信息安全应急响应流程
广东盈通网络投资
20011年07月
目录
第一部分导言 (3)
1.1.文档类别 (3)
1.2.使用对象 (3)
1.3.计划目的 (3)
1.4.适用范围 (3)
1.5.服务原则 (3)
第二部分应急响应组织保障 (4)
2.1.角色的划分 (4)
2.2.角色的职责 (4)
2.3.组织的外部协作 (5)
2.4.保障措施 (5)
第三部分应急响应实施流程 (5)
3.1.准备阶段(Preparation stage) (7)
3.1.1 领导小组准备内容 (7)
3.1.2 实施小组准备内容 (7)
3.1.3 日常运行小组准备内容 (9)
3.2.检测阶段(Examination stage) (9)
3.2.1 检测范围及对象的确定 (10)
3.2.2 检测方案的确定 (10)
3.2.3 检测方案的实施 (10)
3.2.4 检测结果的处理 (12)
3.3.抑制阶段(Suppresses stage) (12)
3.3.1 抑制方案的确定 (13)
3.3.2 抑制方案的认可 (13)
3.3.3 抑制方案的实施 (13)
3.3.4 抑制效果的判定 (14)
3.4.根除阶段(Eradicates stage) (14)
3.4.1 根除方案的确定 (14)
3.4.2 根除方案的认可 (14)
3.4.3 根除方案的实施 (14)
3.4.4 根除效果的判定 (15)
3.5.恢复阶段(Restoration stage) (15)
3.5.1 恢复方案的确定 (15)
3.5.2 恢复信息系统 (15)
3.6.总结阶段(Summary stage) (16)
3.6.1 事故总结 (16)
3.6.2 事故报告 (16)
第一部分导言
1.1.文档类别
本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项目实施的指导性文件之一。
1.2.使用对象
本文档作为公司内部文档,具体使用人员包括:信息安全应急响应服务具体实施操作人员、及负责人。
1.3.计划目的
制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流程,从接受应急响应服务申请到交付应急响应总结报告为止这段时间内,要求实施进度和质量可控,在规定的时间内完成应急响应服务。
备注:操作实施人员在执行该规范时,应根据实际情况灵活运用和变通,并提出创新。同时为了有效的控制进度和质量,在实际操作中应遵循流程步骤。
1.4.适用范围
全司。
1.5.服务原则
在整个应急响应处理过程的中,本协会严格按照以下原则要求服务人员,并签订必要的保密协议。
保密性原则
应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进行侵害服务对象的行为。
规范性原则
应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有处理人员必须对各自的操作过程和结果进行详细的记录,最终按照规范的报告格式提供完整的服务报告。
最小影响原则
应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无
法避免,则必须向服务对象说明。
第二部分应急响应组织保障
2.1.角色的划分
本协会应急响应工作机构按角色划分为三个:
应急响应负责人,
应急响应技术人员,
应急响应市场人员。
信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格按照应急响应计划组织实施应急响应工作。
2.2.角色的职责
应急响应负责人:
应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。负责人的职责是领导和决策信息安全应急响应的重大事宜,主要职责如下:
a)制定工作方案;
b)提供人员和物质保证;
c)审核并批准经费预算;
d)审核并批准恢复策略;
e)审核并批准应急响应计划;
f)批准并监督应急响应计划的执行;
g)指导应急响应实施小组的应急处置工作;
h)启动定期评审、修订应急响应计划以及负责组织的外部协作。
应急响应技术人员,其主要职责如下:
a)编制应急响应计划文档;
b)应急响应的需求分析,确定应急策略和等级以及策略的实现;
c)备份系统的运行和维护,协助灾难恢复系统实施;
d)信息安全突发事件发生时的损失控制和损害评估;
e)组织应急响应计划的测试和演练。
应急响应市场人员,其主要职责如下:
a)开拓新客户,与客户建立长期的合作关系;维护与公司老客户的业务往来;
b)建立预防预警机制,及时进行信息上报;
c)参与和协助应急响应计划的教育、培训和演练;
d)信息安全事件发生后的外部协作。
2.3.组织的外部协作
依据服务对象信息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、盈通公司市公安局网络安全监察室、湖北省公安厅网络安全监察处、及主要相关设备供应商。
2.4.保障措施
应急人力保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。大力发展信息安全服务业,增强协会应急支援能力。
物质条件保障
安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。
技术支撑保障
设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
第三部分应急响应实施流程
该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都有着极其重要的作用。
3.1.准备阶段(Preparation)
目标:在事件真正发生前为应急响应做好预备性的工作。
角色:技术人员、市场人员。
内容:根据不同角色准备不同的内容。
输出:《准备工具清单》、《事件初步报告表》、《实施人员工作清单》
3.1.1 负责人准备内容
制定工作方案和计划;
提供人员和物质保证;
审核并批准经费预算、恢复策略、应急响应计划;
批准并监督应急响应计划的执行;
指导应急响应实施小组的应急处置工作;
启动定期评审、修订应急响应计划以及负责组织的外部协作。
3.1.2 技术人员准备内容
服务需求界定
首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包
含以下内容:
1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定
支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、
完整性、和可用性要求;
2)对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些
系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能
所需要的特定系统资源;
3)应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪
等突发安全事件造成的影响进行评估;
4)应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中断、
系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方
法;
5)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意
识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,
熟悉应急响应策略。
主机和网络设备安全初始化快照和备份
在系统安全策略配置完成后,要对系统做一次初始安全状态快照。这样,如果以后
在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做
的快照进行比较,就能够发现系统的改动或异常。
1)对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有:
日志及审核策略快照等。
?用户账户快照;
?进程快照;
?服务快照;
?自启动快照
?关键文件签名快照;
?开放端口快照;
?系统资源利用率的快照;
?注册表快照;
?计划任务快照等等;
2)对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有:
?路由器快照;
?防火墙快照;
?用户快照;
?系统资源利用率等快照。
3)信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。
目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。
工具包的准备
1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,
包括常用的系统基本命令、其他软件工具等;
2)应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的
移动介质上,如一次性可写光盘、加密的U盘等;
3)应急服务提供者的工具包应定期更新、补充;
必要技术的准备
上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:
1)系统检测技术,包括以下检测技术规范:
?Windows系统检测技术规范;
?Unix系统检测技术规范;
?网络安全事故检测技术规范;
?数据库系统检测技术规范;
?常见的应用系统检测技术规范;
2)攻击检测技术,包括以下技术:
?异常行为分析技术;
?入侵检测技术;
?安全风险评估技术;
3)攻击追踪技术;
4)现场取样技术;
5)系统安全加固技术;
6)攻击隔离技术;
7)资产备份恢复技术;
3.1.3 市场人员准备内容
和服务对象建立长期友好的业务关系;
和服务对象签订应急服务合同或协议;
建立预防和预警机制,及时上报。
1)预防和预警机制
?市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保
障服务对象网络的安全畅通。
?将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象,做好防护策略的更新。
2)信息系统检测和报告
?按照“早发现、早报告、早处置”的原则,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、
进行分析判断。
?如服务对象发现有异常情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。
?要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。
3.2.检测阶段(Examination)
目标:接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是
否真正发生了信息安全事件,制定进一步的响应策略,并保留证据。
角色:应急服务实施小组成员、应急响应日常运行小组;
内容:
(1)检测范围及对象的确定;
(2)检测方案的确定;
(3)检测方案的实施;
(4)检测结果的处理。
输出:《检测结果记录》、《…》
3.2.1 实施小组人员的确定
应急响应负责人根据《事件初步报告表》的内容,初步分析事故的类型、严重程度等,以此来确定临时应急响应小组的实施人员的名单。
3.2.2 检测范围及对象的确定
应急服务提供者应对发生异常的系统进行初步分析,判断是否正真发生了安全事
件;
应急服务提供者和服务对象共同确定检测对象及范围;
检测对象及范围应得到服务对象的书面授权。
3.2.3 检测方案的确定
应急服务提供者和服务对象共同确定检测方案;
应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;
应急服务提供者制定的检测方案应明确应急服务提供者的检测范围,其检测范围应
仅限于服务对象已授权的与安全事件相关的数据,对服务对象的机密性数据信息未
经授权的不得访问;
应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施;
应急服务提供者和服务对象充分沟通,并预测应急处理方案可能造成的影响。
3.2.4 检测方案的实施
检测搜集系统信息
?记录时使用目录及文件名约定:
在受入侵的计算机的D盘根目录下(D:\)(如果无D盘则在其他盘根目录下)
建立一个EEAN目录,目录中包含以下子目录:
artifact:用于存放可疑文件样本
cmdoutput:用于记录命令行输出结果
screenshot:用于存放屏幕拷贝文件
log:用于存放各类日志文件
?文件格式:
命令行输出文件缺省仅使用TXT格式。
日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。
屏幕拷贝文件应该使用BMP格式。
可疑文件样本最好加密压缩为zip格式,默认密码为:eean ?搜集操作系统基本信息
1.右键点击“我的电脑>属性”将“常规”、“自动更新”、“远程”3个选卡
各制作一个窗口拷贝(使用Alt+PrtScr)。并保存到EEAN\screenshot目录
下,文件名称应该使用:系统常规-01、自动更新-01、远程-01等形式命名。
2.进入CMD状态,“开始 > 运行 > cmd”,进入D盘根目录下的EEAN目录,
执行一下命令:
netstat -nao > netstat.txt (网络连接信息)
tasklist > tasklist.txt (当前进程信息)
ipconfig /all > ipconfig.txt(IP属性)
ver > ver.txt (操作系统属性)
....................................
?日志信息
目标:导出所有日志信息;
说明:进入管理工具,将“管理工具 > 事件察看器”中,导出所有事件,分别使用一下文件名保存:application.txt、security.txt、
system.txt。
?帐号信息
目标:导出所有帐号信息;
说明:使用net user,net group,net local group命令检查帐号和组的情况,使用计算机管理查看本地用户和组,将导出的信息保存在
D:\EEAN\user中
主机检测
?日志检查
目标:1、从日志信息中检测出未授权访问或非法登录事件;
2、从IIS/FTP日志中检测非正常访问行为或攻击行为;
说明:1、检查事件查看器中的系统和安全日志信息,比如:安全日志中异常登录时间,未知用户名登录;
2、检查%WinDir%\System32\LogFiles 目录下的WWW日志和FTP日志,
比如WWW日志中的对cmd.asp文件的成功访问。
?帐号检查
目标:检查帐号信息中非正常帐号,隐藏帐号;
说明:通过询问管理员或负责人,或者和系统的所有的正常帐号列表做对比,判断是否有可疑的陌生的账号出现,利用这些获得的信息和前面准备
阶段做的帐号快照工作进行对比。
?进程检查
目标:检查是否存在未被授权的应用程序或服务
说明:使用任务管理器检查或使用进程查看工具进行查看,利用这些获得的信息和前面准备阶段做的进程快照工作进行对比,判断是否有可疑的
进程。
?服务检查
目标:检查系统是否存在非法服务
说明:使用“管理工具”中的“服务”查看非法服务或使用冰刃、Wsystem察看当前服务情况,利用这些获得的信息和准备阶段做的服务快照工作
进行对比。
?自启动检查
目标:检查未授权自启动程序
说明:检查系统各用户“启动”目录下是否存在未授权程序。
?网络连接检查
目标:检查非正常网络连接和开放的端口
说明:关闭所有的网络通讯程序,以免出现干扰,然后使用ipconfig, netstat –an或其它第三方工具查看所有连接,检查服务端口开放情况和异常
数据的信息。
?共享检查
目标:检查非法共享目录。
说明:使用net share或其他第三方的工具检测当前开放的共享,使用$是隐藏目录共享,通过询问负责人看是否有可疑的共享文件。
?文件检查
目标:检查病毒、木马、蠕虫、后门等可疑文件。
说明:使用防病毒软件检查文件,扫描硬盘上所有的文件,将可疑文件进行提取加密压缩成.zip,保存到EEAN\artifact目录下的相应子目录中。
?查找其他入侵痕迹
目标:查找其它系统上的入侵痕迹,寻找攻击途径
说明:其它系统包括:同一IP地址段或同一网段的系统、同一域的其他系统、拥有相同操作系统的其他系统。
3.2.5 检测结果的处理
确定安全事件的类型
经过检测,判断出信息安全事件类型。信息安全事件可以有以下7个基本分类:
?有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。
?网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常
或对信息系统当前运行造成潜在危害的信息安全事件。
?信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
?信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。
?设备设施故障:由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致
的信息安全事件。
?灾害性事件:由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
?其他信息安全事件:不能归为以上6个基本分类的信息安全事件。
评估突发信息安全事件的影响
采用定量和/或定性的方法,对业务中断、系统宕机、网络瘫痪数据丢失等突发信
息安全事件造成的影响进行评估:
确定是否存在针对该事件的特定系统预案,如有,则启动相关预案;如果事件涉及
多个专项预案,应同时启动所有涉及的专项预案;
如果没有针对该事件的专项预案,应根据事件具体情况,采取抑制措施,抑制事件
进一步扩散。
3.3.抑制阶段(Suppresses)
目标:及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要
确保封锁方法对涉及相关业务影响最小。
角色:应急服务实施小组、应急响应日常运行小组。
内容:
(1)抑制方案的确定;
(2)抑制方案的认可;
(3)抑制方案的实施;
(4)抑制效果的判定;
输出:《抑制处理记录表》、《…》
3.3.1 抑制方案的确定
应急服务提供者应在检测分析的基础上,初步确定与安全事件相对应的抑制方法,
如有多项,可由服务对象考虑后自己选择;
在确定抑制方法时应该考虑:
?全面评估入侵范围、入侵带来的影响和损失;
?通过分析得到的其他结论,如入侵者的来源;
?服务对象的业务和重点决策过程;
?服务对象的业务连续性。
3.3.2 抑制方案的认可
应急服务提供者应告知服务对象所面临的首要问题;
应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可;
在采取抑制措施之前,应急服务提供者要和服务对象充分沟通,告知可能存在的风
险,制定应变和回退措施,并与其达成协议。
3.3.3 抑制方案的实施
应急服务提供者要严格按照相关约定实施抑制,不得随意更改抑制的措施的范围,
如有必要更改,需获得服务对象的授权;
抑制措施易包含但不仅限于以下几方面:
?确定受害系统的范围后,将被害系统和正常的系统进行隔离,断开或暂时关闭被攻击的系统,使攻击先彻底停止;
?持续监视系统和网络活动,记录异常流量的远程IP、域名、端口;
?停止或删除系统非正常帐号,隐藏帐号,更改口令,加强口令的安全级别;
?挂起或结束未被授权的、可疑的应用程序和进程;
?关闭存在的非法服务和不必要的服务;
?删除系统各用户“启动”目录下未授权自启动程序;
?使用net share或其他第三方的工具停止所有开放的共享;
?使用反病毒软件或其他安全工具检查文件,扫描硬盘上所有的文件,隔离或清除病毒、木马、蠕虫、后门等可疑文件;
?设置陷阱,如蜜罐系统;或者反击攻击者的系统。
防止事件继续扩散,限制了潜在的损失和破坏,使目前损失最小化;
对其它相关业务的影响是否控制在最小。
3.4.根除阶段(Eradicates)
目标:对事件进行抑制之后,通过对有关事件或行为的分析结果,找出事件根源,
明确相应的补救措施并彻底清除。
角色:应急服务实施小组、应急响应日常运行小组。
内容:
(1)根除方案的确定;
(2)根除方案的认可;
(3)根除方案的实施;
(4)根除效果的判定;
输出:《根除处理记录表》、《…》
3.4.1 根除方案的确定
应急服务提供者应协助服务对象检查所有受影响的系统,在准确判断安全事件原因
的基础上,提出方案建议;
由于入侵者一般会安装后门或使用其他的方法以便于在将来有机会侵入该被攻陷
的系统,因此在确定根除方法时,需要了解攻击者时如何入侵的,以及与这种入侵
方法相同和相似的各种方法。
3.4.2 根除方案的认可
应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险,制定应变
和回退措施,并得到服务对象的书面授权;
应急服务提供者应协助服务对象进行根除方法的实施。
3.4.3 根除方案的实施
应急服务提供者应使用可信的工具进行安全事件的根除处理,不得使用受害系统已
有的不可信的文件和工具;
根除措施易包含但不仅限与以下几个方面:
?改变全部可能受到攻击的系统帐号和口令,并增加口令的安全级别;
?修补系统、网络和其他软件漏洞;
?增强防护功能:复查所有防护措施的配置,安装最新的防火墙和杀毒软件,并及时更新,对未受保护或者保护不够的系统增加新的防护措施;
?提高其监视保护级别,以保证将来对类似的入侵进行检测;
找出造成事件的原因,备份与造成事件的相关文件和数据;
对系统中的文件进行清理,根除;
使系统能够正常工作。
3.5.恢复阶段(Restoration)
目标:恢复安全事件所涉及到得系统,并还原到正常状态,使业务能够正常进行,
恢复工作应避免出现误操作导致数据的丢失。
角色:应急服务实施小组、应急响应日常运行小组。
内容:
(1)恢复方案的确定;
(2)恢复信息系统;
输出:《恢复处理记录表》、《..》
3.5.1 恢复方案的确定
应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法,及他
们可能存在的风险;
应急服务提供者应和服务对象共同确定系统恢复方案,根据抑制和根除的情况,协
助服务对象选择合适的系统恢复的方案,恢复方案涉及到以下几方面:
?如何获得访问受损设施或地理区域的授权;
?如何通知相关系统的内部和外部业务伙伴;
?如何获得安装所需的硬件部件;
?如何获得装载备份介质;如何恢复关键操作系统和应用软件;
?如何恢复系统数据;
?如何成功运行备用设备
如果涉及到涉密数据,确定恢复方法时应遵循相应的保密要求。
3.5.2 恢复信息系统
应急响应实施小组应按照系统的初始化安全策略恢复系统;
恢复系统时,应根据系统中个子系统的重要性,确定系统恢复的顺序;
恢复系统过程宜包含但不限于以下方面:
?利用正确的备份恢复用户数据和配置信息;
?开启系统和应用服务,将受到入侵或者怀疑存在漏洞而关闭的服务,修改后重新开放;
?连接网络,服务重新上线,并持续监控持续汇总分析,了解各网的运行情况;
对于不能彻底恢复配置和清除系统上的恶意文件,或不能肯定系统在根除处理后是
否已恢复正常时,应选择彻底重建系统;
应急服务实施小组应协助服务对象验证恢复后的系统是否正常运行;
应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固;
应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份;
3.6.总结阶段(Summary)
目标:通过以上各个阶段的记录表格,回顾安全事件处理的全过程,整理与事件相
关的各种信息,进行总结,并尽可能的把所有信息记录到文档中。
角色:应急服务实施小组、应急响应日常运行小组。
内容:
(1)事故总结;
(2)事故报告;
输出:《应急响应报告表》、《》
3.6.1 事故总结
应急服务提供者应及时检查安全事件处理记录是否齐全,是否具备可塑性,并对事
件处理过程进行总结和分析;
应急处理总结的具体工作包括但不限于以下几项:
?事件发生的现象总结;
?事件发生的原因分析;
?系统的损害程度评估;
?事件损失估计;
?采取的主要应对措施;
?相关的工具文档(如专项预案、方案等)归档。
3.6.2 事故报告
应急服务提供者应向服务对象提供完备的网络安全事件处理报告;
应急服务提供者应向服务对象提供网络安全方面的措施和建议;
上述总结报告的具体信息参考Excel表《应急响应报告表》。
盈通网络投资有限公司
行政人事部
2011年3月15日
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
信息安全运维 服务流程 审核:XXX 批准:XXX 版本.修改号:A.0 受控状态:受控 XXX年XX月XX日发布XXX年XX月XX日实施 XXX公司
1.安全运维服务流程 流程图 根据目前安全运维的整体情况,制定了运维服务流程图,具体流程如下图:
1.1需求调研与分析 依据公司自身的运维服务业务定位,业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研,通过会议或者讨论等方式采集客户服务需求和服务目标,明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求,并将调研信息总结整理形成调研分析报告。 1.2报价与成本核算 由公司项目组成员结合公司市场部门,对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。 1.3合同签订 公司项目部门与客户研讨后制定合同方案,并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收条件等。 1.4运维方案设计与编制
根据系统安全运维的实际需求,公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。 其中,运维时间与期限应写明项目运维起止时间和交付验收的时间节点;服务内容应列出运维服务设备清单和系统边界,以及运维服务的安全检查项目和运维服务周期。 1.5运维服务实施阶段 根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识,对系统中的配置信息进行备份和安全检查。 对方案中周期性维护的设备和系统,应做好维护记录:巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理,最终形成月报、季报和年度总结报告。 1.6运维服务配置管理 配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理,为服务过程提供基础的数据支持,以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的客户的生产和运行环境中的硬件、软件、应用系统、信息资源、服务包以及组织人员等。 配置管理应使用有效管理工具,以确保在运维服务过程中,能够
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。
5、故意制作、传播计算机病毒等破坏性程序。 6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理策略V0.1 XXX-XXX-XX-01001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部
目录 第一章总则 (1) 第二章信息安全方针 (1) 第三章信息安全策略 (2) 第四章附则 (13)
第一章总则 第一条为规范XXXXX信息安全系统,确保业务系统安全、稳定和可靠的运行,提升服务质量,不断推动信息安全工作的健康发展。根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》 (GB/T22239-2008)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071—2012)、《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072—2012),并结合XXXXX实际情况,特制定本策略。 第二条本策略为XXXXX信息安全管理的纲领性文件,明确提出XXXXX在信息安全管理方面的工作要求,指导信息安全管理工作。为信息安全管理制度文件提供指引,其它信息安全相关文件在制定时不得违背本策略中的规定。 第三条网络与信息安全工作领导小组负责制定信息安全 管理策略。 第二章信息安全方针 第四条 XXXXX的信息安全方针为:安全第一、综合防范、预防为主、持续改进。 (一)安全第一:信息安全为业务的可靠开展提供基础保障。把信息安全作为信息系统建设和业务经营的首要任务;
信息安全管理流程
版本记录
目录 信息安全管理流程 (1) 1介绍 (4) 1.1基本概念 (4) 1.2用途和目标 (4) 1.3范围 (4) 1.4流程运行的前提和时机 (5) 2流程详细说明 (5) 2.1输入 (5) 2.2输出 (5) 2.3流程执行 (7) 2.4流程质量控制 (9) 2.4.1关键绩效指标KPI (9) 2.4.2流程报告 (10) 3流程角色和职责 (10) 4附录 (12) 4.1术语表 (12)
1 介绍 1.1 基本概念 安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度,并且通过实施一整套适当的控制措施(包括策略、实践、流程、组织结构和工具)来实现企业信息的保密性、完整性、可用性的整个过程。 安全管理中的关键词汇定义如下: ?信息安全(Information Security):对于信息的保密性、完整性和可用性的保证。 ?可用性(availability):确保被授权的用户在需要时可以访问到相关的信息和资产。 ?完整性(Integrity):维护信息的正确性和完全性。 ?保密性(Confidentiality):保证信息只能由被授权者访问。 ?风险评估(Risk Assessment):对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。 1.2 用途和目标 安全管理流程的目标是通过持续性提高的方式,不断分析、发现潜在的风险,通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁,从而保障远东租赁信息技术服务的保密性、完整性与可用性,其用途在于: ?保证满足内部的安全需求,保证远东租赁内部的信息完整性以及其之持续提高。 ?通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。 1.3 范围 下表对一些容易混淆的方面作了说明,用来表明安全管理的工作覆盖范围:
信息安全管理制度 根据国家有关规定,每个民政工作人员都负有保障计算机及其网络安全保密工作的职责。各处室、直属单位全体人员要认真严格执行国家有关部门制定的信息保密和信息安全有关规定,严格规范计算机的使用行为。如因个人违规操作导致计算机发生网络安全保密责任的,要追究个人责任,按照国家有关规定,予以严肃处理。 为维护我局网络环境安全、稳定、健康,根据国家信息产业部《计算机信息网络国际互联网安全保护管理办法》、《互联网安全保护技术措施规定》、《计算机信息网络国际联网安全保护管理办法》等国家法律、法规,特制定本制度。 第一章、总则 一、严格遵守国家有关互联网方面的法律法规; 二、坚决封堵不良和有害信息的侵入; 三、严格管理政务内网和政务外网计算机使用,防止泄密情况发生; 四、积极配合公安机关的网络信息安全部门检查; 五、按照备案要求,及时备案本单位在互联网应用方面的变更信息; 六、在本单位建立网络信息安全保护小组,并报相关部门备案; 七、根据本单位在互联网应用的实际情况,在信息网络安全员、信息安全情况上报、信息安全风险评估、中心机房管理、电脑及网络运行
安全管理、系统安全管理及登记、安全保护技术措施、安全教育和培训、信息发布等方面制定以下细则制度。 第二章、信息网络安全员制度 一、设立1人专职3人兼职的计算机信息网络安全员(以下简称安全员); 二、安全员主要负责网络(主要是局域网)的系统安全性; 三、安全员负责全局干部职工网络安全方面操作及相关知识培训; 四、安全员负责系统数据的冗余灾备工作; 五、安全员确保系统日志保存完善并保留60天以上; 六、对系统防病毒系统、防火墙(及以后的入侵检测系统)定期升级。定期对系统作安全检测,及时发现安全漏洞予以消除,对检测结果和漏洞消除情况有记录; 七、安全员应经常保持对最新技术的掌握,实时了解网络信息安全的动向,做到预防为主; 八、安全员承担对不良、有害信息上报、处置工作职责; 九、安全员承担信息安全部门交办的其他网络安全任务。 第三章、信息安全情况报告制度 一、建立与公安机关网络监察部门和保密局联系机制,对网络安全、保密方面出现的问题和情况及时沟通和处理; 二、各计算机用户,均有责任和义务监督、发现、报告、处理本机
关于下发《**电信公司信息安全管理八项制度 (试行)》的通知 县级分公司、公司各部门: 根据中电信黑[2011] 793 号《黑龙江电信信息安全管理八项制度(试行)》,制定了《**电信公司信息安全管理八项制度(试行)》,请认真遵照执行。并将执行过程中出现的新情况,新问题及时反馈至运行维护部。 各相关职能部门要按照本制度规范尽快落实本部门的信息安全工作及责任人。 附件 1:**电信公司业务经营、合作的信息安全评估保障制度 附件 2:**电信公司违法违规信息应急处置流程 附件 3:**电信公司信息安全工作(资金、人员)保障制度
附件 4:**电信公司信息安全管理考核和奖惩制度附件 5:**电信公司信息安全技术保障制度 附件 6:**电信公司信息安全事件报告制度 附件 7:**电信公司信息安全事件应急处置制度附件 8:**电信公司信息安全组织机构管理制度
附件 1: **电信公司基础业务经营、合作的 信息安全评估保障制度 一、公司产品内容上线前应当由专人对相关内容的合法合规性进行审核,做到先审后发,产品中未通过审核的相关内容不得上线运营。需要审核的产品内容包括但不仅限于各产品中以公司名义对外发布的以及客户通过公司自营网站对外发布的图片、文字、流媒体等信息内容。 二、公司自营网站、自营业务业务板块或栏目新增、变更,须经各级公司部门负责人同意,报公司分管领导审批。 三、与合作方(含代收费)进行业务合作前,各部门业务运营部门(中心)应当严格审核其电信业务经营许可证或备案许可证、营业执照等经营资质材料,对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。在签订合作协议时,必须要求合作方签订《信息安全承诺书》,明确其负责合作涉及业务的信息安全,约定信息安全考核制度和违法违规处罚标准。 四、合作业务涉及合作方需进行 IP 地址和域名备案的, 在业务开通前,必须要求合作方出具 IP 地址和域名已经备案 的书面证明函件。
信息安全事件处理流程 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】
信息安全事件处理流程 一、信息安全事件分类 根据公司实际生产运行情况,将信息安全事件分为两大类:重大信息安全事件和一般信息安全事件。 1、重大信息安全事件 1) 重要信息系统遭受严重的系统损失; 1.1 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断不能为超过80%(包括80%)的网络注册用户提供服务,时间达4小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达8小时。 1.2 系统(硬、软件)损坏或失窃,直接经济损失达1万元以上者。 1.3 重要技术开发、研究数据损坏或丢失,或重要信息系统数据损坏或丢失,数据量在时间上连续超过48小时。 1.4 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 1.5 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用,网络地址和用户身份信息的窃取、盗用。 1.6 发生自然灾害性事件导致的信息安全事故。 2)产生的社会影响波及到一个或多个地市的大部分地区,引起社会恐慌,对经济的建设和发展有较大负面影响,或损害到公众利益。 2、一般信息安全事件 1)重要信息系统遭受较小的系统损失; 1.1 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断导致不能为超过80%(包括80%)的网络注册用户提供服务,时间达2小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达4小时。
北京XXXXXXXXXXXXX 信息安全管理制度 制定部门:技术部与行政部 制定人:XXX 制定时间:2016.4.21
1.安全管理制度要求 总则为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a安全岗位管理制度 b系统操作权限管理; c安全培训制度; d用户管理制度 e新服务、新功能安全评估 f用户投诉举报处理; g信息发布审核、合法资质查验和公共信息巡查; h个人电子信息安全保护;安全事件的监测、报告和和应急处置制度;现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查 2.个人履历的核查 3.学历、学位、专业资质证明 4.从事关键岗位所必须的能力 3.2.2应与关键岗位人员签订保密协议。 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员是 1上岗前的培训 2.安全制度及其修订后的培训 3.法律、法规的发展保持同步的继绩培训。 应严格规范人员离岗过程: a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开; c配合公安机关工作的人员变动应通报公安机关。 3.4人员离岗 应严格规范人员离岗过程 a及时终止离岗员工的所有访间权限; b关键岗位人员须承诺调离后的保密义务后方可离开;
XX公司信息安全管理制度(试行) 第一章总则 第一条为保证信息系统安全可靠稳定运行,降低或阻止人为或自然因素从物理层面对公司信息系统的保密性、完整性、可用性带来的安全威胁,结合公司实际,特制定本制度。 第二条本制度适用于XX公司以及所属单位的信息系统安全管理。 第二章职责 第三条相关部门、单位职责: 一、信息中心 (一)负责组织和协调XX公司的信息系统安全管理工作; (二)负责建立XX公司信息系统网络成员单位间的网络访问规则;对公司本部信息系统网络终端的网络准入进行管理; (三)负责对XX公司统一的两个互联网出口进行管理,配置防火墙等信息安全设备;会同保密处对公司本部互联网上网行为进行管理; (四)对XX公司统一建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,界定两级单位信息安全管理责任; (五)负责XX公司网络边界、网络拓扑等全局性的信息安全管理。 二、人力资源部 (一)负责人力资源安全相关管理工作。 (二)负责将信息安全策略培训纳入年度职工培训计划,并组织实施。 三、各部门 (一)负责本部门信息安全管理工作。
(二)配合和协助业务主管部门完善相关制度建设,落实日常管理工作。 四、所属各单位 (一)负责组织和协调本单位信息安全管理工作。 (二)对本单位建设的信息系统制定专项运维管理办法,明确信息系统安全管理要求,报XX公司信息中心备案。 第三章信息安全策略的基本要求 第四条信息系统安全管理应遵循以下八个原则: 一、主要领导人负责原则; 二、规范定级原则; 三、依法行政原则; 四、以人为本原则; 五、注重效费比原则; 六、全面防范、突出重点原则; 七、系统、动态原则; 八、特殊安全管理原则。 第五条公司保密委应根据业务需求和相关法律法规,组织制定公司信息安全策略,经主管领导审批发布后,对员工及相关方进行传达和培训。 第六条制定信息安全策略时应充分考虑信息系统安全策略的“七定”要求,即定方案、定岗、定位、定员、定目标、定制度、定工作流程。 第七条信息安全策略主要包括以下内容: 一、信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略; 二、对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞; 三、对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞; 四、定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略; 五、制定人力资源、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。 第八条公司保密委每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。
信息安全等级保护工作流程
一、定级 一、等级划分 计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 二、定级程序 信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 三、定级注意事项 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等 第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等 第五级信息系统:适用于国家特殊领域的极端重要系统。 二、备案 一、总体要求 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 二、备案管辖 (一)管辖原则。 备案管辖分工采取级别管辖和属地管辖相结合。 (二)中央在京单位。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门(简称网监部门,下同)受理备案。
信息安全管理办法 目录 1 信息安全组织管理 (1) 2 日常信息安全管理 (1) 4.1 基本要求 (1) 4.2 人员管理 (1) 4.3 资产管理 (2) 4.4 采购管理 (2) 4.5 外包管理 (2) 4.6 经费保障 (2) 3 信息安全防护管理 (3) 5.1 基本要求 (3) 5.2 网络边界防护管理 (3) 5.3 信息系统防护管理 (3) 5.4 门户网站防护管理 (3) 5.5 电子邮件防护管理 (3) 5.6 终端计算机防护管理 (4) 5.7 存储介质防护管理 (4) 4 信息安全应急管理 (4) 5 信息安全教育培训 (4) 6 信息安全检查 (5)
1 信息安全组织管理 本项要求包括: a)应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制; b)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件; c)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等; d)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。 2 日常信息安全管理 2.1 基本要求 本项要求包括: a)应制定信息安全工作的总体方针和目标,明确信息安全工作的主要任务和原则; b)应建立健全信息安全相关管理制度; c)应加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投入。 2.2 人员管理 本项要求包括:
IT信息安全事件管理程序 1 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复,从而维持良好的服务质量和可用性级别,特制定本程序。 2 范围 本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件 《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录,根据事件类型决定事件处理; 4.2 事件经理负责事件类型的确定,事件过程的管理; 4.3 支持团队负责针对事件的方案的实施和解决; 4.4 信息总经理负责重大事件的管理,担当重大事件经理的角色。 5 程序 5.1 事件管理目标 对于事件管理过程,应遵循以下目标: a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。
5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级,影响等级低并且紧急程度低的事件优先级为低级。
下表显示了与这些参数相关事件的分类: 5.3 事件的发现、记录和报告 5.3.1 事件的发现 事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告,均应由首先接到报告的人员根据事件分类的原则进行判断,属于高等级或最高等级的事件,应立即向信息总经理报告,必要时应继续报告行领导及上级监管机构。 一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录 所有被报告或主动探测到的事件均应被记录。记录内容应包括: a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份(包括姓名、部门、位置和联系详细信息) e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件 一般事件根据引起事件的不同原因,按照各类日常维护工作所涉及到的管理程序执行处理过程。
一、目的:为规范火灾事故应急处置工作,及时高效、合理有序地处理火灾事故,切实保障顾客、员工的身体健康和生命安全,最大限度的减轻事故造成的损失。 二、适用范围:本预案适用于公司各餐饮分店在日常营运过程中发生的火灾事故应急处置工作。 三、组织架构与职责:1、成立食品安全事故应急工作领导小组:组长:副总裁 副组长:营运总监、食品安全主任 成员:分子公司负责人、运营中心培训督导经理、供应链管理中心总监、分店负责人、食品安全经理、人力资源招聘培训经理、行政经理。 具体应急小组组织架构详见附件一《突发事件应急工作小组组织架构图》。 2、职责: 组长:负责突发事件应急处置小组的组织、指挥、总体协调工作,并做出相应的应急工作安排。 副组长:负责突发事件应急措施落实情况的检查及指导工作,组织实施事故应急处置工作安排,及时有效地控制事故,防止蔓延扩大。 成员:负责应急措施的落实、救援组织和善后处置,向有关食品卫生安全监管部门通报相关信息;协助相关主管部门开展食品安全事故调查工作,收集并记录相关情况。 四.定义:凡失去控制并对财物和人身造成损害的燃烧现象都为火灾。以下情况也列入火灾统计范围: (1)民用爆炸物品爆炸引起的火灾。 (2)易燃可燃液体、可燃气体、蒸气、粉尘以及其它化学易燃易爆物品爆炸和爆炸引起的火灾(其中地下矿井部分发生的爆炸,不列入火灾统计范围)。 (3)破坏性实验中引起非实验体燃烧的事故。 (4)机电设备因内部故障导致外部明火燃烧需要组织扑灭的事故,或者引起其它物件燃烧的事故。 (5)车辆、船舶、飞机以及其它交通工具发生的燃烧事故,或者由此引起的其它物件燃烧的事故(飞机因飞行事故而导致本身燃烧的除外)。 五、工作内容: 5.1 事故类型及分级:按事故的危害程度和涉及范围,公司将可能出现的消防事故分为三个等级: 特别重大事故,是指造成30人以上死亡,或者100 人以上重伤(包括急性工业中毒,下同),或者1 亿元以上直接经济损失的事故; 重大事故,是指造成10 人以上30 人以下死亡,或者50 人以上100 人以下重伤,或者5000万元以上1 亿元以下直接经济损失的事故; 较大事故,是指造成3人以上10人以下死亡,或者10人以上50人以下重伤,或者1000 万元以上5000 万元以下直接经济损失的事故; 一般事故,是指造成3人以下死亡,或者10 人以下重伤,或者1000万元以下直接经济损失的
公司信息安全管理制度流程1 **公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1 2 3 进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作 代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有
其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销 1 3 1 码。 重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人 等内容。 3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
1 2 3 4 失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复 的完整性和可用性。 5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保 存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联 机业务运行造成影响。 6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存 的数据必须有详细的文档记录。
信息安全及网络使用管理制度 第一条局机关局域网、党政网与政务外网、互联网实行物理隔离,严禁计算机在无保密措施的情况下,同时接入党政网(含政府办公网、局域网)和政务外网(含互联网)。 第二条局机关局域网、党政网只限本单位人员使用,登录局域网必须使用本人的用户名。未经许可,严禁本单位以外人员登录局域网、党政网。 第三条不准私自将单位网络网线连接到指定以外的计算机;严禁将私人计算机接入局机关党政网(含政府办公网、局域网)。 第四条需上传至本局服务器的资料,须进行病毒检测,确保无病毒感染方可上传。机房工作人员必须定期对服务器进行病毒检测和安全漏洞检测,升级服务器系统,安装必要的系统补丁,预防网络安全漏洞,防止病毒入侵和传播。 第五条坚持定期利用杀毒软件检测机器上是否存在黑客程序。安装新软件或许可从网上下载、安装文件必须进
行系统杀毒。严禁下载、安装黑客软件。 第六条严禁在网络上散发恶意信息,冒用他人名义发送信息,侵犯他人隐私;不得制作、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。严禁在网上收听、收看、复制不健康的内容或向他人发送恶意、挑衅性邮件。、第七条机房工作人员须及时做好计算机网络的维护、信息更新和安全防范工作,熟悉机房用电线路、设备性能及安全工作的有关规定,定期对机房设备和网络系统进行检查维护,随时监测设备和网络状况,确保计算机网络安全运行。 第八条机房出现故障时,机房工作人员按规定程序做应急处理,及时与相关部门联系并向局领导报告。 第九条政府办公网由局办公室机关文书人员负责使用,实行专人专机密码管理。机关文书人员要切实履行职责,确保每个工作日按时开机查看、接收文件。 第十条政府办公网上的公文由局机关文书人员直接接收,任何人不得擅自登录政府办公网专用计算机。机关文书人员要严格按照有关规定正确使用政府办公网,不得违反
特种设备应急预案流程图
特种设备(电梯安全事故)应急救援预案 为加强对特种设备安全事故的防范,及时做好安全事故发生后的救援处置工作,最大限度地减少事故造成的损失,维护正常的社会秩序和工作秩序,根据《中华人民共和国安全生产法》和《特种设备安全监察条例》的要求,结合本单位实际,特制定本单位电梯安全事故应急救援预案。 一、应急救援组织机构 1、成立安全事故应急救援指挥部(以下简称救援指挥部)。指挥长由总经理杨柳江担任;副指挥长由行政经理网春来担任;各部门负责人为指挥部成员,参与现场抢险救援工作。 2、设立现场救援组,由各部门负责人组成。组长由行政经理王春来担任,负责组织现场具体抢险救援工作。 二、应急救援组织的职责 (一)指挥部职责 1、组织各部门按照应急救援预案迅速开展抢救工作,防止事故的进一步扩大,力争把事故损失降到最低程度; 2、根据事故发生状态,统一布置应急救援预案的实施工作,并对应急处理工作中发生的争议采取紧急处理措施; 3、根据预案实施过程中发生的变化和问题,及时对预案进行修改和完善; 4、紧急调用各类物资、人员、设备; 5、当事故有危及周边单位和人员的险情时,组织人员和物资疏散工作; 6、配合上级有关部门进行事故调查处理工作; 7、做好稳定秩序和伤亡人员的善后及安抚工作。 (二)现场指挥长的主要职责:
1、负责召集各参与抢险救援部门的现场负责人研究现场救援方案,制定具体救援措施,明确各部门的职责分工; 2、负责指挥现场应急救援工作。 成立安全生产事故应急指挥中心,下设应急值班室,应急值班室设在物业部,值班室24小时值班。结合本单位实际情况,设置通讯联络组、设备抢修组、应急抢险组、应急疏散组、医疗救护组、物资保障组、善后处理组七个应急救援组。
精心整理 计算机信息系统安全管理制度 总则 第一条为加强公司网络管理,明确岗位职责,规范操作流程,维护网络正 常运行,确保计算机信息系统的安全,现根据《中华人民共和国 第二条第三条第四条浏览、复制、传播反动及黄色信息,不得在网络上发布反动、非 法和虚假的消息,不得在网络上漫骂攻击他人,不得在网上泄露 他人隐私。严禁通过网络进行任何黑客活动和性质类似的破坏活 动,严格控制和防范计算机病毒的侵入。
第五条各工作计算机未进行安全配置、未装防火墙或杀毒软件的,不得入网。各计算机终端用户应定期对计算机系统、杀毒软件等进行升 级和更新,并定期进行病毒清查,不要下载和使用未经测试和来 历不明的软件、不要打开来历不明的电子邮件、以及不要随意使 用带毒U盘等介质。 第六条禁止入网人员使用BT、电驴、迅雷等占用大量网络资源的 第七条 第八条 第九条 第十条 以真实身份登录系统。计算机使用者更应定期更改密码、使用复 杂密码。 第十一条IP地址为计算机网络的重要资源,计算机各终端用户不得擅自更改。 另外,某些系统服务对网络产生影响,计算机各终端用户应 在信息中心的指导下使用,禁止随意开启计算机中的系统服 务,保证计算机网络畅通运行。
第二章设备管理 第十二条集团各部门因工作需要,确需购买计算机或其配件及相关办公配套设备的,可由使用人员向相关部门提出申请,若有符合需求 的可调配设备,由申请人填写《计算机设备调配表》;若无可 调配或有但不符合工作需要的设备,由申请人填写《计算机设 备购买申请表》。交由所在部门经理签字并报公司分管领导审 第十六条设备硬件或操作系统等出现问题时,应找信息中心的维护人员进行处理。首先由该设备终端用户填写《计算机设备维修申请 表》,在收到申请表后,维护人员应及时予以处理。未填写《计 算机设备维修申请表》而要求维修的,信息中心可以不予以处 理。 第十七条已有计算机设备原则上在规定使用年限内不再重复购买,达到规定使用年限后,由信息中心会同相关部门对其审核后进行处
中心机房管理制度 计算机机房属机密重地。为做到严格管理,保证安全,特制订如下制度: 第一条中心机房的管理由系统管理员负责,非机房工作人员未经允许不准进入,机房门口明显位置应张贴告示:“机房重地,非请莫入”。 第二条机房内应保持整洁,严禁吸烟、吃喝、聊天、会客、休息。不准在计算机及工作台附近放置可能危及设备安全的物品。 第三条机房内严禁一切与工作无关的操作。严禁外来信息载体带入机房,未经允许不准将机器设备和数据带出机房。 第四条认真做好机房内各类记录介质的保管工作,落实专人收集、保管,信息载体必须安全存放并严密保管,防止丢失或失效。机房资料外借必须经批准并履行手续,方可借出。作废资料严禁外泄。 第五条机房工作人员要随时掌握机房运行环境和设备运行状态,保证设备随时畅通。机房设备开关必须先经检查确认正常后再按顺序依次开关机。 第六条机房工作人员对机房存在的隐患及设备故障要及时报告,并与有关部门及时联系处理。非常情况下应立即采取应急措施并保护现场。
第七条机房设备应由专业人员操作、使用,禁止非专业人员操作、使用。对各种设备应按规范要求操作、保养。发现故障,应及时报请维修,以免影响工作。 第八条外单位人员因工作需要进入机房时,必须报经局领导审批后方可进入,进入机房后须听从工作人员的指挥,未经许可,不得触及机房内设施。 第九条外来人员参观机房,须指定人员陪同。操作人员按陪同人员要求可以在电脑演示、咨询;对参观人员不合理要求,陪同人员应婉拒,其他人员不得擅自操作。 第十条中心机房处理秘密事务时,不得接待参观人员或靠近观看。
网络安全管理制度 第一条严格遵守法律、行政法规和国家其他有关规定,确保计算机信息系统的安全。 第二条连入局域网的用户严禁访问外部网络,若因工作需要,上网查询信息,允许访问与工作相关的网站,但须报告计算机管理部门,并在专业人员的指导下完成。非本局工作人员不允许上网查询信息。严禁访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。禁止在网络上聊天及玩游戏。 第三条加强信息发布审核管理工作。发布网络信息不得有危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益的内容出现。 第四条禁止非工作人员操纵系统,禁止不合法的登录情况出现。遇到安全问题应及时向计算机管理部门报告,并采取措施及时解决。 第五条局域网要采取安全管理措施,保障计算机网络设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第六条不得利用局域网络从事危害本局利益、集体利益和发表不适当的言论,不得危害计算机网络及信息系统的安全。在局域网上不允许进行干扰任何网络用户、破坏网络