2022年信息安全事件管理办法实用 .pdf

《2022年信息安全事件管理办法实用 .pdf》由会员分享，可在线阅读，更多相关《2022年信息安全事件管理办法实用 .pdf（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ISO27001 信息安全管理体系文件JRCB-ISMS-A13-BF-01 信息安全事件管理办法文件编号JRCB-ISMS-A13-BF-01 文件版本V1.1 Build20130116 文档密级内部使用发布时间2013-1-16 总行科技管理部2013 年 1 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01文档控制编制人倪敏审核人王卫忠批准人钱雪版本控制版本号

2、变更操作变更时间变更人V1.0创建2013-01-05倪敏分发控制序号分发对象与文档关系文档权限1科技管理部员工读者阅读名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01目录 1 目录第一章总 则 . 2第二章信息安全事件的范围. 2第三章信息安全事件的监控和处理. 3第四章信息安全事件监督和总结管理. 5第五章附 则 . 5第六章附件 . 6附件 1：信息安全事件分类.

3、 6附件 2：信息安全事件分级. 81.特别重大事件（级） . 82.重大事件（级） . 83.较大事件（级） . 94.一般事件（级） . 10附件 3：信息安全事件说明. 111.有害程序事件（MI） . 112.网络攻击事件（NAI） . 123.信息破坏事件（IDI ） . 134.信息内容安全事件（ICSI ） . 145.设备设施安全功能故障（FF） . 146.其它事件（ OI） ：所有不能归为以上基本分类的信息安全事件。. 15附件 :4 ：信息安全违法事件基本取证原则. 161.目标 . 162.原则 . 163.方法 . 16名师资料总结 - - -精品资料欢迎下载 - -

4、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 2 页，共 19 页第一章 总 则第一条目的：为加强江阴农村商业银行（以下简称“我行”）全行信息系统安全事件的管理，提高信息系统安全事件管理的制度化、规范化水平，及时掌握全行网络和信息系统安全状况，为协调组织相关力量进行信息系统安全事件的应急响应处理奠定基础，降低信息安全事件带来的损失和影响，保障全行网络和信息系统安全稳定运行，特订定本管理办法。第二条依据：本管理办

5、法根据江阴农村商业银行信息安全管理策略制订。第三条范围：本办法适用于全行信息系统。第四条定义：信息安全事件是指对任何信息技术资源合法使用、操作造成威胁的事件，或对信息技术资源具有潜在危险的任何一种情况。第五条总部科技管理部负责信息安全事件的接报、汇总、通报和处臵工作。科技管理部总经理负责信息安全事件协调，科技管理组安全合规岗位配合。第二章 信息安全事件的范围第六条银行信息安全事件包括，但不限于：(一) 系统感染计算机病毒。(二) 银行网络遭遇外部入侵或攻击。(三) 内部人员、承包方人员和第三方人员利用银行网络进行破坏。(四) 信息系统敏感数据泄露或失窃。名师资料总结 - - -精品资料欢迎下载

6、 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 3 页，共 19 页(五) 银行数据处理设备失窃。第七条符合以下条件之一的信息安全事件必须报告上级主管单位：(一) 导致计算机重要信息系统中断或运行不正常超过30 分钟。(二) 严重威胁银行资金、信誉安全。(三) 因计算机安全事件造成银行不能正常运营，且影响范围超过一个县级行政区域。第三章 信息安全事件的监控和处理第八条安全事件管理分为安全事件监控和安全事件

7、处理。安全事件监控完成对安全事件迹象的检测和分析，发现和报告安全事件的存在。安全事件处理是对被发现的安全事件的响应处理过程，包括四个主要阶段：控制、证据收集、根除与恢复以及事后分析。第九条安全事件监控包括信息安全事件监测、预测和预警，应按照“早发现、早报告、早处臵”的原则，加强对各类信息安全事件和可能引发信息安全事件的有关信息的收集、分析判断和持续监测。第十条员工发现银行发生信息安全事件后，需向信息安全事件协调员报告， 确认故障情况，确认故障处理时间，准确定性故障级别， 如果不能联系上信息安全事件协调员，则向代理信息安全事件协调员报告。第十一条生产运行环境出现的安全事件按照信息系统应急预案执行

8、。第十二条信息安全事件协调员接到报告后，需立即采取措施控制名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 4 页，共 19 页事态，如断开受病毒感染的系统的网络连接，及时通知科技管理组和用户部门负责人， 协调控制事件的影响。保留相关的防火墙、路由器、 入侵检测系统、操作和应用系统日志等，以备检查。第十三条信息安全事件协调员根据事态发展，协调科技管理部相关科室进行事件

9、处理和平息， 并及时向 IT 部门总经理报告事件发展情况。根据本文附件信息安全事件分类分级相关内容，如果安全事件属I 级或 II级，IT 部门总经理需向分管行长、总行IT 上一级主管部门及负责人汇报事件的控制状况。第十四条信息安全事件协调员在事发24 小时内，向科技管理组提交信息安全事件报告，填写信息安全事件报告，信息安全事件报告包括以下内容：(一) 信息安全事件发生的时间、地点、单位、单位负责人和联系方式。(二) 信息安全事件的类别、涉及软硬件系统的情况和事件发生的过程。(三) 信息安全事件造成的后果和影响范围。(四) 信息安全事件发生的根本原因。(五) 责任人或涉案人员。(六) 信息安全事

10、件发生后采取的应急措施。(七) 未来的防范措施。第十五条参见常见信息安全事件的恢复策略。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 5 页，共 19 页第四章 信息安全事件监督和总结管理第十六条为预防同样信息安全事件的再次发生，总部科技管理部安全合规岗应按 江阴农村商业银行信息科技风险管理办法的规定， 不定期进行抽查，对各项制度、计划、方案、人员和物资等方面进行

11、验证。对于发现的安全弱点应及时上报科技管理部相关负责人。对未有效落实事件处理方案及预防措施和有关规定的内部人员进行通报批评。对于承包方或第三方服务商产生的安全弱点通报其项目负责人，并督促其限时整改，逾期未整改完成的将按照相关外包管理规定对其所在公司进行处罚直至终止合同。第十七条科技管理部人员、承包方人员、第三方服务商人员、驻厂服务人员等科技管理部范围内人员，有义务对发现的安全弱点及时上报相应科技管理部小组负责人。 相关小组对发现的安全弱点应及时进行整改处理，避免信息安全事件的发生。第十八条总部科技管理部应将信息安全事件的应急管理和工作流程等作为信息安全风险培训的内容，增强信息安全事件处臵工作中

12、的组织能力。第五章 附 则第十九条本管理办法由江阴农村商业银行科技管理部负责解释和修订。第二十条本管理办法自发布之日起施行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 6 页，共 19 页第六章 附件附件 1：信息安全事件分类信息安全事件说明有害程序事件计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件混合攻击程序事件网页内嵌恶意代码事件其它有害程序事件网络攻击事

13、件拒绝服务攻击事件后门攻击事件网络扫描窃听事件网络钓鱼事件干扰事件其它网络攻击事件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 7 页，共 19 页信息破坏事件信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丢失事件其它信息破坏事件信息内容安全事件违反宪法和法律、行政法规的信息安全事件针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安

14、全事件组织串联、煽动集会游行的信息安全事件其它信息内容安全事件设备设施安全功能故障软硬件安全功能故障安全设备设施故障人为破坏事件名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 8 页，共 19 页附件 2：信息安全事件分级参照商业银行业务连续性监管指引、 信息安全技术信息安全事件分类分级指南 GB/Z 20986 2007信息安全事件的分级考虑要素，将信息安全事件划

15、分为四个级别：特别重大事件、重大事件、较大事件和一般事件。1.特别重大事件（级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：1) 由于重要信息系统服务中断或重要数据损毁、丢失、泄露，造成经济秩序混乱或重大经济损失、影响金融稳定的，或对公众利益造成特别严重损害的突发事件；2) 由于重要信息系统服务异常，在业务服务时段导致本行两个( 含) 以上省 (自治区、直辖市 ) 业务无法正常开展达3个小时 ( 含)以上，或一个省 ( 自治区、直辖市 ) 业务无法正常开展达6 个小时( 含)以上的特别重大事件；3) 业务服务时段以外，重要信息系统出现的故障或事件救治未果，可能产生上

16、述1 至 2 类的特别重大事件。2.重大事件（级）重大事件是指能够导致严重影响或破坏的信息安全事件，包括以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 9 页，共 19 页下情况：1) 由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对本行或客户利益造成严重损害的突发事件；2) 由于重要信息系统服务异常，在业务服务时段导致本行两个( 含) 以上省 (自治区、

17、 直辖市 )业务无法正常开展达半小时( 含)以上，或一个省 ( 自治区、直辖市 ) 业务无法正常开展达3 个小时( 含)以上的重大事件；3) 业务服务时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1 至 2 类的重大事件。3.较大事件（级）较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：1) 由于重要信息系统服务中断或重要数据损毁、丢失、泄露，对本行或客户利益造成较大损害的突发事件；2) 由于重要信息系统服务异常，在业务服务时段导致本行一个省( 自治区、直辖市 ) 业务无法正常开展达半小时( 含) 以上的较大事件；3)业务服务时段以外，出现的重要信息系统故障或事

18、件救治未果，可能产生上述1 至 2 类的较大事件。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 10 页，共 19 页4.一般事件（级）一般事件是指不满足以上条件的信息安全事件，包括以下情况：1) 会使重要信息系统服务中断或重要数据损毁、丢失、泄露遭受较小的损失、或使重要信息系统遭受较小的系统损失，一般信息系统遭受严重或严重以下级别的系统损失；2) 产生一般的社

19、会影响。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 11 页，共 19 页附件 3：信息安全事件说明1.有害程序事件（ MI）1) 计算机病毒事件（ CVI） ：蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件，计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我

20、复制。2) 蠕虫病毒（ WI） ：蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序。3) 特洛伊木马事件（ THI） ：蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能。4) 僵尸网络事件（BI） ：利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。 僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序

21、。5) 混合攻击程序事件（BA 。I ） ：蓄意制造、传播混合攻击程序，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 12 页，共 19 页或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算

22、机病毒或蠕虫在侵入系统后安装木马程序等。6) 网页内嵌恶意代码事件（WBPI ） ：蓄意制造、传播网页内嵌恶意代码， 或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许有浏览器执行，影响信息系统正常运行的有害程序。7) 其他有害程序事件（OMI ） ：不能包含在以上6 个子类之中的有害程序事件。2.网络攻击事件（ NAI）1) 拒绝服务攻击事件（ DOSAI ） ：利用信息系统缺陷，或通过暴力攻击的手段，以大量消耗信息系统的CPU 、内存、磁盘空间或网络带宽等资源， 从而影响信息系统正常运行为目的的信息安全事件。2) 后门攻击事件（ BDAI） ：利

23、用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件。3) 漏洞攻击事件（ VAI） ：除拒绝服务攻击事件和后门攻击时间之名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 13 页，共 19 页外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件。4) 网络扫描窃听事件（NSEI） ：利用

24、网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件。5) 网络钓鱼事件（ PI） ：利用欺骗性的计算机网络技术，使用户泄露重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行账号密码等。6) 干扰事件（ II ） ：通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件。7) 其他网络攻击事件（ ONAI ） ：不能被包含在以上6 个子类之中的网络攻击事件。3.信息破坏事件（ IDI ）1) 信息篡改事件（ IAI ） ：未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的

25、信息安全事件，例如网页篡改等导致的信息安全事件。2) 信息假冒事件（ IMI ） ：指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 14 页，共 19 页3) 信息窃取事件（ III） ：未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件。4) 信息丢失

26、事件（ ILOI ） ：因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件。5) 其它信息破坏事件（ OIDI） ：不能被包含在以上5 个子类之中的信息安全破坏事件。4.信息内容安全事件（ICSI ）1) 违反宪法和法律、行政法规的信息安全事件。2) 针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件。3) 组织串连、煽动集会游行的信息安全事件。4) 其他信息内容安全事件。5.设备设施安全功能故障（FF）1) 软硬件安全功能故障（SHSF ） ：因信息系统中软硬件设备的安全功能故障而导致的信息安全事件，比如系统访问控制功能失效而导致

27、信息的非授权访问。2) 安全设备故障（SSHF ） ：因信息系统中安全设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 15 页，共 19 页息安全事件。3) 人为破坏事故（ MDA ） ：指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件。或由于人为的遗失、误操作以及

28、其它无意行为造成信息系统硬件、软件等遭到破坏，影像信息系统正常运行的信息安全事件。4) 其他设备设施故障（IF-OT） ：不能被包含在以上3 个子类之中的设备设施故障而导致的信息安全事件。6.其它事件（ OI） ：所有不能归为以上基本分类的信息安全事件。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 16 页，共 19 页附件 :4 ：信息安全违法事件基本取证原则

29、1.目标使调查的结果能够经受法庭的检查。2.原则1) 应该从一开始就把计算机作为物证对待，在不对原有无证进行任何改动或损坏的前提下获取证据；2) 证明你所获取的证据和原有的数据是相同的；3) 在不改动数据的前提下对其进行分析；4) 务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因；5) 信息安全员应遵循证据链的原则进行取证。3.方法采用证据链的方法，其所指的是证据介质从最初的采集，到运输、使用、中间的保管及最后的存放归档，都要有明确记录、职责归属，以确保原本的证据介质完全没有任何机会被影响和破坏，证据链应显示：1) 谁获得了证据；名师资料总结 - - -精品资料欢迎下载 - -

30、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 19 页 - - - - - - - - - 信息安全事件管理办法JRCB-ISMS-A13-BF-01第 17 页，共 19 页2) 证据是什么；3) 什么时间和地点获得的证据；4) 谁保护了证据；5) 谁控制或占用了证据。传统工具包括：1) 记录本，用于对证据收集过程进行记录以协助调查员对调查过程的记忆，不能用做法庭证据；2) 容器，用于对证据进行封装和保护的容器；3) 照相机，用于现场拍照记录；4) 证据标签，用于对证据进行标注。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 19 页 - - - - - - - - -