信息安全事件响应机制.docx

《信息安全事件响应机制.docx》由会员分享，可在线阅读，更多相关《信息安全事件响应机制.docx（13页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、安全事件响应机制附件三问题登记表问题编号：问题来源问题来源时间年 月日问题现象描述问题责任人问题原因问题责任人签名：解决措施问题责任人签名：问题关闭状态口成功关闭口转为历史问题注：如果未打勾说明问题未关闭。问题责任人签名：技术部负责人 意见签名：分管领导意见签名：首席风险官意 见签名：总经理意见签名：注：受表格限制，如果无法写完，可添加附页。附件四一般事故情况报告书上报机构：报辖区人民银行；涉及到网络犯罪的事件，应同时报送当地公安网监部门。报告时间： 年 月日 时第次注：单位名称处需加盖公章或信息技术负责人签字。单位名称报告人联系电话传真签发人联系方式 （含手机）事件发生时间、 地点事件简要经

2、过事件影响范围、影响 程度、影响人数、经 济损失情况事件导致的后果、发 生原因和事件性质 判断已采取的措施及效 果需要有关部门和单 位协助处置的有关 事宜备注附件五重大事故情况报告书上报机构：立即报辖区人民银行；涉及到网络犯罪的事件，应同时报送当地公安网监部门。上报频率：每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告。事件分析总结：在事件应急处置结束、系统恢复正常运行后12小时内，将事件分析总结上报辖区人民银行。报告时间： 年 月日 时第次注：单位名称处需加盖公章或信息技术负责人签字。单位名称报告人联系电话传真签发人联系方式 （含手机）事件发生时间、 地点事件简要经过事

3、件影响范围、影响程 度、影响人数、经济损 失情况事件导致的后果、发生 原因和事件性质判断已采取的措施及效果需要有关部门和单位 协助处置的有关事宜备注附件六灾难事故情况报告书上报机构：立即报辖区人民银行；涉及到网络犯罪的事件，应同时报送当地公安网监部门。上报频率：每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告。事件分析总结：在事件应急处置结束、系统恢复正常运行后12小时内，将事件分析总结上报辖区人民银行。单位名称报告人联系电话传真签发人联系方式 （含手机）事件发生时间、 地点事件简要经过事件影响范围、影响程 度、影响人数、经济损 失情况事件导致的后果、发生 原因和事件性质

4、判断已采取的措施及效果需要有关部门和单位 协助处置的有关事宜备注报告时间:注：单位名称处需加盖公章或信息技术负责人签字。第次年 月曰 时第一章总则3第二章事故及分级3第三章事故管理涉及的角色及职责4第四章事故处理流程4第五章问题控制6第六章监督和审计6第七章罚则6第八章附则7第一章总则第一条 为了有效处理（以下简称“公司”）信息系统异常，促进系统的不断完善；规范技术事故的报 告流程，特制定本管理办法。第二条事故管理的基本原则：一、快速报告原则：所有事故都应立即报告，先报告后处理，对于级别不清晰的事故，按照高级别报 告。二、快速处理原则：所有事故在报告后，决策应优先恢复业务，把对业务的干扰降低到

5、最低，有应急 预案的应立即启动应急预案，对事故原因的分析后续进行。三、追本溯源原则：所有事故在得到初步处理后，必须组织人员对事故追本溯源，找出事故发生的真 正原因。四、完整记录原则：所有事故都应完整记录以备后续处理，记录可以在突发事故处理结束后补登。第三条本办法侧重事故管理的内部管理流程，其中涉及对外通报的应遵循信息安全信息通报暂行办 法的相关规定。第二章事故及分级第四条本办法中的事故是指任何可察觉和可识别的，导致支付业务、网络通讯、机房环境等系统的无 法正常运行的故障。事故通常由系统监控、值班巡检和外部告知获得。第五条事故分级是指划分、确定事故的级别，事故级别反映了事故的严重程度，由低到高分

6、为一般事 故、重大事故和灾难事故三个级别。事故级别由事故所影响的业务范围、用户范围以及紧急程度三者共同 决定。一、一般事故指出现业务系统中断、网络中断等影响正常交易30分钟以内，大多数用户无法获得公司 正常系统服务的事故。二、重大事故指出现交易系统中断、网络中断等影响正常交易30分钟以上，绝大多数用户无法获得公 司正常系统服务的事故。三、灾难事故指因自然灾难、人为故意破坏以及其他意外因素，使本公司重要业务系统不能正常运行， 并造成恶劣影响或严重损失的，预计有效处置或消除其不良影响需要动员大量社会资源的事故。详细参见事故分级标准对照表（附件一）。第三章事故管理涉及的角色及职责第六条 事故管理涉及

7、的角色和职责一、第一发现人第一个得到或发现事故信息的公司人员，应立即向技术部值班人员及时报告发现的事故。二、值班人员值班人员负责发现和接收事故报告，向专业岗位人员报告事故，并记录事故信息。三、技术部负责人技术部负责人负责听取值班人员及专业岗位人员的报告，协调资源，及时向公司高层报告事故的处理 进展。四、交易结算、稽核风控和相关业务部门事故发生时的应知会的部门，协助技术部门处理事故，并做好风险防范和客户安抚等工作。五、人民银行事故上报的归口部门。六、信息技术服务提供商事故发生时，提供符合服务合同范围的技术支持。第四章事故处理流程第七条 事故处理流程包括事故获取、事故判定、事故报告、事故调查和分析

8、、事故解决和服务恢复、 事故记录和关闭六个过程。处理过程应做到判定过程迅速，得出结论准确，报告上级及时。第八条 事故获取：第一发现人是事故获取的责任人，事故发生后，第一发现人应提供事故发现时间、 事故现象、客户资料（如属于客户报告）等信息，向值班人员汇报情况。第一发现人在将信息通报给值班 人员后，职责结束。值班人员在事故登记表（附件二）登记第一发现人提供的事故信息；并有责任在事 故结束后，根据事故级别补录或汇总事故发生时间、事故发现时间、事故现象、客户资料等信息。事故判定：值班人员将事故现象告知各专业岗位人员。各专业岗位人员需尽快根据事故现象评估事故对业 务正常运行的影响，并立即通知技术部负责

9、人，由技术部负责人召集各专业岗位人员一起判断事故的级别。 事故级别难于界定的，按高级别事故判定。第九条事故报告：一、如果事故属于一般事故，技术部负责人及时通知相关业务部门负责人，并报告给公司领导。事故通报方面，立即电话报告辖区人民银行，并应在2天内，将事故发生的情况、处置措施、影响分 析，以一般事故情况报告的形式，及时上报辖区人民银行等归口单位；涉及到网络犯罪的事件，应同时报 送当地公安网监部门。详见一般事故情况报告书（附件四）。二、如果事故属于重大事故，技术部负责人及时通知相关业务部门负责人及总经理。事故通报方面，立即电话报告辖区人民银行，并立即以重大事故报告的形式，上报辖区人民银行等归 口

10、单位，并每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告；涉及到网络犯 罪的事件，应同时报送当地公安网监部门。在事件应急处置结束、系统恢复正常运行后12小时内，将事件 分析总结上报辖区证监局和行业协会，涉及远程接入交易所系统的故障，应同时上报有关交易所。详见重 大事故情况报告书（附件五）。三、如果事故属于灾难事故，技术部负责人及时通知相关业务部门负责人及总经理。事故通报方面，立即电话报告辖区人民银行，并立即以灾难事故报告的形式，上报辖区人民银行等归 口单位，并每隔30分钟至少上报一次，直至系统恢复正常运行；如有重要情况应立即报告；涉及到网络犯 罪的事件，应同时报送当地公安

11、网监部门。在事件应急处置结束、系统恢复正常运行后12小时内，将事件 分析总结上报辖区证监局和行业协会，涉及远程接入交易所系统的故障，应同时上报有关交易所。详见灾 难事故情况报告书（附件六）。四、事故级别难于界定的，按高级别汇报。第十条事故调查和分析：一、事故由技术部负责人召集各专业岗位人员进行事故调查和故障定位，制定事故处理方案。二、若属于存在应急方案的事故，严格按照应急方案执行；没有存在应急方案的事故由技术部负责人 召集各专业岗位人员制定临时处理方案。对于没有应急方案的事故且超出技术部处理能力时; 由应急指挥 部制定临时处理方案。第十一条事故解决和恢复服务：一、事故按照应急处理方案处理，在规

12、定时间无法处理的，启动公司应急预案。重大事故和灾难事故 在按照应急处理方案处理的同时启动公司应急预案。二、无应急预案，根据临时处理方案实施。第十二条 事故记录和关闭：一、所有事故事后必须详细记录，应包括事故时间、现象、处理流程、处理结果、原因、改进措施等。 值班人员是事故现象记录的责任人，事故级别由技术部负责人召集各专业岗位人员一起确定。二、事故处理人员负责汇总事故过程中记录的各种信息，并在事故发生后在事故登记表（附件二） 中登记处理情况。三、重大事故和灾难事故必须纳入后续问题控制；一般事故未发现原因和未彻底解决的，也必须纳入 后续问题控制。四、事故处理后，由技术部负责人组织对事故处理过程分析

13、，包括应急计划、报告流程、记录内容、 故障原因及类似风险分析。第十三条 事故处理完毕后，值班人员将事故登记表交给运维管理人员，运维管理岗负责归档管理。第五章问题控制第十四条所有未能找到根本原因的一般事故与所有重大事故和灾难事故都应升级为问题。第十五条除事故外，任何未影响业务正常运行的与业务系统相关的异常情况，若原因未明，都应作为 问题进行后续跟踪。第十六条 技术部负责人为问题指定问题责任人进行问题控制，以对发现的问题进行归类、调查和分析 以查找引起问题的根本原因。问题责任人必须是专业岗位人员。第十七条 问题责任人在接受问题后必须在问题登记表（附件三）上登记，并立即进行问题原因的 分析查找，并提

14、出解决措施，及时化解问题风险。第十八条 如果问题已经解决则关闭问题；否则转为历史问题。第十九条 问题处理完毕后，问题责任人将问题登记表（附件三）交给运维管理人员，运维管理岗 负责归档管理。第六章监督和审计第二十条 技术部负责人每月对事故登记表（附件二）进行检查，以促进事故管理的有效性。第二十一条 技术部负责人每月对问题登记表（附件三）进行检查，以促进问题控制的有效性。第七章罚则第二十二条 各有关人员必须严格执行以上事故管理规定，因私自或未经授权进行事故处理引起的信息 系统故障，将追究当事人的责任。第八章附则第二十三条本管理办法由技术部制定并负责解释和修订。 第二十四条本管理办法自发布之日起执行

15、。事故分级事故标准一般事故1 .重要业务系统出现异常,系统恢复时间（RTO-Recovery Time Objective） 在30分钟以内；2 .因病毒、攻击、拥堵等使系统异常，给市场或客户造成可感知的影响， 但交易时段2个小时内恢复的；3 .系统数据完整性被破坏，但在1个交易日内能够修复的；4 .灾害事故（停电、水灾、火灾等）发生后，重要业务系统能在1个交易 日恢复正常；5 .网站上出现有害信息，但能及时删除、屏蔽并保留审计线索的；6 .通信线路发生故障且对业务造成不良影响，1个交易日内系统恢复正 常；7 .敏感业务数据泄漏。重大事故各信息报告单位重要信息系统出现重大故障，已经（或预计将）

16、造成 重大损失（100万元以上），或给客户/市场带来重大不良影响的。包括但 不限于：L重要业务系统出现异常，系统恢复时（RTO-Recover Time Objective）在30分钟以上;2 .因病毒、攻击、拥堵等使系统异常，给市场或客户造成可感知的影响， 且交易时段2个小时内没有恢复；3 .业务数据完整性被破坏，且在1个交易日内没有修复；4 .通信线路发生故障，对业务造成严重影响，且在1个交易日系统没有 恢复正常；5 .灾害事故（停电、水灾、火灾等）发生后，重要业务系统在1个交易 日系统没有恢复正常；6 .网站上出现有害信息，且未能及时删除、屏蔽或未能保留审计线索的。灾难事故因自然灾难、人

17、为故意破坏以及其他意外因素，使公司重要业务系统不能 正常运行，并造成恶劣影响或严重损失的，预计有效处置或消除其不良影 响需要动员大量社会资源。附件一事故分级标准对照表附件二附件二事故登记表事故编号:事故发现时间年 月日事故发生时间年 月日事故发现过程值班员签名：事故具体描述值班员签名：事故影响值班员签名：事故级别口一般事故 口重大事故 口灾难事故事故报告情况值班员签名：事故处理方案专岗人员签名：事故处理结果专岗人员签名：事故发生的原 因专岗人员签名：改进措施专岗人员签名：信息技术部负责人 意见签名：分管领导意见签名：首席风险官意见签名：总经理意见签名：是否纳入问题控制口否口是注：受表格限制，如果无法写完，可添加附页。