信息安全监控与安全事件报告管理制度

  • 格式:doc
  • 大小:260.00 KB
  • 文档页数:11

信息安全监控与安全事件报告管理制度
第一节总则
第一条为规范信息安全监控与安全事件报告管理工作,特制定本制度。

第二条本制度中信息系统包括操作系统、数据库系统、应用系统、服务器、存储设备、交换机、防火墙、入侵检测系统等系统和设
备。

第三条本制度所称的信息安全事件,是指由于自然灾害、人为失误或破坏、黑客入侵与病毒攻击等原因,出现骨干网络阻塞、业务
中断、系统破坏、数据破坏、公司网页被篡改、信息失窃或泄
密等严重影响到公司网络与信息系统正常运行,从而对网络传
输、业务运行、公司形象等方面造成不良影响,以及造成一定
程度直接和/或间接经济损失的事件的情况。

第四条根据信息安全事件对业务的影响程度及资产损失程度,把安全事件分为一般、严重和重大三个级别,具体参见(附件一)。

第五条本制度适用于***和各分子公司(含***)(以下简称“公司”)。

第二节信息安全监控
第六条总部信息部负责建立信息安全监控和安全事件报告的管理体系,各分子公司信息部负责所辖范围内的信息安全监控和安全
事件报告工作。

第七条信息系统管理员根据《信息安全监控操作指引》(附件二),对非授权或可疑操作进行监控,重点关注涉及信息系统安全的操
作记录,包括用户登录记录、帐号权限修改记录、信息系统的
配置更改记录、报警信息、失败登陆尝试记录等,填写监控记
录表,如有异常情况立即向信息安全管理员报告。

第八条信息系统管理员在监控过程中如发现异常情况,根据《问题处理管理制度》及时报告和处理,并针对已发现的可疑操作,评
估系统的安全性,修补系统中可能存在的安全隐患。

第九条信息安全管理员每月对监控记录表进行审阅,总结分析信息安全情况,填写《信息安全月度报告》(附件四),提交上级主管
审阅。

第三节信息安全日志管理
第十条公司信息部统一设置日志服务器,信息系统管理员根据《系统配置与基础架构管理制度》中基准配置的要求,开启信息系统
的日志功能并记录用户对信息系统的操作。

第十一条公司信息部制定详细的信息系统安全日志备份计划(包括机房门禁系统),信息系统管理员按计划进行备份和保存,信息系
统日志必须保存半年。

第十二条只有被授权人员才有阅读日志的权限。

为确保日志的完整性及真实性,在保留期内任何人不得删除或更改日志。

第四节信息安全事件报告
第十三条公司信息部负责信息安全工作,必须设立信息安全管理岗位,信息安全管理员负责信息安全监控和信息安全事件报告工作。

第十四条信息安全事件报告的具体流程参见《信息安全事件报告流程》(附件三)。

第十五条信息安全事件处理中的问题处理请参见《问题处理管理制度》。

第十六条总部信息部负责组织对相关安全事件进行分析和研究,并将结果通报各分子公司信息部。

第五节附则
第十七条本制度由公司总部信息部负责解释和修订。

第十八条本制度自发布之日起开始执行。

附件一信息安全事件分类与分级
一、信息安全事件主要可以分为以下几大类:
▪自然灾害:洪灾、火灾、地震等自然灾害。

▪拒绝服务:DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提
供正常的服务。

▪恶意代码:病毒、蠕虫、木马等会给计算机带来不良影响的代码。

▪未授权访问:某人在没有得到允许的情况下,获得对网络、系统、应用、数据,以及其它信息资源的访问权限。

▪不当应用:违反安全策略的行为,包括公司和部门制定的制度、流程、标准和规范。

▪上述几种安全事件的结合。

二、结合公司的实际情况,将信息安全事件做如下分级:
▪一般安全事件
由于非法攻击、病毒入侵等安全原因造成业务系统的主机、网络、数
据库和数据等IT资产受到损害,由于已经采取了安全预防措施(例如
备份设备等),没有影响业务系统的正常运行,并能够通过部门信息安
全管理员协调进行处理,在短期内发现并解决的安全问题,称为一般
安全事件。

例如:个别系统和设备由于病毒造成设备无法正常工作,但是没有影
响业务系统和网络流量等安全事件。

▪严重安全事件
由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网
络、数据库和数据等重要IT资产受到损害,可能对业务系统造成影响
的安全问题称为严重安全事件。

一般安全事件没有在规定时间内进行解决,同时可能对业务系统造成
影响,会从一般安全事件上升到严重安全事件。

例如:重要业务系统的重要服务器存在后门,可能对业务系统正常运
行造成影响或数据被修改等安全事件。

如爆发蠕虫,造成系统运行缓
慢。

重大安全事件
由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网络、数据库和数据等重要IT资产受到损害,并且已经对业务系统造成一定范围的影响,有可能产生业务中断的安全问题称为重大安全事件。

严重安全事件没有在规定时间内进行解决,同时对业务系统造成影响,会从严重安全事件上升到重大安全事件。

例如:由于蠕虫病毒大面积爆发,造成网络堵塞,已经对业务系统产生影响的安全事件,重要业务系统的数据或应用环境被破坏造成业务中断。

附件二信息安全监控操作指引
1、日操作
1.1 网络安全操作
▪防火墙日志检查
▪防火墙策略日志
▪防病毒告警检查
1.2系统安全操作
▪检查主机的帐号最近登陆情况、当前在线用户
▪主机日志检查
1.3 数据库和中间件维护操作
▪数据库日志检查
1.4 应用系统安全
▪安全日志检查
检查是否有未经授权的访问,是否有失败的登陆尝试,是否有被拒绝的交易。

2、月操作
2.1网络安全操作
▪配置文件备份
▪防火墙配置文件备份
▪VPN配置安全性检查
检查VPN配置是否严谨,VPN配置应该对拨入用户设置严谨的访问目标,目标地址必须指定到具体的地址。

▪VPN配置文件备份
3、季度操作
3.1网络安全操作
▪防火墙策略安全性检查
检查防火墙策略配置是否严谨,防火墙策略必须根据业务访问需要设置最严谨的访问控制策略,根据具体情况将目标地址具体到地址或端口。

3.2 应用系统安全
▪软件操作权限检查
检查应用系统的软件操作员的帐号和权限分配是否合理
附件三信息安全事件报告流程
8
流程描述:
一、发现信息安全事件后,应立即向本级公司信息部信息安全管理员报告;
二、信息安全管理员接到报告后,首先根据《信息安全事件分类与分级》(见附件
一)的定义对信息安全事件进行评估,确定信息安全事件的级别;
三、对于一般信息安全事件,先在本级公司信息部内处理,处理完成后以《信息安
全月度报告》(附件四)的形式向本级公司主管IT副总经理和总部信息部报告;
四、对于严重信息安全事件,必须立即向本级公司信息部经理、主管IT副总经理
和总部信息部报告,处理完成后以《信息安全月度报告》的形式向本级公司主管IT副总经理和总部信息部报告;
五、对于重大信息安全事件,必须立即向本级公司信息部经理、主管IT副总经理
和总部信息部报告,并在《信息安全月度报告》中进行总结。

由总部信息部向CEO报告,并在事件发生后三日内另行报送《重大信息安全事件报告》(见附件五)。

9
附件四信息安全月度报告(XX年X月)
联系电话:填报日期:安全负责人签字
10
附件五重大信息安全事件报告
事件发生时间:年月日时分
11。