【信息安全】【管理制度】【制度体系】XXX安全事件管理制度.docxVIP

PAGE 2 数据管理制度 第一章 报告信息安全事件和漏洞 第一条 信息安全事件报告 （一）必须对员工明确说明需要报告的安全事件；员工有责任报告安全事件。 （二）必须制定安全事件的分类、识别方法及建立相关的报告程序，以便安全事件得到及时的报告和处理。 （三）员工一旦发现重要信息可能或正在遭受破坏，必须立即按照相关的报告程序向XXX报告。如果可能的话，还应采取适当的措施来监控并保护这些重要信息。 （四）当外界对本单位发生的安全事件进行询问和调查时，员工必须将这类请求转交给主管部门进行处理，严禁私自回应。 （五）严禁员工私自对安全事件进行调查和利用本单位环境对其进行研究试验。 （六）当安全事件发生时，应当成立安全事件调查组，并明确其职责；其成员应具备相应的处理技能。 （七）安全管理代表应该维护事件报告数据库，分析并确定事件发生的基本原因和应当采取的预防措施。 （八）通过信息安全管理会议，安全管理委员会必须每季度对所有重大的安全事件报告进行复审。 第二条 信息安全漏洞报告 （一）应该对员工明确说明需要报告的安全漏洞。员工有责任报告安全漏洞。 （二）应该制定安全漏洞的分类、识别方法及建立相关的报告程序，以便安全漏洞得到及时的报告和处理。在技术符合性测试中发现的问题应被当作安全漏洞进行处理。 第二章 信息安全事件的管理和改进 第三条 职责和程序 （一）必须建立信息安全事件处理程序，程序必须包括以下内容： 1.角色定义和职责； 2.不同安全事件的处理方法及注意事项； 3.系统应急恢复措施； 4.审计追踪和证据收集要求； 5.安全事件的补救措施和纠正预防措施。 （二）信息安全事件处理程序必须能够适应不同类型的信息安全事件。 （三）参与信息安全事件处理的每位成员必须清楚他们的角色和职责。 （四）当发现已经产生严重影响或可能带来严重影响的安全事件时，必须立即停止事件中直接受影响系统的服务。程序中必须定义每个处理环节的响应和处理时间要求，并在实际处理中严格执行。 第四条 从安全事件中学习 （一）必须对安全事件进行复审，并对事件的类型、影响程度和所带来的损失等进行分析和监控。 （二）必须从已发生的事件和故障中总结经验，分析造成事件的根本原因，增强安全控制管理，避免问题的再次发生。 （三）信息安全培训应增加有关安全事件处理方面的内容。 第五条 安全事件处理要求 （一）证据的收集应该满足法律法规的要求， （二）证据的收集应该寻求法律部门、安全专家和外部相关机构的建议和帮助。 第三章 重大事件报告 第六条 计算机系统事件上报范围 满足下列报送标准的计算机系统事件必须报告。 （一）应用系统软硬件故障,导致应用系统中断或运行不正常超过3小时。 （二）网络通信系统故障,造成两条广域网线路同时中断超过半小时或单条广域网线路中断超过2小时。 （三）供电系统故障,导致计算机中心机房无法正常供电。 （四）系统感染计算机病毒,造成网内计算机病毒较大面积传播,个人计算机无法正常使用,影响系统运行。 （五）计算机中心机房遭水灾、火灾、雷击。 （六）外部攻击和内部泄密,包括我行网络遭遇入侵或攻击、信息系统敏感数据泄露、信息系统数据失窃、银行数据处理设备失窃等重大计算机安全事故,造成直接经济损失,严重威胁银行资金安全。 （七）其他计算机系统事故,造成不能正常运营,且影响范围超过一个县级行政区域。 第七条 上报方式 发生上述计算机系统事件时,要立即处理,如实填写《安全事件报告表》,并按《安全事件报告流程》以正式文件逐级上报上级领导,若为紧急技术故障,立即启用相应应急方案,待故障解决后,要立即进行补报。 第八条 高度重视,加强领导 近年来,计算机系统突发事故越来越多,要切实提高建立计算机系统重大事件报告制度重要性和必要性的认识,严禁迟报、漏报、瞒报、误报。 第七章 附则 第二十四条 本制度由XXX负责解释和修订。 第二十五条 本制度自印发之日起实施。