信息安全事件处置管理制度

信息安全事件处置管理制度
第一章 总则
第一条 为加强网络与信息安全事件管理，全面提高网络与信息安全水平，保障网络通信畅通，提高系统服务质量，特制定本制度。

第二条 本制度适用于深圳市乐的文化股份有限公司及所有分子公司（以下简称“乐的文化”）所有信息系统。

第二章 组织和职责
第三条 应建立信息安全应急小组，具体职责包括：

组织制定网络与信息安全事件处理制度；
制定网络与信息安全事件处理考核指标和考核办法，定期组织检查和考核评比；
协调安全事件的处理；
负责对网络与信息安全事件管理和具体实施提出指导性意见和建议；
负责督促信息安全事故整改措施的落实。
第四条 应根据系统设备的数量，配备适当数量的安全管理员，由安全管理员负责所辖系统网络与信息安全事件方面的具体处理工作，职责如下：

负责网络系统安全策略、应急计划和事件处理流程的实施；
通过技术手段建立应急响应和预防机制；
负责相关系统安全事件的处理；
负责安全事件处理的事后跟踪，并确保预防或改进措施的落实。
第三章 安全事件定义
第五条 网络与信息安全事件是指计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患。

第六条 如发生以下情况，可能定义为安全事件：

非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；
信息泄漏，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；
拒绝服务，正常用户不能正常访问服务器提供的相关服务；
系统性能严重下降，有不明的进程运行并占用大量的 CPU 处理时间；
在系统日志中发现非法登录者；
发现系统感染计算机病毒；
发现有人在不断强行尝试登录系统；
系统中出现不明的新用户账号；
管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；
文件的访问权限被修改。
#第四章 安全事件分级

第七条 分级考虑要素

对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。

信息系统的重要程度
信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。

系统损失
系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价，划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失，说明如下：

a) 特别严重的系统损失：造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的；

b) 严重的系统损失：造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；

c) 较大的系统损失：造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；

d) 较小的系统损失：造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。

社会影响
社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响，划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响，说明如下：

a) 特别重大的社会影响：波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益；

b) 重大的社会影响：波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益；

c) 较大的社会影响：波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益；

d) 一般的社会影响：波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。

第八条 事件分级

根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。

特别重大事件（Ⅰ 级）
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受特别严重的系统损失；

b) 产生特别重大的社会影响。

重大事件（Ⅱ 级）
重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失；

b) 产生的重大的社会影响。

较大事件（Ⅲ 级）
较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；

b) 产生较大的社会影响。

一般事件（Ⅳ 级）
一般事件是指不满足以上条件的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失；

b) 产生一般的社会影响。

第五章 安全事件分类
第九条 有害程序事件（MI）

有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等 7 个子类，说明如下：

a) 计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制；

b) 蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序；

c) 特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能；

d) 僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序；

e) 混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等；

f) 网页内嵌恶意代码事件（WBPI）是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序；

g) 其它有害程序事件（OMI）是指不能包含在以上 6 个子类之中的有害程序事件。

第十条 网络攻击事件（NAI）

网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等 7 个子类，说明如下：

a) 拒绝服务攻击事件（DOSAI）是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的 CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件；

b) 后门攻击事件（BDAI）是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件；

c) 漏洞攻击事件（VAI）是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；

d) 网络扫描窃听事件（NSEI）是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件；

e) 网络钓鱼事件（PI）是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行帐号密码等；

f) 干扰事件（II）是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件；

g) 其他网络攻击事件（ONAI）是指不能被包含在以上 6 个子类之中的网络攻击事件。

第十一条 信息破坏事件（IDI）

信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等 6 个子类，说明如下：

a) 信息篡改事件（IAI）是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件；

b) 信息假冒事件（IMI）是指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件；

c) 信息泄漏事件（ILEI）是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件；

d) 信息窃取事件（III）是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件；

e) 信息丢失事件（ILOI）是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件；

f) 其它信息破坏事件（OIDI）是指不能被包含在以上 5 个子类之中的信息破坏事件。

第十二条 信息内容安全事件（ICSI）

信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括以下 4 个子类，说明如下：

a) 违反宪法和法律、行政法规的信息安全事件；

b) 针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；

c) 组织串连、煽动集会游行的信息安全事件；

d) 其他信息内容安全事件等 4 个子类。

第十三条 设备设施故障（FF）

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。

设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等 4 个子类，说明如下：

a) 软硬件自身故障（SHF）是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件；

b) 外围保障设施故障（PSFF）是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件，例如电力故障、外围网络故障等导致的信息安全事件；

c) 人为破坏事故（MDA）是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的信息安全事件；

d) 其它设备设施故障（IF-OT）是指不能被包含在以上 3 个子类之中的设备设施故障而导致的信息安全事件。

第十四条 灾害性事件（DI）

灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

第十五条 其他事件（OI）

其他事件类别是指不能归为以上 6 个基本分类的信息安全事件。

第六章 安全事件发现
第十六条 信息部建立监控措施和日志查看制度，采用必要的技术手段，确保及时发现安全事件。

第十七条 向所有人员和承包商提供培训，使之认识到发现并报告安全事件是其应尽的义务。

第十八条 发现可疑事件或发生安全事故时，及时向信息部报告所发现的安全弱点和可疑事件，由信息部协调处理并统一汇总。

第七章 安全事件处理
第十九条 信息安全事件的处理流程主要包括：发现、报告、响应（处理）、评价、整改、公告、备案等。

如下图所示：

发现：公司全体员工都有责任和义务将发现的信息安全事故及时向信息安全领导小组报告，并保护现场；同时信息安全执行小组应填写《信息安全事件分析和处置记录》。
报告：信息安全执行小组接到故障申报后，填写《信息安全事件分析和处置记录》并初步判定故障的严重程度、影响范围并上报信息安全领导小组，同时按信息系统应急预案处理故障；报告必须采用书面方式，如紧急情况下可以先用电话报告，随后补填《信息安全事件分析和处置记录》。
响应：
信息安全事故的响应和处理应遵循以下次序：
保护人员的生命与安全；
保护敏感的设备和资料；
保护信息系统相关重要的数据资源；
保护应用系统。
评价：信息安全应急小组牵头组织分析信息安全事故的类型、严重程度、发生的原因、性质、产生的损失、责任人、预防措施等进行分析，确定信息安全事故等级，形成《信息安全事件分析和处置记录》；
特大事故由信息中心报信息安全领导小组处理；重大事故及以下由信息安全应急小组组织处理；
特大信息安全事故的报告由信息安全领导小组审批；危急国家安全的须向国家相关主管部门报告；重大事故及以下信息安全事故的报告信息安全应急小组自行审批。
整改：对系统存在的缺陷进行整改；对相关的责任人进行考核，触犯法律的移送司法机关进行处理。
公告：信息安全领导小组对《信息安全事件分析和处置记录》进行公示并组织学习，对信息安全事故违规处罚结果予以公布。
备案：信息安全事故应进行备案管理，重大以上的信息安全事故由信息安全领导小组备案，其他信息安全事故由信息中心和个业务部门进行备案。
第二十条 对于安全事故，安全管理员应第一时间上报信息安全应急小组，信息安全应急小组在分析解决的同时，应上报信息安全领导小组，并寻求帮助，由信息安全领导小组协调各部门、相关服务商共同解决安全事故。

第二十一条 对于严重安全事件，安全管理员分析和解决的同时应上报信息安全应急小组，信息安全应急小组对安全事件进行深入分析，同时告知相关产品供应商或集成商，并协调安全管理员、相关产品供应商或集成商共同解决严重安全事件，如果未能解决则转入安全事故处理流程。

第二十二条 对于一般安全事件，安全管理员在日常维护、巡检、日志检查等过程中发现异常，或接到其他人员的异常报告判断为安全事件，并确定安全事件级别，安全管理员应详细记录事件的情况并协调相关维护人员进行分析和处理，如果未能解决则转入严重安全事件处理流程。

第八章 安全事件处理总结和上报
第二十三条 网络与信息安全事件处理完毕后，系统恢复正常运行后，要对整个事故进行分析研究，总结经验教训，并形成安全事件处理报告。

第二十四条 报告中应详细记录事件的起因、处理过程、建议改进的安全方案，造成的直接损失等。

第二十五条 对于安全事故和严重安全事件的处理报告应由信息安全应急小组上报信息安全领导小组，由信息安全领导小组审核并反馈相关意见，最后报告由信息部归档备案。

第二十六条 每年至少进行一次安全审计，在进行安全审计的时候，必须整理前一阶段所有安全事件的档案，进行总结和统计，总结和统计必需包括安全事件清单、安全事件造成的后果、改进措施执行情况、解决方案执行情况

第九章 附则
第二十七条 本制度由信息部负责解释并督促执行。

第二十八条 本制度自印发之日起实行。

第二十九条 本制度所对应的门店，店长作为第一责任人执行和负责。