信息安全應(yīng)急處置管理規(guī)范

1、2020年4月19日信息安全應(yīng)急處置管理規(guī)范文檔僅供參考，不當(dāng)之處，請聯(lián)系改正。*信息安全事件與應(yīng)急響應(yīng)管理規(guī)范修訂狀況 當(dāng)前版本v1.0章節(jié)編號章節(jié)名稱修訂內(nèi)容簡述修訂日期修訂前版本號批準(zhǔn)人目錄 TOC o 1-4 h z u HYPERLINK l _Toc 1.目的 PAGEREF _Toc h 1 HYPERLINK l _Toc 2.適用范圍 PAGEREF _Toc h 1 HYPERLINK l _Toc 3.工作原則 PAGEREF _Toc h 1 HYPERLINK l _Toc 4.組織體系和職責(zé) PAGEREF _Toc h 1 HYPERLINK l _Toc 5.信

2、息安全事件分類和分級 PAGEREF _Toc h 2 HYPERLINK l _Toc 5.1.信息安全事件分類 PAGEREF _Toc h 2 HYPERLINK l _Toc 5.1.1信息系統(tǒng)攻擊事件 PAGEREF _Toc h 2 HYPERLINK l _Toc 5.1.2信息破壞事件 PAGEREF _Toc h 2 HYPERLINK l _Toc 5.1.3信息內(nèi)容安全事件 PAGEREF _Toc h 3 HYPERLINK l _Toc 5.1.4發(fā)現(xiàn)安全漏洞事件 PAGEREF _Toc h 3 HYPERLINK l _Toc 5.1.5其它信息安全事件 PAGE

3、REF _Toc h 3 HYPERLINK l _Toc 5.2.安全事件的分級 PAGEREF _Toc h 3 HYPERLINK l _Toc 5.2.1重大信息安全事件（一級） PAGEREF _Toc h 3 HYPERLINK l _Toc 5.2.2較大信息安全事件（二級） PAGEREF _Toc h 3 HYPERLINK l _Toc 5.2.3一般信息安全事件（三級） PAGEREF _Toc h 3 HYPERLINK l _Toc 6.上報流程 PAGEREF _Toc h 4 HYPERLINK l _Toc 7.后期處理 PAGEREF _Toc h 6 HYP

4、ERLINK l _Toc 8.解釋 PAGEREF _Toc h 6目的為建立健全*網(wǎng)絡(luò)安全事件處理工作機(jī)制，提高網(wǎng)絡(luò)安全事件處理能力和水平，保障公司的整體信息系統(tǒng)安全，減少信息安全事件所造成的損失，采取有效的糾正與預(yù)防措施。適用范圍本文檔適用于公司建立的信息安全管理體系。本文檔將依據(jù)信息技術(shù)和信息安全技術(shù)的不斷發(fā)展和信息安全風(fēng)險與信息安全保護(hù)目標(biāo)的不斷變化而進(jìn)行版本升級。本程序適用于公司全體員工；適用于公司的信息安全事故、弱點(diǎn)和故障的管理。工作原則統(tǒng)一指揮機(jī)制原則：在進(jìn)行信息系統(tǒng)安全應(yīng)急處理工作過程中，各部門的人員應(yīng)服從各級信息系統(tǒng)突發(fā)安全執(zhí)行小組的統(tǒng)一指揮。誰運(yùn)行誰主管誰處理的原則：各類

5、業(yè)務(wù)模塊的責(zé)任人要按照公司統(tǒng)一要求，制定和維護(hù)本部門業(yè)務(wù)模塊運(yùn)行安全應(yīng)急預(yù)案，認(rèn)真根據(jù)應(yīng)急預(yù)案進(jìn)行演練與應(yīng)急處理工作。最小損失原則：應(yīng)對信息系統(tǒng)突發(fā)安全事件的各項措施最大程度地減少信息系統(tǒng)突發(fā)安全事件造成的危害和損失。預(yù)防為主原則:高度重視信息系統(tǒng)突發(fā)安全事件預(yù)防工作。堅持做好信息系統(tǒng)日常監(jiān)控與運(yùn)行維護(hù)工作，堅持預(yù)防與應(yīng)急相結(jié)合，做好應(yīng)對突發(fā)安全事件的各項準(zhǔn)備工作。保密原則：參與信息系統(tǒng)突發(fā)安全事件處理工作的人員應(yīng)嚴(yán)守公司保密規(guī)定，未經(jīng)授權(quán)不得向外界提供與處理有關(guān)的工作信息，不得利用工作中獲得的信息牟取私利。組織體系和職責(zé)所有人員（包含正式員工、合同雇傭人員、實習(xí)生、臨時人員等）發(fā)現(xiàn)疑似信息安

6、全異常事件時，都有實時通報的責(zé)任。各部門和各業(yè)務(wù)模塊的信息安全專員是信息安全事件的識別和響應(yīng)的聯(lián)絡(luò)窗口，負(fù)責(zé)配合安全小組，進(jìn)行安全事件處理（信息安全員應(yīng)熟悉本部門負(fù)責(zé)的業(yè)務(wù)模塊）。信息安全執(zhí)行小組由各部門信息安全員以及應(yīng)急處理小組組成，是信息安全事件處理的權(quán)責(zé)單位，具有如下職責(zé)：評審和更新公司的信息安全事件管理規(guī)范；協(xié)調(diào)和監(jiān)督信息安全事件糾正和預(yù)防措施的執(zhí)行；組織調(diào)查信息安全事件，配合有關(guān)部門進(jìn)行計算機(jī)犯罪案件的調(diào)查；向信息安全委員會報告并提出處理意見。信息安全委員會由公司領(lǐng)導(dǎo)層組成，會應(yīng)對信息安全事件處理機(jī)制進(jìn)行統(tǒng)籌和規(guī)劃，具有如下職責(zé)：指導(dǎo)*信息安全事件的防范與應(yīng)急處理工作；推動*信息安全

7、事件應(yīng)急響應(yīng)機(jī)制的建立和落地執(zhí)行。信息安全事件分類和分級信息安全事件分類信息系統(tǒng)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、發(fā)現(xiàn)安全漏洞事件。信息系統(tǒng)攻擊事件信息系統(tǒng)攻擊事件是指經(jīng)過網(wǎng)絡(luò)攻擊、有害程序或其它技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。信息系統(tǒng)攻擊類事件包括拒絕服務(wù)攻擊、后門攻擊、漏洞利用攻擊、網(wǎng)絡(luò)掃描竊聽、網(wǎng)絡(luò)釣魚、干擾事件等。信息破壞事件信息破壞事件是指經(jīng)過網(wǎng)絡(luò)或其它技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞類事件包含計算機(jī)病毒事

8、件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件等信息內(nèi)容安全事件信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。例如：藏獨(dú)、臺獨(dú)言論。發(fā)現(xiàn)安全漏洞事件內(nèi)部技術(shù)人員有意無意發(fā)現(xiàn)的安全漏洞。例如：XSS、注入、劫持、CSRF、上傳漏洞、文件包含、權(quán)限漏洞等。其它信息安全事件指不能歸為以上4類的信息安全突發(fā)事件。安全事件的分級根據(jù)信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響，將信息安全事件劃分為三個級別：重大信息安全事件（一級）、較大信息安全事件（二級）和一般信息安全事件（三級）。重大信息安全事件（一級）重大信息安全事件是指能

9、夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：大范圍用戶受到影響。大部分業(yè)務(wù)模塊不能正常工作。公司內(nèi)部發(fā)現(xiàn)業(yè)務(wù)模塊存在安全漏洞。較大信息安全事件（二級）較大信息安全事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：小部分用戶受到影響。小部分業(yè)務(wù)模塊不能工作。一般信息安全事件（三級）一般信息安全事件是指不滿足以上條件的信息安全事件，包括以下情況：個別用戶受到影響。個別業(yè)務(wù)模塊異常。上報流程當(dāng)信息安全事件發(fā)生時，根據(jù)事件類型及影響大小，按照規(guī)定匯報角色和處理流程。公司內(nèi)部員工發(fā)現(xiàn)疑似信息安全事件或收到外部報告的信息安全事件時，由發(fā)現(xiàn)人應(yīng)同時告知本通報部門信息安全專員、安全執(zhí)行小組并

10、告知直屬主管、部門領(lǐng)導(dǎo)；各部門信息安全專員在發(fā)生信息安全事件時，應(yīng)立即向信息安全執(zhí)行小組報告。信息安全事件匯報內(nèi)容應(yīng)盡量涵蓋事件發(fā)生的事實、可能影響的范圍、損失評估、需要的支持、采取的應(yīng)對措施等。信息安全執(zhí)行小組在收到報告后，應(yīng)對事件進(jìn)行判斷和分析：判定為非信息安全事件時，將結(jié)果回復(fù)發(fā)現(xiàn)人。判定為信息安全事件時，則進(jìn)一步分析事件影響，并按公司相關(guān)制度流程進(jìn)行處理： 當(dāng)發(fā)生一般信息安全事件或較大信息安全事件時，由信息安全執(zhí)行小組處理，并采取相關(guān)的糾正及預(yù)防措施，以防止類似事件發(fā)生。當(dāng)發(fā)生重大信息安全事件時，應(yīng)上報信息安全委員會，并由信息安全執(zhí)行小組根據(jù)信息安全委員會的決策對事件進(jìn)行處理。處理過程

11、中如發(fā)現(xiàn)造成的影響大于原先判定事件，應(yīng)重新執(zhí)行事件分析。處理信息安全事件時，若需部門內(nèi)部資源，則由信息安全執(zhí)行小組溝通協(xié)調(diào)工作；如需部門外部資源協(xié)助，則由信息安全委員會進(jìn)行協(xié)調(diào)。當(dāng)重大信息安全事件發(fā)生需對外說明時，由公司的對外窗口統(tǒng)一對外說明情況與處理方式。公司應(yīng)建立相應(yīng)機(jī)制，監(jiān)視并記錄信息安全事件，并對其類型、數(shù)量和造成損失的代價進(jìn)行統(tǒng)計。當(dāng)一個信息安全事件涉及民事或刑事訴訟，需要進(jìn)行司法取證時，應(yīng)注意：設(shè)備封存過程需當(dāng)事人、調(diào)查者及司法鑒定部門同時在場，封存處必須有各方簽字； 數(shù)據(jù)的保存和證據(jù)的挖掘過程均需司法鑒定部門在場，以確保數(shù)據(jù)的完整性和可靠性；司法鑒定機(jī)構(gòu)需對獲取證據(jù)的過程出具司法

12、鑒定報告。重大安全事件和無法處理的安全事件上報公安部門。針對信息安全事件的處理時間；響應(yīng)時間安全事件等級故障處理時間1小時三級2-8個小時30分鐘二級1-2小時30分鐘一級1-2小時應(yīng)急處理流程信息安全事故處理流程包括三部分內(nèi)容：規(guī)劃及準(zhǔn)備、安全事故應(yīng)急、事后跟進(jìn)，下面分別進(jìn)行解釋說明。6.1 規(guī)劃及準(zhǔn)備事先規(guī)劃可確保人員對應(yīng)采取的應(yīng)急行動有所了解，使其能在互相配合及有條不紊的情況下執(zhí)行，同時還有助各部門在處理安全事故時做出適當(dāng)和有效的決定，從而將安全事故可能造成的破壞減到最少。各業(yè)務(wù)模塊應(yīng)各自制定應(yīng)急預(yù)案并定期進(jìn)行應(yīng)急演練。5.1.1 安全事故處理計劃安全事故處理計劃主要包括事故處理的目標(biāo)及

13、優(yōu)先級，具體定義如下：目標(biāo)：盡快使系統(tǒng)恢復(fù)正常操作盡量減輕事故對其它系統(tǒng)的影響避免發(fā)生同類事故找出事故的根本成因評估事故的影響和破壞有必要時更新政策和程序收集證據(jù)為日后的個案調(diào)查提供證明優(yōu)先考慮：保護(hù)敏感或關(guān)鍵資源保護(hù)遺失或損毀后造成較大損失的重要數(shù)據(jù)防止停頓后會造成較大損失及恢復(fù)成本較高的系統(tǒng)受到損壞對服務(wù)中斷的影響減到最少維護(hù)部門或公司整體的公眾形象5.1.2 報告程序1. 報告內(nèi)容：已經(jīng)發(fā)生的信息安全事件；觀察到的或懷疑的任何系統(tǒng)或服務(wù)的安全弱點(diǎn)；2. 報告聯(lián)系人：安全執(zhí)行小組在信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)人的授權(quán)下對信息安全事故進(jìn)行處理；安全事件發(fā)現(xiàn)人需要同時告知本部門安全員、安全應(yīng)急小組、本

14、部門主管。3. 報告途徑：電話；郵件；親自報告；微信等。5.1.3 升級處理程序升級處理程序是指將事故上報管理層和有關(guān)方面，以確保立即做出重要決策的程序。在發(fā)生事故時，往往需要處理大量緊急事項，因此很難找到適當(dāng)?shù)娜诉x處理林林總總的事項。為順利執(zhí)行安全事故處理的各階段工作，應(yīng)事先編備處理技術(shù)和管理事項所需的重要聯(lián)絡(luò)名單。響應(yīng)時間聯(lián)絡(luò)名單聯(lián)系方法事故發(fā)生后30分鐘內(nèi)楊代兵聯(lián)系方式見企業(yè)微信通訊錄事故發(fā)生后60分鐘內(nèi)侯杰系統(tǒng)恢復(fù)后楊代兵懷疑構(gòu)成犯罪，則由公司安全領(lǐng)導(dǎo)小組決定侯杰5.1.4 安全培訓(xùn)公司應(yīng)提供足夠的員工培訓(xùn)，以確保相關(guān)的全體員工和管理層人員均懂得如何處理安全事故。各人員應(yīng)熟習(xí)由事故上報

15、、確認(rèn)和采取適當(dāng)行動到恢復(fù)系統(tǒng)正常操作的處理事故程序。公司可組織事故處理演習(xí)，使全體人員熟習(xí)處理安全事故的程序。另外，為了加強(qiáng)系統(tǒng)或職能范圍的安全保護(hù)措施，并減少發(fā)生事故的機(jī)會，應(yīng)向系統(tǒng)管理和支持人員提供足夠的培訓(xùn)，使她們掌握有關(guān)安全預(yù)防的知識。5.1.5 事故監(jiān)控措施應(yīng)采取足夠的事故監(jiān)察安全措施以便在正常操作時保護(hù)系統(tǒng)，同時防范潛在的安全事故。所采取措施的程度和范圍則取決于系統(tǒng)、系統(tǒng)處理的數(shù)據(jù)及系統(tǒng)提供的功能的重要性和敏感程度。下列是當(dāng)前已經(jīng)部署的安全事故監(jiān)察措施：安裝防火墻并采取認(rèn)證和訪問控制措施，以保護(hù)重要系統(tǒng)和數(shù)據(jù)資源；安裝入侵偵測工具，主動監(jiān)察、偵測并就系統(tǒng)入侵或黑客入侵做出應(yīng)對；安

16、裝計算機(jī)防病毒工具和惡性程序代碼偵測及修復(fù)軟件，以偵測及清除計算機(jī)病毒及惡性程序代碼，并防止計算機(jī)病毒和惡性程序代碼影響系統(tǒng)操作；定期利用安全掃描工具進(jìn)行安全檢查，以找出當(dāng)前存在的安全漏洞，并進(jìn)行既定安全政策水平與實際安全工作環(huán)境之間的差距分析；開啟系統(tǒng)及網(wǎng)絡(luò)審計日志功能，以便偵測和追蹤未獲授權(quán)活動； 6.2 安全事故應(yīng)急響應(yīng)安全事故應(yīng)急涉及制定程序評估事故并做出應(yīng)急，盡快將受影響的系統(tǒng)元服務(wù)恢復(fù)正常。有關(guān)程序大致可分為五個階段：如下圖5.1所示的確認(rèn)、升級處理、遏制、杜絕和恢復(fù)。認(rèn)識各階段具體工作有利于在發(fā)生安全事故時迅速做出響應(yīng)。圖5.2 安全事故應(yīng)急流程6.3 信息安全事故的總結(jié)和改進(jìn)系

17、統(tǒng)恢復(fù)正常操作并不代表安全事故處理程序的結(jié)束，采取必要的跟進(jìn)行動十分重要。跟進(jìn)行動包括評估事故所造成的破壞、系統(tǒng)改良以防止再度發(fā)生事故、安全政策和程序更新及為日后的檢控進(jìn)行個案調(diào)查。5.3.1安全事故分析事故事后分析是對事故及事故應(yīng)急措施的分析，這有助于更深入地了解系統(tǒng)受到的威脅及可能存在的安全漏洞，以便采取更有效的保障措施。分析結(jié)果體現(xiàn)在安全事故報告中，分析范圍能夠包括以下內(nèi)容：防止再度受攻擊的建議行動；在事故應(yīng)急時，須迅速取得的資料及獲取有關(guān)資料的方法；供偵測及杜絕程序所用或所需的額外工具；準(zhǔn)備和應(yīng)急措施的足夠程度；溝通的足夠程度；實際困難；事故的破壞，當(dāng)中包括：處理事故所需的人力消耗金錢

18、成本中斷操作的損失遺失或遭破壞的數(shù)據(jù)、軟件和硬件，包括被泄露的敏感數(shù)據(jù)受托保密數(shù)據(jù)的法律責(zé)任難堪或喪失信譽(yù)吸取的其它教訓(xùn)。5.3.2 安全事故報告根據(jù)事故分析所編制的事故事后報告，應(yīng)概述事故、應(yīng)急、恢復(fù)行動、破壞和吸取的教訓(xùn)。相關(guān)信息系統(tǒng)的主管負(fù)責(zé)編制報告，并提交信息安全事故應(yīng)急小組作參考，以便日后及時采取預(yù)防措施，避免其它系統(tǒng)和服務(wù)再度發(fā)生同類安全事故。事故事后報告應(yīng)包括下列項目：事故的類型、范圍和程度；事故的詳情：攻擊的來源、時間和可能方法及發(fā)現(xiàn)攻擊的方法等；概述受攻擊的系統(tǒng)，包括系統(tǒng)范圍及功能、技術(shù)資料（例如系統(tǒng)硬件、軟件和操作系統(tǒng)，以及版本、網(wǎng)絡(luò)體系結(jié)構(gòu)及程序編制語言等）；事故應(yīng)急及杜絕方法；恢復(fù)程序；吸取的其它教訓(xùn)。安全事故報告模版參見附件信息安全事故報告模版5.3.3 安全評估可能受到安全風(fēng)險威脅的系統(tǒng)宜定期進(jìn)行安全風(fēng)險評估和審計，特別是曾經(jīng)受安全事故影響的系統(tǒng)。安全復(fù)檢及系統(tǒng)審計應(yīng)持續(xù)進(jìn)行，以便及時發(fā)現(xiàn)可能存在的安全漏洞及或因應(yīng)安全保護(hù)措施及攻擊入侵科技的發(fā)展，而須做出的系統(tǒng)改進(jìn)。在發(fā)生安全事故時收集的資料亦有助于事后安全評估，對找出系統(tǒng)的安全漏洞和安全威脅特別有用。5.3.4安全改進(jìn)根據(jù)事故事后分析與定期安全評估所得出的結(jié)果，可確定應(yīng)對系統(tǒng)的安全政策、程