当前位置:文档之家› 信息安全监控与安全事件报告管理制度

信息安全监控与安全事件报告管理制度

信息安全监控与安全事件报告管理制度第一节总则第一条为规范信息安全监控与安全事件报告管理工作,特制定本制度。

第二条本制度中信息系统包括操作系统、数据库系统、应用系统、服务器、存储设备、交换机、防火墙、入侵检测系统等系统和设备。

第三条本制度所称的信息安全事件,是指由于自然灾害、人为失误或破坏、黑客入侵与病毒攻击等原因,出现骨干网络阻塞、业务中断、系统破坏、数据破坏、公司网页被篡改、信息失窃或泄密等严重影响到公司网络与信息系统正常运行,从而对网络传输、业务运行、公司形象等方面造成不良影响,以及造成一定程度直接和/或间接经济损失的事件的情况。

第四条根据信息安全事件对业务的影响程度及资产损失程度,把安全事件分为一般、严重和重大三个级别,具体参见(附件一)。

第五条本制度适用于中国铝业股份有限公司总部和各分子公司(含郑州研究院)(以下简称“公司”)。

第二节信息安全监控第六条总部信息部负责建立信息安全监控和安全事件报告的管理体系,各分子公司信息部负责所辖范围内的信息安全监控和安全事件报告工作。

第七条信息系统管理员根据《信息安全监控操作指引》(附件二),对非授权或可疑操作进行监控,重点关注涉及信息系统安全的操作记录,包括用户登录记录、帐号权限修改记录、信息系统的配置更改记录、报警信息、失败登陆尝试记录等,填写监控记录表,如有异常情况立即向信息安全管理员报告。

第八条信息系统管理员在监控过程中如发现异常情况,根据《问题处理管理制度》及时报告和处理,并针对已发现的可疑操作,评估系统的安全性,修补系统中可能存在的安全隐患。

第九条信息安全管理员每月对监控记录表进行审阅,总结分析信息安全情况,填写《信息安全月度报告》(附件四),提交上级主管审阅。

第三节信息安全日志管理第十条公司信息部统一设置日志服务器,信息系统管理员根据《系统配置与基础架构管理制度》中基准配置的要求,开启信息系统的日志功能并记录用户对信息系统的操作。

第十一条公司信息部制定详细的信息系统安全日志备份计划(包括机房门禁系统),信息系统管理员按计划进行备份和保存,信息系统日志必须保存半年。

第十二条只有被授权人员才有阅读日志的权限。

为确保日志的完整性及真实性,在保留期内任何人不得删除或更改日志。

第四节信息安全事件报告第十三条公司信息部负责信息安全工作,必须设立信息安全管理岗位,信息安全管理员负责信息安全监控和信息安全事件报告工作。

第十四条信息安全事件报告的具体流程参见《信息安全事件报告流程》(附件三)。

第十五条信息安全事件处理中的问题处理请参见《问题处理管理制度》。

第十六条总部信息部负责组织对相关安全事件进行分析和研究,并将结果通报各分子公司信息部。

第五节附则第十七条本制度由公司总部信息部负责解释和修订。

第十八条本制度自发布之日起开始执行。

附件一信息安全事件分类与分级一、信息安全事件主要可以分为以下几大类:▪自然灾害:洪灾、火灾、地震等自然灾害。

▪拒绝服务:DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。

▪恶意代码:病毒、蠕虫、木马等会给计算机带来不良影响的代码。

▪未授权访问:某人在没有得到允许的情况下,获得对网络、系统、应用、数据,以及其它信息资源的访问权限。

▪不当应用:违反安全策略的行为,包括公司和部门制定的制度、流程、标准和规范。

▪上述几种安全事件的结合。

二、结合公司的实际情况,将信息安全事件做如下分级:▪一般安全事件由于非法攻击、病毒入侵等安全原因造成业务系统的主机、网络、数据库和数据等IT资产受到损害,由于已经采取了安全预防措施(例如备份设备等),没有影响业务系统的正常运行,并能够通过部门信息安全管理员协调进行处理,在短期内发现并解决的安全问题,称为一般安全事件。

例如:个别系统和设备由于病毒造成设备无法正常工作,但是没有影响业务系统和网络流量等安全事件。

▪严重安全事件由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网络、数据库和数据等重要IT资产受到损害,可能对业务系统造成影响的安全问题称为严重安全事件。

一般安全事件没有在规定时间内进行解决,同时可能对业务系统造成影响,会从一般安全事件上升到严重安全事件。

例如:重要业务系统的重要服务器存在后门,可能对业务系统正常运行造成影响或数据被修改等安全事件。

如爆发蠕虫,造成系统运行缓慢。

▪重大安全事件由于非法攻击、病毒入侵或后门等安全原因造成业务系统的主机、网络、数据库和数据等重要IT资产受到损害,并且已经对业务系统造成一定范围的影响,有可能产生业务中断的安全问题称为重大安全事件。

严重安全事件没有在规定时间内进行解决,同时对业务系统造成影响,会从严重安全事件上升到重大安全事件。

例如:由于蠕虫病毒大面积爆发,造成网络堵塞,已经对业务系统产生影响的安全事件,重要业务系统的数据或应用环境被破坏造成业务中断。

附件二信息安全监控操作指引1、日操作1.1 网络安全操作▪防火墙日志检查描述通过对防火墙的告警日志进行分析,发现设备异常情况使用方法开启防火墙的设备的日志功能,查看防火墙的设备告警日志,从而获得防火墙的异常情况。

▪防火墙策略日志描述通过对防火墙的日志进行分析,发现异常流量和设备异常情况使用方法开启防火墙关键策略的日志功能,查看防火墙关键策略的通过与拒绝数据包记录,从而获得防火墙设备本身的异常情况和网络中的异常流量。

注意事项只应对防火墙的关键策略开启日志功能,而不应该对所有的策略开启日志功能。

描述通过对VPN的日志进行分析,发现异常流量和设备异常情况使用方法开启VPN关键策略的日志功能,查看VPN日志。

▪防病毒告警检查描述通过对防病毒的告警日志进行分析,发现异常情况使用方法查看防病毒的告警日志,从而获得网内的病毒情况。

1.2系统安全操作▪检查主机的帐号最近登陆情况、当前在线用户查看方式检查帐号登录日志检查系统当前登录的帐号▪主机日志检查描述检查主机系统的日志信息,主要对登录的用户、用户登录时间、用户退出时间进行检查,以发现可疑的用户操作行为。

1.3 数据库和中间件维护操作▪数据库日志检查描述启动数据库的日志审计功能,查看登录失败用户及登录时间,分析异常的情况。

1.4 应用系统安全▪安全日志检查检查是否有未经授权的访问,是否有失败的登陆尝试,是否有被拒绝的交易。

2、月操作2.1网络安全操作▪配置文件备份描述备份网络设备的配置文件使用方法将配置文件输出到屏幕,并将输出的配置复制到文本文件进行保存。

注意事项1)保存配置文件,建议其文件名包含保存的日期、设备名称或IP、保存人员。

2)配置文件建议加密进行保存,并对该文件的访问进行控制。

▪防火墙配置文件备份描述备份安全设备的配置文件使用方法通过Web、管理端或命令行对配置进行备份。

注意事项1)保存配置文件,建议其文件名包含保存的日期、设备名称或IP、保存人员。

2)配置文件建议加密进行保存,并对该文件的访问进行控制。

▪VPN配置安全性检查检查VPN配置是否严谨,VPN配置应该对拨入用户设置严谨的访问目标,目标地址必须指定到具体的地址。

▪VPN配置文件备份描述备份设备的配置文件使用方法通过Web、管理端对配置进行备份。

3、季度操作3.1网络安全操作▪防火墙策略安全性检查检查防火墙策略配置是否严谨,防火墙策略必须根据业务访问需要设置最严谨的访问控制策略,根据具体情况将目标地址具体到地址或端口。

3.2 应用系统安全▪软件操作权限检查检查应用系统的软件操作员的帐号和权限分配是否合理中国铝业信息技术管理制度1附件三 信息安全事件报告流程各分子公司信息部信息安全管理员信息安全事件发生部门信息安全事件报告流程开始发现信息安全事件信息安全事件报告信息安全事件评估是否一般信息安全事件?是否严重信息安全事件?是否报告本级公司信息部经理向本级公司主管IT 副总经理和总公司信息部进行每月报告信息安全事件月度报告否是三天后书面报告报告本级公司主管IT 副总经理报告总部信息部报告本级公司主管IT 副总经理报告本级公司信息部经理报告总部信息部报告公司CEO 确定为重大信息安全事件结束重大信息安全事件报告中国铝业信息技术管理制度流程描述:一、发现信息安全事件后,应立即向本级公司信息部信息安全管理员报告;二、信息安全管理员接到报告后,首先根据《信息安全事件分类与分级》(见附件一)的定义对信息安全事件进行评估,确定信息安全事件的级别;三、对于一般信息安全事件,先在本级公司信息部内处理,处理完成后以《信息安全月度报告》(附件四)的形式向本级公司主管IT副总经理和总部信息部报告;四、对于严重信息安全事件,必须立即向本级公司信息部经理、主管IT副总经理和总部信息部报告,处理完成后以《信息安全月度报告》的形式向本级公司主管IT副总经理和总部信息部报告;五、对于重大信息安全事件,必须立即向本级公司信息部经理、主管IT副总经理和总部信息部报告,并在《信息安全月度报告》中进行总结。

由总部信息部向CEO报告,并在事件发生后三日内另行报送《重大信息安全事件报告》(见附件五)。

中国铝业信息技术管理制度附件四信息安全月度报告(XX年X月)单位名称信息安全管理员本月安全事件情况简述重大安全事件的发可采用后附文档方式现和处理过程本月安全工作遇到的主要问题和处理情况应采取的安全措施和建议联系电话:填报日期:安全负责人签字中国铝业信息技术管理制度11附件五 重大信息安全事件报告事件发生时间: 年 月 日 时 分单位名称 报告人 联系电话 通讯地址 传 真电子邮件发生重大信息安全事件的信息系统基本信息重大信息安全事件的描述及最后判定的事故原因重大信息安全事件的影响描述对重大信息安全事件的事后影响状况 事件后果□业务中断 □系统破坏 □数据破坏 □其他影响范围□单台主机 □ 台主机 □整个信息系统□整个局域网重大信息安全事件的主要处理过程与结果(必要时可附文字、图片等材料) (可增页)针对此类事件应采取的保障网络与信息系统安全的措施和建议(可增页)。

相关主题