1、信息安全事件管理制度 12.1 報(bào)告信息安全事件和漏洞 12.1.1 信息安全事件報(bào)告 第295條 必須對(duì)員工明確說(shuō)明需要報(bào)告的安全事件。員工有責(zé)任報(bào)告安全事件。 第296條 必須制定安全事件的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全事件得到及時(shí)的報(bào)告和處理。 第297條 員工一旦發(fā)現(xiàn)重要信息可能或正在遭受破壞，必須立即按照相關(guān)的報(bào)告程序向公司報(bào)告。如果可能的話，還應(yīng)采取適當(dāng)?shù)拇胧﹣?lái)監(jiān)控并保護(hù)這些重要信息。 第298條 當(dāng)外界對(duì)公司發(fā)生的安全事件進(jìn)行詢問(wèn)和調(diào)查時(shí)，員工必須將這類請(qǐng)求轉(zhuǎn)交給公司的品牌宣傳部進(jìn)行處理，嚴(yán)禁私自回應(yīng)。 第299條 嚴(yán)禁員工私自對(duì)安全事件進(jìn)行調(diào)查和利用公司環(huán)境對(duì)其進(jìn)

2、行研究試驗(yàn)。 第300條 當(dāng)安全事件發(fā)生時(shí)，應(yīng)當(dāng)成立安全事件調(diào)查組，并明確其職責(zé)；其成員應(yīng)具備相應(yīng)的處理技能。 第301條 安全管理代表應(yīng)該維護(hù)事件報(bào)告數(shù)據(jù)庫(kù)，分析并確定事件發(fā)生的基本原因和應(yīng)當(dāng)采取的預(yù)防措施。 第302條 通過(guò)信息安全管理會(huì)議，安全管理委員會(huì)必須每季度對(duì)所有重大的安全事件報(bào)告進(jìn)行復(fù)審。 12.1.2 信息安全漏洞報(bào)告 第303條 應(yīng)該對(duì)員工明確說(shuō)明需要報(bào)告的安全漏洞。員工有責(zé)任報(bào)告安全漏洞。 第304條 應(yīng)該制定安全漏洞的分類、識(shí)別方法及建立相關(guān)的報(bào)告程序，以便安全漏洞得到及時(shí)的報(bào)告和處理。在技術(shù)符合性測(cè)試中發(fā)現(xiàn)的問(wèn)題應(yīng)被當(dāng)作安全漏洞進(jìn)行處理。 12.2 信息安全事件的管理和

3、改進(jìn) 12.2.1 職責(zé)和程序 第305條 必須建立信息安全事件處理程序，程序必須包括以下內(nèi)容： 1)角色定義和職責(zé)； 2)不同安全事件的處理方法及注意事項(xiàng)； 3)系統(tǒng)應(yīng)急恢復(fù)措施； 4)審計(jì)追蹤和證據(jù)收集要求； 5)安全事件的補(bǔ)救措施和糾正預(yù)防措施。 第306條 信息安全事件處理程序必須能夠適應(yīng)不同類型的信息安全事件。 第307條 參與信息安全事件處理的每位成員必須清楚他們的角色和職責(zé)。 第308條 當(dāng)發(fā)現(xiàn)已經(jīng)產(chǎn)生嚴(yán)重影響或可能帶來(lái)嚴(yán)重影響的安全事件時(shí)，必須立即停止事件中直接受影響系統(tǒng)的服務(wù)。程序中必須定義每個(gè)處理環(huán)節(jié)的響應(yīng)和處理時(shí)間要求，并在實(shí)際處理中嚴(yán)格執(zhí)行。 12.2.2 從安全事件中

4、學(xué)習(xí) 第309條 必須對(duì)安全事件進(jìn)行復(fù)審，并對(duì)事件的類型、影響程度和所帶來(lái)的損失等進(jìn)行分析和監(jiān)控。 第310條 必須從已發(fā)生的事件和故障中總結(jié)經(jīng)驗(yàn)，分析造成事件的根本原因，增強(qiáng)安全控制管理，避免問(wèn)題的再次發(fā)生。 第311條 信息安全培訓(xùn)應(yīng)增加有關(guān)安全事件處理方面的內(nèi)容。 12.2.3 安全事件處理要求 第312條 證據(jù)的收集應(yīng)該滿足法律法規(guī)的要求。 第313條 證據(jù)的收集應(yīng)該尋求法律部門、安全專家和外部相關(guān)機(jī)構(gòu)的建議和幫助。 13 業(yè)務(wù)連續(xù)性管理方面 13.1 業(yè)務(wù)連續(xù)性管理 13.1.1 業(yè)務(wù)連續(xù)性管理流程 第314條 業(yè)務(wù)連續(xù)性計(jì)劃的制訂必須有信息管理中心、業(yè)務(wù)部門和公司高層的參與。 第3

5、15條 必須對(duì)公司業(yè)務(wù)所面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估，綜合考慮其可能性和影響。必須進(jìn)行業(yè)務(wù)影響分析，識(shí)別業(yè)務(wù)的重要性和評(píng)估風(fēng)險(xiǎn)對(duì)業(yè)務(wù)帶來(lái)的影響。應(yīng)根據(jù)業(yè)務(wù)影響分析的結(jié)果，制定符合公司業(yè)務(wù)目標(biāo)的業(yè)務(wù)連續(xù)性計(jì)劃，并通過(guò)管理層的審批。業(yè)務(wù)連續(xù)性計(jì)劃必須經(jīng)過(guò)演練測(cè)試。 13.1.2 業(yè)務(wù)連續(xù)性及風(fēng)險(xiǎn)評(píng)估 第316條 業(yè)務(wù)影響分析應(yīng)該在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上進(jìn)行。業(yè)務(wù)影響分析應(yīng)該對(duì)直接損失進(jìn)行量化，并且綜合評(píng)估公司聲譽(yù)的損失、法規(guī)的違反以及人員的傷亡等。 第317條 業(yè)務(wù)影響分析的結(jié)果報(bào)告必須提交管理層進(jìn)行審批。 13.1.3 開發(fā)和實(shí)施包括信息安全的持續(xù)計(jì)劃 第318條 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)該包括以下幾點(diǎn)： 1)識(shí)別關(guān)鍵

6、業(yè)務(wù)流程及其從屬流程 2)流程恢復(fù)的優(yōu)先次序 3)所有的職責(zé)和緊急措施 4)恢復(fù)管理辦法 5)恢復(fù)流程 第319條 業(yè)務(wù)連續(xù)性計(jì)劃必須涵蓋所有關(guān)鍵業(yè)務(wù)流程，并且人員安全必須被優(yōu)先考慮。應(yīng)說(shuō)明計(jì)劃演練及修正的方式和時(shí)間安排。 第320條 每個(gè)計(jì)劃都應(yīng)該有一個(gè)指定的總負(fù)責(zé)人，而且每個(gè)計(jì)劃應(yīng)該清楚地說(shuō)明其激活的條件以及執(zhí)行計(jì)劃中每個(gè)要素的負(fù)責(zé)人。 13.1.4 業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、維護(hù)與再評(píng)估 第321條 業(yè)務(wù)連續(xù)性演練必須每年至少進(jìn)行一次，由安全管理委員會(huì)指導(dǎo)進(jìn)行。 第322條 必須為每項(xiàng)演練制定進(jìn)度表，說(shuō)明演練頻率、目的以及方法。應(yīng)該維護(hù)演練的完整記錄，采取適當(dāng)?shù)拇胧┙鉀Q遇到的問(wèn)題并改進(jìn)現(xiàn)有的流程。 第323條 計(jì)劃必須定期維護(hù)以確保其有效性，并指定人員負(fù)責(zé)維護(hù)，在出現(xiàn)下列情況時(shí)，必須對(duì)計(jì)劃進(jìn)行在評(píng)估和更新： 1)法律的變化 2)員工和公司的變化 3)業(yè)務(wù)的變化 4)業(yè)務(wù)系統(tǒng)和運(yùn)行環(huán)境的變化（如操作系統(tǒng)的升級(jí)） 5)第三方責(zé)任人的變