信息安全漏洞事件響應(yīng)制度

XX有限公司

信息安全漏洞事件響應(yīng)管理制度目錄：第一章：總則第二章：組織機(jī)構(gòu)與職責(zé)第三章：應(yīng)急響應(yīng)方案第四章：信息安全漏洞事件應(yīng)急響應(yīng)流程第一章總則目的為做好應(yīng)對網(wǎng)絡(luò)與信息安全漏洞事件的響應(yīng)效率，提高應(yīng)急處理能力，降低安全風(fēng)險，結(jié)合本公司ISO27001信息安全管理體系制度，制定本管理制度。適用范圍本制度適用于XX有限公司及下屬公司。相關(guān)定義信息安全漏洞事件分為為計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件、拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。漏洞分級《信息安全技術(shù)安全漏洞等級劃分指南》（GB/T30279-2013）規(guī)定了信息系統(tǒng)安全漏洞的等級劃分要素和危害等級程度，給出了安全漏洞等級劃分方法。據(jù)此標(biāo)準(zhǔn)開展漏洞處置工作。結(jié)合本公司情況安全漏洞劃分為高危、中危、低危三個等級。高危漏洞是指可遠(yuǎn)程利用并能直接獲取系統(tǒng)權(quán)限（服務(wù)器端權(quán)限、客戶端權(quán)限）或者能夠?qū)е聡?yán)重級別的信息泄漏（泄漏大量用戶信息或?qū)W校機(jī)密信息）的漏洞，包括但不僅限于：命令注入、遠(yuǎn)程命令執(zhí)行、上傳獲取WebShell、SQL注入、緩沖區(qū)溢出、繞過認(rèn)證直接訪問管理后臺、核心業(yè)務(wù)非授權(quán)訪問、核心業(yè)務(wù)后臺弱密碼等；中危漏洞是指能直接盜取用戶身份信息或者能夠?qū)е缕胀墑e的信息泄漏的漏洞，包括但不限于存儲型XSS漏洞、客戶端明文密碼存儲等；低危漏洞是指能夠?qū)е螺p微信息泄露的安全漏洞，包括但不僅限于反射型XSS（包括反射型DOM-XSS）、JSONHijacking、CSRF、路徑信息泄露、SVN信息泄露、phpinfo等；第二章組織機(jī)構(gòu)與職責(zé)組織機(jī)構(gòu)：公司XX部門設(shè)立應(yīng)急小組，小組成員根據(jù)人員職能變化和制度應(yīng)用范圍變化動態(tài)變化調(diào)整。應(yīng)急組成員的進(jìn)入條件：所有經(jīng)理級及以上級別的開發(fā)、運(yùn)維崗位人員；信息安全專員，公司重要系統(tǒng)和產(chǎn)品的運(yùn)維人員；指定的其他相關(guān)人員；小組職責(zé)收集、分析信息安全漏洞和事件，及時上報重要信息；負(fù)責(zé)本公司網(wǎng)絡(luò)與信息安全病毒漏洞的監(jiān)測預(yù)警和風(fēng)險評估控制、隱患排查整改工作；協(xié)調(diào)和參與網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急演練；小組相關(guān)人員清單見《附錄》。第三章應(yīng)急響應(yīng)方案信息收集和通知機(jī)制信息化部負(fù)責(zé)建立應(yīng)急響應(yīng)的成員郵件組XXX@XXX.com、在公司XXXX平臺上建立信息安全應(yīng)急事件的大項(xiàng)目，并建立緊急微信聯(lián)絡(luò)群；信息化安全專員負(fù)責(zé)收集和監(jiān)控最新的漏洞/病毒信息；發(fā)現(xiàn)漏洞后立即向郵件組小組成員告知漏洞/病毒信息；對于非工作日產(chǎn)生的突發(fā)事件，例如周末，節(jié)假日等，可以在微信群中緊急通知。響應(yīng)和評估應(yīng)急小組在接到通知后，對事件2小時內(nèi)做出響應(yīng)，立即評估，4小時內(nèi)判斷事件性質(zhì)和危害程度，對風(fēng)險和漏洞進(jìn)行定級；應(yīng)急小組在24小時內(nèi)，根據(jù)公司的網(wǎng)絡(luò)狀況與信息系統(tǒng)運(yùn)行和承載業(yè)務(wù)情況，初步判斷事件的影響、危害和可能波及的范圍，提出應(yīng)對措施建議；事件發(fā)生后，信息安全負(fù)責(zé)人在XXX應(yīng)急事件的大項(xiàng)目里建立Issue來追蹤和跟進(jìn)事件，待評估后，實(shí)施開始再回根據(jù)執(zhí)行的復(fù)雜程度考慮依靠Issue跟隨。研究和判斷應(yīng)急小組先期處置，采取各種技術(shù)措施，及時控制事態(tài)發(fā)展，最大限度地防止事件蔓延，把對業(yè)務(wù)的影響降為最低。處置和上報風(fēng)險處置策略包括：降低風(fēng)險、轉(zhuǎn)移風(fēng)險、規(guī)避風(fēng)險和接受風(fēng)險。風(fēng)險接受準(zhǔn)則對于高危漏洞，必須在規(guī)定計(jì)劃內(nèi)進(jìn)行處置；對于中危漏洞，經(jīng)過應(yīng)急小組討論決定是否接受，將不可接受的風(fēng)險進(jìn)行處置；對于低危漏洞，原則是可接受風(fēng)險。上報準(zhǔn)則對于高危漏洞，必須向集團(tuán)信息安全管理小組進(jìn)行上報；對于中危漏洞，經(jīng)過應(yīng)急小組討論決定是否上報，將需上報的風(fēng)險向集團(tuán)信息安全管理小組進(jìn)行上報；對于低危漏洞，原則是可不上報。剩余風(fēng)險評估再次對事件做評估，在XXX上做好事件發(fā)生、發(fā)展、處置的記錄和證據(jù)留存定期演練每年度信息安全專員針對病毒漏洞事件組織演練，建議所有經(jīng)理以上級別和重要項(xiàng)目的開發(fā)、運(yùn)維、運(yùn)營人員都需要能定期演練，以應(yīng)對突發(fā)的病毒漏洞事件。

第四章信息安全漏洞事件應(yīng)急響應(yīng)流程發(fā)現(xiàn)信息安全漏洞事件發(fā)現(xiàn)信息安全漏洞事件通知應(yīng)急小組通知應(yīng)急小組信息安全專員XXX信息安全專員XXX平臺上建立ISSUE追蹤小組成員響應(yīng)小組成員響應(yīng)事件評估事件影響評估事件影響研究&研究&判斷高位