农村商业银行信息安全事件管理办法.doc

《农村商业银行信息安全事件管理办法.doc》由会员分享，可在线阅读，更多相关《农村商业银行信息安全事件管理办法.doc（19页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、ISO27001信息平安管理体系文件JRCB-ISMS-A13-BF-01信息平安事件管理方法总行科技管理部文档控制编制人倪敏审核人王卫忠批准人钱雪版本控制版本号变更操作变更时间变更人V1.0创立2021-01-05倪敏分发控制序号分发对象与文档关系文档权限1科技管理部员工读者阅读目录第一章总 那么2第二章信息平安事件的范围2第三章信息平安事件的监控和处理3第四章信息平安事件监督和总结管理5第五章附 那么5第六章附件6附件1：信息平安事件分类6附件2：信息平安事件分级81.特别重大事件级82.重大事件级83.较大事件级84.一般事件级9附件3：信息平安事件说明101.有害程序事件MI102.网

2、络攻击事件NAI113.信息破坏事件IDI124.信息内容平安事件ICSI135.设备设施平安功能故障FF136.其它事件OI：所有不能归为以上根本分类的信息平安事件。14附件:4：信息平安违法事件根本取证原那么151.目标152.原那么153.方法15第一章 总 那么第一条 目的：为加强农村商业银行以下简称“我行全行信息系统平安事件的管理，提高信息系统平安事件管理的制度化、标准化水平，及时掌握全行网络和信息系统平安状况，为协调组织相关力量进行信息系统平安事件的应急响应处理奠定根底，降低信息平安事件带来的损失和影响，保障全行网络和信息系统平安稳定运行，特订定本管理方法。第二条 依据：本管理方法

3、根据?农村商业银行信息平安管理策略?制订。第三条 范围：本方法适用于全行信息系统。第四条 定义：信息平安事件是指对任何信息技术资源合法使用、操作造成威胁的事件，或对信息技术资源具有潜在危险的任何一种情况。第五条 总部科技管理部负责信息平安事件的接报、汇总、通报和处置工作。科技管理部总经理负责信息平安事件协调，科技管理组平安合规岗位配合。第二章 信息平安事件的范围第六条 银行信息平安事件包括，但不限于：(一) 系统感染计算机病毒。(二) 银行网络遭遇外部入侵或攻击。(三) 内部人员、承包方人员和第三方人员利用银行网络进行破坏。(四) 信息系统敏感数据泄露或失窃。(五) 银行数据处理设备失窃。第七

4、条 符合以下条件之一的信息平安事件必须报告上级主管单位：(一) 导致计算机重要信息系统中断或运行不正常超过30分钟。(二) 严重威胁银行资金、信誉平安。(三) 因计算机平安事件造成银行不能正常运营，且影响范围超过一个县级行政区域。第三章 信息平安事件的监控和处理第八条 平安事件管理分为平安事件监控和平安事件处理。平安事件监控完成对平安事件迹象的检测和分析，发现和报告平安事件的存在。平安事件处理是对被发现的平安事件的响应处理过程，包括四个主要阶段：控制、证据收集、铲除与恢复以及事后分析。第九条 平安事件监控包括信息平安事件监测、预测和预警，应按照“早发现、早报告、早处置的原那么，加强对各类信息平

5、安事件和可能引发信息平安事件的有关信息的收集、分析判断和持续监测。第十条 员工发现银行发生信息平安事件后，需向信息平安事件协调员报告，确认故障情况，确认故障处理时间，准确定性故障级别，如果不能联系上信息平安事件协调员，那么向代理信息平安事件协调员报告。第十一条 生产运行环境出现的平安事件按照?信息系统应急预案?执行。第十二条 信息平安事件协调员接到报告后，需立即采取措施控制事态，如断开受病毒感染的系统的网络连接，及时通知科技管理组和用户部门负责人，协调控制事件的影响。保存相关的防火墙、路由器、入侵检测系统、操作和应用系统日志等，以备检查。第十三条 信息平安事件协调员根据事态开展，协调科技管理部

6、相关科室进行事件处理和平息，并及时向IT部门总经理报告事件开展情况。根据本文附件信息平安事件分类分级相关内容，如果平安事件属I级或II级，IT部门总经理需向分管行长、总行IT上一级主管部门及负责人汇报事件的控制状况。第十四条 信息平安事件协调员在事发24小时内，向科技管理组提交信息平安事件报告，填写?信息平安事件报告?，信息平安事件报告包括以下内容：(一) 信息平安事件发生的时间、地点、单位、单位负责人和联系方式。(二) 信息平安事件的类别、涉及软硬件系统的情况和事件发生的过程。(三) 信息平安事件造成的后果和影响范围。(四) 信息平安事件发生的根本原因。(五) 责任人或涉案人员。(六) 信息

7、平安事件发生后采取的应急措施。(七) 未来的防范措施。第十五条 参见?常见信息平安事件的恢复策略?。第四章 信息平安事件监督和总结管理第十六条 为预防同样信息平安事件的再次发生，总部科技管理部平安合规岗应按?农村商业银行信息科技风险管理方法?的规定，不定期进行抽查，对各项制度、方案、方案、人员和物资等方面进行验证。对于发现的平安弱点应及时上报科技管理部相关负责人。对未有效落实事件处理方案及预防措施和有关规定的内部人员进行通报批评。对于承包方或第三方效劳商产生的平安弱点通报其工程负责人，并催促其限时整改，逾期未整改完成的将按照相关外包管理规定对其所在公司进行处分直至终止合同。第十七条 科技管理部

8、人员、承包方人员、第三方效劳商人员、驻厂效劳人员等科技管理部范围内人员，有义务对发现的平安弱点及时上报相应科技管理部小组负责人。相关小组对发现的平安弱点应及时进行整改处理，防止信息平安事件的发生。第十八条 总部科技管理部应将信息平安事件的应急管理和工作流程等作为信息平安风险培训的内容，增强信息平安事件处置工作中的组织能力。第五章 附 那么第十九条 本管理方法由农村商业银行科技管理部负责解释和修订。第二十条 本管理方法自发布之日起施行。第六章 附件附件1：信息平安事件分类信息平安事件说明有害程序事件计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件混合攻击程序事件网页内嵌恶意代码事件其它有害程序事

9、件网络攻击事件拒绝效劳攻击事件后门攻击事件网络扫描窃听事件网络钓鱼事件干扰事件其它网络攻击事件信息破坏事件信息篡改事件信息假冒事件信息泄漏事件信息窃取事件信息丧失事件其它信息破坏事件信息内容平安事件违反宪法和法律、行政法规的信息平安事件针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息平安事件组织串联、煽动集会游行的信息平安事件其它信息内容平安事件设备设施平安功能故障软硬件平安功能故障平安设备设施故障人为破坏事件附件2：信息平安事件分级 参照?商业银行业务连续性监管指引?、?信息平安技术 信息平安事件分类分级指南 GB/Z 209862007?信息平安事件的分级考虑要素

10、，将信息平安事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。 1. 特别重大事件级 特别重大事件是指能够导致特别严重影响或破坏的信息平安事件，包括以下情况： 1) 由于重要信息系统效劳中断或重要数据损毁、丧失、泄露，造成经济秩序混乱或重大经济损失、影响金融稳定的，或对公众利益造成特别严重损害的突发事件；2) 由于重要信息系统效劳异常，在业务效劳时段导致本行两个(含)以上省(自治区、直辖市)业务无法正常开展达3个小时(含)以上，或一个省(自治区、直辖市)业务无法正常开展达6个小时(含)以上的特别重大事件；3) 业务效劳时段以外，重要信息系统出现的故障或事件救治未果，可能产生上述1

11、至2类的特别重大事件。2. 重大事件级 重大事件是指能够导致严重影响或破坏的信息平安事件，包括以下情况： 1) 由于重要信息系统效劳中断或重要数据损毁、丧失、泄露，对本行或客户利益造成严重损害的突发事件；2) 由于重要信息系统效劳异常，在业务效劳时段导致本行两个(含)以上省(自治区、直辖市)业务无法正常开展达半小时(含)以上，或一个省(自治区、直辖市)业务无法正常开展达3个小时(含)以上的重大事件；3) 业务效劳时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1至2类的重大事件。3. 较大事件级 较大事件是指能够导致较严重影响或破坏的信息平安事件，包括以下情况： 1) 由于重要信息

12、系统效劳中断或重要数据损毁、丧失、泄露，对本行或客户利益造成较大损害的突发事件；2) 由于重要信息系统效劳异常，在业务效劳时段导致本行一个省(自治区、直辖市)业务无法正常开展达半小时(含)以上的较大事件；3) 业务效劳时段以外，出现的重要信息系统故障或事件救治未果，可能产生上述1至2类的较大事件。4. 一般事件级 一般事件是指不满足以上条件的信息平安事件，包括以下情况： 1) 会使重要信息系统效劳中断或重要数据损毁、丧失、泄露遭受较小的损失、或使重要信息系统遭受较小的系统损失，一般信息系统遭受严重或严重以下级别的系统损失； 2) 产生一般的社会影响。附件3：信息平安事件说明1. 有害程序事件M

13、I1) 计算机病毒事件CVI：蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息平安事件，计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制。2) 蠕虫病毒WI：蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息平安事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序。3) 特洛伊木马事件THI：蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息平安事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有

14、害的功能。4) 僵尸网络事件BI：利用僵尸工具软件，形成僵尸网络而导致的信息平安事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序。5) 混合攻击程序事件BA。I：蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息平安事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等。6) 网页内嵌恶意代码事件WBPI：蓄意制造、传播网页内嵌恶意代码，

15、或是因受到网页内嵌恶意代码影响而导致的信息平安事件。网页内嵌恶意代码是指内嵌在网页中，未经允许有浏览器执行，影响信息系统正常运行的有害程序。7) 其他有害程序事件OMI：不能包含在以上6个子类之中的有害程序事件。2. 网络攻击事件NAI1) 拒绝效劳攻击事件DOSAI：利用信息系统缺陷，或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息平安事件。2) 后门攻击事件BDAI：利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息平安事件。3) 漏洞攻击事件VAI：除拒绝效劳攻击事件和后门攻击

16、时间之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息平安事件。4) 网络扫描窃听事件NSEI：利用网络扫描或窃听软件，获取信息系统网络配置、端口、效劳、存在的脆弱性等特征而导致的信息平安事件。5) 网络钓鱼事件PI：利用欺骗性的计算机网络技术，使用户泄露重要信息而导致的信息平安事件。例如，利用欺骗性电子邮件获取用户银行账号密码等。6) 干扰事件II：通过技术手段对网络进行干扰，或对播送电视有线或无线传输网络进行插播，对卫星播送电视信号非法攻击等导致的信息平安事件。7) 其他网络攻击事件ONAI：不能被包含在以上6个子类之中的网络攻击事件。3. 信息破坏事件IDI1

17、) 信息篡改事件IAI：未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息平安事件，例如网页篡改等导致的信息平安事件。2) 信息假冒事件IMI：指通过假冒他人信息系统收发信息而导致的信息平安事件，例如网页假冒等导致的信息平安事件。3) 信息窃取事件III：未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息平安事件。4) 信息丧失事件ILOI：因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丧失而导致的信息平安事件。5) 其它信息破坏事件OIDI：不能被包含在以上5个子类之中的信息平安破坏事件。4. 信息内容平安事件ICSI1) 违反宪法和法律、行政法规的信

18、息平安事件。2) 针对社会事项进行讨论、评论，形成网上敏感的舆论热点，出现一定规模炒作的信息平安事件。3) 组织串连、煽动集会游行的信息平安事件。4) 其他信息内容平安事件。5. 设备设施平安功能故障FF1) 软硬件平安功能故障SHSF：因信息系统中软硬件设备的平安功能故障而导致的信息平安事件，比方系统访问控制功能失效而导致信息的非授权访问。2) 平安设备故障SSHF：因信息系统中平安设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息平安事件。3) 人为破坏事故MDA：指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息平安事件。或由于人为的遗失、误操作

19、以及其它无意行为造成信息系统硬件、软件等遭到破坏，影像信息系统正常运行的信息平安事件。4) 其他设备设施故障IF-OT：不能被包含在以上3个子类之中的设备设施故障而导致的信息平安事件。6. 其它事件OI：所有不能归为以上根本分类的信息平安事件。附件:4：信息平安违法事件根本取证原那么1. 目标使调查的结果能够经受法庭的检查。2. 原那么1) 应该从一开始就把计算机作为物证对待，在不对原有无证进行任何改动或损坏的前提下获取证据；2) 证明你所获取的证据和原有的数据是相同的；3) 在不改动数据的前提下对其进行分析；4) 务必确认你已经完整的记录下你采取的每一个步骤以及采取该步骤的原因；5) 信息平安员应遵循证据链的原那么进行取证。3. 方法采用证据链的方法，其所指的是证据介质从最初的采集，到运输、使用、中间的保管及最后的存放归档，都要有明确记录、职责归属，以确保原本的证据介质完全没有任何时机被影响和破坏，证据链应显示：1) 谁获得了证据；2) 证据是什么；3) 什么时间和地点获得的证据；4) 谁保护了证据；5) 谁控制或占用了证据。传统工具包括：1) 记录本，用于对证据收集过程进行记录以协助调查员对调查过程的记忆，不能用做法庭证据；2) 容器，用于对证据进行封装和保护的容器；3) 照相机，用于现场拍照记录；4) 证据标签，用于对证据进行标注。