搜 索

当前位置: 首页 / 政务公开 / 基础信息公开 / 通告公示

林芝市统计局信息安全事件应急响应管理规定

林芝市统计局

2021年08月23日 05:49

第一章总则

第一条为能够对林芝市统计局信息安全事件的管理提供有效的管理依据,特制定本规定。

第二条本规定所称的信息安全事件是指由于自然灾害、设备软硬件故障、人为失误或破坏等原因,影响到局信息系统的正常运行,以致出现业务中断、系统破坏、数据受损或信息失窃或泄密等情况,从而对局业务或形象造成影响或产生社会不良影响的事件。

第三条林芝市统计局各级单位应依据本规定,同时结合自身具体情况酌情划分本单位信息安全事件级别,并建立合适的应急响应机制,充分体现“谁主管、谁负责”的原则,保障业务系统的持续运行。

第二章组织机构

第四条林芝统计信息系统安全应急工作,由林芝市统计局网络安全和信息化领导小组统一领导。局设立级信息安全事件应急响应小组,负责级信息系统安全事件的响应和处置工作;县(区)局设立级信息安全事件应急响应小组,负责级信息系统安全事件的响应和处置工作。

第五条信息安全事件应急响应小组的领导应由各级计算中心的主要负责人担任。信息安全事件应急响应小组负责应急响应工作的现场实施。

第六条信息安全事件应急响应小组领导的职责包括:

(一)负责建立应急响应组织结构和响应机制的基本框架;

(二)负责做出启动应急响应机制和终止应急响应过程的决策,并负责向上级机构汇报应急响应的主要情况。

(三)跟踪了解应急响应过程的基本情况,审核信息安全事件应急响应小组的申请授权及其工作成果;

(四)在应急响应过程中,协调与内部部门的沟通与合作。

(五)在应急响应过程中,协调与外部单位的沟通与合作。

信息安全事件应急响应小组承担安全事件的现场处理工作,其成员应由具备相当技术能力和经验的人员组成,其职责包括:

(一)突发安全事件时,接受安全事故举报,根据时限要求及时启动相关应急措施,并向应急响应小组领导报告有关情况。

(二)快速、有效地解决突发的安全事件,评估事件所造成的损失与影响,尽快恢复系统的正常运行,并形成规范的事件处理报告。

(三)根据应急响应领导的要求,制定符合业务应用要求的应急响应策略和操作规程。

(四)负责整理和维护应急响应过程中积累的信息,以利于更好地准备处理未来的紧急事件。

(五)定期执行或参与对信息系统的安全评估,并提出安全改善建议,建立信息系统关键设备、设施的安全状态资料库,尽可能地预防可能出现的安全事件。

(六)根据局网络安全和信息化领导小组的要求,为内部信息管理人员及一般用户提供必要的应急响应教育与培训。定期参与国家和自治区正规部门提供的安全教育与培训,持续提高自身的业务素质和技能。

第七条快速、有效地处理安全事件离不开单位内部其他组织的通力协作和支持,这些内部组织包括:

(一)领导层。领导层能为正确决策以及资源分配提供必要的支持。领导层的支持是应急响应工作的组织保障。

(二)信息安全管理员。信息安全管理员熟悉信息系统中的安全配置(如防火墙的规则设置等)。

(三)IT技术人员。包括网络管理员、系统管理员和软件开发人员等,熟悉信息系统的技术细节。

(四)法律部门。负责审核应急响应策略和操作规程、新闻发布、责任追踪等项事宜,保证响应和处置工作符合国家的相关法律规定。

(五)人力资源部门。协助调查内部工作人员的情况,获取其背景资料,建立调查备案等。

(六)其他可以提供支持的部门。

第三章信息安全事件分类与分级

第八条信息安全事件通常可能包括(但不限于)不可抗拒的事件、设备故障事件、病毒爆发事件、外部网络入侵事件、内部信息安全事件、内部误用和误操作事件等。

第九条信息安全事件的处置需要贯穿整个安全管理的全过程,按照GB17859系列标准中专门的安全事件划分标准,确定具体信息系统安全事件的划分原则。从信息安全事件对本系统的影响角度可以进行以下分类:

一类事件:是指造成局部网络或业务系统短暂停顿的安全事件;

二类事件:是指造成局部网络或业务系统停顿的安全事件;

三类事件:是指造成全局网络或业务系统效率下降,影响业务顺利开展的安全事件;

四类事件:是指造成全局网络或业务系统中断,业务无法开展的安全事件;

五类事件:是指造成网络或业务系统大面积毁坏的安全事件。

第四章信息安全事件的管理要求

第十条为保障业务系统的正常运行,信息安全事件应急响应小组应具备如下能力:

(一)能够及时跟踪信息安全技术的发展,建立现有安全事件或潜在安全事件的应急响应策略及其操作规程。

(二)能够制定应急响应策略、计划和预案,并测试其有效性。

(三)能够拥有并熟练掌握应急响应工具和资源,并能熟练利用这些工具和资源快速、有效地解决突发的安全事件,并形成规范的事件处理报告。

(四)能够实施信息系统安全评估工作。

(五)信息安全事件应急响应小组的核心技术人员必须拥有相应的资质证明。

(六)能够妥善处理应急响应过程中可能出现的法律问题。

(七)其他有利于应急响应和处置的能力。

第十一条信息安全事件应急响应小组应配备必要的工具和资源,作为响应和处置的物质保障。工具和资源包括:

(一)信息收集和分析工具。收集和分析安全事件的相关信息,以判定安全事件的类型、原因、事故者以及对信息系统正常运行的影响和可能造成的损失。

(二)事件处理和恢复工具。用于处理安全事件,并使遭到破坏的计算机和网络设备等恢复到正常运行状态。

(三)联系和通信资源。用于应急响应过程中的通信联系,保障通信的实时性和安全性。

(四)计算机取证工具。这是对计算机犯罪取证的工具,有助于追究计算机犯罪行为的法律责任。

(五)其他可以提供支持的工具和资源。

第十二条制定完善的应急响应和处置管理制度及实施指南。应急响应管理制度和实施指南不仅得到审核并且经过演练,从而保证能够有效实施。

第十三条应急响应管理制度和实施指南在实践中不断改进,得到专业机构的审核确认,并能贯彻到各级单位内部人员的安全意识和日常信息安全行动中。

第十四条监管部门应制定相应的技术规范对应急响应的能力级别做出细致的要求。

第五章信息安全事件处理流程

第十五条各级单位的应急响应过程应遵循“预备-检测和分析-处置-善后行动”的应急响应生命周期过程:

第十六条各级信息安全事件应急响应小组负责各级单位信息安全事件的响应和处置工作,其处理流程中应落实如下操作:

(一)预备

1、信息安全事件应急响应小组应开通二十四小时的电话、邮件、实时网络通信方式或其他沟通渠道,及时接收各部门上报的安全事件,根据上报的内容形成正式的安全事件记录。记录包括事件对业务运行已经造成的影响、初步判断的事件原因、预期的发展状态等。

2、对于准备阶段的关键操作,信息安全事件应急响应小组应制定严格的文档审核和控制制度,余下三个阶段亦然。

3、在日常安全运行与维护工作中,信息安全事件应急响应小组应配合信息安全管理员主动发现可能的安全事件,及时将安全事件控制损失最小的水平上。

(二)检测与分析

在信息安全事件应急响应小组领导的决策指导下,具备相应能力的信息安全事件应急响应小组成员到达现场,尽量保存事件发生的原始数据,通过相应的技术手段核实安全事件记录中的内容,标识受影响的资产,估计安全事件的影响,做出安全事件级别的最终判断,并形成正式的紧急安全事件响应申请报告,上报相关领导,正式申请启动应急响应机制。

(三)处置

处置的任务包括确定紧急安全事件的处理方法,包括:隔离事件发生环境、查收恶意代码等;遏制正在发生的安全事件,并将受影响的业务系统恢复到正常运行状态。

1、遏制和消除工作的主要任务包括:

l根据标识的受影响资产的范围,界定安全事件发生的环境,尽量将未受波及的设备与界定的安全事件环境隔离;

l备份事件发生环境内未受到破坏的敏感信息;

l标识、修补被利用的脆弱性,删除恶意代码,根除隐患;

l阻断安全事件源头,防止已发生的安全事件进一步扩散;

l追踪或捕捉安全事件源,将责任追踪的原始证据归档保护;

l禁止非信息安全事件应急响应小组成员借机复制和公开敏感信息;

l其他相关的运行和处理工作。

2、恢复工作的任务包括:

l启用备份设备、利用备份数据将受影响的设备恢复到安全状态;

l恢复被隔离的系统,使其正常运行;

l信息安全事件应急响应小组和业务系统人员以及其他相关人员对安全事件的处理结果进行有效性确认;

l其他相关的运行和处理工作。

(四)善后行动

信息安全事件应急响应小组处理完毕安全事件之后,应形成规范的处理过程记录和报告,上报相关领导审核确认后,由信息安全事件应急响应小组领导决策终止当前的应急响应工作。

第十七条如果同一等级的安全事件有多起,则应根据如下原则确立安全事件处置的优先级:

(一)保护人的生命安全。

(二)保护机密或敏感数据的安全。

(三)尽可能缩短正常业务运行中断的时间。

(四)保护其他数据的安全。

(五)防止对系统的破坏,这包括各种软硬件实体。

第十八条信息安全事件应急响应小组应建立安全事件处理知识库,将每次安全事件处理的过程记录和结果保存在其中,作为提高自身响应能力的基础和素材。

第六章安全教育与培训

第十九条信息安全事件应急响应小组应规划安全教育与培训工作,做好定期和不定期的信息安全事件应急培训计划,上报信息安全事件应急响应小组领导审核,然后与单位专门的教育与培训部门联系,组织合适的内部人员参加相应的安全教育与培训。信息安全事件应急培训应包括如下要求:

(一)信息安全事件应急响应小组应针对紧急安全事件的情况制定完善的安全教育与培训计划,规划时间周期、内容、教师资格以及考核指标。

(二)信息安全事件应急响应小组成员应定期参与国家正规部门提供的安全教育与培训,提高自身的素质和技能,获得相应的资质证明。

(三)当发生紧急安全事件后,信息安全事件应急响应小组应就整个安全事件的处理过程对内部工作人员开展合适的培训,并采取适当的考核措施,以增强内部工作人员的安全意识和自我保护能力

第七章责任的划分与追究

第二十条应尽可能追踪引发紧急安全事件人员的责任,包括内部人员或外部人员。对于内部人员宜区分其是有意还是无意的行为。

第二十一条对于可追踪的内部责任人,应根据其意图、造成的事件等级,在法律部门和人力资源部门的配合下,追究其行政或法律责任。责任追究应符合相关的行政命令、法规或相关国家法律。

第二十二条对于可追踪的外部责任人,应根据其造成的事件等级,在法律部门和外部执法机构的配合下,追究其法律责任。责任追究应符合相关国家法律。

第二十三条信息安全事件对其他单位造成的影响,应根据双方的合作协议,在符合国家法律的框架下承担相应的责任。

第八章附则

第二十四条本规定由局计算站负责解释。

本规定自发布之日起执行。

扫一扫在手机打开当前页

【字体:

打印本文

相关信息