××信息安全应急处置管理规范

**信息安全事件与应急响应管理规范 修订状况当前版本 v1.0 章节 编号 章节名称修订内容简述修订日期 修订前 版本号 批准人 第 I 页 共 15 页 目录目录 1. 2. 3. 4. 5. 目的 1 适用范围 1 工作原则 1 组织体系和职责 1 信息安全事件分类和分级 2 信息安全事件分类 . 2 5.1.1信息系统攻击事件2 5.1.2 5.1.3 5.1.4 5.1.5 5.1. 信息破坏事件2 信息内容安全事件3 发现安全漏洞事件3 其他信息安全事件3 5.2.安全事件的分级 . 3 5.2.1重大信息安全事件（一级）3 5.2.2较大信息安全事件（二级）3 一般信息安全事件（三级）35.2.3 6. 7. 8. 上报流程 4 后期处置 . 12 解释 . 12 1.1. 目的目的 为建立健全**网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公 司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施。 2.2. 适用范围适用范围 本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标 的不断变化而进行版本升级。 本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.3. 工作原则工作原则 统一指挥机制原则在进行信息系统安全应急处置工作过程中，各部门的人员应服从 各级信息系统突发安全执行小组的统一指挥。 谁运行谁主管谁处置的原则各类业务模块的责任人要按照公司统一要求，制定和维 护本部门业务模块运行安全应急预案，认真根据应急预案进行演练与应急处置工作。 最小损失原则 应对信息系统突发安全事件的各项措施最大程度地减少信息系统突发 安全事件造成的危害和损失。 预防为主原则高度重视信息系统突发安全事件预防工作。坚持做好信息系统日常监 控与运行维护工作， 坚持预防与应急相结合， 做好应对突发安全事件的各项准备工作。 保密原则参与信息系统突发安全事件处置工作的人员应严守公司保密规定，未经授 权不得向外界提供与处置有关的工作信息，不得利用工作中获得的信息牟取私利。 4.4. 组织体系和职责组织体系和职责 所有人员（包含正式员工、合同雇佣人员、实习生、临时人员等）发现疑似信息安全 异常事件时，都有实时通报的责任。 各部门和各业务模块的信息安全专员是信息安全事件的识别和响应的联络窗口， 负责 配合安全小组，进行安全事件处理（信息安全员应熟悉本部门负责的业务模块信息安全员应熟悉本部门负责的业务模块）。 第 1 页 共 15 页 信息安全执行小组由各部门信息安全员以及应急处理小组组成， 是信息安全事件处理 的权责单位，具有如下职责 一 二 三 四 评审和更新公司的信息安全事件管理规范； 协调和监督信息安全事件纠正和预防措施的执行； 组织调查信息安全事件，配合有关部门进行计算机犯罪案件的调查； 向信息安全委员会报告并提出处理意见。 信息安全委员会由公司领导层组成，会应对信息安全事件处理机制进行统筹和规划， 具有如下职责 一指导**信息安全事件的防范与应急处置工作； 二推动**信息安全事件应急响应机制的建立和落地执行。 5.5. 信息安全事件分类和分级信息安全事件分类和分级 5.1.5.1. 信息安全事件分类信息安全事件分类 信息系统攻击事件、信息破坏事件、信息内容安全事件、发现安全漏洞事件。 5.1.15.1.1 信息系统攻击事件信息系统攻击事件 信息系统攻击事件是指通过网络攻击、有害程序或其他技术手段，利用信息系统的配置 缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，造成信息系统异常或对信 息系统当前运行造成潜在危害的信息安全事件。 信息系统攻击类事件包括拒绝服务攻击、后门攻击、漏洞利用攻击、网络扫描窃听、网 络钓鱼、干扰事件等。 5.1.25.1.2 信息破坏事件信息破坏事件 信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄 漏、窃取等而导致的信息安全事件。 信息破坏类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混 合攻击程序事件、网页内嵌恶意代码事件等 第 2 页 共 15 页 5.1.35.1.3 信息内容安全事件信息内容安全事件 信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的 内容的安全事件。例如藏独、台独言论。 5.1.45.1.4 发现安全漏洞事件发现安全漏洞事件 内部技术人员有意无意发现的安全漏洞。例如XSS、注入、劫持、CSRF、上传漏洞、文 件包含、权限漏洞等。 5.1.55.1.5 其他信息安全事件其他信息安全事件 指不能归为以上 4 类的信息安全突发事件。 5.2.5.2. 安全事件的分级安全事件的分级 根据信息系统的重要程度、系统损失和社会影响，将信息安全事件划分为三个级别重 大信息安全事件（一级）、较大信息安全事件（二级）和一般信息安全事件（三级）。 5.2.15.2.1 重大信息安全事件重大信息安全事件（一级）（一级） 重大信息安全事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况 一 二 三 大范围用户受到影响。 大部分业务模块不能正常工作。 公司内部发现业务模块存在安全漏洞。 5.2.25.2.2 较大信息安全事件较大信息安全事件（二级）（二级） 较大信息安全事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况 一 二 小部分用户受到影响。 小部分业务模块不能工作。 5.2.35.2.3 一般信息安全事件（三级）一般信息安全事件（三级） 一般信息安全事件是指不满足以上条件的信息安全事件，包括以下情况 第 3 页 共 15 页 一 二 个别用户受到影响。 个别业务模块异常。 6.6. 上报流程上报流程 各部门主管、各业务模块主管 公安部门 第一时间通知 30 分钟给出解决方案 业务模块落地后 由安全小组复查 得出结论 2、 3级安全事件重大、无法处理的安全事件 安全事件发现者第一时间通知安全执行小组1个小时内做出判断 安全级别1级安全事件安全领导小组 30 分钟内给出指导意见 第一时间通知 本部门信息安全员 一当信息安全事件发生时，根据事件类型及影响大小，按照规定汇报角色和处理流 程。 1 公司内部员工发现疑似信息安全事件或收到外部报告的信息安全事件时， 由发现人应 同时告知本通报部门信息安全专员、安全执行小组并告知直属主管、部门领导； 2 各部门信息安全专员在发生信息安全事件时，应立即向信息安全执行小组报告。 二信息安全事件汇报内容应尽量涵盖事件发生的事实、 可能影响的范围、 损失评估、 需要的支持、采取的应对措施等。 三信息安全执行小组在收到报告后，应对事件进行判断和分析 1 判定为非信息安全事件时，将结果回复发现人。 2 判定为信息安全事件时，则进一步分析事件影响，并按公司相关制度流程进行处理 第 4 页 共 15 页 当发生一般信息安全事件或较大信息安全事件时，由信息安全执行小组处理，并采 取相关的纠正及预防措施，