信息安全应急处置管理综合规范

**信息安全事件和应急响应管理规范 修订情况 目前版本v1.0 章节编号 章节名称 修订内容简述 修订日期 修订前 版本号 同意人 目录 1.目标1 2.适用范围1 3.工作标准1 4.组织体系和职责1 5.信息安全事件分类和分级2 5.1.信息安全事件分类2 5.1.1信息系统攻击事件2 5.1.2信息破坏事件2 5.1.3信息内容安全事件3 5.1.4发觉安全漏洞事件3 5.1.5其它信息安全事件3 5.2.安全事件分级3 5.2.1重大信息安全事件（一级）3 5.2.2较大信息安全事件（二级）3 5.2.3通常信息安全事件（三级）3 6.上报步骤4 7.后期处理6 8.解释6 1. 目标 为建立健全**网络安全事件处理工作机制，提升网络安全事件处理能力和水平，保障企业整体信息系统安全，降低信息安全事件所造成损失，采取有效纠正和预防方法。 2. 适用范围 本文档适适用于企业建立信息安全管理体系。 本文档将依据信息技术和信息安全技术不停发展和信息安全风险和信息安全保护目标不停改变而进行版本升级。 本程序适适用于企业全体职员；适适用于企业信息安全事故、弱点和故障管理。 3. 工作标准 l 统一指挥机制标准在进行信息系统安全应急处理工作过程中，各部门人员应服从各级信息系统突发安全实施小组统一指挥。 l 谁运行谁主管谁处理标准各类业务模块责任人要根据企业统一要求，制订和维护本部门业务模块运行安全应急预案，认真依据应急预案进行演练和应急处理工作。 l 最小损失标准应对信息系统突发安全事件各项方法最大程度地降低信息系统突发安全事件造成危害和损失。 l 预防为主标准高度重视信息系统突发安全事件预防工作。坚持做好信息系统日常监控和运行维护工作，坚持预防和应急相结合，做好应对突发安全事件各项准备工作。 l 保密标准参与信息系统突发安全事件处理工作人员应严守企业保密要求，未经授权不得向外界提供和处理相关工作信息，不得利用工作中取得信息牟取私利。 4. 组织体系和职责 l 全部些人员（包含正式职员、协议雇佣人员、实习生、临时人员等）发觉疑似信息安全异常事件时，全部有实时通报责任。 l 各部门和各业务模块信息安全专员是信息安全事件识别和响应联络窗口，负责配合安全小组，进行安全事件处理（信息安全员应熟悉本部门负责业务模块）。 l 信息安全实施小组由各部门信息安全员和应急处理小组组成，是信息安全事件处理权责单位，含有以下职责 一 评审和更新企业信息安全事件管理规范； 二 协调和监督信息安全事件纠正和预防方法实施； 三 组织调查信息安全事件，配合相关部门进行计算机犯罪案件调查； 四 向信息安全委员会汇报并提出处理意见。 l 信息安全委员会由企业领导层组成，会应对信息安全事件处理机制进行统筹和计划，含有以下职责 一 指导**信息安全事件防范和应急处理工作； 二 推进**信息安全事件应急响应机制建立和落地实施。 5. 信息安全事件分类和分级 5.1. 信息安全事件分类 信息系统攻击事件、信息破坏事件、信息内容安全事件、发觉安全漏洞事件。 5.1.1 信息系统攻击事件 信息系统攻击事件是指经过网络攻击、有害程序或其它技术手段，利用信息系统配置缺点、协议缺点、程序缺点或使用暴力攻击对信息系统实施攻击，造成信息系统异常或对信息系统目前运行造成潜在危害信息安全事件。 信息系统攻击类事件包含拒绝服务攻击、后门攻击、漏洞利用攻击、网络扫描窃听、网络钓鱼、干扰事件等。 5.1.2 信息破坏事件 信息破坏事件是指经过网络或其它技术手段，造成信息系统中信息被篡改、假冒、泄漏、窃取等而造成信息安全事件。 信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等 5.1.3 信息内容安全事件 信息内容安全事件是指利用信息网络公布、传输危害国家安全、社会稳定和公共利益内容安全事件。比如藏独、台独言论。 5.1.4 发觉安全漏洞事件 内部技术人员有意无意发觉安全漏洞。比如XSS、注入、劫持、CSRF、上传漏洞、文件包含、权限漏洞等。 5.1.5 其它信息安全事件 指不能归为以上4类信息安全突发事件。 5.2. 安全事件分级 依据信息系统关键程度、系统损失和社会影响，将信息安全事件划分为三个等级重大信息安全事件（一级）、较大信息安全事件（二级）和通常信息安全事件（三级）。 5.2.1 重大信息安全事件（一级） 重大信息安全事件是指能够造成严重影响或破坏信息安全事件，包含以下情况 一 大范围用户受到影响。 二 大部分业务模块不能正常工作。 三 企业内部发觉业务模块存在安全漏洞。 5.2.2 较大信息安全事件（二级） 较大信息安全事件是指能够造成较严重影响或破坏信息安全事件，包含以下情况 一 小部分用户受到影响。 二 小部分业务模块不能工作。 5.2.3 通常信息安全事件（三级） 通常信息安全事件是指不满足以上条件信息安全事件，包含以下情况 一 部分用户受到影响。 二 部分业务模块异常。 6. 上报步骤 一 当信息安全事件发生时，依据事件类型及影响大小，根据要求汇报角色和处理步骤。 1 企业内部职员发觉疑似信息安全事件或收到外部汇报信息安全事件时，由发觉人应同时通知本通报部门信息安全专员、安全实施小组并通知直属主管、部门领导； 2 各部门信息安全专员在发生信息安全事件时，应立即向信息安全实施小组汇报。 二 信息安全事件汇报内容应尽可能涵盖事件发生事实、可能影响范围、损失评定、需要支持、采取应对方法等。 三 信息安全实施小组在收到汇报后，应对事件进行判定和分析 1 判定为非信息安全事件时，将结果回复发觉人。 2 判定为信息安全事件时，则深入分析事件影响，并按企业相关制度步骤进行处理 n 当发生通常信息安全事件或较大信息安全事件时，由信息安全实施小组处理，并采取相关纠正及预防方法，以预防类似事件发生。 n 当发生重大信息安全事件时，应上报信息安全委员会，并由信息安全实施小组依据信息安全委员会决议对事件进行处理。 n 处理过程中如发觉造成影响大于原先判定事件，应重新实施事件分析。 四 处理信息安全事件时，若需部门内部资源，则由信息