信息安全通報管理程序

信息安全通報管理程序

. 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 1/8 信息安全通报管理程序 文件类别：信息安全三阶文件 文件编号： 文件页数： 8 (含封面) 发行日期： 发行版次： Error! Reference source not found.A1 撰写部门：文件与记录管制中心 签 名 ／ 日 期 撰稿者 审核者 文 件 发 行 章 核准者 发行管 制编号 . 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 2/8 文件版本控制表 修 订 变更章次 版次 日 期 章节 页次 变 更 摘 要 修订者 . 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 3/8 目 录 1 前　言∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙4 2 适用范围∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙4 3 名词定义∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙4 4 权责∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙4 5 作业程序说明∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙5 5.1 适用信息安全通报项目 ...................................................................................5 5.2 信息安全事件分类原则 ...................................................................................5 5.3 信息安全事件发生后的通报 ...........................................................................5 5.3.1 信息安全事件通报 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙5 5.3.2 信息安全弱点通报 ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙6 5.4 信息安全事件判断 ...........................................................................................6 5.5 信息安全事件原因分析 ...................................................................................6 5.6 信息安全事件应变处理 ...................................................................................7 5.7 信息安全事件追踪 ...........................................................................................7 5.8 信息安全事件事后的反馈 ...............................................................................7 6 相关文件∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙7 7 附件∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙8 8 补遗∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙8 . 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 4/8 1 前　言 为了维护 xx 有限公司(以下简称本公司)的长期稳定经营的目标，拥有完善 的信息安全通报管理程序，让之能在最短的时间内能透过这个通报程序获知 安全事件的讯息，从而提早作出明确的事件的研究和判断，并做出有效的预 防和解决方法，避免该安全事件的扩大以降低 xx 有限公司的损失。 2 适用范围 任何时候当本公司的网络、硬件、软件、信息安全系统、以及客户资料受到 破坏、威胁、弱点或者失效时，应遵守本管理规则。 3 名词定义 信息安全事件：公司的系统、服务或者网络显示可能危害信息安全政策或者 安全保证失效的状态，或是可能与安全相关、先前未知的状况等的一次识别 发生。 信息安全管理委员会执行秘书:由本公司信息安全管理委员会执行秘书担任 该职。 信息安全事件处理者:由本公司总经理担任该职。 事件记录者:由各部门主管担任该职。 危机处理小组:由本公司各部门主管组成。 4 权责 1) 本公司之所有受雇人员：遵循本管理程序的相关准则，当发现信息安全 事件时应该予以及时的通报至信息安全代表。 . 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 5/8 2) 信息安全管理委员会执行秘书：受理信息安全事件通报、确定它的影响 范围并做出损失评估、收集信息安全通报管理信息、培训信息安全通报 技术、制定系统安全等级、制定信息安全通报管理措施。 3) 信息安全事件处理者：解除相关的安全事件，维持本公司的持续运作。 4) 事件记录者：收集、记录、追踪事件处理情形并做相应的统计分析。 5) 危机处理小组：当遇之危机时执行紧急应变措施。 6) 事件发现者：填写安全事件通报。 5 作业程序说明 5.1 适用信息安全通报项目 1) 信息安全事件 2) 信息安全弱点 5.2 信息安全事件分类原则 信息依据影响等级分类： A 级---影响社会公共安全，如：客户资料外泄等。 B 级---系统停滞或因信息安全事件影响交货日期。 C 级---业务短暂中断或因信息安全事件但不影响交货日期，可在规定 的时间内修复。 5.3 信息安全事件发生后的通报 5.3.1 信息安全事件通报 1) 当本公司之硬件设施、网络受到破坏、威胁或者失效时，事件发现者 应先填写『SF006-信息安全事件通报单』，然后交由信息安全事件处 理者协同相关主管分析信息安全问题/影响等级。问题严重时要立即通 知信息安全管理委员会执行秘书，信息安全管理委员会执行秘书接获 . 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 6/8 该通知后，如判断为紧急事件者，要将以传真或电话形式告知危机处 理小组处理。 2) 当硬件设施遭受到了不可抗力、人员蓄意破坏或者使用不当而造成了 本公司无法正常营运，应立刻通知设备维修商，使之在规定的期限内 修复，确保之正常运作。但如果无法于规定的时间内恢复正常运作， 信息安全事件处理者应该立刻通知危机处理小组，危机处理小组通知 至本公司最高决策人，依据『SP013 业务持续运作管理程序』启动业务 持续运作机制，以保证本公司之正常运作。 5.3.2 信息安全弱点通报 1) 当发现、怀疑安全弱点时，事件发现者应马上填写『SF006-信息安全 事件通报单』，再将之通知信息安全代表。对任一弱点，信息安全代 表协同相关主管先研究判断问题，通知安全事件处理者处理，当无法 解决或者可确定为安全事件后，应将『SF006-信息安全事件通报单』 以传真或者电话形式交由相关部门处理。 2) 信息安全事件处理者应该以书面或者电话形式告诉设备使用者，不能 自行去意图验证可疑的漏洞，从而使该行为被解释为只是误用系统。 5.4 信息安全事件判断 当安全事件发生后，应该依据信息安全事件分类等级做出相应之判断，并 决定是否将其报之相应之上级主管： 1) 信息安全事件及影响等级为 C 级时呈报作业中心的各个相关部门负责 人。 2) 信息安全事件及影响等级为 B 级时呈报作业中心主管。 3) 信息安全事件及影响等级为 A 级时呈报总经理。 5.5 信息安全事件原因分析 对已发生之信息安全事件应给予严密的原因分析，并对之做出统计分析， 减少作业过程中的相关风险系数。 1) 人员因素：由于本公司所有受雇人员因权责分工、人员安全、人员访 问管制以及对安全认知等方面不完善的因素造成。 2) 流程因素：由于公司之工作文件与标准流程、授权管理、积极的安全 . 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 7/8 审核等相关作业流程不完善的因素造成。 3) 科技因素：由于本公司之硬件和软件安全、电脑与网络安全、备份管 理等不可预知之因素造成。 5.6 信息安全事件应变处理 对已经发生之信息安全事件，本公司有责任在第一时间内做出相应的应变 处理，包括采取补救措施，急救措施，上报措施，当情况严重时要参照 『SP013-业务持续运作管理程序』及『SP030-防疫应变管理程序』做出更 严密之安排和处理，在最大程度上减少本公司和相关之客户的损失。 5.7 信息安全事件追踪 对所有已经发生的信息安全事件的处理过程、类型以及相关的补救措施， 信息安全事件处理者应及时记于『SF006-信息安全事件通报单』上。并应 追踪所有之进度，办理信息安全事件结案及解除列管通知事宜。 为了防止类似事件再发生，事件记录者应对所有之安全事件加以统计分 析，制定相关的补救措施的规划执行，以备日后之用。 5.8 信息安全事件事后的反馈 为提高员工之执行该标准之积极性，更好地促进该标准的有效实行，本公 司可以制定一系列相关之惩罚措施：未及时执行该监控机制之人员，将责 令其通过后期收集，完善相应的分析统计文件。如多次失职者，将会把该 违反事例记入年度奖金和绩效考核中，予以一定的惩罚，并责令之再参加 信息安全培训。 6 相关文件 1. 『SM001-信息安全手册』 2. 『SS001-信息安全标准』 3. 『SP013-业务持续运作管理程序』 . 文 件 名 称 版次 编 号 页 次 信息安全管通报管理程序 A1 SP006 8/8 7 附件 1. 『SF006-信息安全事件通报单』 8 补遗 本程序如有不足之处，由信息安全委员会载决修正后实施。