信息安全通報管理程序_第1頁
信息安全通報管理程序_第2頁
信息安全通報管理程序_第3頁
信息安全通報管理程序_第4頁
信息安全通報管理程序_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

付費下載

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

.信息安全通報管理程序文件類別:信息安全三階文件文件編號:文件頁數(shù): 8(含封面)發(fā)行日期: 發(fā)行版次: A1撰寫部門:文件與記錄管制中心簽名/日期文撰稿者件發(fā)審核者行章核準(zhǔn)者發(fā)行管制編號文件版本控制表文 件 名 稱信息安全管通報管理程序

版次A1

編 號SP006

頁次1/8.修 訂 變更章次變 更 摘 要 修訂者版次 日期 章節(jié) 頁次文 件 名 稱信息安全管通報管理程序

版次A1

編 號SP006

頁次2/8.目 錄前言·····································4適用范圍····································4名詞定義····································4權(quán)責(zé)······································4作業(yè)程序說明··································55.1適用信息安全通報項目..................................................................................55.2信息安全事件分類原則..................................................................................55.3信息安全事件發(fā)生后的通報..........................................................................55.3.1信息安全事件通報··························55.3.2信息安全弱點通報··························65.4信息安全事件判斷..........................................................................................65.5信息安全事件原因分析..................................................................................65.6信息安全事件應(yīng)變處理..................................................................................75.7信息安全事件追蹤..........................................................................................75.8信息安全事件事后的反饋..............................................................................7相關(guān)文件····································7附件······································8補(bǔ)遺······································8文 件 名 稱信息安全管通報管理程序

版次A1

編 號SP006

頁次3/8.1前 言為了維護(hù)xx有限公司(以下簡稱本公司)的長期穩(wěn)定經(jīng)營的目標(biāo),擁有完善的信息安全通報管理程序,讓之能在最短的時間內(nèi)能透過這個通報程序獲知安全事件的訊息,從而提早作出明確的事件的研究和判斷,并做出有效的預(yù)防和解決方法,避免該安全事件的擴(kuò)大以降低 xx有限公司的損失。適用范圍任何時候當(dāng)本公司的網(wǎng)絡(luò)、硬件、軟件、信息安全系統(tǒng)、以及客戶資料受到破壞、威脅、弱點或者失效時,應(yīng)遵守本管理規(guī)則。名詞定義信息安全事件:公司的系統(tǒng)、服務(wù)或者網(wǎng)絡(luò)顯示可能危害信息安全政策或者安全保證失效的狀態(tài),或是可能與安全相關(guān)、先前未知的狀況等的一次識別發(fā)生。信息安全管理委員會執(zhí)行秘書:由本公司信息安全管理委員會執(zhí)行秘書擔(dān)任該職。信息安全事件處理者:由本公司總經(jīng)理擔(dān)任該職。事件記錄者:由各部門主管擔(dān)任該職。危機(jī)處理小組:由本公司各部門主管組成。權(quán)責(zé)本公司之所有受雇人員:遵循本管理程序的相關(guān)準(zhǔn)則,當(dāng)發(fā)現(xiàn)信息安全事件時應(yīng)該予以及時的通報至信息安全代表。文 件 名 稱信息安全管通報管理程序

版次A1

編 號SP006

頁次4/8.信息安全管理委員會執(zhí)行秘書:受理信息安全事件通報、確定它的影響范圍并做出損失評估、收集信息安全通報管理信息、培訓(xùn)信息安全通報技術(shù)、制定系統(tǒng)安全等級、制定信息安全通報管理措施。信息安全事件處理者:解除相關(guān)的安全事件,維持本公司的持續(xù)運作。事件記錄者:收集、記錄、追蹤事件處理情形并做相應(yīng)的統(tǒng)計分析。危機(jī)處理小組:當(dāng)遇之危機(jī)時執(zhí)行緊急應(yīng)變措施。事件發(fā)現(xiàn)者:填寫安全事件通報。作業(yè)程序說明5.1 適用信息安全通報項目信息安全事件信息安全弱點5.2 信息安全事件分類原則信息依據(jù)影響等級分類:A級---影響社會公共安全,如:客戶資料外泄等。B級---系統(tǒng)停滯或因信息安全事件影響交貨日期。C級---業(yè)務(wù)短暫中斷或因信息安全事件但不影響交貨日期,可在規(guī)定的時間內(nèi)修復(fù)。5.3 信息安全事件發(fā)生后的通報5.3.1 信息安全事件通報當(dāng)本公司之硬件設(shè)施、網(wǎng)絡(luò)受到破壞、威脅或者失效時,事件發(fā)現(xiàn)者應(yīng)先填寫『SF006-信息安全事件通報單』,然后交由信息安全事件處理者協(xié)同相關(guān)主管分析信息安全問題/影響等級。問題嚴(yán)重時要立即通知信息安全管理委員會執(zhí)行秘書,信息安全管理委員會執(zhí)行秘書接獲文 件 名 稱信息安全管通報管理程序

版次A1

編 號SP006

頁次5/8.該通知后,如判斷為緊急事件者,要將以傳真或電話形式告知危機(jī)處理小組處理。當(dāng)硬件設(shè)施遭受到了不可抗力、人員蓄意破壞或者使用不當(dāng)而造成了本公司無法正常營運,應(yīng)立刻通知設(shè)備維修商,使之在規(guī)定的期限內(nèi)修復(fù),確保之正常運作。但如果無法于規(guī)定的時間內(nèi)恢復(fù)正常運作,信息安全事件處理者應(yīng)該立刻通知危機(jī)處理小組,危機(jī)處理小組通知至本公司最高決策人,依據(jù)『SP013業(yè)務(wù)持續(xù)運作管理程序』啟動業(yè)務(wù)持續(xù)運作機(jī)制,以保證本公司之正常運作。5.3.2 信息安全弱點通報1) 當(dāng)發(fā)現(xiàn)、懷疑安全弱點時,事件發(fā)現(xiàn)者應(yīng)馬上填寫『SF006-信息安全事件通報單』,再將之通知信息安全代表。對任一弱點,信息安全代表協(xié)同相關(guān)主管先研究判斷問題,通知安全事件處理者處理,當(dāng)無法解決或者可確定為安全事件后,應(yīng)將『SF006-信息安全事件通報單』以傳真或者電話形式交由相關(guān)部門處理。信息安全事件處理者應(yīng)該以書面或者電話形式告訴設(shè)備使用者,不能自行去意圖驗證可疑的漏洞,從而使該行為被解釋為只是誤用系統(tǒng)。5.4 信息安全事件判斷當(dāng)安全事件發(fā)生后,應(yīng)該依據(jù)信息安全事件分類等級做出相應(yīng)之判斷,并決定是否將其報之相應(yīng)之上級主管:信息安全事件及影響等級為C級時呈報作業(yè)中心的各個相關(guān)部門負(fù)責(zé)人。信息安全事件及影響等級為B級時呈報作業(yè)中心主管。信息安全事件及影響等級為A級時呈報總經(jīng)理。5.5 信息安全事件原因分析對已發(fā)生之信息安全事件應(yīng)給予嚴(yán)密的原因分析,并對之做出統(tǒng)計分析,減少作業(yè)過程中的相關(guān)風(fēng)險系數(shù)。人員因素:由于本公司所有受雇人員因權(quán)責(zé)分工、人員安全、人員訪問管制以及對安全認(rèn)知等方面不完善的因素造成。流程因素:由于公司之工作文件與標(biāo)準(zhǔn)流程、授權(quán)管理、積極的安全文 件 名 稱信息安全管通報管理程序

版次A1

編 號SP006

頁次6/8.審核等相關(guān)作業(yè)流程不完善的因素造成。科技因素:由于本公司之硬件和軟件安全、電腦與網(wǎng)絡(luò)安全、備份管理等不可預(yù)知之因素造成。5.6 信息安全事件應(yīng)變處理對已經(jīng)發(fā)生之信息安全事件,本公司有責(zé)任在第一時間內(nèi)做出相應(yīng)的應(yīng)變處理,包括采取補(bǔ)救措施,急救措施,上報措施,當(dāng)情況嚴(yán)重時要參照SP013-業(yè)務(wù)持續(xù)運作管理程序』及『SP030-防疫應(yīng)變管理程序』做出更嚴(yán)密之安排和處理,在最大程度上減少本公司和相關(guān)之客戶的損失。5.7 信息安全事件追蹤對所有已經(jīng)發(fā)生的信息安全事件的處理過程、類型以及相關(guān)的補(bǔ)救措施,信息安全事件處理者應(yīng)及時記于『SF006-信息安全事件通報單』上。并應(yīng)追蹤所有之進(jìn)度,辦理信息安全事件結(jié)案及解除列管通知事宜。為了防止類似事件再發(fā)生,事件記錄者應(yīng)對所有之安全事件加以統(tǒng)計分析,制定相關(guān)的補(bǔ)救措施的規(guī)劃執(zhí)行,以備日后之用。5.8 信息安全事件事后的反饋為提高員工之執(zhí)行該標(biāo)準(zhǔn)之積極性,更好地促進(jìn)該標(biāo)準(zhǔn)的有效實行,本公司可以制定一系列相關(guān)之懲罰措施:未及時執(zhí)行該監(jiān)控機(jī)制之人員,將責(zé)令其通過后期收集,完善相應(yīng)的分析統(tǒng)計文件。如多次失職者,將會把該違反事例記入年度獎金和績效考核中,予以一定的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論