信息安全事件管理的目的是规范突发安全事件的处理,降低其对信息资产造成机密性、完整性、可用性方面的负面影响,包括信息安全事件分类、报告、处理、分析、总结等方面的内容。
一、事件分类分级
▼▼事件分类
根据信息安全事件发生的原因、表现形式等,把信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、系统故障事件、灾害性事件和其他信息安全事件七个基本大类。
信息安全事件分类详细定义:
▼▼事件分级
根据信息安全事件的影响对象及内容,信息安全事件紧急程度划分为严重、高、中、低四个级别,具体定义如下:
根据信息安全事件的影响范围,信息安全事件影响程度划分为广泛、极大、适度、次要四个级别,具体定义如下:
根据信息安全事件的影响紧急程度和影响范围,按照优先级=紧急度*影响的计算公式进行计算,具体计算结果如下:
根据信息安全事件优先级计算公式计算结果,将信息安全事件优先级划分为严重、高、中、低四个级别,具体定义如下:
二、事件报告与处理
所有人员应尽快地报告所发现的信息安全事件。如果发现信息安全事件或故障,应立即记录下所有重要的细节,并立即报告信息安全管理小组相关人员。
在发生信息安全事件后,信息安全管理小组应根据事件的性质和影响范围,紧急程度等因素,采取必要的应急措施,对事件进行控制,防止事态进一步扩大。
根据信息安全事件的优先级定级,对于严重、高、中、低四个级别的信息安全事件进行相应的处置。处置方法为:
-
对于级别为严重的信息安全事件,应第一时间报告信息安全领导小组,并且尽快拟定处置程序,必要时可在信息安全领导小组授权后启动灾备应急程序。
-
对于级别为高的信息安全事件,应第一时间报告信息安全管理小组,并且尽快拟定处置程序,必要时可以在信息安全管理小组授权后启动信息系统应急程序。
- 对于级别为中、低的信息安全事件,应第一时间通知事件处置人员进行处理。
事件处置程序应包括适当的反馈过程,以确保在信息安全事件处理完成后,能够将处理结果,通知给事件报告人。
三、事件分析与总结
当发生信息安全事件时,信息安全管理小组应及时组织人员进行事件评估、事件处置、事件调查,提交书面的调查报告,必要时可组织有关专家进行鉴定,确定事件原因和责任。
信息安全领导小组应根据事件处理报告的结果,督促完成如下工作:
-
评估应急计划是否完善,检查应急措施执行落实情况。
-
核实故障损失,会同相关部门对故障后果进行评估。
-
检讨故障处理过程中存在的技术问题、管理及协调问题。
-
形成故障处理总结报告,必要时提出整改计划和整改时间表。
-
将故障处理报告、故障总结报告等内容定期发布,供全体员工学习交流,
- 防止类似情况重复发生。
事件责任部门应按照整改时间表落实整改,并对整改后的情况进行追踪监测。
事件定性与责任认定
信息安全领导小组负责信息系统事件认定工作。发生信息安全事件后,应组织信息技术部门、受事件影响的业务部门组成事件认定工作组,必要时可要求系统开发商或其他合作单位参与。信息安全事件的责任界定流程如下:
-
事件认定应当进行必要的取证。
-
因软硬件故障引发的事件,应会同供应商共同调查,界定责任。
-
因通信线路故障导致的事件,应会同电信运营商共同调查,界定责任。
- 因人员操作失误导致的事件,应会同信息技术部及事件发生部门的有关人员调查,界定责任。
下列情况事件当事人可以免责:
-
因不可抗力引发的技术事件。
-
因软硬件故障导致的技术事件,经技术专家论证,确认信息系统建设和管理符合相关要求,确属小概率或偶发性事件。
-
因外方原因导致的交易中断。
- 其它经事件认定工作组确认可以免责的情况。
四、信息安全弱点报告
对于观察到的或有怀疑的信息安全弱点,所有人员应及时报告给信息安全管理小组相关人员,经信息安全管理小组负责人批准后,由相关的技术人员进行处置,重大问题处理须报信息安全领导小组审批,并做好登记备案工作。
信息安全管理小组负责跟踪已备案的信息安全弱点处置情况。未经授权,任何人禁止利用任何方法去证明被怀疑的信息安全弱点。