信息安全事件管理辦法

信息安全事件管理辦法JRCB-ISMS-A13-BF-01ISO27001信息安全管理體系文件JRCB-ISMS-A13-BF-01信息安全事件管理辦法文件編號JRCB-ISMS-A13-BF-01文件版本V1.1Build20130116文檔密級內部使用發(fā)布時間2013-1-16總行科技管理部2013年1月

文檔控制編制人倪敏審核人王衛(wèi)忠批準人錢雪版本控制版本號變更操作變更時間變更人V1.0創(chuàng)建2013-01-05倪敏分發(fā)控制序號分發(fā)對象與文檔關系文檔權限1科技管理部員工讀者閱讀第18頁，共20頁信息安全事件管理辦法JRCB-ISMS-A13-BF-01目錄1目錄第一章 總則 2第二章 信息安全事件的范圍 2第三章 信息安全事件的監(jiān)控和處理 3第四章 信息安全事件監(jiān)督和總結管理 5第五章 附則 5第六章 附件 6附件1：信息安全事件分類 6附件2：信息安全事件分級 81. 特別重大事件（Ⅰ級） 82. 重大事件（Ⅱ級） 83. 較大事件（Ⅲ級） 84. 一般事件（Ⅳ級） 9附件3：信息安全事件說明 101. 有害程序事件（MI） 102. 網絡攻擊事件（NAI） 113. 信息破壞事件（IDI） 124. 信息內容安全事件（ICSI） 135. 設備設施安全功能故障（FF） 136. 其它事件（OI）：所有不能歸為以上基本分類的信息安全事件。 14附件:4：信息安全違法事件基本取證原則 151. 目標 152. 原則 153. 方法 15總則目的：為加強江陰農村商業(yè)銀行（以下簡稱“我行”）全行信息系統(tǒng)安全事件的管理，提高信息系統(tǒng)安全事件管理的制度化、規(guī)范化水平，及時掌握全行網絡和信息系統(tǒng)安全狀況，為協(xié)調組織相關力量進行信息系統(tǒng)安全事件的應急響應處理奠定基礎，降低信息安全事件帶來的損失和影響，保障全行網絡和信息系統(tǒng)安全穩(wěn)定運行，特訂定本管理辦法。依據：本管理辦法根據《江陰農村商業(yè)銀行信息安全管理策略》制訂。范圍：本辦法適用于全行信息系統(tǒng)。定義：信息安全事件是指對任何信息技術資源合法使用、操作造成威脅的事件，或對信息技術資源具有潛在危險的任何一種情況。總部科技管理部負責信息安全事件的接報、匯總、通報和處置工作?？萍脊芾聿靠偨浝碡撠熜畔踩录f(xié)調，科技管理組安全合規(guī)崗位配合。信息安全事件的范圍銀行信息安全事件包括，但不限于：系統(tǒng)感染計算機病毒。銀行網絡遭遇外部入侵或攻擊。內部人員、承包方人員和第三方人員利用銀行網絡進行破壞。信息系統(tǒng)敏感數據泄露或失竊。銀行數據處理設備失竊。符合以下條件之一的信息安全事件必須報告上級主管單位：導致計算機重要信息系統(tǒng)中斷或運行不正常超過30分鐘。嚴重威脅銀行資金、信譽安全。因計算機安全事件造成銀行不能正常運營，且影響范圍超過一個縣級行政區(qū)域。信息安全事件的監(jiān)控和處理安全事件管理分為安全事件監(jiān)控和安全事件處理。安全事件監(jiān)控完成對安全事件跡象的檢測和分析，發(fā)現和報告安全事件的存在。安全事件處理是對被發(fā)現的安全事件的響應處理過程，包括四個主要階段：控制、證據收集、根除與恢復以及事后分析。安全事件監(jiān)控包括信息安全事件監(jiān)測、預測和預警，應按照“早發(fā)現、早報告、早處置”的原則，加強對各類信息安全事件和可能引發(fā)信息安全事件的有關信息的收集、分析判斷和持續(xù)監(jiān)測。員工發(fā)現銀行發(fā)生信息安全事件后，需向信息安全事件協(xié)調員報告，確認故障情況，確認故障處理時間，準確定性故障級別，如果不能聯系上信息安全事件協(xié)調員，則向代理信息安全事件協(xié)調員報告。生產運行環(huán)境出現的安全事件按照《信息系統(tǒng)應急預案》執(zhí)行。信息安全事件協(xié)調員接到報告后，需立即采取措施控制事態(tài)，如斷開受病毒感染的系統(tǒng)的網絡連接，及時通知科技管理組和用戶部門負責人，協(xié)調控制事件的影響。保留相關的防火墻、路由器、入侵檢測系統(tǒng)、操作和應用系統(tǒng)日志等，以備檢查。信息安全事件協(xié)調員根據事態(tài)發(fā)展，協(xié)調科技管理部相關科室進行事件處理和平息，并及時向IT部門總經理報告事件發(fā)展情況。根據本文附件信息安全事件分類分級相關內容，如果安全事件屬I級或II級，IT部門總經理需向分管行長、總行IT上一級主管部門及負責人匯報事件的控制狀況。信息安全事件協(xié)調員在事發(fā)24小時內，向科技管理組提交信息安全事件報告，填寫《信息安全事件報告》，信息安全事件報告包括以下內容：信息安全事件發(fā)生的時間、地點、單位、單位負責人和聯系方式。信息安全事件的類別、涉及軟硬件系統(tǒng)的情況和事件發(fā)生的過程。信息安全事件造成的后果和影響范圍。信息安全事件發(fā)生的根本原因。責任人或涉案人員。信息安全事件發(fā)生后采取的應急措施。未來的防范措施。參見《常見信息安全事件的恢復策略》。信息安全事件監(jiān)督和總結管理為預防同樣信息安全事件的再次發(fā)生，總部科技管理部安全合規(guī)崗應按《江陰農村商業(yè)銀行信息科技風險管理辦法》的規(guī)定，不定期進行抽查，對各項制度、計劃、方案、人員和物資等方面進行驗證。對于發(fā)現的安全弱點應及時上報科技管理部相關負責人。對未有效落實事件處理方案及預防措施和有關規(guī)定的內部人員進行通報批評。對于承包方或第三方服務商產生的安全弱點通報其項目負責人，并督促其限時整改，逾期未整改完成的將按照相關外包管理規(guī)定對其所在公司進行處罰直至終止合同?？萍脊芾聿咳藛T、承包方人員、第三方服務商人員、駐廠服務人員等科技管理部范圍內人員，有義務對發(fā)現的安全弱點及時上報相應科技管理部小組負責人。相關小組對發(fā)現的安全弱點應及時進行整改處理，避免信息安全事件的發(fā)生?？偛靠萍脊芾聿繎獙⑿畔踩录膽惫芾砗凸ぷ髁鞒痰茸鳛樾畔踩L險培訓的內容，增強信息安全事件處置工作中的組織能力。附則本管理辦法由江陰農村商業(yè)銀行科技管理部負責解釋和修訂。本管理辦法自發(fā)布之日起施行。附件附件1：信息安全事件分類信息安全事件說明有害程序事件計算機病毒事件蠕蟲事件特洛伊木馬事件僵尸網絡事件混合攻擊程序事件網頁內嵌惡意代碼事件其它有害程序事件網絡攻擊事件拒絕服務攻擊事件后門攻擊事件網絡掃描竊聽事件網絡釣魚事件干擾事件其它網絡攻擊事件信息破壞事件信息篡改事件信息假冒事件信息泄漏事件信息竊取事件信息丟失事件其它信息破壞事件信息內容安全事件違反憲法和法律、行政法規(guī)的信息安全事件針對社會事項進行討論、評論，形成網上敏感的輿論熱點，出現一定規(guī)模炒作的信息安全事件組織串聯、煽動集會游行的信息安全事件其它信息內容安全事件設備設施安全功能故障軟硬件安全功能故障安全設備設施故障人為破壞事件附件2：信息安全事件分級參照《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》、《信息安全技術信息安全事件分類分級指南GB/Z20986—2007》信息安全事件的分級考慮要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件。特別重大事件（Ⅰ級）特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件，包括以下情況：由于重要信息系統(tǒng)服務中斷或重要數據損毀、丟失、泄露，造成經濟秩序混亂或重大經濟損失、影響金融穩(wěn)定的，或對公眾利益造成特別嚴重損害的突發(fā)事件；由于重要信息系統(tǒng)服務異常，在業(yè)務服務時段導致本行兩個(含)以上省(自治區(qū)、直轄市)業(yè)務無法正常開展達3個小時(含)以上，或一個省(自治區(qū)、直轄市)業(yè)務無法正常開展達6個小時(含)以上的特別重大事件；業(yè)務服務時段以外，重要信息系統(tǒng)出現的故障或事件救治未果，可能產生上述1至2類的特別重大事件。重大事件（Ⅱ級）重大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：由于重要信息系統(tǒng)服務中斷或重要數據損毀、丟失、泄露，對本行或客戶利益造成嚴重損害的突發(fā)事件；由于重要信息系統(tǒng)服務異常，在業(yè)務服務時段導致本行兩個(含)以上省(自治區(qū)、直轄市)業(yè)務無法正常開展達半小時(含)以上，或一個省(自治區(qū)、直轄市)業(yè)務無法正常開展達3個小時(含)以上的重大事件；業(yè)務服務時段以外，出現的重要信息系統(tǒng)故障或事件救治未果，可能產生上述1至2類的重大事件。較大事件（Ⅲ級）較大事件是指能夠導致較嚴重影響或破壞的信息安全事件，包括以下情況：由于重要信息系統(tǒng)服務中斷或重要數據損毀、丟失、泄露，對本行或客戶利益造成較大損害的突發(fā)事件；由于重要信息系統(tǒng)服務異常，在業(yè)務服務時段導致本行一個省(自治區(qū)、直轄市)業(yè)務無法正常開展達半小時(含)以上的較大事件；業(yè)務服務時段以外，出現的重要信息系統(tǒng)故障或事件救治未果，可能產生上述1至2類的較大事件。一般事件（Ⅳ級）一般事件是指不滿足以上條件的信息安全事件，包括以下情況：會使重要信息系統(tǒng)服務中斷或重要數據損毀、丟失、泄露遭受較小的損失、或使重要信息系統(tǒng)遭受較小的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失；產生一般的社會影響。附件3：信息安全事件說明有害程序事件（MI）計算機病毒事件（CVI）：蓄意制造、傳播計算機病毒，或是因受到計算機病毒影響而導致的信息安全事件，計算機病毒是指編制或者在計算機程序中插入的一組計算機指令或者程序代碼，它可以破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制。蠕蟲病毒（WI）：蓄意制造、傳播蠕蟲，或是因受到蠕蟲影響而導致的信息安全事件。蠕蟲是指除計算機病毒以外，利用信息系統(tǒng)缺陷，通過網絡自動復制并傳播的有害程序。特洛伊木馬事件（THI）：蓄意制造、傳播特洛伊木馬程序，或是因受到特洛伊木馬程序影響而導致的信息安全事件。特洛伊木馬程序是指偽裝在信息系統(tǒng)中的一種有害程序，具有控制該信息系統(tǒng)或進行信息竊取等對該信息系統(tǒng)有害的功能。僵尸網絡事件（BI）：利用僵尸工具軟件，形成僵尸網絡而導致的信息安全事件。僵尸網絡是指網絡上受到黑客集中控制的一群計算機，它可以被用于伺機發(fā)起網絡攻擊，進行信息竊取或傳播木馬、蠕蟲等其他有害程序。混合攻擊程序事件（BA。I）：蓄意制造、傳播混合攻擊程序，或是因受到混合攻擊程序影響而導致的信息安全事件?；旌瞎舫绦蚴侵咐枚喾N方法傳播和感染其它系統(tǒng)的有害程序，可能兼有計算機病毒、蠕蟲、木馬或僵尸網絡等多種特征。混合攻擊程序事件也可以是一系列有害程序綜合作用的結果，例如一個計算機病毒或蠕蟲在侵入系統(tǒng)后安裝木馬程序等。網頁內嵌惡意代碼事件（WBPI）：蓄意制造、傳播網頁內嵌惡意代碼，或是因受到網頁內嵌惡意代碼影響而導致的信息安全事件。網頁內嵌惡意代碼是指內嵌在網頁中，未經允許有瀏覽器執(zhí)行，影響信息系統(tǒng)正常運行的有害程序。其他有害程序事件（OMI）：不能包含在以上6個子類之中的有害程序事件。網絡攻擊事件（NAI）拒絕服務攻擊事件（DOSAI）：利用信息系統(tǒng)缺陷，或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件。后門攻擊事件（BDAI）：利用軟件系統(tǒng)、硬件系統(tǒng)設計過程中留下的后門或有害程序所設置的后門而對信息系統(tǒng)實施的攻擊的信息安全事件。漏洞攻擊事件（VAI）：除拒絕服務攻擊事件和后門攻擊時間之外，利用信息系統(tǒng)配置缺陷、協(xié)議缺陷、程序缺陷等漏洞，對信息系統(tǒng)實施攻擊的信息安全事件。網絡掃描竊聽事件（NSEI）：利用網絡掃描或竊聽軟件，獲取信息系統(tǒng)網絡配置、端口、服務、存在的脆弱性等特征而導致的信息安全事件。網絡釣魚事件（PI）：利用欺騙性的計算機網絡技術，使用戶泄露重要信息而導致的信息安全事件。例如，利用欺騙性電子郵件獲取用戶銀行賬號密碼等。干擾事件（II）：通過技術手段對網絡進行干擾，或對廣播電視有線或無線傳輸網絡進行插播，對衛(wèi)星廣播電視信號非法攻擊等導致的信息安全事件。其他網絡攻擊事件（ONAI）：不能被包含在以上6個子類之中的網絡攻擊事件。信息破壞事件（IDI）信息篡改事件（IAI）：未經授權將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件，例如網頁篡改等導致的信息安全事件。信息假冒事件（IMI）：指通過假冒他人信息系統(tǒng)收發(fā)信息而導致的信息安全事件，例如網頁假冒等導致的信息安全事件。信息竊取事件（III）：未經授權用戶利用可能的技術手段惡意主動獲取信息系統(tǒng)中信息而導致的信息安全事件。信息丟失事件（ILOI）：因誤操作、人為蓄意或軟硬件缺陷等因素導致信息系統(tǒng)中的信息丟失而導致的信息安全事件。其它信息破壞事件（OIDI）：不能被包含在以上5個子類之中的信息安全破壞事件。信息內容安全事件（ICSI）違反憲法和法律、行政法規(guī)的信息安全事件。針對社會事項進行討論、評論，形成網上敏感的輿論熱點，出現一定規(guī)模炒作的信息安全事件。組織串連、煽動集會游行的信息安全事件。其他信息內容安全事件。設備設施安全功能故障（FF）軟硬件安全功