安全风险处理方案
- 第一条 公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的安全预防与安全测试。
- 第二条 系统安全测试及报告
- 公司应周期性利用渗透技术或漏洞扫描工具对各系统进行安全性测试。
- 应加强网络与信息安全检测、分析和预警工作。公司应每天定时利用自身检测技术平台实时检测和汇总重要系统运行状态相关信息,如:路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及流量等日志信息,分析系统安全状况,及时获得相关信息。
- 建立网络与信息安全事件通报机制。发生网络与信息安全事件后应及时处理,并视严重程度向各自网络与信息安全事件的负责人及上级主管报告。
- 第三条 预防
安全测试小组成员在发现安全漏洞或发生安全事件后,应当进行初步核实及情况综合,快速研究分析所发现得漏洞可能造成损害得程度,提出初步解决及行动对策,并视事件的严重程度决定是否及时报各自项目负责人。
当其他部门或个人发现漏洞后,应及时发布漏洞启动指令,并将漏洞严重程度向信息安全领导小组汇报。
- 预防范围:
- 易发生漏洞或存在漏洞的系统;
- 易发生事故的设备和系统;
- 存在事故隐患的设备和系统;
- 重要业务使用的设备和系统;
- 发生事故后可能造成严重影响的设备和系统。
- 预防措施:
- 建立完善的管理制度,并认真实施;
- 设立专门机构或配备专人负责安全工作;
- 适时分析安全情况,制定、完善安全测试具体实施方案。
- 第四条 事件分类与分级
公司系统网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的网络与信息安全事件。
网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的网络与信息安全事件。
信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的网络与信息安全事件。
信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件,利用网络从事违法犯罪活动的情况,网络恐怖活动的嫌疑情况和预警信息。
设备设施故障:由于信息系统自身故障或外围保障设施故障而导致的网络与信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的网络与信息安全事件。
灾害性事件:由于不可抗力对信息系统造成物理破坏而导致的网络与信息安全事件。
其他信息安全事件:不能归为以上6个基本分类的网络与信息安全事件。
- 第五条 系统漏洞以及安全事件定级
公司系统网络与信息安全事件级别分为四级:一级 (特别重大)、二级 (重大)、三级 (较大) 和四级 (一般)。
一级(特别重大):指能够导致特别严重影响或破坏系统的安全漏洞及事件。
二级 (重大):指能够导致严重影响或破坏的系统的安全漏洞及事件。
三级 (较大):指能够导致相对严重影响或破坏的系统的安全漏洞及事件。
四级 (一般):指能够导致较小影响或破坏的系统的安全漏洞及事件。
- 第六条 安全风险处理的流程
在发现信息安全事件时,启动安全风险处理流程,安全风险处理流程下图所示。
1、事件分析主要完成如下工作:
1)在发现漏洞或有安全事件发生后,安全工作小组对事件进行确认。
2)确认为漏洞或信息安全事件后,根据事件分类规则对事件进行定性、定级和上报。
3)根据对事件的初步分析,确定处理方式,如果安全工作组和开发人员以自身力量无法处理的事件,由安全工作小组向上级领导或上级机关提出应急支援请求。
第七条 安全测试总结
安全事件处理结束后,须进行一下工作:
- 召开安全事件总结会议
- 分析发生漏洞及安全事件的原因,形成信息安全事件原因分析报告。
- 对本次漏洞及安全事件处理的方法进行归纳归档,作为知识库进行保管。
- 更换或升级经常出故障的产品。
- 加强教育,培养人员的安全意识。