为加强公司及时调查和处理信息安全事件,最大限度降低由于信息安全事件而遭受损失,特制定本管理程序。
本管理程序适用于公司对业务过程中所涉及的多种安全事件的管理。
下列文件中的条款通过本标准引用而成为本标准的条款。凡是未注明日期的引用文件,其最新版本适用于本标准。
iso/iec 27001 信息安全管理体系要求
iso/iec 27002 信息技术—安全技术—信息安全管理实践规范。
gb/z 20985 信息技术—安全技术—信息安全事件管理指南。
gb/t 20986 信息安全技术—信息安全事件分类分级指南。
下列术语和定义适用于本管理标准。
信息安全事件 information security incident
信息安全事件是由单个或一系列意外或有害的信息安全事态所组成的,极有可能危害业务运行和威胁信息安全。
常见的信息安全事件有:服务器或主要网络设备软硬件故障、服务器异常停机、电力中断、水灾、火灾等重大灾害、重大恶性计算机病毒传播、大规模黑客入侵、重大信息安全漏洞、重要业务数据丢失或被篡改、重大信息安全投诉、人为的故意破坏等影响严重到公司正常业务运作,造成或极可能造成公司业务活动中断、机密信息泄露的事件等。
1) 信息安全领导小组负责批准、发布本管理程序;听取信息安全事故分析报告,并做出决策。
2) 信息安全工作小组负责组织编写本管理程序,并且引导相关部门及人员落实实施;发生重大安全事故时应及时向信息安全领导小组进行汇报;负责督促信息安全事故整改措施的落实。
3) 信息安全执行小组负责按照信息安全事故处理流程进行事故处理。
4) 各部门负责本部门信息安全事故的逐级上报;负责配合信息安全执行小组进行信息安全事故的调查分析,提交事故分析报告,并确保预防或改进措施的落实。
信息安全事件的处理流程主要包括:发现、报告、响应(处理)、评价、整改、公告、备案等。
如下图所示:
3.2.1. 发现。
公司全体员工都有责任和义务将发现的信息安全事故及时向信息安全领导小组报告,并保护现场;同时信息安全执行小组应填写《信息安全事件记录》。
3.2.2. 报告。
信息安全执行小组接到故障申报后,填写《信息安全事件记录》并初步判定故障的严重程度、影响范围并上报信息安全领导小组,同时按信息系统应急预案处理故障。
报告必须采用书面方式,如紧急情况下可以先用**报告,随后补填《信息安全事件记录》。
3.2.3. 响应。
信息安全事故的响应和处理应遵循以下次序:
1) 保护人员的生命与安全。
2) 保护敏感的设备和资料。
3) 保护信息系统相关重要的数据资源。
4) 保护应用系统。
3.2.4. 评价。
信息中心牵头组织分析信息安全事故的类型、严重程度、发生的原因、性质、产生的损失、责任人、预防措施等进行分析,确定信息安全事故等级,形成《信息安全事故报告》。
特大事故由信息中心报信息安全领导小组处理;重大事故及以下由信息中心组织处理。
特大信息安全事故的报告由信息安全领导小组审批;危急****的须向国家相关主管部门报告;重大事故及以下信息安全事故的报告由信息中心自行审批。
3.2.5. 整改。
对系统存在的缺陷进行整改;对相关的责任人进行考核,触犯法律的移送司法机关进行处理。
3.2.6. 公告。
信息安全领导小组对《信息安全事件记录》进行公示并组织学习,对信息安全事故违规处罚结果予以公布。
3.2.7. 备案。
信息安全事故应进行备案管理,重大以上的信息安全事故由信息安全领导小组备案,其他信息安全事故由信息中心和个业务部门进行备案。
本管理程序由信息安全领导小组负责解释并修订。
本管理程序自发布之日起施行。
附件一: 《信息安全事件记录》
附件一:信息安全事件记录。
公司(部门)名称: 填报事件: 年月日。
公司信息安全管理制度
鑫欧克公司信息安全管理制度。一 信息安全指导方针。保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。二 计算机设备管理制度 1 计算机的使用部门要保持清洁 安全 良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃 易爆 强腐蚀 强...
公司IT信息安全管理制度
第一条总则通过加强公司计算机系统 办公网络 服务器系统的管理,保证网络系统安全运行,保证公司机密文件的安全,保障服务器 数据库的安全运行。加强计算机使用人员的安全意识,确保计算机系统正常运转。第二条范围。1 计算机网络系统由计算机硬件设备 软件及客户机的网络系统配置组成。2 软件包括 服务器操作系统...
信息安全保密管理制度
为保守秘密,防止泄密问题的发生,根据 中华人民共和国保守国家秘密法 和国家保密局 计算机信息系统保密管理暂行规定 国家保密局 计算机信息系统国际联网保密管理规定 结合本单位实际,制定本制度。一 计算机网络信息安全保密管理规定。1 为防止病毒造成严重后果,对外来光盘 软件要严格管理,坚决不允许外来光盘...
11信息安全保密管理制度
一 为了处理工作中涉及的办公秘密和业务秘密信息,特制定计算机信息系统安全保密规定。二 各部门要有一名同志主管此项工作,要指定专人负责接入网络的安全保密管理工作和对上网信息的保密检查,落实好保密防范措施,对本单位上网人员进行保密教育和管理。三 涉密信息不得在与国际网络的计算机系统中存储,处理和传输。四...
安全生产信息档案管理制度
安全生产信息 台账 档案管理制度。一 安全生产档案是指安全生产管理活动中直接形成,对国家 社会和企业安全生产具有价值的文字 图表 声像等不同形式的历史纪录。二 按照有关规定,矿山必须具备必要的图纸 三 安全生产档案主要内容 1 成立安全生产委员会文件 2 成立安全生产管理机构及人员任命文件 3 安全...
安全管理制度
公司。公司安全环保科。二 一四年二月修订。目录。一 安全生产例会等安全生产会议制度2 二 安全投入保障制度5 三 安全生产奖惩制度7 四 安全培训教育制度9 五 领导干部轮流现场带班制度11 六 特种作业人员管理制度13 七 安全检查和隐患排查治理制度15 八 重大危险源安全管理制度16 九 应急管...
安全管理制度
安。全。管。理。制。度。为认真贯贯彻 安全第。一 预防为主 的方针,严格安全生产管理强化安全纪律,减少和杜绝因工伤事故发生,保证施工人员在生产过程中安全和健康,搞好国家电力调度项目的安全生产,物制定本规定,请全体管理及施工人员认真贯彻执行。1 进入施工现场必须戴好安全帽,系好帽带,防止脱落。2 严禁...
对外信息报送管理制度
东莞发展控股股份 对外信息报送管理制度。第一条为规范公司对外报送相关信息及外部信息使用人使用本公司信息的相关行为,依据中国证监会 深圳 交易所相关规范性文件及 公司章程 公司信息披露管理制度 等有关规定,制定本制度。第二条本制度适用于公司及控股子公司。第三条本制度所指信息指有可能对公司 及其衍生品种...