白城师范学院信息安全事件管理制度


第一章 总 则

第一条 为明确信息安全事件的处理流程以及各部门和相关人员的责任,确保对信息安全事件做出及时反应、有效处理和解决,确保信息系统正常、稳定运行,最大限度地减少信息安全事件对信息系统造成的损失;同时及时总结、吸取经验和教训,预防类似事件的再次发生,特制定本管理制度。

第二条 本管理制度适用于白城师范学院所有信息系统及相关工作人员。

第三条 事件应急响应小组负责信息系统安全应急计划和事件处理流程的制定,负责信息系统安全事件的处理,负责安全事件处理的事后跟踪,负责协助进行重大异常事件的原因分析。

第二章 信息安全事件定义、分类和分级

第四条 信息安全事件是指计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等原因而遭到破坏、更改、泄漏造成系统不能正常运行,或已经发现的有可能造成上述现象的安全隐患。

第五条 信息安全事件分为病毒程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等七个基本分类,每个基本分类分别包括第二层分类:

(一)病毒程序事件:病毒程序事件是指蓄意制造、传播病毒程序,或因受到病毒程序的影响而导致的信息安全事件。病毒程序是指插入到信息系统中的一段程序,病毒程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行;

(二)网络攻击事件:网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件;

(三)信息破坏事件:信息破坏事件是指通过网络或其他技术手段,有意或无意的造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件;

(四)信息内容安全事件:信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件;

(五)设备设施故障:设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件;

(六)灾害性事件:灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件;

(七)其他信息安全事件:其他信息安全事件类别是指不能归为以上六个基本分类的信息安全事件。

第六条 我校对信息安全事件的分级参考了四个要素:信息系统的重要程度、数据的机密程度、系统损失和社会影响。根据信息安全事件的分级参考要素,将信息安全事件划分为三个级别:安全事故、严重安全事件和一般安全事件。

(一)安全事故(Ⅰ级):安全事故是指能够导致严重影响或破坏的信息安全事件。安全事故会使特别重要信息系统遭受特别重大的系统损失,即造成系统大面积、长时间瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大;或使重要信息系统遭受特别重大的系统损失。

(二)严重事件(Ⅱ级):严重事件是指能够导致较严重影响或破坏的信息安全事件。严重事件会使特别重要信息系统遭受较大的系统损失,即造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;或使重要信息系统遭受重大的系统损失、一般信息信息系统遭受特别重大的系统损失。

(三)一般事件(Ⅲ级):一般事件是指能够导致较小影响或破坏的信息安全事件。一般事件会使特别重要信息系统遭受较小的系统损失,即造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小;或使重要信息系统遭受较大的系统损失,一般信息系统遭受重大的系统损失。

第三章 信息安全事件处理流程

第七条 一般事件处理流程为:发现信息安全事件后上报部门负责人;部门负责人会同信息安全管理员共同预判事件级别,若为严重事件或安全事故应启用相应的处理流程;若为一般事件则应首先登记安全事件,输出《安全事件报告单》(见附件一),记录事件发生的时间、地点、系统名称、现象描述、初步分析等;应急响应小组相关人员组织成立临时的应急小组;临时应急小组对事件进行处理,若事件无法解决,应启动严重安全事件响应流程;事件处理完毕后应急响应小组组织对事件进行总结,输出《安全事件处理报告》(见附件二),并上报信息安全管理组。

第八条 一般事件处理流程图如下:

                                             

第九条 严重事件/安全事故处理流程为:

(一)报告严重事件/安全事故:

1、当预判是严重安全事件时,立即向信息安全管理组报告;

2、当预判是安全事故时,立即同时向网络安全与信息化委员会成员汇报;

3、当一般安全事件无法解决时,立即向信息安全管理组报告。

(二)信息安全管理组研究解决方案:

1、当事件无法单凭我校自行解决时,联系相关专业厂家提供支持;

2、在事件可以通过我校自行解决时,组织事件应急响应小组进行处理;

3、当事件需要马上解决时,则马上启用灾备\低效运行计划。

(三)事件处理:

1、应急小组、必要的系统管理员及必要的外部机构对事件进行处理;

2、相关责任人对事件解决进行确认;

3、若事件无法解决,则向信息安全管理组申请实施灾备计划。

(四)事件总结:事件处理完毕后,事件应急响应小组对事件进行总结,并将报告提交网络安全与信息化委员会。

第十条 严重事件/安全事故处理流程图如下:

第十一条 在信息安全事件管理中,要注意相关证据的收集和保护。以便能通过采取法律手段来保护自身的利益。为了保留这种权利,事件应急响应小组或系统管理员应收集可用来指控犯罪的证据。系统管理员尽快备份受到破坏的系统。在执行任何可能会影响原始媒体上的数据完整性的操作之前,须先备份系统。

第十二条 在某些情况下,保留数据所带来的好处可能与系统的响应和恢复出现延迟所导致的成本并不相当。应权衡保留数据的成本和好处与快速恢复每个事件的成本和好处。

第十三条 取证过程中关键的是详尽而完整地记录对系统进行处理所采取的方式、负责执行处理的人员、执行处理的时间,以便出示可信的证据。在文档的每一页上签名并标注日期。

第十四条 必要时,应积极寻求法律部门的援助。

第四章 信息安全事件处置与总结

第十五条 信息安全事件处理完毕后,系统恢复正常运行后,事件应急响应小组要对整个事故进行分析研究,总结经验教训,并形成安全事件处理报告,报告中应详细记录事件的起因、处理过程、建议改进的安全方案,造成的直接损失等。信息安全管理组根据报告,确定是否采用预防措施。

第十六条 对于信息安全事件,在故障排除或采取必要措施后,网络安全与信息化委员会会同事件责任部门,对事件的原因、类型、损失、责任进行鉴定,对于违反白城师范学院信息安全策略和管理制度所造成的信息安全事件责任者依据白城师范学院相关规定予以惩戒,并予以通报。

第五章 附 则

第十七条 本管理制度的解释和修改权属于网络安全与信息化委员会。

第十八条 本管理制度自发布之日起执行。