信息安全事件管理制度

XXX信息安全有限公司第頁(yè)信息安全事件管理制度目錄TOC\o"1-3"\h\z1.目的和范圍 32.引用文件 33.職責(zé)和權(quán)限 34.信息安全異?，F(xiàn)象 44.1.信息安全異常現(xiàn)象定義 44.2.信息安全異?，F(xiàn)象處理流程 55.信息安全事件 65.1.信息安全事件定義 65.2.信息安全事件分級(jí) 65.3.信息安全事件處理流程 65.3.1安全事件的發(fā)現(xiàn) 135.3.2安全事件的處理 136.信息安全事件的緊急處置和業(yè)務(wù)恢復(fù) 197.信息安全事件證據(jù)的收集 208.信息安全事件和信息安全異?，F(xiàn)象的報(bào)告和反饋 218.1.對(duì)于信息安全事件 218.2.對(duì)于信息安全異?，F(xiàn)象 229.改進(jìn)和預(yù)防工作 2310.實(shí)施策略 2311.相關(guān)記錄 24

目的和范圍為加強(qiáng)和改進(jìn)信息安全事件管理；在發(fā)生信息安全事件時(shí)能及時(shí)報(bào)告，快速響應(yīng)，將損失控制在最小范圍；在發(fā)生信息安全事件后，能夠分析事故原因及產(chǎn)生影響、反饋處理結(jié)果、吸取事故教訓(xùn)；在發(fā)現(xiàn)信息安全異常現(xiàn)象時(shí)，能及時(shí)溝通，采取有效措施，防止安全事故的發(fā)生；特制訂本管理制度。本制度適用于影響信息安全的所有事故以及安全異?，F(xiàn)象以及全體人員（包括外協(xié)人員、實(shí)習(xí)生、長(zhǎng)期客戶(hù)員工、來(lái)訪(fǎng)客戶(hù)等）。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則《業(yè)務(wù)連續(xù)性管理制度》職責(zé)和權(quán)限信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)對(duì)內(nèi)部信息安全事件的處理和獎(jiǎng)懲意見(jiàn)進(jìn)行審批；負(fù)責(zé)對(duì)糾正預(yù)防措施進(jìn)行審批。信息安全工作小組：負(fù)責(zé)組織制定內(nèi)部信息安全事件處理制度；聽(tīng)取信息安全事件的匯報(bào)，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出處理措施，提出獎(jiǎng)懲意見(jiàn)以及糾正預(yù)防措施，負(fù)責(zé)信息安全有關(guān)的所有文件的管理與控制；負(fù)責(zé)組織制定項(xiàng)目信息安全事件處理制度；聽(tīng)取信息安全事件的匯報(bào)，負(fù)責(zé)對(duì)信息安全事件進(jìn)行調(diào)查取證，提出處理措施，提出獎(jiǎng)懲意見(jiàn)以及糾正預(yù)防措施，負(fù)責(zé)信息安全有關(guān)的所有文件的管理與控制。各部門(mén)：積極預(yù)防信息安全事件的發(fā)生；及時(shí)準(zhǔn)確的匯報(bào)信息安全事件，配合信息安全事件的調(diào)查取證工作；配合執(zhí)行處理措施，獎(jiǎng)懲決定以及糾正預(yù)防措施。異?，F(xiàn)象和事件發(fā)現(xiàn)人：異?，F(xiàn)象和事件發(fā)現(xiàn)人有義務(wù)及時(shí)準(zhǔn)確地報(bào)告異?，F(xiàn)象和事件的真實(shí)情況，并采取適當(dāng)?shù)呐R時(shí)措施制止事故的進(jìn)一步擴(kuò)大。信息安全異?，F(xiàn)象信息安全異?，F(xiàn)象定義信息安全異常現(xiàn)象是指被識(shí)別的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生，表明一次可能的信息安全策略違規(guī)或某些防護(hù)措施失效，或者一種可能與安全相關(guān)但以前不為人知的一種情況。信息安全異?，F(xiàn)象處理流程圖1信息安全異常現(xiàn)象處理流程圖信息安全異?，F(xiàn)象處理流程：異?，F(xiàn)象發(fā)現(xiàn)者應(yīng)及時(shí)上報(bào)信息安全工作小組，由工作小組指派相應(yīng)人員進(jìn)行處理。相應(yīng)人員判斷異常現(xiàn)象是否為信息安全事件，如果是的話(huà)進(jìn)入信息安全事件處理流程；如果不是，由相應(yīng)人員對(duì)異?，F(xiàn)象進(jìn)行處理。信息安全事件信息安全事件定義信息安全事件：是指辦公設(shè)備/計(jì)算機(jī)/網(wǎng)絡(luò)設(shè)備系統(tǒng)/信息管理系統(tǒng)的硬件、軟件、數(shù)據(jù)因故障/非法攻擊/病毒入侵/惡意破壞/非授權(quán)外傳/遺失/災(zāi)難等安全原因而遭到破壞、更改、泄露而造成業(yè)務(wù)活動(dòng)不能正常進(jìn)行或者涉密信息泄露或者在其他方面造成損失的事件。信息安全事件分類(lèi)5.2.1有害程序事件（MI）有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序是指插入到信息系統(tǒng)中的一段程序，有害程序危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性或可用性，或影響信息系統(tǒng)的正常運(yùn)行。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其它有害程序事件等7個(gè)子類(lèi)，說(shuō)明如下：a)計(jì)算機(jī)病毒事件（CVI）是指蓄意制造、傳播計(jì)算機(jī)病毒，或是因受到計(jì)算機(jī)病毒影響而導(dǎo)致的信息安全事件。計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的一組計(jì)算機(jī)指令或者程序代碼，它可以破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制；b)蠕蟲(chóng)事件（WI）是指蓄意制造、傳播蠕蟲(chóng)，或是因受到蠕蟲(chóng)影響而導(dǎo)致的信息安全事件。蠕蟲(chóng)是指除計(jì)算機(jī)病毒以外，利用信息系統(tǒng)缺陷，通過(guò)網(wǎng)絡(luò)自動(dòng)復(fù)制并傳播的有害程序；c)特洛伊木馬事件（THI）是指蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影響而導(dǎo)致的信息安全事件。特洛伊木馬程序是指?jìng)窝b在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進(jìn)行信息竊取等對(duì)該信息系統(tǒng)有害的功能；d)僵尸網(wǎng)絡(luò)事件（BI）是指利用僵尸工具軟件，形成僵尸網(wǎng)絡(luò)而導(dǎo)致的信息安全事件。僵尸網(wǎng)絡(luò)是指網(wǎng)絡(luò)上受到黑客集中控制的一群計(jì)算機(jī)，它可以被用于伺機(jī)發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)行信息竊取或傳播木馬、蠕蟲(chóng)等其他有害程序；e)混合攻擊程序事件（BAI）是指蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導(dǎo)致的信息安全事件。混合攻擊程序是指利用多種方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬或僵尸網(wǎng)絡(luò)等多種特征?；旌瞎舫绦蚴录部梢允且幌盗杏泻Τ绦蚓C合作用的結(jié)果，例如一個(gè)計(jì)算機(jī)病毒或蠕蟲(chóng)在侵入系統(tǒng)后安裝木馬程序等；f)網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件（WBPI）是指蓄意制造、傳播網(wǎng)頁(yè)內(nèi)嵌惡意代碼，或是因受到網(wǎng)頁(yè)內(nèi)嵌惡意代碼影響而導(dǎo)致的信息安全事件。網(wǎng)頁(yè)內(nèi)嵌惡意代碼是指內(nèi)嵌在網(wǎng)頁(yè)中，未經(jīng)允許由瀏覽器執(zhí)行，影響信息系統(tǒng)正常運(yùn)行的有害程序；g)其它有害程序事件（OMI）是指不能包含在以上6個(gè)子類(lèi)之中的有害程序事件。5.2.2網(wǎng)絡(luò)攻擊事件（NAI）網(wǎng)絡(luò)攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門(mén)攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類(lèi)，說(shuō)明如下：拒絕服務(wù)攻擊事件（DOSAI）是指利用信息系統(tǒng)缺陷、或通過(guò)暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤(pán)空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件；后門(mén)攻擊事件（BDAI）是指利用軟件系統(tǒng)、硬件系統(tǒng)設(shè)計(jì)過(guò)程中留下的后門(mén)或有害程序所設(shè)置的后門(mén)而對(duì)信息系統(tǒng)實(shí)施的攻擊的信息安全事件；漏洞攻擊事件（VAI）是指除拒絕服務(wù)攻擊事件和后門(mén)攻擊事件之外，利用信息系統(tǒng)配置缺陷、協(xié)議缺陷、程序缺陷等漏洞，對(duì)信息系統(tǒng)實(shí)施攻擊的信息安全事件；網(wǎng)絡(luò)掃描竊聽(tīng)事件（NSEI）是指利用網(wǎng)絡(luò)掃描或竊聽(tīng)軟件，獲取信息系統(tǒng)網(wǎng)絡(luò)配置、端口、服務(wù)、存在的脆弱性等特征而導(dǎo)致的信息安全事件；網(wǎng)絡(luò)釣魚(yú)事件（PI）是指利用欺騙性的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，使用戶(hù)泄漏重要信息而導(dǎo)致的信息安全事件。例如，利用欺騙性電子郵件獲取用戶(hù)銀行帳號(hào)密碼等；干擾事件（II）是指通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)進(jìn)行干擾，或?qū)V播電視有線(xiàn)或無(wú)線(xiàn)傳輸網(wǎng)絡(luò)進(jìn)行插播，對(duì)衛(wèi)星廣播電視信號(hào)非法攻擊等導(dǎo)致的信息安全事件；其他網(wǎng)絡(luò)攻擊事件（ONAI）是指不能被包含在以上6個(gè)子類(lèi)之中的網(wǎng)絡(luò)攻擊事件。5.2.3信息破壞事件（IDI）信息破壞事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個(gè)子類(lèi)，說(shuō)明如下：信息篡改事件（IAI）是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)篡改等導(dǎo)致的信息安全事件；信息假冒事件（IMI）是指通過(guò)假冒他人信息系統(tǒng)收發(fā)信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁(yè)假冒等導(dǎo)致的信息安全事件；信息泄漏事件（ILEI）是指因誤操作、軟硬件缺陷或電磁泄漏等因素導(dǎo)致信息系統(tǒng)中的保密、敏感、個(gè)人隱私等信息暴露于未經(jīng)授權(quán)者而導(dǎo)致的信息安全事件；信息竊取事件（III）是指未經(jīng)授權(quán)用戶(hù)利用可能的技術(shù)手段惡意主動(dòng)獲取信息系統(tǒng)中信息而導(dǎo)致的信息安全事件；信息丟失事件（ILOI）是指因誤操作、人為蓄意或軟硬件缺陷等因素導(dǎo)致信息系統(tǒng)中的信息丟失而導(dǎo)致的信息安全事件；其它信息破壞事件（OIDI）是指不能被包含在以上5個(gè)子類(lèi)之中的信息破壞事件。5.2.4信息內(nèi)容安全事件（ICSI）信息內(nèi)容安全事件是指利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件。信息內(nèi)容安全事件包括以下4個(gè)子類(lèi)，說(shuō)明如下：違反憲法和法律、行政法規(guī)的信息安全事件；針對(duì)社會(huì)事項(xiàng)進(jìn)行討論、評(píng)論形成網(wǎng)上敏感的輿論熱點(diǎn)，出現(xiàn)一定規(guī)模炒作的信息安全事件；組織串連、煽動(dòng)集會(huì)游行的信息安全事件；其他信息內(nèi)容安全事件等4個(gè)子類(lèi)。5.2.5設(shè)備設(shè)施故障（FF）設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4個(gè)子類(lèi)，說(shuō)明如下：軟硬件自身故障（SHF）是指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或者軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全事件；外圍保障設(shè)施故障（PSFF）是指由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的信息安全事件；人為破壞事故（MDA）是指人為蓄意的對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無(wú)意行為造成信息系統(tǒng)硬件、軟件等遭到破壞，影響信息系統(tǒng)正常運(yùn)行的信息安全事件；其它設(shè)備設(shè)施故障（IF-OT）是指不能被包含在以上3個(gè)子類(lèi)之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件。5.2.6災(zāi)害性事件（DI）災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭(zhēng)等導(dǎo)致的信息安全事件。4.2.7其他事件（OI）其他事件類(lèi)別是指不能歸為以上6個(gè)基本分類(lèi)的信息安全事件。信息安全事件分級(jí)級(jí)別說(shuō)明安全事故（一級(jí)）造成業(yè)務(wù)系統(tǒng)運(yùn)行中斷，嚴(yán)重影響業(yè)務(wù)活動(dòng)進(jìn)行的;數(shù)據(jù)被破壞，無(wú)法恢復(fù)或者恢復(fù)時(shí)間過(guò)長(zhǎng)，超過(guò)30分鐘，嚴(yán)重影響業(yè)務(wù)活動(dòng)進(jìn)行的;一級(jí)，二級(jí)機(jī)密信息泄露，給公司造成較大損害的,或產(chǎn)生重大影響的;其它涉密信息泄露，給公司造成極大損害的，產(chǎn)生特別重大的社會(huì)影響的;將惡意代碼或其他有害程序傳播至公司，產(chǎn)生特別重大的社會(huì)影響的;客戶(hù)真實(shí)數(shù)據(jù)泄漏或者對(duì)客戶(hù)數(shù)據(jù)造成破壞的，產(chǎn)生特別重大的社會(huì)影響的;內(nèi)部人員（包括員工/外協(xié)人員/實(shí)習(xí)生/客戶(hù)/服務(wù)人員等）任何故意破壞信息系統(tǒng)/泄漏涉密信息的行為,產(chǎn)生特別重大的社會(huì)影響的;網(wǎng)絡(luò)設(shè)備受到攻擊，影響網(wǎng)絡(luò)暢通的安全事件，攻擊流量超過(guò)正常流量的30％，或者持續(xù)時(shí)間大于15分鐘的安全事件;相同業(yè)務(wù)一周重復(fù)出現(xiàn)的安全事件。利用相關(guān)信息平臺(tái)，傳播違法等不良信息，產(chǎn)生特別重大的社會(huì)影響的;嚴(yán)重安全事件（二級(jí)）數(shù)據(jù)被破壞，恢復(fù)時(shí)間較長(zhǎng)，對(duì)業(yè)務(wù)活動(dòng)進(jìn)行造成相當(dāng)影響的;一二級(jí)涉密信息泄露，給公司造成一定損害的;不遵守規(guī)章或者操作流程，造成客戶(hù)投訴或者給公司造成一定損害的使用不安全渠道傳輸信息，造成客戶(hù)投訴或者對(duì)公司潛在損害較大的。影響到各業(yè)務(wù)數(shù)據(jù)庫(kù)的，30分鐘內(nèi)可處理解決的安全事件。網(wǎng)絡(luò)設(shè)備受到攻擊，影響網(wǎng)絡(luò)暢通的安全事件，攻擊流量低于等于正常流量的30％，并持續(xù)時(shí)間小于等于15分鐘的安全事件。利用相關(guān)信息平臺(tái)，傳播違法等不良信息的;30分鐘內(nèi)已查明原因，但沒(méi)有在60分鐘內(nèi)解決完成的一般安全事件30分鐘內(nèi)未查明原因的一般安全事件。對(duì)影響惡劣的一般安全事件，應(yīng)升級(jí)為重大安全事件頁(yè)面內(nèi)容篡改；泄漏用戶(hù)信息、用戶(hù)數(shù)據(jù)、用戶(hù)密碼；泄漏設(shè)備相關(guān)信息，包括：管理權(quán)限、用戶(hù)使用權(quán)限、版本信息；一般安全事件（三級(jí)）對(duì)業(yè)務(wù)活動(dòng)進(jìn)行沒(méi)有造成太大影響，只影響到單臺(tái)應(yīng)用服務(wù)器，且為業(yè)務(wù)分布式服務(wù)器的安全事件，30分鐘內(nèi)已查明原因，可以在60分鐘內(nèi)解決的安全事件。數(shù)據(jù)被破壞，可以較快恢復(fù)，對(duì)業(yè)務(wù)活動(dòng)進(jìn)行沒(méi)有造成太大影響的;涉密信息泄露，沒(méi)有給公司造成明顯損害的;不遵守規(guī)章或者操作流程，沒(méi)有給公司造成明顯損害的;任何外來(lái)的非法攻擊/病毒入侵，尚沒(méi)有對(duì)業(yè)務(wù)活動(dòng)進(jìn)行造成明顯影響的;已發(fā)布相關(guān)安全公告的安全事件。信息安全事件處理流程安全事件的發(fā)現(xiàn)相關(guān)部門(mén)應(yīng)建立監(jiān)控措施和日志查看制度，采用必要的技術(shù)手段，確保及時(shí)發(fā)現(xiàn)安全事件；相關(guān)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估、安全事件和安全告警的內(nèi)容，及時(shí)發(fā)現(xiàn)潛在安全事件；應(yīng)向所有員工和第三方服務(wù)商提供培訓(xùn)，使之認(rèn)識(shí)到發(fā)現(xiàn)并報(bào)告安全事件是其應(yīng)盡的義務(wù)。安全事件的處理一般安全事件處理流程圖圖2一般安全事件處理流程圖一般安全事件處理流程：相關(guān)工程師、管理人員、運(yùn)營(yíng)安全工作人員在日常維護(hù)、巡檢、日志檢查等過(guò)程中發(fā)現(xiàn)異常，或接到其他人員的異常報(bào)告，并判斷為安全事件；事件發(fā)現(xiàn)者將事件發(fā)生時(shí)的情況，內(nèi)容包括事件發(fā)生的時(shí)間、地點(diǎn)系統(tǒng)名稱(chēng)、現(xiàn)象描述、初步分析等，用郵件或電話(huà)報(bào)告給運(yùn)營(yíng)安全工作人員，并確認(rèn)相關(guān)人員可立即收到和處理。運(yùn)營(yíng)安全工作人員判斷事件安全級(jí)別，無(wú)法判斷或非一般安全事件則上報(bào)運(yùn)營(yíng)安全組長(zhǎng)按照嚴(yán)重安全事件處理；對(duì)于嚴(yán)重安全事件，啟動(dòng)相應(yīng)級(jí)別事件響應(yīng)流程；對(duì)于一般安全事件，運(yùn)營(yíng)安全工作人員應(yīng)協(xié)助運(yùn)營(yíng)安全副組長(zhǎng)直接處理解決問(wèn)題。一般應(yīng)在30分鐘內(nèi)查明原因，并且在60分鐘內(nèi)能夠處理完成并解決了問(wèn)題。如果在規(guī)定的時(shí)間范圍內(nèi)無(wú)法解決問(wèn)題，運(yùn)營(yíng)安全工作人員應(yīng)通過(guò)電話(huà)、傳真等方式通知報(bào)告運(yùn)營(yíng)安全組長(zhǎng)，并說(shuō)明對(duì)處理情況的反饋要求，啟動(dòng)相應(yīng)級(jí)別事件響應(yīng)流程。嚴(yán)重安全事件處理流程圖圖3嚴(yán)重安全事件處理流程圖嚴(yán)重安全事件處理流程：運(yùn)營(yíng)安全工作人員將安全事件發(fā)現(xiàn)情況或報(bào)告上報(bào)相應(yīng)部門(mén)總監(jiān)和運(yùn)營(yíng)安全組長(zhǎng)；相應(yīng)部門(mén)總監(jiān)負(fù)責(zé)隨時(shí)跟蹤運(yùn)營(yíng)安全管理組長(zhǎng)的處理解決問(wèn)題過(guò)程。運(yùn)營(yíng)安全組長(zhǎng)記錄分析安全事件，對(duì)安全事件進(jìn)行處理，解決問(wèn)題，并上報(bào)信息安全管理領(lǐng)導(dǎo)小組；信息安全領(lǐng)導(dǎo)小組指示信息安全工作小組協(xié)調(diào)對(duì)事件進(jìn)行深入分析，必要時(shí)可告知相關(guān)專(zhuān)業(yè)安全廠(chǎng)商，由廠(chǎng)商協(xié)助運(yùn)營(yíng)安全組長(zhǎng)處理解決安全事件；信息安全工作小組負(fù)責(zé)協(xié)調(diào)專(zhuān)業(yè)安全商、產(chǎn)品商、集成商配合部門(mén)人員共同解決嚴(yán)重安全事件；如果未能解決事件，則轉(zhuǎn)入安全事故處理流程；如果成功處理事件，則做系統(tǒng)恢復(fù)和事件總結(jié)。安全事故處理流程圖圖4安全事故處理流程圖安全事故處理流程：對(duì)于安全事故，在安全事故發(fā)生后，相關(guān)人員第一時(shí)間匯報(bào)給信息安全工作運(yùn)營(yíng)安全小組組長(zhǎng)，由運(yùn)營(yíng)安全組長(zhǎng)填寫(xiě)信息安全事件報(bào)告表上報(bào)信息安全管理領(lǐng)導(dǎo)小組或公司上級(jí)組織，尋求幫助，同時(shí)運(yùn)營(yíng)安全組長(zhǎng)迅速組織相關(guān)專(zhuān)業(yè)人員分析解決問(wèn)題。信息安全領(lǐng)導(dǎo)小組或上級(jí)組織協(xié)調(diào)信息安全工作小組、相關(guān)部門(mén)、相關(guān)服務(wù)商共同指導(dǎo)運(yùn)營(yíng)技術(shù)人員分析處理解決安全事故。網(wǎng)絡(luò)或系統(tǒng)恢復(fù)后，運(yùn)營(yíng)安全組長(zhǎng)負(fù)責(zé)對(duì)本次事故情況作總結(jié)報(bào)告。信息安全事件的緊急處置和業(yè)務(wù)恢復(fù)部門(mén)負(fù)責(zé)人、管理部門(mén)（行政部、系統(tǒng)服務(wù)部）、信息安全工作小組組長(zhǎng)在接到信息安全事件的報(bào)告后，應(yīng)該立刻相互協(xié)調(diào)進(jìn)行處置。事故責(zé)任部門(mén)應(yīng)會(huì)同管理部門(mén)立即分析事故發(fā)生原因；事故責(zé)任部門(mén)應(yīng)會(huì)同管理部門(mén)立即采取緊急措施，防止事態(tài)進(jìn)一步擴(kuò)大；事故責(zé)任部門(mén)應(yīng)會(huì)同管理部門(mén)盡快采取措施，恢復(fù)核心業(yè)務(wù)活動(dòng)。必要時(shí)啟動(dòng)公司《業(yè)務(wù)連續(xù)性管理制度》所制定的應(yīng)急預(yù)案。事故發(fā)生部門(mén)應(yīng)會(huì)同管理部門(mén)分析事故發(fā)生的影響范圍以及造成的損失，并調(diào)整業(yè)務(wù)活動(dòng)，彌補(bǔ)信息安全事故造成的損失。在需要時(shí)與相關(guān)外部各方聯(lián)系必要時(shí)部門(mén)負(fù)責(zé)人向客戶(hù)報(bào)告，并協(xié)調(diào)以后的業(yè)務(wù)活動(dòng)；當(dāng)發(fā)生或發(fā)現(xiàn)涉及到違反國(guó)家法律法規(guī)的信息安全事件和異?，F(xiàn)象，信息安全工作小組組長(zhǎng)應(yīng)與國(guó)家相關(guān)外部機(jī)構(gòu)聯(lián)系，報(bào)告信息安全事件和異常現(xiàn)象；當(dāng)信息安全事故發(fā)生原因?yàn)橥鈪f(xié)人員、服務(wù)人員，應(yīng)與相應(yīng)協(xié)力公司、服務(wù)提供公司取得聯(lián)系。對(duì)于直接給客戶(hù)造成影響的信息安全事件（級(jí)別至少是事故），需要由事故責(zé)任部門(mén)的部門(mén)負(fù)責(zé)人、體系負(fù)責(zé)人，管理部門(mén)相關(guān)人員立即成立緊急應(yīng)對(duì)小組，根據(jù)事故的嚴(yán)重性、和對(duì)客戶(hù)所造成影響，商討緊急對(duì)策，并上報(bào)總經(jīng)理批準(zhǔn)后實(shí)施。緊急應(yīng)對(duì)小組應(yīng)將事故處置過(guò)程和結(jié)果及時(shí)反饋給客戶(hù)。信息安全事件證據(jù)的收集為了清楚地分析原因，過(guò)程和影響范圍，確定級(jí)別和責(zé)任人，以利于改進(jìn)，包括為可能涉及到的訴訟（民事的或刑事的）行為提供證據(jù)支持，在信息安全事件發(fā)生時(shí)，信息安全工作小組要進(jìn)行證據(jù)的收集工作。進(jìn)行證據(jù)收集時(shí)要注意：及時(shí)性重要的證據(jù)可能存在被故意或意外毀壞的危險(xiǎn)，所以要在第一時(shí)間就要進(jìn)行證據(jù)收集的工作。在證據(jù)收集超越公司管轄權(quán)邊界的情況下，應(yīng)及時(shí)聯(lián)系相關(guān)方面，包括委托相關(guān)組織或人員去收集需要的信息作證據(jù)。證據(jù)的份量：即證據(jù)的質(zhì)量和完備性。為了保證證據(jù)的份量，公司應(yīng)當(dāng)采取必要的控制措施來(lái)保證證據(jù)的質(zhì)量和完備性控制要求，在從證據(jù)被發(fā)現(xiàn)到存儲(chǔ)和處理的整個(gè)過(guò)程中，應(yīng)通過(guò)一種強(qiáng)證據(jù)蹤跡來(lái)論證。一般應(yīng)該注意以下方面：對(duì)紙面文檔：原物應(yīng)被安全保存且?guī)в邢铝行畔⒌挠涗洠赫l(shuí)發(fā)現(xiàn)了這個(gè)文檔，文檔是在哪兒被發(fā)現(xiàn)的，文檔是什么時(shí)候被發(fā)現(xiàn)的，誰(shuí)來(lái)證明這個(gè)發(fā)現(xiàn)；任何調(diào)查應(yīng)確保原物沒(méi)有被篡改；對(duì)計(jì)算機(jī)介質(zhì)上的信息：任何可移動(dòng)介質(zhì)的鏡像或拷貝（依賴(lài)于適用的要求）、硬盤(pán)或內(nèi)存中的信息都應(yīng)確保其可用性；拷貝過(guò)程中所有的行為日志都應(yīng)保存下來(lái)，且應(yīng)有證據(jù)證明該過(guò)程；原始的介質(zhì)和日志（如果這一點(diǎn)不可能的話(huà)，那么至少有一個(gè)鏡像或拷貝）應(yīng)安全保存且不能改變。任何法律取證工作應(yīng)僅在證據(jù)材料的拷貝上進(jìn)行。所有證據(jù)材料的完整性應(yīng)得到保護(hù)。證據(jù)材料的拷貝應(yīng)在可信賴(lài)人員的監(jiān)督下進(jìn)行，什么時(shí)候在什么地方執(zhí)行的拷貝過(guò)程，誰(shuí)執(zhí)行的拷貝活動(dòng)，以及使用了哪種工具和程序，這些信息都應(yīng)記錄。證據(jù)的可容許性：即證據(jù)是否可在法庭上使用；為了獲得被容許的證據(jù)，公司應(yīng)該確保信息系統(tǒng)符合任何公布的標(biāo)準(zhǔn)或?qū)嵱靡?guī)則來(lái)產(chǎn)生被容許的證據(jù)。信息安全事件和信息安全異?，F(xiàn)象的報(bào)告和反饋對(duì)于信息安全事件信息安全事件報(bào)告事故責(zé)任部門(mén)應(yīng)填寫(xiě)《信息安全事件報(bào)告表》，包括以下內(nèi)容：信息安全事件的原因信息安全事件的處理過(guò)程與結(jié)果信息安全事件再發(fā)防止措施及改進(jìn)計(jì)劃附上相關(guān)的證據(jù)文件《信息安全事件報(bào)告表》提交給信息安全工作小組；反饋信息安全工作小組應(yīng)將信息安全事件處置過(guò)程和結(jié)果反饋給部門(mén)負(fù)責(zé)人和事故發(fā)現(xiàn)人；信息安全工作小組