政府资讯科技总监办公室
信息安全事故处理指南
[G54]
第3.0版
二零零六年五月
香港特别行政区政府
版权公告
? 2006香港特别行政区政府
除非另有注明,本出版物所载资料的版权属香港特别行政区政府所有。在符合下列条件的情况下,这些资料一般可以任何格式或媒介复制及分发:
(a) 有关资料没有特别注明属不可复制及分发之列,因此没有被禁止复制及分发;
(b) 复制并非为制造备份作售卖用途;
(c) 必须准确地复制资料,而且不得在可能误导他人的情况下使用资料;以及
(d) 复制版本必须附上“经香港特别行政区政府批准复制/分发。香港特别行政区政
府保留一切权利”的字眼。
如须复制资料作上述核准用途以外的用途,请联络政府资讯科技总监办公室寻求准许。
目录
1目的......................................................................................................1-1 2范围......................................................................................................2-1 2.1信息科技安全文件概览.............................................................................................2-2 3参考资料...............................................................................................3-1 4定义及惯用词.........................................................................................4-1 4.1定义.....................................................................................................................4-1 4.2惯用词..................................................................................................................4-1 5安全事故处理简介..................................................................................5-1 5.1信息安全管理中的安全事故处理................................................................................5-1 5.2安全事故处理是什么................................................................................................5-1
5.2.1信息安全事故...............................................................................................5-1
5.2.2安全事故处理...............................................................................................5-2 5.3安全事故处理的重要性.............................................................................................5-2 6政府内部信息安全事故处理的组织架构.....................................................6-1
6.1香港电脑保安事故协调中心......................................................................................6-1 6.2政府信息安全事故应急办事处...................................................................................6-2
6.2.1政府信息安全事故应急办事处的职能................................................................6-2
6.2.2政府信息安全事故应急办事处的结构................................................................6-2 6.3信息安全事故应急小组.............................................................................................6-3
6.3.1信息安全事故应急小组的职能.........................................................................6-4
6.3.2信息安全事故应急小组的结构.........................................................................6-4
6.3.3信息安全事故应急小组成员的职责...................................................................6-4
6.3.3.1组长.............................................................................................................6-4
6.3.3.2事故应急经理.................................................................................................6-5
6.3.3.3新闻主任.......................................................................................................6-5 6.4部门信息系统.........................................................................................................6-5
6.4.1部门信息科技系统经理..................................................................................6-6 7安全事故处理步骤概览............................................................................7-1 8规划和准备............................................................................................8-1 8.1安全事故处理计划...................................................................................................8-1
8.1.1范围...........................................................................................................8-1
8.1.2目标和优先处理事项.....................................................................................8-1
8.1.3职务和职责..................................................................................................8-2
8.1.4限制...........................................................................................................8-2 8.2报告程序...............................................................................................................8-2 8.3升级处理程序.........................................................................................................8-3 8.4安全事故应急程序...................................................................................................8-3 8.5培训与教育............................................................................................................8-4 8.6事故监察措施.........................................................................................................8-4
9.1确认事故...............................................................................................................9-2
9.1.1判断是否发生事故.........................................................................................9-2
9.1.2进行初步评估...............................................................................................9-3
9.1.3记录事故.....................................................................................................9-3
9.1.4记录系统状况...............................................................................................9-3 9.2升级处理...............................................................................................................9-4 9.3遏制.....................................................................................................................9-4
9.3.1决定是否须要暂停受袭系统的操作...................................................................9-5 9.4杜绝.....................................................................................................................9-5
9.4.1可杜绝事故的行动.........................................................................................9-5 9.5恢复.....................................................................................................................9-6 10事后跟进.............................................................................................10-1 10.1事故事后分析.......................................................................................................10-1 10.2事故事后报告.......................................................................................................10-2 10.3安全评估.............................................................................................................10-2 10.4覆检现行保护措施.................................................................................................10-2 10.5调查及检控..........................................................................................................10-2
附录
A 安全事故处理准备工作清单
A.1 安全事故处理准备工作清单样本
B 报告程序
B.1 报告机制建议
B.2 信息安全事故初步报告表
B.3 事故事后报告
C 升级处理程序
C.1 需要通知的各方
C.2 联络名单
C.3 升级处理程序示例
D 确认事故
D.1 安全事故的典型迹象
D.2 为确认事故收集的资料
D.3 事故类型
D.4 影响事故范围和后果的因素
E 安全事故升级处理工作流程
F 部门信息科技安全联络资料更新表
1 目的
有效的信息安全管理包括防范、侦测和应急的互相配合。除部署强而有力的
安全保护措施外,系统还应具备事故应急能力,以备在发生信息安全事故时
激活适当程序。安全事故处理是信息安全管理中重要的一环。
本指南旨在就安全事故处理计划的制订,以及信息安全事故的防范、侦测及
应急,为管理、行政及其他技术和操作人员提供参考。由于不同计算机系统
的安全事故可能构成不同的影响和导致不同的后果,政策局/部门应根据其
实际的操作需要,制订合适的安全事故处理计划。
2 范围
本文件旨在提供信息安全事故处理的实际指引和参考,但并不包括对具体计
算机硬件或操作系统平台的详细技术描述。政策局/部门应就有关技术细节
咨询相关的系统管理员、技术支持人员和产品供货商。
2.1 信息科技安全文件概览
下图所示为政府内部各信息科技安全文件之间的关系:
信息科技安全文件
五份核心信息科技安全文件的目的及概要简述如下:
《基准信息科技安全政策》:(S17)最高层次的指令文件,为全体政策局/部门制订安全规格必须达到的最低标准。这份文件列明了对政策局/部门至关重要的安全工作领域。《基准信息科技安全政策》可视为必须遵守的强制性基准规定,此外,各政策局/部门也可以采取其他适当的措施加强信息安全工作。
《信息科技安全指南》:(G3)介绍信息科技安全的一般概念,并对《基准信息科技安全政策》作出详细诠释。这份文件为制订安全要求提供了指引和应予考虑的事项。
《互联网网关安全指南》:(G50)《信息科技安全指南》的补充文件,为互联网网关安全提供一般指引。这些指引是针对互联网公开平台,将安全风险控制在可接受水平的最佳实务。这份文件专为参与互联网网关操作及技术工作的人员而制订。
《安全风险评估及审计指南》:(G51)《信息科技安全指南》的补充文件,介绍信息科技安全风险评估及安全审计的通用模型。这份文件的重点并非介绍如何进行安全风险评估或审计的详情,而是提供一个参考模型,以确保由独立安全顾问或审计师提供的服务,在范围、方法及成品方面有所参照。
《信息安全事故处理指南》:(G54)《信息科技安全指南》的补充文件,为管理、行政及其他技术和操作人员提供参考,以便制订安全事故处理计划。此外,亦可用作信息安全事故防范、侦测及应急的参考资料。
3 参考资料
a) 《信息科技安全指南》(G3)
(https://www.doczj.com/doc/5b8010840.html,.hk/gb/https://www.doczj.com/doc/5b8010840.html,.hk/chi/prodev/csecpol.htm)
b) Establishing a Computer Security Incident Response Capability, NIST (National
Institute of Standards and Technology) Special Publication 800-3, Nov 1991.
(https://www.doczj.com/doc/5b8010840.html,/topics/inchand.html)
c) Sample Incident Handling Procedures, from SANS (System Administration,
Networking, and Security Institute), April 1998.
(https://www.doczj.com/doc/5b8010840.html,/newlook/resources/policies/item7.pdf)
d) IETF (The Internet Engineering Task Force) RFC 2196 Site Security Handbook.
(https://www.doczj.com/doc/5b8010840.html,/rfc/rfc2196.txt)
e) IETF RFC 2350 Expectations for Computer Security Incident Response.
(https://www.doczj.com/doc/5b8010840.html,/rfc/rfc2350.txt)
f) Responding to Computer Security Incidents: Guidelines for Incident Handling,
University of California Lawrence Livermore National Laboratory, July 1990.
(ftp://https://www.doczj.com/doc/5b8010840.html,/pub/ciac/ciacdocs/ihg.txt)
信息安全事故处理指南定义及惯用词4 定义及惯用词
4.1 定义
无
4.2 惯用词
无
5
安全事故处理简介
5.1
信息安全管理中的安全事故处理
信息安全管理可视为一个须反复持续进行的循环过程。下图 5.1所示为过程中涉及的部分工作程序:
图5.1 信息科技安全管理反复进行的程序
部署适当的安全保护措施和保障措施可减少在受到攻击时被入侵的可能性。加强保护的安全措施包括进行风险评估以找出风险和安全漏洞、制定安全政策和指南、采取技术保护措施等。
然而,即使已采取上述各种措施,仍难免有机会发生安全事故,所以必须为安全事故应急作好准备。应指定适当人员负责不同的工作、预留资源并规划事故处理程序等工作,为发生安全事故作好准备。一旦发生安全事故,这些准备工作将有利于事故应急,使计算机系统能够以较具条理和更有效率和效益的方式恢复。
5.2
安全事故处理是什么
5.2.1
信息安全事故
“安全事故”一词在本指南泛指任何与信息科技安全有关的事故。安全事故是信息系统及/或网络内的负面事件,对计算机或网络安全的可用性、完整性和机密性构成威胁。自然灾害、硬件/软件故障、数据线故障、停电等负面事件并不包括在本指南范围内,这些负面事件应通过系统维护和运作恢复安全事故处理及
安全事故记录
如制定安全政策,定职责及应用保障
施
找出风险和安全及影响等
例如定期安全检及系统审
常见的安全事故包括:未获授权访问、未获授权擅用服务、信息系统资源受
攻击致无法使用、服务中断、破解已采取保护措施的数据/程序/网络系统
权限、恶意破坏或窜改数据/资料、渗透及入侵、滥用系统资源、计算机病
毒及恶作剧电子邮件、以及影响联网系统的恶性程序代码或脚本程序。
5.2.2 安全事故处理
安全事故处理是一系列持续进行的程序,规管安全事故发生前、发生时和发
生后所采取的措施。
安全事故处理始于规划和准备资料及制定适当程序(例如升级处理和安全事
故应急程序),以备日后遵照执行。
一旦侦测到安全事故,负责安全事故应急的各方须按照预定程序实施应急。
安全事故应急是指为处理安全事故并恢复系统的正常操作状态而进行的工作
或采取的措施。一般可成立特定的事故应急小组,负责进行安全事故应急工
作。
安全事故过后,应采取跟进行动评估事故,并加强安全保护措施,以防止再
度发生事故。应覆检规划和准备的工作,并作出相应的修订,以确保有足够
的资源(包括人力资源、设备和技术知识)和妥善制定的程序处理日后的同
类事故。
图5.2 安全事故处理的循环过程
下文将详细阐述安全事故处理循环过程的三个程序。
5.3 安全事故处理的重要性
明确清晰的安全事故处理计划不仅对计算机系统的有效操作至关重要,而且
还能影响政策局/部门的整体运作。安全事故处理的主要目的如下:
a. 确保具备处理事故所需的资源(包括人力资源、技术等);
b. 确保负责安全事故处理的各方明确了解,在发生安全事故时须按预定程序
进行的工作;
c. 确保事故应急有条不紊并具效益,而且能够迅速恢复受损系统;
d. 确保事故应急工作已获确认和互相配合;
e. 将泄漏数据、破坏数据和系统中断等事故可能造成的影响尽量减少;
f. 在政府内部及与外界分享事故应急经验;
g. 防止受到进一步的攻击和破坏;以及
h. 处理相关的法律问题。
鉴于信息科技在政府内部迅速发展,所有政策局和部门都有必要制定一套安全事故处理计划,尤其是目前正使用下列计算机系统的政策局和部门:
a. 与外部(例如互联网)连接的系统;
b. 处理敏感数据和资料的系统;
c. 关键任务系统;以及
d. 任何可因安全事故的发生而受重大不良影响的系统。
6 政府内部信息安全事故处理的组织架构
下图所示为政府内部安全事故应急组织架构的通用参考模型。
每个政策局/部门宜成立一个信息安全事故应急小组,而政府信息安全事故
应急办事处则集中统筹并支持各政策局/部门内部的信息安全事故应急小
组。各政策局/部门的信息安全事故应急小组负责监督政策局/部门内部特
定信息科技系统、计算机服务或职能范围的事故处理程序。
图6.1参与安全事故处理的各方
本章阐述信息安全事故处理的高层次组织架构和参与信息安全事故处理工作
各方的职务和职责。信息安全事故应急小组及负责部门信息系统的人员,应
根据政策局/部门或相关系统的特殊业务需要和操作要求,制定详细的信息
安全事故处理程序。政府信息安全事故应急办事处亦会制定其内部配合程序。
6.1 香港电脑保安事故协调中心
信息科技、互联网访问及电子商务的使用量近年来大幅飙升,从而令网络入
侵、计算机病毒攻击及计算机入侵有机可乘。事实上,近年来记录的信息安
全事故数目成倍攀升。为了应付这些安全威胁,香港特区政府创新及科技基
香港生产力促进局为香港电脑保安事故协调中心所订的目标是:
a. 成为香港计算机安全事故报告和应急的中心点;
b. 提高计算机安全意识,并推广国际准则和实务;
c. 协助改善计算机系统的安全,并防范与计算机安全相关的事故;
d. 为计算机安全事故的恢复行动提供协助和协调;以及
e. 与海外计算机紧急事故应急中心保持联系,以便互相合作和协调。
作为计算机安全事故应急的一站式中心,香港电脑保安事故协调中心的主要
职能如下:
a. 通过专门的网站和其它适当的渠道,发出计算机安全警报和报告;
b. 处理计算机安全事故报告,并为恢复行动提供协助;
c. 通过中心的网站、信息安全简讯和报告发布与计算机安全相关的技术讯息
和资料,并就安全事故的防范和入侵侦测工具作出建议;
d. 举行讲座和工作坊等活动以提高计算机安全意识;
e. 收集事故报告统计数据和报告摘要;以及
f. 与大专院校、计算机供货商、互联网服务提供商和其它计算机紧急事故应
急中心合作,共同找出解决计算机安全事故的方法。
6.2 政府信息安全事故应急办事处
政府信息安全事故应急办事处(GIRO)是为整个政府提供服务的组织,负责
集中统筹及在沟通协调方面支援各个政策局/部门负责集中统筹及支持各个
政策局/部门内部的信息安全事故应急小组,以处理影响政府信息科技系统
的安全事故。
6.2.1 政府信息安全事故应急办事处的职能
政府信息安全事故应急办事处主要有以下职能:
a. 就即将及已经发生的威胁,向部门信息科技安全主任发出安全警报;
b. 设立中央数据库,并监督政府内部对所有信息安全事故的处理;
c. 定期编制政府信息安全事故统计报告;
d. 充当中央协调办事处,以应付多点安全攻击(即不同的政府信息系统同时
受攻击);
e. 在政府信息安全事故事宜上,充当香港电脑保安事故协调中心与政府之间
的联络桥梁;以及
f. 促使政策局/部门的信息安全事故应急小组与香港电脑保安事故协调中
心,互相分享和交流信息安全事故处理的经验和数据。
6.2.2 政府信息安全事故应急办事处的结构
政府信息安全事故应急办事处的核心成员包括来自下列政策局/部门的代
表:
? 政府资讯科技总监办公室
? 安全局
? 香港警务处
政府信息安全事故应急办事处由政府资讯科技总监办公室、保安局和香港警
方代表组成。依据不同安全事故的性质,必要时可能会邀请个别政策局/部
门的信息安全事故应急小组成员和其它专家,为政府信息安全事故应急办事
处的运作提供协助。
政府资讯科技总监办公室内成立了一个常设办公室,负责为政府信息安全事
故应急办事处提供秘书处和职能方面的支持,并于应付可能影响整个政府的
信息安全事故时,担任各部门信息安全事故应急小组组长间的中心联络点,
以收集信息安全事故报告和统筹应急行动。政府信息安全事故应急办事处常
设办公室向各政策局/部门提供的服务如下:
? 就即将及已经发生的事故,向政策局/部门发出安全警报;
? 设立中央数据库,并监督政府内部对所有信息安全事故的处理;
? 定期编制政府安全事故统计报告,作为各政策局及部门的参考资料;
? 协调政策局/部门报告的安全事故,并向香港电脑保安事故协调中心传达技术支持的要求;
? 促使政策局/部门及香港电脑保安事故协调中心,互相分享和交流安全事故处理的经验和数据;以及
? 收集已报告的所有政府安全事故数据,定期为政府信息安全事故应急办事处编制统计资料和报告以供参考。
各政策局和部门应向政府信息安全事故应急办事处常设办公处提供信息安全
事故应急小组组长的联络资料,如资料有任何更改,应向常设办公室提供最
新的资料,以确保信息有效传递。部门信息科技安全联络资料更新表见附录
F。
政府信息安全事故应急办事处在必要时可能成立特殊专责小组(例如在发生
多点攻击时),就影响遍及多个政策局/部门及/或政府整体运作和稳定的安
全事故,协调应急工作。
6.3 信息安全事故应急小组
各政策局/部门应成立信息安全事故应急小组。信息安全事故应急小组是各
政策局/部门内部,负责协调、传讯和采取安全事故处理行动的协调中心。
信息安全事故应急小组的规模应按不同政策局/部门计算机系统的规模和范
围、系统的敏感程度以及安全事故对政策局/部门的潜在影响,作出相应调
整。
虽然政府信息安全事故应急办事处负责集中统筹信息安全事故的报告,并为
个别信息安全事故应急小组提供协调和咨询支持,但有关的信息安全事故应
急小组,仍须在处理所在政策局/部门的安全事故时,负责整体指挥和控制。
6.3.1 信息安全事故应急小组的职能
信息安全事故应急小组的主要职能包括:
a. 整体监督和协调政策局/部门内部所有信息科技系统的安全事故处理;
b. 在报告安全事故方面,与政府信息安全事故应急办事处合作,以便集中记
录和采取必要的跟进行动,例如报告警方,并寻求香港电脑保安事故协调
中心提供进一步协助;
c. 转发政府信息安全事故应急办事处就即将发生及已经发生的事故所发放
的警报,给政策局/部门内部负责有关工作的各方;以及
d. 促进政策局/部门内部,就安全事故处理和其它相关事务分享经验和交流
信息。
6.3.2 信息安全事故应急小组的结构
信息安全事故应急小组是政策局/部门内协调所有信息科技安全事故的中央
联络点。政策局/部门首长应从高层管理人员中挑选一名人员,担任信息安
全事故应急小组组长。组长应有权任命信息安全事故应急小组的核心成员。
在筹组信息安全事故应急小组时,部门信息科技安全主任应给予建议和支持,
以协助信息安全事故应急小组组长为部门信息系统制定个别系统的特定安全
政策和事故处理计划,并制定相关的后勤安排。部门信息科技安全主任还须
确保所在政策局/部门的所有信息系统,已遵守和履行部门整体信息科技安
全政策的规定。
虽然信息安全事故应急小组可根据政策局/部门的不同计算机设备情况,决
定小组成员的实际组合,但信息安全事故应急小组内也有一些必要的的关键
职务,例如信息安全事故应急小组组长、事故应急经理和新闻主任等。依据
各政策局/部门计算机设备的规模和范围,这些职务可由多人或一人负责。
下文将详述信息安全事故应急小组内各项职务及职能。
6.3.3 信息安全事故应急小组成员的职责
6.3.3.1 组长
组长的职责包括:
a. 根据事故应急经理提供的事故报告及分析,就系统恢复、委聘外部机构及
其所参与工作的程度,以及恢复后回复正常服务的后勤工作等关键事项作
出决策;
b. 因应事故对政策局/部门业务运作的影响,在适当情况下激活部门灾难恢
复程序;
c. 代表管理层批核为事故处理程序投放的资源;
d. 代表管理层批核就事故的立场所作的公众发布;
e. 与政府信息安全事故应急办事处合作,协调处理事故报告及必要的跟进行
动;以及
f. 在报告计算机系统的信息安全事故(特别是报告具有下列特点的信息安全
事故)方面,与政府信息安全事故应急办事处常设办公室合作:
? 直接提供公共服务的系统,而且系统故障可能导致服务中断(例如向政府互联网网站发出的拒绝服务攻击)
? 处理敏感数据和资料的系统
? 支持关键任务操作的系统
? 一旦发生安全事故,可能造成重大不良影响的系统,例如因网站遭涂改致使政府形象受损
6.3.3.2 事故应急经理
事故应急经理负责监察政策局/部门内部的所有安全事故处理程序,并为处
理事故程序寻求管理层提供资源和支持。事故应急经理的职责包括:
a. 整体管理及监督政策局/部门内部与安全事故处理相关的所有事务;
b. 在接获影响部门信息系统的安全事故报告后,通知信息安全事故应急小组
组长;
c. 向信息安全事故应急小组组长汇报安全事故处理程序的进展情况;
d. 在处理信息事故时与警方、服务承包商、支持服务提供商及安全顾问等外
部机构和人士协调;以及
e. 为事故处理工作,向信息安全事故应急小组组长寻求提供所需的资源和支
持。
6.3.3.3 新闻主任
新闻主任负责回复公众有关政策局/部门安全事故的查询。新闻主任还负责
整体控制和监督向公众(包括传媒)发布信息的工作。
6.4 部门信息系统
各部门信息系统应拨出特定的资源来应付个别信息科技系统、计算机服务或
职能范围可能发生的安全事故,以便在事故应急上达到更佳的协调及支持。
各信息系统/服务事故应急小组的规模和结构依据系统或服务的范围和性质
故应急小组的职责。信息系统/服务事故应急小组的主要职能包括:
a. 监督所负责职能范围的安全事故处理程序;
b. 事先制定相关的事故处理程序和联络名单,以加快及推动处理程序;
c. 提供直接接收可疑事故报告的途径;
d. 直接并实时响应可疑活动;
e. 协助将破坏减至最少,并恢复系统正常操作;
f. 向服务承包商、计算机产品供货商或警方等外部机构和人士寻求有关安全
问题的意见;
g. 与其它外部机构和人士协调相关信息系统的安全事故处理工作;以及
h. 就所负责职能范围,对来自信息安全事故应急小组和政府信息安全事故应
急办事处的安全警报,进行影响分析。
如果信息科技系统的部分操作或全部操作均已外判予外部服务提供商及/或
已包括在其它政府部门提供的服务范围内,则外判服务提供商及/或提供服
务的部门亦应成立类似的事故应急小组,以提供与其职责相应的服务。
6.4.1 部门信息科技系统经理
部门信息系统经理监督由其负责的系统或职能范围内的整个安全事故处理程
序。其职责包括:
a. 制定及推行个别系统的安全事故应急程序;
b. 遵守并遵从安全事故应急程序,向政策局/部门的事故应急经理和信息安
全事故应急小组报告事故;
c. 与服务提供商、承包商和产品支持服务提供商等相关各方安排及协调,针
对事故采取修正和恢复行动;
d. 向信息安全事故应急小组报告安全事故,在信息安全事故应急小组的管理
支持下,于调查和收集证据的过程中对外寻求协调,例如寻求警方或香港
电脑保安事故协调中心的协助;
e. 掌握最新的信息安全科技和技术,并了解与系统或所负责职能范围相关的
最新安全警报和安全漏洞;
f. 利用安全工具/软件及/或系统日志及检查审计追踪日志,找出怀疑攻击
或未获授权的访问;
g. 在诊断问题和系统恢复过程中,提供有助于收集证据、系统备份和恢复、
系统配置和管理等技术支持;以及
h. 为计算机系统或所负责职能范围安排定期安全评估、影响分析和覆检。
信息安全事故处理指南
安全事故处理步骤概览
7
安全事故处理步骤概览
图7.1 安全事故处理步骤
安全事故处理的三个主要步骤如上图7.1所示。下文将详细阐述各步骤所涉及的处理程序。
信息安全事故管理办法 第一章总则 第一条目的:为加强公司信息系统安全事故的管理,提高信息系统安全事故管理的制度化、规范化水平,及时掌握全行网络和信息系统安全状况,为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础,降低信息安全事故带来的损失和影响,保障全行网络和信息系统安全稳定运行,特订定本管理办法。 第二条依据:本管理办法根据《公司信息安全管理策略》制订。 第三条范围:本办法适用于全公司信息系统。 第四条定义:信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件,或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员,并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括,但不限于: (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。
第七条符合以下条件之一的信息安全事故必须报告: (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营,且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析,发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程,包括四个主要阶段:控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警,应按照“早发现、早报告、早处置”的原则,加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后,需向信息安全事故协调员报告,确认故障情况,确认故障处理时间,准确定性故障级别,如果不能联系上信息安全事故协调员,则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后,需立即采取措施控制事态,如断开受病毒感染的系统的网络连接,及时通知DXC安全科和用户部门负责人,协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
安全事故经验分享 1.事件经过: 2007年我在北海小组工作期间,一次进行加油机日常维护中,认为加油机维护时间不长,抱着侥幸心理。未按要求事先做好危险因素识别,制定防护措施,设立作业区域,就对加油机进行检查维护。打开加油机的盖板随手就靠在旁边的立柱上,也就是一分钟左右的时间,忽然刮来一阵风把盖板吹倒,盖板碰到了在旁边等候加油的小车。最后对顾客进行了补偿,事件才得到了很好解决,我也从中受到了深刻教育。 2.原因分析: (1)对加油机维护工作未引起足够重视,抱有侥幸心理,未树立“安全无小事”观念;(2)未按要求做好危险因素识别,制定防护措施,设立作业区域; (3)作业时无监护人。 3.防范措施: (1)加强安全意识,树立“安全无小事”观念; (2)加强知识安全学习,作业前要严格按要求做好防护工作; (3)作业时一定要有监护人员,监护人要全程监护并坚守岗位。 井下水泵工坠井事故 1.事件经过: 东北某金属矿山发生一起老井下水泵工坠井事故。水泵工就是井下看护抽水泵的工人,一天他没有带打火机无法点亮自己的电石灯,还凭经验摸索进入井下的电梯间,由于电梯间没有关门,又因电梯间的灯由于故障没有及时维修,导致这名老工人坠井身亡。 2.原因分析: ⑴进入井下必须带打火机等照明设备,水泵工没有遵守,违章作业; ⑵井下电梯间灯光、防护门等隐患没有及时整改。 3.经验教训: ⑴一个事故不是一个原因独立造成的,它是多个因素共同作用,在某一个环节、时段发生的必然结果; ⑵发现的安全隐患必须得到及时整改,要重视隐患整改,每整改一个隐患就会减少事故发生的几率。 检查操作井磕伤脚面 1.事情经过: 2011年1月29日我在加油站检查操作井,手扶操作井边沿儿蹲身下井时,就在前脚进入操作井内的瞬间,后边的右脚从井边沿儿滑落,右脚面磕到井口边儿,红肿出血。 2.原因分析: (1)动作过快,过于粗心和自信,右手还拿着照相机;
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 证券期货业信息安全事件报告与调查处理办法(最新版) Safety management is an important part of production management. Safety and production are in the implementation process
证券期货业信息安全事件报告与调查处理 办法(最新版) 第一章总则 第一条为了规范证券期货业信息安全事件的报告和调查处理,减少信息安全事件的发生,根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》、《期货交易管理条例》、《证券期货业信息安全保障管理办法》等法律、行政法规和规章,制定本办法。 第二条证券期货业信息安全事件是指证券期货业信息系统运行异常或者数据损毁、泄露,对投资者合法权益造成损害或者对证券期货市场造成不良影响的事件。 第三条证券期货业信息安全保障责任主体发生信息安全事件后,应当按本办法规定进行报告和调查处理。 前款所称责任主体,包括承担证券期货市场公共职能的机构、
承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。 第四条核心机构、经营机构发生信息安全事件后,应当及时、准确、完整报告,不得迟报、漏报、谎报或者瞒报。 第五条信息安全事件调查处理应当坚持实事求是、尊重科学、客观公正、及时稳妥的原则。 第六条发生信息安全事件的核心机构和经营机构应当对事件进行内部调查,追究责任,采取整改措施。 第七条中国证监会及其派出机构依据本办法规定对核心机构、经营机构的信息安全事件进行调查处理。 第八条信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商应当配合中国证监会及其派出机构和发生事件的机构对事件进行调查和处理。 第二章事件分级
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 第四条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障 建设、信息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信 息安全指导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助 IT中心开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。
2、负责落实相关信息安全管理工作在部门内的实施。 3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高 人员的信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包
信息安全事件处理流程 LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】
信息安全事件处理流程 一、信息安全事件分类 根据公司实际生产运行情况,将信息安全事件分为两大类:重大信息安全事件和一般信息安全事件。 1、重大信息安全事件 1) 重要信息系统遭受严重的系统损失; 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断不能为超过80%(包括80%)的网络注册用户提供服务,时间达4小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达8小时。 系统(硬、软件)损坏或失窃,直接经济损失达1万元以上者。 重要技术开发、研究数据损坏或丢失,或重要信息系统数据损坏或丢失,数据量在时间上连续超过48小时。 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用,网络地址和用户身份信息的窃取、盗用。 发生自然灾害性事件导致的信息安全事故。 2)产生的社会影响波及到一个或多个地市的大部分地区,引起社会恐慌,对经济的建设和发展有较大负面影响,或损害到公众利益。 2、一般信息安全事件 1)重要信息系统遭受较小的系统损失; 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断导致不能为超过80%(包括80%)的网络注册用户提供服务,时间达2小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达4小时。 系统(硬、软件)损坏或失窃,造成直接经济损失达1万元以下者。
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全管理部 信息安全事件管理规范 V1.0
文档信息: 文档修改历史: 评审人员:
信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程,以便及时地对信息安全事件做出响应,启动适当的事件防护措施来预防和降低事件影响,并能从事件影响中快速恢复; 2.0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3.0 相关角色和职责 ●信息安全总监:负责制定《信息安全事件管理规范》,并督促制度的落实和执行; ●信息安全部经理: ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行; ?负责对各类信息安全事件进行第一时间响应,区分信息安全事件的类别及后续 处理流程; ?负责跟踪各类信息安全事件的后续处理,确保公司能从中汲取教训,不再发生 类似问题; ●信息安全事件发起人:在具体工作中发现异常后应及时上报,并协助完成后续处理 工作。 4.0 信息资产 信息安全管理部负责以下信息资产的安全运行: ●机房环境、硬件设备正常运行: ?互联机房; ?北京办公室机房; ?上海办公室机房; ?机房内的所有硬件设备,包括网络设备、服务器和其它设备; ●办公室网络环境正常运行 ?互联机房内网/外网环境; ?北京办公室内网/外网环境; ?上海办公室内网/外网环境; ●机房内系统工作正常; ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时,均属于信息安全事件处理的范畴。 5.0 信息安全事件分级、分类
对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5.1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素,对信息安全事件分为以下几个级别: 1级:本级信息安全事件对公司业务造成了重大影响,例如机密数据丢失,重大考试项目考中异常等; 2级:本级信息安全事件对公司业务造成了一定影响,例如短时间的设备宕机、大规模的网站异常造成客户投拆等; 3级:本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件,例如在日常维护工作中发现的各类异常事件等; 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释: ●常规工作:指影响超出单点范围,可能/己经造成了部门/小组级的工作异常,但未造成 实质性损害的信息事件; 5.2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为: ●环境灾害: ?自然/人为灾害:水灾、火灾、地震、恐怖袭击、战争等; ?外围保障设施故障: ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障:由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障:例如拖管机房的服务器、服务器故障等; ●常规事故: ?软硬件自身故障: ◆软件自身故障:由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障:由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故: ◆硬件设备、软件遗失;与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失:系统中的重要数据遗失 ◆误操作破坏硬件;
301-中国石油大庆石化分公司单位:30120-通讯中心 基层单位:大化电话站所属专业:其它 标题:玩忽职守酿事故安全经验类别:其它 上传人:赵明文共享级别:集团内共享 发表人:发表日期:2011-01-07 关键字:玩忽职守 内容:会议名称:安全生产例会 组织单位:大化站 会议时间:2011年1月4日 经验介绍人:赵明文(非本人亲身经历) 题目:玩忽职守酿事故 ?2000年1月18日河北省临漳县兴达制浆有限公司一台25m3蒸球出浆管伸缩节连接处意外脱落造成蒸汽纸浆喷出,导致3人死亡。直接经济损失19.3万元。 ?一事故的主要经过 2000年1月17日8时,蒸球车间2名操作工上班后与二楼切草人员配合开始给3号蒸球内加料,下午1时30分加料完毕,开始送汽。约1个半小时后,球内压力达到0.6MPa开始保压正常运行,同时,由于2号蒸球内出料口堵塞,生产安全技术员,维修工,操作工等3人正在现场维修。 ?17时40分,3号蒸球出料管伸缩节突然错位脱落,球内大量蒸汽纸浆向西方向迅速喷出,这时正在2号蒸球工作台上抢修的三名工作人员由于躲避不及(车间门向内开),当场烫伤、昏迷,事故发生后,伤员当即用车送到就近的磁县医院抢救,由于伤势过重,经抢救无效,相继死亡。 ?二事故分析 1.事故前设备状况: 该公司4台25M3蒸球及伸缩节均由原邯郸市造纸厂搬迁安装,使用前未按规定由劳动部门锅炉压力容器检验机构进行检验,并按规定输移装手续。 2.破坏情况 故发生后现场可见放汽头锁母脱落,放汽头管子发生错位在200mm左右。 3.事故原因分析及结论: 通过调查分析认为,此次事故的主要原因为: 1)3号蒸球与出浆管道接合部的伸缩节内紧固销钉损坏,连接处错位脱落,是这起事故的直接原因,车间的门朝里开,致使事故发生时,人员无法逃避,也是造成人员死亡的直接原因之一。 2)该蒸球移装前,未进行检验,也未办理移装手续,设备隐患未能及时发现并排除,是这次事故的间接原因。 3)由于单位领导参国家有关锅炉压力容器及压力管道的安全不重视,没有制定相关的管理制度,人员也未经安全知识培训和考核就上岗,安全技术人员未能及时检验发现损坏的紧固销钉,使设备带病运行,也是这次事故的重要原因。 结论:该事故是一起严重的设备损坏事故,属责任事故。 三预防事故发生措施的建议: 1. 要用这次血的教训,教育全体职工,增强安全意识,牢固树立安全第一的观念,切实加强对安全生产的领导和管理,健全组织,完善制度,采取有力措施,把安全生产落到实处; 2. 切实加强对设备的安全管理,做好维修保养,特别要加强对压力容器和锅炉的监督和检验,彻底消除事故隐患,杜绝类似事故的发生;
安全事件报告和处置管理制度 文号:版本号: 编制:审核:批准: 一、目的 提高处置网络与信息安全突发公共事件的能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发公共事件的危害,保障国家和人民生命财产的安全,保护公众利益,维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后,本局其它网络与信息安全应急预案与本预案相冲突的,按照本预案执行;法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订,报局领导批准后实施。局有关部门应根据本预案,制定部门网络与信息安全应急预案,并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主:立足安全防护,加强预警,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统,从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。 快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。 以人为本:把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务,及时采取措施,最大限度地避免公民财产遭受损失。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,各司其职,加强部门间、地局间的协调与配合,形成合力,共同履行应急处置工作的管理职责。 常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后,应成立局网络与信息安全应急协调小组(以下简称局协调小组),为本局网络与信息安全应急处置的组织协调机构,负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室),负责日常工作和综合协调,并与公安网监部门进行联系。 3 先期处置 (1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关局级主管部门通报。 (2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为局协调小组处置工作提出建议方案,并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后,根据局协调小组会议的部署,担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台,进入指挥岗位,启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。
安全经验分享案例 未作风险识别,维护加油机碰坏顾客车辆 1.事件经过: 2007年我在北海小组工作期间,一次进行加油机日常维护中,认为加油机维护时间不长,抱着侥幸心理。未按要求事先做好危险因素识别,制定防护措施,设立作业区域,就对加油机进行检查维护。打开加油机的盖板随手就靠在旁边的立柱上,也就是一分钟左右的时间,忽然刮来一阵风把盖板吹倒,盖板碰到了在旁边等候加油的小车。最后对顾客进行了补偿,事件才得到了很好解决,我也从中受到了深刻教育。 2.原因分析: (1)对加油机维护工作未引起足够重视,抱有侥幸心理,未树立“安全无小事”观念;(2)未按要求做好危险因素识别,制定防护措施,设立作业区域; (3)作业时无监护人。 3.防范措施: (1)加强安全意识,树立“安全无小事”观念; (2)加强知识安全学习,作业前要严格按要求做好防护工作; (3)作业时一定要有监护人员,监护人要全程监护并坚守岗位。 井下水泵工坠井事故 1.事件经过: 东北某金属矿山发生一起老井下水泵工坠井事故。水泵工就是井下看护抽水泵的工人,一天他没有带打火机无法点亮自己的电石灯,还凭经验摸索进入井下的电梯间,由于电梯间没有关门,又因电梯间的灯由于故障没有及时维修,导致这名老工人坠井身亡。 2.原因分析: ⑴进入井下必须带打火机等照明设备,水泵工没有遵守,违章作业;
⑵井下电梯间灯光、防护门等隐患没有及时整改。 3.经验教训: ⑴一个事故不是一个原因独立造成的,它是多个因素共同作用,在某一个环节、时段发生的必然结果; ⑵发现的安全隐患必须得到及时整改,要重视隐患整改,每整改一个隐患就会减少事故发生的几率。 检查操作井磕伤脚面 1.事情经过: 2011年1月29日我在加油站检查操作井,手扶操作井边沿儿蹲身下井时,就在前脚进入操作井内的瞬间,后边的右脚从井边沿儿滑落,右脚面磕到井口边儿,红肿出血。 2.原因分析: (1)动作过快,过于粗心和自信,右手还拿着照相机; (2)操作井深度偏高,大于我的腿部跨度; (3)操作井边沿儿窄,宽度不到15cm,与鞋底接触面小; (4)操作井边沿儿上用柴油渡过,经查是卸油时发生溢油,油站在处理操作井边儿时用带油的拖把擦拭,处理不彻底。 3.防范措施: (1)在进行检查时,也要做风险识别,确认安全后再进行检查。 (2)油品漏痕一定要处理彻底。 (3)登高、下井时手中不要持有其他物品。 螺丝刀绝缘柄损坏,带电维修遭电击 1.事件经过:
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安
信息安全事件处置预案 为保证我院信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合我院实际,特制定本应急预案。 一、总则 (一)工作目标 保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全。 (二)编制依据 根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神,制定本预案。 (三)基本原则 1、预防为主。建立、健全计算机信息安全管理制度,有效预防网络与信息安全事故的发生。 2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。 3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。 二、组织体系
成立网络与信息安全领导组,为我院网络与信息安全应急处置的组织协调机构。 三、预防预警 (一)信息监测与报告。 1、按照“早发现、早报告、早处置”的原则,加强对院属科室有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,按规定及时向应急领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。 2、建立网络与信息安全报告制度。 发现下列情况时应及时向应急领导小组报告: 利用网络从事违法犯罪活动的情况; 网络或信息系统通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改,丢失等情况; 网络恐怖活动的嫌疑情况和预警信息; 其他影响网络与信息安全的信息。 (二)预警处理与发布。 1、对于可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施控制事态,并向应急领导小组汇报情况。
信息安全事件管理制度 12.1 报告信息安全事件和漏洞 12.1.1 信息安全事件报告 第295条必须对员工明确说明需要报告的安全事件。员工有责任报告安全事件。 第296条必须制定安全事件的分类、识别方法及建立相关的报告程序,以便安全事件得到及时的报告和处理。 第297条员工一旦发现重要信息可能或正在遭受破坏,必须立即按照相关的报告程序向公司报告。如果可能的话,还应采取适当的措施来监控并保护这些重要信息。 第298条当外界对公司发生的安全事件进行询问和调查时,员工必须将这类请求转交给公司的品牌宣传部进行处理,严禁私自回应。 第299条严禁员工私自对安全事件进行调查和利用公司环境对其进行研究试验。 第300条当安全事件发生时,应当成立安全事件调查组,并明确其职责;其成员应具备相应的处理技能。 第301条安全管理代表应该维护事件报告数据库,分析并确定事件发生的基本原因和应当采取的预防措施。 第302条通过信息安全管理会议,安全管理委员会必须每季度对所有重大的安全事件报告进行复审。 12.1.2 信息安全漏洞报告 第303条应该对员工明确说明需要报告的安全漏洞。员工有责任报告安全漏洞。 第304条应该制定安全漏洞的分类、识别方法及建立相关的报告程序,以便安全漏洞得到及时的报告和处理。在技术符合性测试中发现的问题应被当作安全漏洞进行处理。 12.2 信息安全事件的管理和改进 12.2.1 职责和程序 第305条必须建立信息安全事件处理程序,程序必须包括以下内容: 1)角色定义和职责; 2)不同安全事件的处理方法及注意事项;
3)系统应急恢复措施; 4)审计追踪和证据收集要求; 5)安全事件的补救措施和纠正预防措施。 第306条信息安全事件处理程序必须能够适应不同类型的信息安全事件。 第307条参与信息安全事件处理的每位成员必须清楚他们的角色和职责。 第308条当发现已经产生严重影响或可能带来严重影响的安全事件时,必须立即停止事件中直接受影响系统的服务。程序中必须定义每个处理环节的响应和处理时间要求,并在实际处理中严格执行。 12.2.2 从安全事件中学习 第309条必须对安全事件进行复审,并对事件的类型、影响程度和所带来的损失等进行分析和监控。 第310条必须从已发生的事件和故障中总结经验,分析造成事件的根本原因,增强安全控制管理,避免问题的再次发生。 第311条信息安全培训应增加有关安全事件处理方面的内容。 12.2.3 安全事件处理要求 第312条证据的收集应该满足法律法规的要求。 第313条证据的收集应该寻求法律部门、安全专家和外部相关机构的建议和帮助。 13 业务连续性管理方面 13.1 业务连续性管理 13.1.1 业务连续性管理流程 第314条业务连续性计划的制订必须有信息管理中心、业务部门和公司高层的参与。 第315条必须对公司业务所面临的风险进行评估,综合考虑其可能性和影响。必须进行业务影响分析,识别业务的重要性和评估风险对业务带来的影响。应根据业务影响分析的结果,制定符合公司业务目标的业务连续性计划,并通过管理层的审批。业务连续性计划必须经过演练测试。 13.1.2 业务连续性及风险评估 第316条业务影响分析应该在风险评估的基础上进行。业务影
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
关于深入开展“安全经验分享”活动的通知 各单位,各直属公司,机关各部门: “安全经验分享”活动作为健康安全环境(HSE)管理体系推进一项重要工具,已在公司各个层面得到有效开展,初见成效。为进一步营造全员参与的安全文化氛围,不断提升全员健康安全环保意识,经研究决定,在全公司范围内持续深入开展“安全经验分享”活动。现将有关事宜通知如下: 一、安全经验分享的范围、内容和形式 (一)范围 1、油田公司职代会、党代会、领导干部大会、季度工作会议、生产办公例会、HSE委员会、HSE分委会、系统专业会议、机关部门工作例会等。 2、二级单位职代会、党代会、季度(或月度)工作会议、生产办公例会、HSE委员会、HSE分委会、系统专业会议、机关部门工作例会等。 3、基层单位职代会、生产办公例会、HSE工作例会等。 4、其他会议由召集人或召集单位根据会议内容确定。 5、各种培训班、研讨会等集体活动。 (二)内容 1、健康、安全和环保事故案例。 2、亲身经历的健康、安全和环保事件。
3、健康、安全、环保常识和工作经验等。 (三)形式 以多媒体、图片、照片、口述等形式进行,一般不超过5分钟。 二、安全经验分享的人员 主持人、主持人指定的人员及其他人员。 三、相关要求 (一)各级领导,尤其是各单位主要领导要带头进行安全经验分享,切实落实有感领导。 (二)各单位要做好安全经验分享相关材料的收集和整理工作,并及时上传至集团公司HSE信息系统平台和公司安全经验分享平台。公司将对各单位安全经验分享平台录入信息量和登录情况进行排名、考评。 (三)开展安全经验分享时,教训要讲清、做法要讲明,对用于安全经验分享的图片或影像资料,可配以必要的文字说明,以确保正确理解。 (四)开展安全经验分享活动要长期坚持、形成习惯,要注重实效、不流于形式。 (五)安全经验分享活动开展情况将作为一项HSE管理体系内部审核重要内容进行审核。 —2 —
公司信息安全事故管理程序 第一条目的。 信息安全风险时刻存在,信息安全事故经常发生。为了明确信息安全事故处理的责任和程序,有效处理信息安全事故,最大限度地减少和降低因事故给公司带来的损失,特制定本程序。 第二条适用范围。 本程序适用于公司发生的各类信息安全事故的检测、报告和处理。 第三条职责。 (1)公司员工有责任向信息安全领导小组报告其发现的信息安全弱点、信息安全事故。 (2)信息安全领导小组负责组织信息安全事故的处理、评审和改进。 第四条定义。 (1)信息安全事件:是指被确定发生于系统、服务或网络中的一种状态,表明可能有人违反了信息安全策略或防护措施没有发挥效用,或者出现了与安全相关的之前不为人知的情况。 (2)信息安全事故:由单个或一系列意外或有害信息安全事件组成,极有可能危害公司业务运行和威胁公司信息安全。信息安全事故可以是有意的或意外的(如因错误或者自然灾害导致的事故),也可以是技术或物理原因引起的。 第五条报告。
任何员工一旦发现(检测或观察到)实际发生或潜在的信息安全问题,必须以电话、邮件、面谈等方式立即报告公司信息安全领导小组。 第六条处理。 (1)信息安全领导小组责任人评审事件的轻重缓急后,组织相关部门处理事件。 (2)如果仅是误报,则取消事件响应,恢复到正常状态。 (3)如果确认信息安全事件是一个信息安全事故,则应立即采取控制措施处理信息安全事故,同时收集必要的证据,填写“信息安全事故报告表”。 (4)如果信息安全事故已被控制,则恢复业务的连续性,按照《业务连续性管理程序》执行,记录所有信息用于信息安全事故的评审,完善信息安全事故报告表。 (5)如果信息安全事故失去控制,则实施紧急救援,召集外部专业机构实施处理,同时记录所有活动。 第七条改进。 信息安全事故处理完毕,信息安全领导小组应进行以下活动。 (1)进一步收集相关事故信息。 (2)从信息安全事故中总结教训,重点分析事故发展的趋势和模式。 (3)确定新的或经过改进的控制措施,制订计划并付诸实施。
信息安全管理办法 目录 1 信息安全组织管理 (1) 2 日常信息安全管理 (1) 4.1 基本要求 (1) 4.2 人员管理 (1) 4.3 资产管理 (2) 4.4 采购管理 (2) 4.5 外包管理 (2) 4.6 经费保障 (2) 3 信息安全防护管理 (3) 5.1 基本要求 (3) 5.2 网络边界防护管理 (3) 5.3 信息系统防护管理 (3) 5.4 门户网站防护管理 (3) 5.5 电子邮件防护管理 (3) 5.6 终端计算机防护管理 (4) 5.7 存储介质防护管理 (4) 4 信息安全应急管理 (4) 5 信息安全教育培训 (4) 6 信息安全检查 (5)
1 信息安全组织管理 本项要求包括: a)应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制; b)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件; c)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等; d)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。 2 日常信息安全管理 2.1 基本要求 本项要求包括: a)应制定信息安全工作的总体方针和目标,明确信息安全工作的主要任务和原则; b)应建立健全信息安全相关管理制度; c)应加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投入。 2.2 人员管理 本项要求包括: