信息安全事件管理程序.doc

1、 信息安全管理体系文件ISMSP-33-A信息科技部信息安全事件管理程序A版2011年6月1日 发布 2011年6月1日 实施目录1 目的32 范围33 相关文件34 职责35 程序35.1 事件管理目标35.2 事件的分类35.3 事件的发现、记录和报告55.4 事件的处理55.4.1 一般事件55.4.2 分类和初始支持55.4.3 调查和诊断65.4.4 重大事件过程65.4.5 解决和恢复75.4.6 安全事件的记录和改进86 记录8修订历史记录版本日期修订者修订描述1.01 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复，从而维持良好的服务质量和可用性级别，特制定

2、本程序。2 范围 本程序适用于阜新银行信息科技部对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。3 相关文件 变更管理控制程序4 职责4.1 网管值班人员负责接收所有事件的报告并记录，根据事件类型决定事件处理；4.2 事件经理负责事件类型的确定，事件过程的管理；4.3 支持团队负责针对事件的方案的实施和解决；4.4 信息科技部总经理负责重大事件的管理，担当重大事件经理的角色。5 程序5.1 事件管理目标对于事件管理过程，应遵循以下目标：a) 尽快恢复正常服务。b) 最小化事件对业务的影响。c) 确保一致地处理事件和服务请求而不会有任何遗漏。d) 定向到最需要的

3、支持资源。e) 提供允许优化支持流程、减少事件数量和执行管理计划的信息。5.2 事件的分类5.2.1基于两个方面对事件进行分类:a) 事件所造成的影响b) 事件的紧急程度5.2.1.1 事件的影响等级等级说明事例高级事件影响到：总行或分行多个支行单个支行 机房设备损坏核心系统失效网络服务中断中级事件影响到一组用户或行领导用户局域网故障文件服务器故障打印服务器故障邮件服务器故障低级事件影响到单一用户PC维护文件恢复个人文件夹修复用户解锁、密码重置5.2.1.2 事件的紧急程度等级等级说明高级全部或严重影响到全行业务运作的事件中级部分影响业务运作的事件低级不影响业务运作的事件5.2.1.3 事件的

4、优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级，影响等级低并且紧急程度低的事件优先级为低级。 下表显示了与这些参数相关事件的分类：影响 低中高紧急程度低低低中中低中高高中高最高（重大事件）5.3 事件的发现、记录和报告5.3.1 事件的发现事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告，均应由首先接到报告的人员根据事件分类的原则进行判断，属于高等级或最高等级的事件，应立即向信息科技部总经理报告，必要时应继续报告行领导及上级监管机构。一般事件的处理按照5.4.1要求执行。5.3.2 事件的记录 所有

5、被报告或主动探测到的事件均应被记录。记录内容应包括：a) 唯一参考号b) 记录日期和时间c) 记录事件的人员的身份d) 报告事件的人员的身份（包括姓名、部门、位置和联系详细信息）e) 联系方法f) 受影响的配置项 (CI) 的详细信息g) 症状描述和任何错误代码h) 重现该问题所需要的步骤5.4 事件的处理5.4.1 一般事件 一般事件根据引起事件的不同原因，按照各类日常维护工作所涉及到的管理程序执行处理过程。5.4.2 分类和初始支持5.4.2.1 分类 必须对事件分类以便使用适当的解决方案尽可能有效地处理它们。分类是对给定的事件归类和进行优先级设置的流程，是事件管理中非常重要的第一阶段，因

6、为它确定要采取的后续操作。 网管值班人员应首先根据5.2的分类原则，定义事件的类别。 分配给事件的优先级可用于确定目标解决时间，如下表所示：优先级代码描述目标解决时间0重大事件- 1关键1 小时2高4 小时3中24 小时4低48 小时5计划预定5.4.2.2 初始支持初始支持是网管值班人员分配给各系统管理员后，能够令客户满意地解决事件而无需涉及其他任何支持领域的流程。系统管理员能够根据个人经验或通过规定的培训计划获得的专业经验提供解决方案详细信息。但是如果这些都不能解决用户的问题时，系统管理员应向主管领导汇报，并通过会议等形式讨论解决方案。5.4.3 调查和诊断如果初始支持未能解决事件，则它将

7、移交给调查和诊断流程。相关领导可组成问题解决小组，可能包含广泛的 IT 团队，包括支持和开发人员、外包提供商、合作伙伴和其他第三方。必要时可向总经理汇报，确定是否采取重大事件处理机制。5.4.4 重大事件过程重大事件过程在如下情况下提供附加的跨组织协调、资源、管理参与和沟通：即这些情况下的事件影响或潜在影响使得超出常规事件管理流程所提供的响应变得必要。关于事件是否足以调用重大事件过程的决定应由总经理决定。一旦确定某个事件是重大事件，总经理应指定相关领导立即通知涉及的所有各方人员。信息科技部总经理负责在重大事件期间协调计划、资源和沟通，并组织“恢复小组”。总经理应主持一次与恢复小组、已经参与处理

8、事件的任何团队成员、受影响的部门人员和其他任何相关技术专家进行的初始计划会议。该会议的目标是同时就恢复计划和沟通计划达成一致。恢复计划的目标是提供用于服务恢复的有计划和协调的方法，对需要采取的操作、由谁执行操作以及在何时完成操作等事项进行文档记录。在重大事件的整个生命周期中定期更新该计划，确保保留旧版本以用于审核目的。恢复计划包含以下内容：l 截止目前已知的“问题”的陈述。l 事件的细分，详细描述组件、接口和可能的问题原因。l 关于如何检验或排除每个可能的直接原因的高级计划。l 根据可能性和确认的容易性权衡每个可能的原因，允许向每个可能的原因的调查赋予一个优先级。l 将在此阶段采取的调查或解决

9、操作（基于所分配的优先级）的详细信息。l 关于谁将执行调查或解决操作的详细信息。l 每个操作的执行时间表，以及下一次恢复团队复查会议的时间。一旦同意了沟通计划和恢复计划，则应该分配任何需要的附加资源。一旦重大事件过程已在进行中，计划已得到同意，资源已完成分配，就应该遵循调查、诊断、解决、恢复和终结的标准事件生命周期。恢复小组应该以定期间隔向总经理汇报进度情况。5.4.5 解决和恢复解决和恢复流程负责确保按照变更和发布管理流程实施任何已确定的变通办法或解决方案，并确保采取任何附加恢复操作。一旦完成解决操作的执行，相关系统管理员将负责确认解决操作的成功。如果没有成功，应该检查的第一件事情就是验证是

10、否所有变更都已正确地实施。如果所有变更请求都已正确地实施，但是事件仍未解决，则应该将事件传回调查和诊断流程。一旦解决操作已成功实施，则相关管理员应与用户进行确认，确保用户需求得到一致性的解决。5.4.6 安全事件的记录和改进对于所有事件，相关的系统管理员均应进行分析，如果原因是由于安全问题导致的，则应该向安全管理员报告，由安全管理员决定是否需要采取纠正预防措施。所有由于安全问题导致的事件均应由安全管理员进行记录，形成事件事故记录单，可由事件解决过程规避的安全问题，可由系统管理员进行处理，安全管理员应验证结果。不可由事件解决过程处理的情况，应下发纠正/预防措施表，并跟踪验证。6 记录事件事故记录

11、单纠正/预防措施表事件事故记录单编号：ISMSP-33-R01 记录人:时间： 年 月 日地点描述：事件描述：报告人：报告人部门:联系方式:事件等级: 重大 关键(1小时内解决) 高(4小时) 中(24小时) 低(48小时)处理建议：科技信息部领导审批：处理结果： 处理人签字：处理措施实施是否有效： 是 否 验证人签字：备注：注：处理人员与验证人员不得为相同一个人。纠正/预防措施表编号:ISMSP-07-R01受审核区域审核员陪同人员不合格事实描述：严重程度严重 一般审核员（签字）： 年 月 日受审核区域负责人（签字）： 年 月 日不合格原因分析： 负责人： 年 月 日纠正措施及预定完成日期： 制定人（签字）： 年 月 日纠正措施验证结论： 审核员（签字）： 年 月 日