信息安全管理27_信息安全事件管理策略

信息安全事件管理的目的是规范突发安全事件的处理，降低其对信息资产造成机密性、完整性、可用性方面的负面影响，包括信息安全事件分类、报告、处理、分析、总结等方面的内容。

一、事件分类分级

▼▼事件分类

根据信息安全事件发生的原因、表现形式等，把信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、系统故障事件、灾害性事件和其他信息安全事件七个基本大类。

信息安全事件分类详细定义：

▼▼事件分级
根据信息安全事件的影响对象及内容，信息安全事件紧急程度划分为严重、高、中、低四个级别，具体定义如下：

根据信息安全事件的影响范围，信息安全事件影响程度划分为广泛、极大、适度、次要四个级别，具体定义如下：

根据信息安全事件的影响紧急程度和影响范围，按照优先级=紧急度*影响的计算公式进行计算，具体计算结果如下：

根据信息安全事件优先级计算公式计算结果，将信息安全事件优先级划分为严重、高、中、低四个级别，具体定义如下：

二、事件报告与处理

所有人员应尽快地报告所发现的信息安全事件。如果发现信息安全事件或故障，应立即记录下所有重要的细节，并立即报告信息安全管理小组相关人员。

在发生信息安全事件后，信息安全管理小组应根据事件的性质和影响范围，紧急程度等因素，采取必要的应急措施，对事件进行控制，防止事态进一步扩大。

根据信息安全事件的优先级定级，对于严重、高、中、低四个级别的信息安全事件进行相应的处置。处置方法为：

• 对于级别为严重的信息安全事件，应第一时间报告信息安全领导小组，并且尽快拟定处置程序，必要时可在信息安全领导小组授权后启动灾备应急程序。

• 对于级别为高的信息安全事件，应第一时间报告信息安全管理小组，并且尽快拟定处置程序，必要时可以在信息安全管理小组授权后启动信息系统应急程序。

• 对于级别为中、低的信息安全事件，应第一时间通知事件处置人员进行处理。

事件处置程序应包括适当的反馈过程，以确保在信息安全事件处理完成后，能够将处理结果，通知给事件报告人。

三、事件分析与总结

当发生信息安全事件时，信息安全管理小组应及时组织人员进行事件评估、事件处置、事件调查，提交书面的调查报告，必要时可组织有关专家进行鉴定，确定事件原因和责任。
信息安全领导小组应根据事件处理报告的结果，督促完成如下工作：

• 评估应急计划是否完善，检查应急措施执行落实情况。

• 核实故障损失，会同相关部门对故障后果进行评估。

• 检讨故障处理过程中存在的技术问题、管理及协调问题。

• 形成故障处理总结报告，必要时提出整改计划和整改时间表。

• 将故障处理报告、故障总结报告等内容定期发布，供全体员工学习交流，

• 防止类似情况重复发生。

事件责任部门应按照整改时间表落实整改，并对整改后的情况进行追踪监测。

事件定性与责任认定

信息安全领导小组负责信息系统事件认定工作。发生信息安全事件后，应组织信息技术部门、受事件影响的业务部门组成事件认定工作组，必要时可要求系统开发商或其他合作单位参与。信息安全事件的责任界定流程如下：

• 事件认定应当进行必要的取证。

• 因软硬件故障引发的事件，应会同供应商共同调查，界定责任。

• 因通信线路故障导致的事件，应会同电信运营商共同调查，界定责任。

• 因人员操作失误导致的事件，应会同信息技术部及事件发生部门的有关人员调查，界定责任。

下列情况事件当事人可以免责：

• 因不可抗力引发的技术事件。

• 因软硬件故障导致的技术事件，经技术专家论证，确认信息系统建设和管理符合相关要求，确属小概率或偶发性事件。

• 因外方原因导致的交易中断。

• 其它经事件认定工作组确认可以免责的情况。

四、信息安全弱点报告

对于观察到的或有怀疑的信息安全弱点，所有人员应及时报告给信息安全管理小组相关人员，经信息安全管理小组负责人批准后，由相关的技术人员进行处置，重大问题处理须报信息安全领导小组审批，并做好登记备案工作。

信息安全管理小组负责跟踪已备案的信息安全弱点处置情况。未经授权，任何人禁止利用任何方法去证明被怀疑的信息安全弱点。