损失。l 防止为主原则：高度重视信息系统突发安全事件防止工作。坚持做好信息系统平常监控与运营维护工作,坚持防止与应急相结合，做好应对突发安全事件的各项准备工作。l 保密原则：参与信息系统突发安全事件解决工作的人员应严守公司保密规定，未经授权不得向外界提供与解决有关的工作信息，不得运用工作中获得的信息牟取私利。4. 组织体系和职责l 所有人员(包含正式员工、协议雇佣人员、实习生、临时人员等)发现疑似信息安全异常事件时,都有实时通报的责任。l 各部门和各业务模块的信息安全专员是信息安全事件的辨认和响应的联络窗

4、口,负责配合安全小组,进行安全事件解决(信息安全员应熟悉本部门负责的业务模块)。l 信息安全执行小组由各部门信息安全员以及应急解决小组组成,是信息安全事件解决的权责单位,具有如下职责:(一) 评审和更新公司的信息安全事件管理规范;(二) 协调和监督信息安全事件纠正和防止措施的执行；(三) 组织调查信息安全事件，配合有关部门进行计算机犯罪案件的调查;(四) 向信息安全委员会报告并提出解决意见。l 信息安全委员会由公司领导层组成，会应对信息安全事件解决机制进行统筹和规划，具有如下职责:(一) 指导*信息安全事件的防范与应急解决工作；(二) 推动*信息安全事件应急响应机制的建立和落地执行。5. 信息

5、安全事件分类和分级5.1. 信息安全事件分类信息系统袭击事件、信息破坏事件、信息内容安全事件、发现安全漏洞事件。5.1.1 信息系统袭击事件信息系统袭击事件是指通过网络袭击、有害程序或其它技术手段,运用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力袭击对信息系统实行袭击，导致信息系统异常或对信息系统当前运营导致潜在危害的信息安全事件。信息系统袭击类事件涉及拒绝服务袭击、后门袭击、漏洞运用袭击、网络扫描窃听、网络钓鱼、干扰事件等。5.1.2 信息破坏事件信息破坏事件是指通过网络或其它技术手段，导致信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏类事件包含计算机病毒事件、

6、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合袭击程序事件、网页内嵌恶意代码事件等5.1.3 信息内容安全事件信息内容安全事件是指运用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。例如：藏独、台独言论。5.1.4 发现安全漏洞事件内部技术人员故意无意发现的安全漏洞。例如:X、注入、劫持、CSF、上传漏洞、文献包含、权限漏洞等。5.1.5 其它信息安全事件指不能归为以上4类的信息安全突发事件。5.2. 安全事件的分级根据信息系统的重要限度、系统损失和社会影响,将信息安全事件划分为三个级别：重大信息安全事件（一级）、较大信息安全事件（二级)和一般信息安全事件（三级)。5.2.1

7、 重大信息安全事件(一级）重大信息安全事件是指可以导致严重影响或破坏的信息安全事件，涉及以下情况：(一) 大范围用户受到影响。(二) 大部分业务模块不能正常工作。(三) 公司内部发现业务模块存在安全漏洞。5.2.2 较大信息安全事件(二级)较大信息安全事件是指可以导致较严重影响或破坏的信息安全事件，涉及以下情况:(一) 小部分用户受到影响。(二) 小部分业务模块不能工作。5.2.3 一般信息安全事件（三级)一般信息安全事件是指不满足以上条件的信息安全事件,涉及以下情况：(一) 个别用户受到影响。(二) 个别业务模块异常。6. 上报流程(一) 当信息安全事件发生时,根据事件类型及影响大小,按照规

8、定报告角色和解决流程。1) 公司内部员工发现疑似信息安全事件或收到外部报告的信息安全事件时，由发现人应同时告知本通报部门信息安全专员、安全执行小组并告知直属主管、部门领导;2) 各部门信息安全专员在发生信息安全事件时,应立即向信息安全执行小组报告。(二) 信息安全事件报告内容应尽量涵盖事件发生的事实、也许影响的范围、损失评估、需要的支持、采用的应对措施等。(三) 信息安全执行小组在收到报告后，应对事件进行判断和分析:1) 鉴定为非信息安全事件时,将结果回复发现人。2) 鉴定为信息安全事件时,则进一步分析事件影响,并按公司相关制度流程进行解决：n 当发生一般信息安全事件或较大信息安全事件时，由信

9、息安全执行小组解决，并采用相关的纠正及防止措施，以防止类似事件发生。n 当发生重大信息安全事件时,应上报信息安全委员会，并由信息安全执行小组根据信息安全委员会的决策对事件进行解决。n 解决过程中如发现导致的影响大于原先鉴定事件，应重新执行事件分析。(四) 解决信息安全事件时,若需部门内部资源，则由信息安全执行小组沟通协调工作；如需部门外部资源协助,则由信息安全委员会进行协调。当重大信息安全事件发生需对外说明时，由公司的对外窗口统一对外说明情况与解决方式。(五) 公司应建立相应机制,监视并记录信息安全事件，并对其类型、数量和导致损失的代价进行记录。(六) 当一个信息安全事件涉及民事或刑事诉讼，需

10、要进行司法取证时，应注意：n 设备封存过程需当事人、调查者及司法鉴定部门同时在场,封存处必须有各方签字; n 数据的保存和证据的挖掘过程均需司法鉴定部门在场，以保证数据的完整性和可靠性;n 司法鉴定机构需对获取证据的过程出具司法鉴定报告。(七) 重大安全事件和无法解决的安全事件上报公安部门。(八) 针对信息安全事件的解决时间;响应时间安全事件等级故障解决时间1小时三级2-8个小时0分钟二级1-2小时30分钟一级2小时7. 应急解决流程信息安全事故解决流程涉及三部分内容:规划及准备、安全事故应急、事后跟进,下面分别进行解释说明。6.1 规划及准备事先规划可保证人员相应采用的应急行动有所了解,使其

11、能在互相配合及有条不紊的情况下执行,同时尚有助各部门在解决安全事故时做出适当和有效的决定,从而将安全事故也许导致的破坏减到最少。各业务模块应各自制定应急预案并定期进行应急演练。51.1 安全事故解决计划安全事故解决计划重要涉及事故解决的目的及优先级，具体定义如下：目的:l 尽快使系统恢复正常操作l 尽量减轻事故对其它系统的影响l 避免发生同类事故l 找出事故的主线成因l 评估事故的影响和破坏l 有必要时更新政策和程序l 收集证据为日后的个案调查提供证明优先考虑:l 保护敏感或关键资源l 保护遗失或损毁后导致较大损失的重要数据l 防止停顿后会导致较大损失及恢复成本较高的系统受到损坏l 对服务中断

12、的影响减到最少l 维护部门或公司整体的公众形象5.1. 报告程序1. 报告内容：l 已经发生的信息安全事件;l 观测到的或怀疑的任何系统或服务的安全弱点；2 报告联系人：l 安全执行小组在信息安全领导小组负责人的授权下对信息安全事故进行解决；l 安全事件发现人需要同时告知本部门安全员、安全应急小组、本部门主管。3. 报告途径:电话；邮件；亲自报告;微信等。.1.3 升级解决程序升级解决程序是指将事故上报管理层和有关方面,以保证立即做出重要决策的程序。在发生事故时,往往需要解决大量紧急事项,因此很难找到适当的人选解决林林总总的事项。为顺利执行安全事故解决的各阶段工作,应事先编备解决技术和管理事项

13、所需的重要联络名单。响应时间联络名单联系方法事故发生后3分钟内杨代兵联系方式见公司微信通讯录事故发生后6分钟内侯杰系统恢复后杨代兵怀疑构成犯罪,则由公司安全领导小组决定侯杰.1.4 安全培训公司应提供足够的员工培训，以保证相关的全体员工和管理层人员均懂得如何解决安全事故。各人员应熟习由事故上报、确认和采用适当行动到恢复系统正常操作的解决事故程序。公司可组织事故解决演习,使全体人员熟习解决安全事故的程序。此外，为了加强系统或职能范围的安全保护措施,并减少发生事故的机会，应向系统管理和支持人员提供足够的培训,使她们掌握有关安全防止的知识。5.5 事故监控措施应采用足够的事故监察安全措施以便在正常操

14、作时保护系统，同时防范潜在的安全事故。所采用措施的限度和范围则取决于系统、系统解决的数据及系统提供的功能的重要性和敏感限度。下列是当前已经部署的安全事故监察措施:l 安装防火墙并采用认证和访问控制措施，以保护重要系统和数据资源；l 安装入侵侦测工具，积极监察、侦测并就系统入侵或黑客入侵做出应对;l 安装计算机防病毒工具和恶性程序代码侦测及修复软件,以侦测及清除计算机病毒及恶性程序代码,并防止计算机病毒和恶性程序代码影响系统操作；l 定期运用安全扫描工具进行安全检查，以找出当前存在的安全漏洞，并进行既定安全政策水平与实际安全工作环境之间的差距分析；l 启动系统及网络审计日记功能，以便侦测和追踪未

15、获授权活动; 6. 安全事故应急响应安全事故应急涉及制定程序评估事故并做出应急,尽快将受影响的系统元服务恢复正常。有关程序大体可分为五个阶段：如下图51所示的确认、升级解决、遏制、杜绝和恢复。结识各阶段具体工作有助于在发生安全事故时迅速做出响应。图5. 安全事故应急流程63 信息安全事故的总结和改善系统恢复正常操作并不代表安全事故解决程序的结束,采用必要的跟进行动十分重要。跟进行动涉及评估事故所导致的破坏、系统改良以防止再度发生事故、安全政策和程序更新及为日后的检控进行个案调查。53安全事故分析事故事后分析是对事故及事故应急措施的分析，这有助于更进一步地了解系统受到的威胁及也许存在的安全漏洞，

16、以便采用更有效的保障措施。分析结果体现在安全事故报告中，分析范围可以涉及以下内容:u 防止再度受袭击的建议行动；u 在事故应急时,须迅速取得的资料及获取有关资料的方法；u 供侦测及杜绝程序所用或所需的额外工具；u 准备和应急措施的足够限度;u 沟通的足够限度；u 实际困难；u 事故的破坏，当中涉及: 解决事故所需的人力消耗 金钱成本 中断操作的损失 遗失或遭破坏的数据、软件和硬件，涉及被泄露的敏感数据 受托保密数据的法律责任 难堪或丧失信誉u 吸取的其它教训。5.3. 安全事故报告根据事故分析所编制的事故事后报告，应概述事故、应急、恢复行动、破坏和吸取的教训。相关信息系统的主管负责编制报告,并

17、提交信息安全事故应急小组作参考，以便日后及时采用防止措施,避免其它系统和服务再度发生同类安全事故。事故事后报告应涉及下列项目：l 事故的类型、范围和限度;l 事故的详情：袭击的来源、时间和也许方法及发现袭击的方法等;l 概述受袭击的系统,涉及系统范围及功能、技术资料(例如系统硬件、软件和操作系统，以及版本、网络体系结构及程序编制语言等)；l 事故应急及杜绝方法;l 恢复程序;l 吸取的其它教训。安全事故报告模版参见附件信息安全事故报告模版5.3 安全评估也许受到安全风险威胁的系统宜定期进行安全风险评估和审计，特别是曾经受安全事故影响的系统。安全复检及系统审计应连续进行，以便及时发现也许存在的安

18、全漏洞及或因应安全保护措施及袭击入侵科技的发展,而须做出的系统改善。在发生安全事故时收集的资料亦有助于事后安全评估,对找出系统的安全漏洞和安全威胁特别有用。.3.安全改善根据事故事后分析与定期安全评估所得出的结果,可拟定应对系统的安全政策、程序和保护机制做出哪些改善。技术发展一日千里,因此必须定期更新安全相关政策、程序和保护机制，以保证整体安全保护措施对计算机系统的效用。在进行事故事后分析时,如有需要应复检和修订政策、程序和指南,以配合防止措施。5.3 取证及检控1、取证规则:证据的可允许性：证据是否可以在法庭上使用;证据的份量:证据的质量和完备性；2、取证内容:系统事件和其它相关资料,例如审

19、计日记、服务器日记、网络日记、防火墙/路由器日记、访问记录等系统日记文献;仍在进行活动的系统登录或网络连接及程序状态资料;受袭击系统；已采用的所有行动，涉及日期、时间和参与行动人员;所有对外通讯,涉及日期、时间、内容及有关各方;3、证据维护:纸面文档:原物应被安全保存且包含以下信息的记录：时间、地点、发现人、证明人;应保证原物没有被篡改；计算机介质中的信息：任何可移动介质的镜像或拷贝、硬盘或内存中的信息都应保证其可用性;拷贝过程中所有的行为日记都应保存下来，且应有证据证明该过程；原始的介质和日记应安全保存且不能改变；任何法律取证工作应仅在证据资料的拷贝上进行;4、检控：在适当的情况下，还必须对引起事故的个人采用个案调查、纪律处分或法律检控等行动。8. 后期解决安全事件应急解决结束后，及时对本次安全事件发生的因素、事件规模进行调查,估算事件损失后果，相应急解决手段效果和后续风险进行评估，总结应急解决的经验教训并提出改善建议。9. 解释本管理办法由信息安全小组负责解释。1 文档信息安全事故报告