文檔信息
|
文檔名稱
|
世界杯官网安全事件報告與處置管理制度
|
|
文檔編號
|
|
|
文檔類別
|
策略方针 □ 管理制度 ■ 工作流程 □ 操作指南 □ 运维记录 □ 其他 □
|
|
當前版本
|
1.0
|
|
創建日期
|
2020-10-18
|
|
文檔編輯部門
|
信息中心
|
|
文檔作者
|
|
|
聯系方式
|
|
修訂記錄
|
文檔版本
|
日期
|
修改人員
|
審閱人員
|
修訂摘要
|
|
V1.0
|
2020-10-18
|
|
|
建立文檔
|
|
|
|
|
|
|
審批發布
|
序號
|
審核記錄
|
日期
|
審閱人員
|
|
1
|
審閱
|
2020-10-18
|
|
|
2
|
正式核准發布
|
2020-10-18
|
|
|
3
|
|
|
|
一 總則
目的。爲進一步提高處置網絡與信息安全突發公共事件的能力,確保重要計算機信息系統的實體安全、運行安全和數據安全,依據《世界杯官网信息安全管理辦法》制定本管理制度。
對象。本管理制度的對象針對網絡與信息安全突發公共事件和可能導致網絡與信息安全突發公共事件。
範圍。本制度適用于世界杯官网發生的網絡與信息安全突發公共事件和可能導致網絡與信息安全突發公共事件的應對工作。
要求。世界杯官网信息系統的安全事件報告和處置安全管理統一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二 事件分類
1.根據信息安全事件對業務可能造成的影響或已經造成影響的嚴重程度並結合信息安全事件的緊急程度將信息安全事件分爲一般、嚴重和重大三個級別。
2.由于非法攻擊、病毒入侵等安全原因對信息系統的主機、網絡、數據庫和數據等IT資産造成影響,但由于已經采取了安全預防措施,沒有影響業務系統的正常運行,並能夠通過信息中心安全管理員協調進行處理,在短期內發現並解決的安全問題,稱爲一般安全事件。
3.由于非法攻擊、病毒入侵或後門等安全原因造成信息系統的主機、網絡、數據庫和數據等重要IT資産受到損害或數據丟失,並造成業務的影響但尚未造成大規模影響的安全問題稱爲嚴重安全事件。
4.由于有目的或者無目的的行爲導致網絡資源不足,業務部分不能提供服務;且已經證實有攻擊行爲持續發生;造成信息系統的主機、網絡、數據庫和數據等重要IT資産受到重大損害或重大數據丟失的安全事故定義爲重大安全事件。
三 通用要求
1.在信息安全事件調查的過程中必須注意信息的保密,嚴禁將信息透露給無關人員。
2.當外界對信息系統發生的信息安全事件進行詢問和調查時,必須將這類請求轉交給學校的對外相關部門進行處理,嚴禁私自回應。
3.在信息安全事件處理過程中,需要盡量多的收集相關證據:
(1)證據收集的過程中應記錄發現證據的人員、地點、時間和能證明證據真實性的相關信息;
(2)收集電腦介質內的信息時確保其客觀性,收集到的證據必須妥善保存;必要時應對相關證據內容進行手工記錄。收集到的打印文件應安全地保留原版;
(3)收集证据前不应關閉系统以防丢失易破坏的证据;
(4)收集證據時不應在受損系統上運行任何程序。
4.在信息安全事件處理過程中,對系統操作的應嚴格按照相關操作規定以及變更要求進行處理。
5.信息安全事件處理完畢,所有系統恢複正常運行後,針對事件進行分析。集中所有相關人員討論所發生的事件以及得到的經驗教訓,對現有的一些流程進行重新評審,對不適宜的環節進行修改,從系統中徹底刪除諸如受到感染的文件。
6.安全事件報告應由信息中心安全管理員組織相關人員來寫,並且在必要的時候向管理者提出建設性的建議。
7.對于信息系統發生重大安全事件,按照應急制度啓動相關應急預案,並嚴格按照信息系統應急預案管理辦法處理。
8.應建立信息安全事件監控系統,對各類信息安全事件進行集中監控和管理。
四 一般事件管理程序
1.一般安全事件統一由信息中心安全管理員接口受理,並由相關系統管理員配合安全管理員對事件進行統籌管理和跟蹤。
2.一般安全事件的處理流程由安全管理員負責協調處理,如涉及到業務環境系統的變更,按照信息系統變更管理規定進行處理。
3.一般安全事件處理完成後,由安全管理員組織相關人員對事件進行分析,並將結果通知相關事件發起人以及相關系統管理員,並因信息安全事件産生的各類系統漏洞,應明確表示相關人員不得嘗試驗證該漏洞。
4.系統管理員組根據各自分管的工作在月度總結中應包括對該月的安全運行情況總結彙報,並向安全管理員統一彙總。
5.日常檢查工作由安全管理員組織相關系統管理員執行,發現在故障由日常檢查人員負責向相應的領導進行彙報,並組織維護人員對系統進行修複。
五 嚴重事件管理程序
1.嚴重安全事件報告流程:
(1)信息系統相關人員一旦發現有嚴重信息安全事件發生,必須在一小時以內向信息中心報告;
(2)信息中心接到嚴重信息安全事件的報告後,應組織相關人員詳細了解信息安全事件的情況,必要時到現場進行調查,如屬于一般信息安全事件,則按一般信息安全事件處理程序對信息安全事件理行處理,並根據情況隨時向信息中心負責人報告;
(3)如果信息安全事件屬于嚴重信息安全事件,信息中心接到嚴重信息安全事件報告後,詳細了解信息安全事件的情況,指派專門技能的工作人員到現場進行調查和協助事件的處理;
(4)所有嚴重信息安全事件都應保留相關的記錄,進行彙總,由安全管理員向信息中心負責人彙報;
(5)信息中心應組織對信息安全事件的總結進行回顧,吸取其中的經驗教訓,提出改善意見。
2.嚴重安全事件處理流程:
(1)現場保護:如果信息安全事件與數據和程序相關,則要求對存有數據和程序的存儲介質進行備份,以保護數據和證據的安全、完整;
(2)防止擴散:如果發生信息安全事件設備或人員會影響信息系統其它設備和人員,則應立即采取隔離措施,如發現有設備感染網絡病毒,則將設備從網絡上斷開。
(3)應急恢複處理:
u 如果發生信息安全事件的設備或人員不工作時會影響到業務運行,則要求盡快采用應急措施,啓動備用資源;
u 在應急恢複處理時,必須保證不産生二次損壞或丟失證據。
(4)分析事件原因:
u 調查分析是安全事件處理的核心,其主要目的在于找到發生信息安全事件的原因和相關解決方案;
u 如果調查過程中,發現信息安全事件涉及竊取學校經濟利益或損害學校名譽的行爲,信息安全事件的處理報告給學校相關部門處理;對于觸犯法律法規的行爲,由學校相關部門決定是否移交公安部門進行調查處理。
(5)制定解決方案:根據信息安全事件的情況,由信息中心組織討論、制定信息安全事件的解決方案,必要時聯系相關的第三方服務商協助處理。
(6)實施解決方案:確定解決方案後,相關人員進行方案實施,恢複系統的正常運作狀態,包括對遭受信息安全事件影響的系統進行恢複和安全修複兩方面的工作,並作必要的技術處理,以保證不再發生相同的信息安全事件。
(7)實施檢查:信息中心組織對事件的處理結果進行驗證、回顧,對于處理結果是否達到預期效果進行評審,對事件的處理過程進行記錄,保留相關文檔。
(8)總結反饋:
u 信息中心应定期審閱所有信息安全事件报告,分析信息安全事件并总结经验教训;
u 確認其它資産是否受到類似的威脅,並采取預防措施;
u 審查信息安全事件涉及的安全策略、標准和程序,確定是否需要更新相關的文件;
u 對信息安全事件進行總結,並將總結反饋給相關部門;
u 從信息安全事件中汲取經驗教訓。
六 附則
對違反本制度的人員,將按照世界杯官网有關規定進行處罰。
本制度由信息安全工作小組負責制定、解釋和修改。
本制度自發布之日起執行。
世界杯官网信息安全工作小組
2020年10月18日