安全事件管理制度
1. 总则
为加强对信息系统事安全事件申报处理的规范有序化管理,共享实践经验,保证信息系统安全、高效运行,同时为加强安全事件应急处理,减少处理时间、避免或降低损失制定本办法
2. 范围
本制度适用于业务系统、网络通信、关键设备等安全事件的处理和报告管理:
3. 规定
3.1. 安全事件定义:指由于硬件损坏、软件故障、操作失误等原因引起系统运行异常,导致信息系统无法正常运行的事件;或由于其恶意攻击、病毒爆发、数据丢失等他技术原因导致业务不能正常进行,影响声誉的事件。
3.2. 安全事件预防
3.2.1. 及时更新老化设备,按业务发展提高设备配置。
3.2.2. 认证做好日常例行维护和监控工作,并定期对日志信息进行分析。
3.2.3. 开展安全教育培训,增强安全意识,提高各类安全事件处理能力。
3.3. 安全事件处理流程
信息部门发现安全事件或可疑事件后,第一时间作出相应,采取有效的措施避免事态的扩大
3.3.1. 安全事件申报与发现
a) 系统运维人员、系统使用人员根据监控记录、日志信息发现可疑事件向信息部门申报,信息部门做好记录并通知相关系统负责人及运维单位、厂商,对可疑事件进行分析,若为安全事件及时进行处理。
b) 系统运维人员、系统使用人员发现安全事件应及时向信息部门汇报,并启动应急预案,根据应急操作手册进行处理,若自行不能处理,应根据应急联系单及时联系运维单位、系统开发单位或厂商。
3.3.2. 安全事件调查
a) 检查周围环境,主要包括电源、设备的布局、温度。
b) 检查硬件环境,主要包括设备运行情况、设备质量等。
c) 检查软件环境,主要包括软件是否存在漏洞、补丁安装是否兼容等。
3.3.3. 安全事件的分析
a) 要从多方面着手,对事件进行分析,并及时保存好原始数据。
b) 严格查看事件现场,并进行详细记录。
c) 分析事件级别的原因,要根据调查的情况及测定的数据进行判定。
d) 若不能自行分析,应及时联系系统开发单位、厂商等单位进行协助。
3.3.4. 安全事件的处理
a) 根据安全事件分析的结果,严格按照各类安全事件应急操作手册进行处理与系统恢复工作,尽快恢复系统正常运行。
b) 随着安全事件的发展或安全事件持续时间的延长,当下级安全事件指标升到上一级安全事件指标时,自动启动上一级安全事件处理程序
c) 安全事件处理完成后检查系统是否正常运行,并填写《信息系统安全事件处理记录表》,向信息部门领导汇报。
3.3.5. 安全事件处理汇报
a) 安全事件报告中,应详细记录分析和鉴定事件产生的原因,收集的证据,处理过程等内容,并开展培训预防再次发生类似安全事件。
b) 上报情况时,要及时采取各项应对措施进行整改,详细说明整改方法。
c) 安全事件不得故意隐瞒或不报,凡未及时上报导致事件扩大并酿成不良后果的,对当事人追究失职责任,并严肃处理。
