1 目的
为建立信息安全事件报告、反应与处理机制,减少信息安全事件所造成的损失,采取有效的纠正与预防措施,特制定本程序。
2 范围
本程序适用于组织的信息安全事件的管理。
3 职责
3.1 办公室
作为公司安全部门归口管理信息安全事件的调查、处理及纠正措施管理,并向部门内部及领导汇报。
3.2 各部门
负责相关信息安全事件的报告。协助办公室调查处理。
4 相关文件
《信息安全管理手册》
《信息安全奖惩管理程序》
5 程序
5.1 信息安全事件定义与分类
信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事件:
- 组织的秘密、机密及绝密信息泄露或丢失;
- 重要办公室门停止工作五小时以上;
- 造成信息资产损失的火灾、洪水、雷击等灾害;
- 损失在一万元以上的故障/事件。
信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事件:
- 组织的机密及绝密信息泄露;
- 重要办公室门停止工作十小时以上;
- 造成重要信息设备毁灭的火灾、洪水、雷击等灾害;
- 损失在五万以上的故障/事件。
5.2 事件的报告渠道与处理
5.2.1 事件报告要求
事件的发现者应按照以下要求履行报告任务:
- 各个信息管理系统使用者,在使用过程中如果发现软硬件故障、事件,应该向该系统归口办公室门和办公室报告;如故障、事件会影响或已经影响业务运行,必须立即报告相关部门,采取必要措施,保证对业务的影响降至;
- 发生火灾应立即触发火警并向办公室报告,启动消防应急预案;
- 涉及组织的秘密、机密及绝密泄露、丢失应向办公室报告;
- 发生重大信息安全事件,事件受理部门应向办公室和有关领导报告。
5.2.2信息安全事态评估
接到信息安全事态或事件的报告后,相关人员依据信息安全事件定义和分类对信息安全事态进行评估,确定信息安全事件的分类和级别。
5.2.3 事件的响应
事件处理部门接到报告以后,应根据信息安全事件的分类和级别,立即进行迅速、有效和有序的响应,包括采取以下适当措施:
- 报告者应保护好故障、事件的现场,并采取适当的应急措施,防止事态的进一步扩大;
- 判断是否重大事件,按照有关的事件处理文件(程序、作业手册)排除故障,恢复系统或服务,必要时,启动业务持续性管理计划。
5.3 事件调查处理与纠正措施
故障处理部门应对故障原因进行分析,必要时,采取纠正措施,故障的原因及采取措施的结果予以记录。
对于信息安全事件,在故障排除或采取必要措施后,办公室会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,形成《信息安全事件调查处理报告》,报办公室批准;对于重大信息安全事件的处理意见应上报办公室讨论通过。
对于违反组织的信息方针、程序及安全规章所造成的信息安全事件责任者依据《信息安全奖惩管理程序》予以惩戒,并在组织内予以通报。