东莞市有限公司 ISMS-COP01
4 程序
4.1 信息安全事故定义与分类
4.1.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故:
a) 涉密、受控信息泄露或丢失; b) 服务器停运4小时以上;
c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。
4.1.2信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故:
a) 企业秘密及国家秘密泄露; b) 服务器停运8小时以上;
c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。
4.2 故障与事故的报告渠道与处理 4.2.1故障、事故报告要求
故障、事故的发现者应按照以下要求履行报告任务:
a) 各个信息管理系统使用者(包括合同方和第三方人员),在使用过程中如果发现软硬件故障、事故,应该向该系统归口管理部门报告;如故障、事故会影响或已经影响线上生产,必须立即报告相关部门,采取必要措施,保证对生产的影响降至最低;
b) 发生火灾应立即触发火警并向安全监督部报告,启动消防应急预案; c) 涉及企业秘密、机密及国家秘密泄露、丢失应向行政部报告;
d) 发生重大信息安全事故,事故受理部门应向信息安全管理者代表和有关公司领导报告。
4.2.2 故障、事故的响应
故障、事故处理部门接到报告以后,应立即进行迅速、有效和有序的响应,包括采取以下适当措施:
a) 报告者应保护好故障、事故的现场,并采取适当的应急措施,防止事态的进一步扩大;
b) 按照有关的故障、事故处理文件(程序、作业手册)排除故障,恢复系统或服务,
第31页 共106页
东莞市有限公司 ISMS-COP01 必要时,启动业务持续性管理计划。
4.3 故障、事故调查处理与纠正措施
4.3.1故障处理部门应对故障原因进行分析,必要时,采取纠正措施,故障的原因及采取措施的结果予以记录。
4.3.2对于信息安全事故,在故障排除或采取必要措施后,相关信息安全管理职能部门会同事故责任部门,对事故的原因、类型、损失、责任进行鉴定,形成《事态事件脆弱性记录》,报信息安全管理者代表批准;对于重大信息安全事故的处理意见应上报信息安全管理委员会讨论通过。
4.3.3对于违反公司信息方针、程序及安全规章所造成的信息安全事故责任者依据《信息安全奖励、惩戒规定》予以惩戒,并在公司内予以通报。
4.3.4信息安全保密管理职能部门要求事故责任部门制定纠正措施并实施,实施结果记录在《事态事件脆弱性记录》。
4.3.5由信息安全保密管理职能部门对实施情况进行跟踪验证。
4.4 报告信息安全薄弱点与预防措施
4.4.1本公司与信息安全管理有关的所有员工对发现的信息安全薄弱点或潜在威胁均应履行报告义务。
4.4.2发现者应填写《事态事件脆弱性记录》,交本部门负责人确认,后提交各个系统归口管理部门确定是否采取预防措施,确认责任部门并实施。预防措施的实施、验证执行《预防措施控制程序》。
4.5 信息安全事件定义与分类
4.5.1信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因不一定造成不良影响(后果),但有出现失控的状态,均为信息安全事件:
? 服务、设备或设施的丢失; ? 系统故障或超载; ? 人为错误;
? 策略或指南的不符合; ? 物理安全安排的违规; ? 未加控制的系统变更; ? 软件或硬件故障; ? 非法访问。
第32页 共106页
东莞市有限公司 ISMS-COP01
4.5.2 所有现场工作人员都需要知道他们各自责任尽可能快地报告任何信息安全事态。报告程序应包括:
6. 报告人立即填写《事态事件脆弱性记录》; 7. 信息安全事态发生后应采取正确的行为,即:
1)立即记录下所有重要的细节(如,不符合或违规的类型,事件故障,屏幕上显示的消息,异常行为);
2)不要采取任何个人行为,但要立即按照本程序向资产负责人报告;
8. 由资产责任人按照《事态事件脆弱性记录》要求的流程确定事态的发生状态、内
容确认、原因分析、和采取对策,由资产责任人负责对策的绩效验证;并由行政部门按照《信息安全奖励、惩戒管理规定》决定参考已制定的正式惩罚过程,来处现场工作人员的安全违规行为。
9. 由于事态引发的《事态事件脆弱性记录》作为管理评审的输入,定期评审。
4.6 风险处置流程
4.6.1 由各部门按照所要求的范围提供《信息资产识别评价表》。
4.6.2 由办公室牵头识别各资产的脆弱性和面临的威胁,并分别对脆弱性和威胁进行赋值。 4.6.3 依据规定的计算方法分别计算各资产的风险值和相对应的风险等级。
4.6.4 由办公室汇总各资产的风险等级,并决定哪一个级别为可接受风险,形成《信息安全风险评估报告》,报信息安全管理委员会审批,审批件报管理层评审,并作为管理评审的输入。
4.6.5 依据获得信息安全管理委员会审批的《信息安全风险评估报告》,由办公室协调各资产所有部门,分别制定责任资产范围内的《信息安全不可接受风险处理计划》,该计划对不可接受风险采用:转嫁、控制、规避的方式进行控制。《信息安全不可接受风险处理计划》需要获得信息安全管理委员会的最后批准,方能实施。
4.6.6 由办公室依据《监视和测量管理程序》定期对所采取措施的有效性进行评价,评价结果报信息安全委员会评审。
5 相关/支持性文件
? 《纠正预防措施控制程序》 ? 《监视和测量管理程序》 ? 《密级控制程序》
? 《信息安全奖励、惩戒管理规定》
第33页 共106页
东莞市有限公司 ISMS-COP01
6 记录
记录名称 《信息安全风险评估报告》 《纠正/预防措施申请书》 《事态事件脆弱性记录》 保存部门 行政部 事件直接相关职能部门 事件直接相关职能部门 保存期限 3年 3年 3年 东莞市有限公司
信息安全人员考察审批与保密
管理程序
文件编号:ISMS-COP07 编写:信息安全管理委员会
状态:受控 2018年05月10日
第34页 共106页
东莞市有限公司 ISMS-COP01
审核: 批准:陈世胜 发布版次:A/0版 生效日期: 分发:各部门
2018年05月10日 2018年05月12日 2018年05月12日 2018年05月18日 接受部门:各部门
变 更 记 录
变更日期 版本 A/0 变更说明 初始版本 编写 审核 批准 第35页 共106页
