信息安全事件管理流程 目 1. 目的 2. 范围 3. 职责 3.1．综合部 3. 2. 各相关部门 程序 4. 4.1．信息安全事件的定义， 4. 2. 信息安全事件的报告 4.3．事件调查处理与纠正措施. .2 4.4．应急与防范 .2 4. 5. 对信息安全事件进行评价和总结 2 4.6．证据的收集 ..3 相关文件 .3 6. 记录 3 7. 附件A. ..3 .3 A.1 信息系统事件 A.1.1信息系统故障， 3 A.1.2 一般信息系统事件. .3 A.1.3严重信息系统事件. .8 A.2 泄密事件 A.2.1 一般泄密事件. A.2.2严重泄密事件 1. 目的 为对公司信息安全的事件管理活动实施控制，特制定本程序。 2. 范围 适用于对信息安全的事件管理。 3．职责 3.1．综合部 设立针对信息安全事件的岗位，并指定人员。 负责信息安全的事件的收集、响应、处置和调查处理。 3.2．各相关部门 负责信息安全事件的及时报告，及时落实相关的处理措施。 4.．程序 4.1．信息安全事件的定义 4.1.1信息安全事件是指危及公司发展与业务运作，威胁公司信息安全的其 他情况，可能与信息安全相关的现象、活动、系统、服务或网络状态等处于 异常情况。对达到一定严重程度，或造成一定损失的信息安全事件，本程序 定义为严重事件。 4.1.2信息安全事件的定义和说明参见附录A《信息安全事件分类》。 4.2.．信息安全事件的报告 4.2.1公司各部门发生信息安全事件时，应即时采用电话、传真、电子邮件 等方式向公司综合部报告，其中事件的报告最迟不超过四小时、重大信息安 全事件的报告最迟不超过二十四小时。 4.2.2综合部接到报告后应在不迟于二小时内报告公司信息安全领导小组和 公司分管领导，同时应立即做出响应，并在最迟不超过二十四小时协同有关 部门提出处置意见报信息安全管理委员会和公司分管领导，各相关部门应及 时按要求采取处置措施与意见，将信息安全事件所造成的影响降到最低限度。 对信息安全事件，有合同规定时，应按合同规定及时通知相关方。 1 4.2.3所有事件均应由公司综合部填写《信息安全事件报告》，报告应包括内 容： a．事件发生的时间、地点、部门; b．事件简述、损失初步情况； c．事件发生原因的初步判断。 4.3.．事件调查处理与纠正措施 4.3.1事件责任部门应对事件原因进行分析，必要时，采取纠正措施，事件 的原因及采取措施的结果要予以记录。 4.3.2对于重大信息安全事件，在故障排除或采取必要措施后，公司综合部 和重大信息安全事件责任部门，要对重大信息安全事件的原因、类型、损失、 责任进行调查，对违反公司信息安全管理体系方针、程序及安全规章的规定 所造成的重大信息安全事件的责任者，要依据《信息安全惩戒管理程序》予 以惩戒，并予以通报。 4.3.3重大信息安全事件应填写《重大信息安全事件调查报告书》，由公司 综合部在事件发生后的5天内报送信息安全领导小组和公司分管领导。 4.3.4重大信息安全事件责任部门制定纠正措施并实施，综合部对纠正措施 实施情况进行跟踪验证，并形成跟踪验证记录。 4.3.5所有事件的调查处理结果应反馈报告单位/人员。 4.4． 应急与防范 4.4.1应建立健全信息安全事件的防范体系，定期进行事件防范演习，针对 薄弱环节不断改进完善。 4.4.2综合部应协调其他部门制定信息系统信息安全事件发生时的应急预 案，以快速、合理、有效地方式处理事件，减少影响范围。建立和规范信息 安全事件的发现、通报、分析、预警及处置的工作机制，有效杜绝重大信息 安全事件。 4.5．对信息安全事件进行评价和总结 2 公司信息安全小组要定期对信息安全事件进行评价和总结，以用来指出需要增强 的或另外的控制措施，以限制事件发生的频率、损害和将来再发生的费用，或者 可以在安全方针评审过程中对信息安全事件进行评价和总结。 4.6．证据的收集 当一个信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织 进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权，对信息 系统相关的证据收集与管理可参考《信息系统监控管理程序》 5.相关文件 《信息安全惩戒管理程序》。 6.记录 《信息安全事件报告》 《重大信息安全事件调查报告书》 7. 附件A （资料性附录） 信息安全事件分类 A.1 信息系统事件 A.1.1 信息系统故障 A.1.1.1通信电路和设备故障、服务器故障、网络设备（各类网络交换机、 路由器、防火墙等）、电源故障运行中断达4小时。 A.1.1.2系统（硬、软件)损坏或丢失，造成较小的直接经济损失。 A.1.1.3计算机数据损坏或丢失，或信息系统数据损坏或丢失，数据量在时 间上连续超过2小时。 A.1.1.4计算机病毒感染、内外部黑客入侵和攻击，未造成损失的， A.1.2 一般信息系统事件 3 A.1.2.1通信电路和设备故障、服务器故障、网络设备（各类网络交换机、 路由器、防火墙等）、电源故障运行中断，不能为80%以下注册用户提供服 务，持续服务中断时间达24小时。 A.1.2.2系统（硬、软件)损坏或失窃，造成直接经济损失达1万元以下者。 A.1.2.3计算机重要数据损坏或丢失，或信息系统数据损坏或丢失，数据量 在时间上连续超过24小时。 A.1.2.4计算机病毒感染、内外部黑客入侵和攻击,造成轻微损失的。 器、防火墙等）、电源故障运行中断，不能为80%以下注册用户提供服务， 持续服务中断时间达48小时。 A.1.3.2系统（硬、软件)损坏或失窃，直接经济损失达1万元以上者。 A.1.3.3重要技术开发、研究数据损坏或丢失，或重要信息系统数据损坏或 丢失，数据量在时间上连续超过48小时。 A.1.3.4发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算 机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 A.1.3.5发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱排谤 他人、滥用信息技术等信息污染和滥用，网络地址和用户身份信息的窃取、 盗用。 A.2 泄密事件 A.2.1 一般泄密事件 发生涉密信息被窃取、盗用、发布等泄密等未给公司带来损失的事件。 A.2.2严重泄密事件 发生涉密信息被窃取、盗用、发布等泄密等给公司带来损失的事件。 4 A.1.2.1通信电路和设备故障、服务器故障、网络设备（各类网络交换机、 路由器、防火墙等）、电源故障运行中断，不能为80%以下注册用户提供服 务，持续服务中断时间达24小时。 A.1.2.2系统（硬、软件)损坏或失窃，造成直接经济损失达1万元以下者。 A.1.2.3计算机重要数据损坏或丢失，或信息系统数据损坏或丢失，数据量 在时间上连续超过24小时。 A.1.2.4计算机病毒感染、内外部黑客入侵和攻击,造成轻微损失的。 器、防火墙等）、电源故障运行中断，不能为80%以下注册用户提供服务， 持续服务中断时间达48小时。 A.1.3.2系统（硬、软件)损坏或失窃，直接经济损失达1万元以上者。 A.1.3.3重要技术开发、研究数据损坏或丢失，或重要信息系统数据损坏或 丢失，数据量在时间上连续超过48小时。 A.1.3.4发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算 机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 A.1.3.5发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱排谤 他人、滥用信息技术等信息污染和滥用，网络地址和用户身份信息的窃取、 盗用。 A.2 泄密事件 A.2.1 一般泄密事件 发生涉密信息被窃取、盗用、发布等泄密等未给公司带来损失的事件。 A.2.2严重泄密事件 发生涉密信息被窃取、盗用、发布等泄密等给公司带来损失的事件。 4