某某单位网络安全事件管理办法 (供参考)
某某单位网络安全事件管理办法
第一章 总则
第一条 为规范某某单位业务应用系统安全事件管理,确保及时发现并有效处理安全事件,最大限度地降低安全事件对业务运营、单位形象等造成不良影响,特制订本管理办法。
第二条 安全事件是一个或一系列与网络安全、系统安全、业务安全相关的,并极有可能危害业务应用系统机密性、完整性、可用性及其他(如盗用、滥用网络谋取利益)的事件。
第三条 本办法适用于某某单位及直属各单位。
第四条 本办法的解释和修改权归属某某单位信息中心。
第五条 本办法自正式发布之日起执行。
第二章 相关角色与工作职责
第六条 某某单位信息中心安全事件管理职责:
(一)负责贯彻业务应用系统安全事件管理办法,制定和宣贯业务应用系统安全事件管理办法;
(二)负责管辖范围内接收到的业务应用系统安全事件;
(三)等级保护二级及以上事件发生后,负责在规定时间内上报上级部门,并在安全事件处理过程中及时上报进展情况;
第七条 安全事件相关工作在某某单位的具体分工如下:
(一)某某单位安全应急小组,由部门领导、安全管理员、主机管理员、网络管理员、数据库管理员、应用管理员担任,主要职责:
1. 负责编写业务系统安全应急预案;
2. 迅速组织处理等级保护二级及以上安全事件,在处理完成后负责总结安全事件的发生和解决情况,编制分析报告;
3. 负责整理用于上报的安全事件报告;
(二)安全管理员主要职责:
1. 负责制定安全事件定级规则;
2. 负责总体协调和管理安全事件流程的执行;
3. 负责协调相关资源,解决跨部门的安全事件;
4. 应定期以事件管理的衡量指标为基础,汇总分析整体处理情况,提出改进建议,形成安全事件管理总结报告;
5. 负责召集安全应急小组进行事件处理活动,担任与其他部门的沟通协调工作。
(三)一线技术支持人员,由安全、网络、主机、应用维护人员担任,主要职责:
1. 负责处理安全事件,如不能解决需向二线技术支持人员转发;
2. 在安全事件处理过程中,保持与帮助人员的联系,反馈事件处理进展;
(四)安全审计员,由信息部网络技术部指定人员担任,主要职责:
1. 定期负责安全事件处理的审计稽核;
2. 负责安全事件报告的审计稽核。
第三章 安全事件管理主要规则
第八条 安全事件主要由以下来源:
(一)业务应用系统所有安全类设备、应用、主机、数据库、网络设备产生的安全告警;
(二)在日常工作中,以人工方式发现的安全事件;
(三)信息部、某某单位其他部门、外部单位发现,以及客户投诉的与业务应用系统有关的安全事件;
第九条 安全事件的分类:
(一)影响系统机密性的安全事件主要包括:信息窃取、信息泄密、网络钓鱼、网络嗅探、信息假冒、以窃取信息为目的后门木马、恶意程序等。
(二)影响系统完整性的安全事件主要包括:信息篡改事件、网页挂马、以破坏系统数据为目的后门木马等;
(三)影响系统可用性的安全事件主要包括:拒绝服务攻击、恶意代码、漏洞攻击、僵尸网络等。
第十条 安全事件的优先级:根据安全事件所影响业务的重要性,业务损失程度与处理安全事件所需的资源,以及造成的社会影响力综合确定,安全事件的优先级分为一级(特别重大)、二级(重大)、三级(较大)、四级(一般)四个级别。
(一)一级/特别重大
判断标准为:安全管理平台产生的严重告警级别以上安全事件,安全事件造成等级保护二级及以上系统业务中断60分钟以上,或者影响的范围涉及两个或两个以上等级保护二级及以上系统,或者业务系统数据损坏、丢失,并且无法恢复,或者重要数据泄露,或者业务系统或网络被破坏或损坏,并且预计在60分钟内无法恢复;或者产生特别重大的社会影响。
(二)二级/重大
判断标准为:安全管理平台产生的严重告警级别以上安全事件,安全事件造成等级保护二级及以上业务中断30分钟以上,或者业务系统数据部分损坏、丢失,可以通过备份进行恢复;或者产生重大的社会影响。
(三)三级/较大
判断标准为:安全管理平台产生的重要告警级别以上安全事件,安全事件造成二级及以上系统业务中断10分钟以上,并且未造成业务系统数据损坏、丢失;或者产生较大的社会影响。
(四)四级/一般
判断标准为:安全管理平台产生的一般告警级别以上安全事件,安全事件造成系统业务中断少于10分钟,并且未造成业务系统数据损坏、丢失;或者产生一般的社会影响。
第十一条 安全事件的响应时限和解决时限:响应时限指的是安全事件单从提交到“处理中”经过的时间,解决时限指的是安全事件单从提交到“已解决”经过的时间。不同优先级的事件具有不同的响应和解决时限要求,应该优先处理优先级较高的事件。优先级对应的响应和解决时限要求如下:
第四章 安全事件管理内容描述
第十二条 安全事件策略管理包括策略制定过程与策略执行过程,遵照《某某单位业务应用系统安全策略管理办法》的策略管理流程执行。
第十三条 安全事件处理流程分为常规安全事件处理流程与安全应急响应流程;其中常规安全处理流程为主流程,当安全事件优先级为等级保护二级及以上时,由常规安全事件处理流程转为安全应急响应流程。
第五章 常规安全事件处理流程
第十四条 常规安全事件处理流程的主要步骤包括:安全事件受理和记录、安全事件优先级再判断、转应急响应流程、事件的解决和记录、安全事件确认关闭。
第十五条 安全事件优先级判断
(一)负责处理的一线技术支持人员在接收到安全事件工单后,应再次确定安全事件优先级。
(二)对于等级保护二级及以上安全事件后,应立即转派安全应急响应小组,同时进行电话通知。
第十六条 等级保护二级及以上安全事件再判断
安全应急响应小组在接收到等级保护二级及以上安全事件时,应立即对安全事件的优先级进行判断,如果确定事件优先级为等级保护二级及以上,则转入安全应急响应流程进行处理。如果确定事件优先级为四级,则交还一线支持人员按常规安全事件处理流程解决。
第十七条 安全事件的解决和记录
(一)安全事件处理必须遵循时限要求,根据工作情况准确填写工作记录。
(二)对于影响业务的安全事件,应尽快采取恢复措施。
(三)安全事件得到解决后,一线/二线支持人员应详细记录事件解决过程及方案并更新事件信息,并将安全事件工单提交开单人进行工单关闭。
(四)安全事件如未得到解决,应按一线人员处理、二线人员处理、二线人员协调三线人员处理的三个阶段进行尝试解决,解决过程均遵循本条以上步骤执行。
第十八条 安全事件均由事件负责人关闭。
第六章 安全应急响应流程
第十九条 应做好充分的等级保护二级及以上安全事件应急响应准备工作
(一)编写安全应急预案并上报局主管信息安全小组备案;
(二)组建安全应急队伍,安全应急响应小组的成员需要有部门的领导参加;
(三)进行安全应急培训,针对各种安全应急响应的内容,如:安全应急预案、安全应急响应流程进行培训;
(四)对系统与重要的数据进行备份,当系统出现问题导致数据被破坏的情况下能够快速地进行恢复;
(五)定期由安全应急响应小组组织应急演练,保障应急准备工作是有效的;
第二十条 当等级保护二级及以上安全事件发生时,触发安全应急响应流程,应尽快采取措施减少对业务带来的影响,加快安全事件处理速度,确保安全事件得到有效的控制。
第二十一条 安全事件应急处理:
(一)安全管理员负责召集安全应急小组,召开应急会议,根据相关要求及时上报信息部网络技术部安全事件处理进展;
(二)安全应急小组分析安全事件现象和影响程度,判断是否有相应的应急处理预案。如果有应急预案,则根据应急预案处理安全事件;如果没有应急处理预案,安全应急小组负责组织相关人员、相关厂商,共同制定相应的处理方案,并需要通过相关领导的审批;
(三)安全应急小组负责组织相关人员,依据预案/方案进行安全事件的处理,在实施前应得到应急小组和相关领导的审批;安全事件处理过程中如果需要中断业务或对系统的IT组件产生变更,则触发紧急变更管理流程处理;
(四)在应急安全事件处理预案/方案实施后,安全应急小组、相关厂商和相关部门对安全事件是否解决进行确认,如果未解决,则需要组织相关人员调整处理方案;
第二十二条 等级保护二级及以上安全事件的应急善后处理:
(一)等级保护二级及以上安全事件解除后,安全管理员向申告方、局相关领导报告事件处理过程、解决方法、事件解除时间、业务恢复情况;对于优先级为二级及以上的安全事件,须提交《重大事件报告》;
(二)如果发现可能导致安全事件重复发生的安全隐患,可触发问题管理流程进行深入处理;如果安全事件处理过程对后续工作有指导或参考意义,则触发知识管理流程处理。
第七章 安全事件上报办法
第二十三条 安全事件上报内容
(一)安全应急小组负责将三级和三级以上安全事件上报信息部管理部,并继续跟踪和上报事件发展的情况;
(二)上报内容包括事件发生时间、事件处理时间、发生事件的业务系统、安全事件描述、造成的影响和范围、已采取的措施、阶段处理结果、某某单位联系人信息。
第二十四条 安全事件上报时间
(一)四级安全事件不上报;三级安全事件在事件处理完毕后24小时内上报;二级安全事件在4小时内上报;一级安全事件在1小时内上报;
(二)某某单位无法自行处理的三级和三级以上事件,需要在4小时内上报,以便信息部上级机构进行协调、资源调配和援助;
(三)二级以上事件上报后需定期向某某单位领导通报阶段性处理情况:二级告警事件需要每天通报一次,直至所有处理完毕。一级紧急事件需要每两小时通报一次,直至所有处理完毕。
第二十五条 安全事件上报方式
(一)三级事件上报使用传真或电子邮件方式,并使用电话进行上报确认;
(二)二级以上事件的上报必须使用电话上报,同时使用传真或电子邮件方式上报事件具体情况。
1人点赞
评论