信息安全漏洞事件响应管理制度

1、目的

为做好应对网络与信息安全漏洞事件的响应效率，提高应急处理能力，降低安全风险，结合本公司ISO27001信息安全管理体系制度，制定本管理制度。

2、适用范围

本制度适用于XX有限公司及下属公司。

3、相关定义

信息安全漏洞事件分为为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件、拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、干扰事件和其他网络攻击事件。

4、漏洞分级

《信息安全技术安全漏洞等级划分指南》（GB/T30279-2013）规定了信息系统安全漏洞的等级划分要素和危害等级程度，给出了安全漏洞等级划分方法。据此标准开展漏洞处置工作。结合本公司情况安全漏洞划分为高危、中危、低危三个等级。

4.1、高危漏洞是指可远程利用并能直接获取系统权限（服务器端权限、客户端权限）或者能够导致严重级别的信息泄漏（泄漏大量用户信息或学校机密信息）的漏洞，包括但不仅限于：命令注入、远程命令执行、上传获取WebShell、SQL注入、缓冲区溢出、绕过认证直接访问管理后台、核心业务非授权访问、核心业务后台弱密码等；

4.2、中危漏洞是指能直接盗取用户身份信息或者能够导致普通级别的信息泄漏的漏洞，包括但不限于存储型XSS漏洞、客户端明文密码存储等；

   4.3、低危漏洞是指能够导致轻微信息泄露的安全漏洞，包括但不仅限于反射型XSS（包括反射型DOM-XSS）、JSONHijacking、CSRF、路径信息泄露、SVN信息泄露、phpinfo等；

1、组织机构：

公司XX部门设立应急小组，小组成员根据人员职能变化和制度应用范围变化动态变化调整。

应急组成员的进入条件：

1. 所有经理级及以上级别的开发、运维岗位人员；

2. 信息安全专员，公司重要系统和产品的运维人员；

3. 指定的其他相关人员；

2、小组职责

1. 收集、分析信息安全漏洞和事件，及时上报重要信息；

2. 负责本公司网络与信息安全病毒漏洞的监测预警和风险评估控制、隐患排查整改工作；

3. 协调和参与网络与信息安全突发事件应急演练；

4. 小组相关人员清单见《附录》。

    1、信息收集和通知机制

1. 信息化部负责建立应急响应的成员邮件组[email protected]、在公司XXXX  平台上建立信息安全应急事件的大项目，并建立紧急微信联络群；

2. 信息化安全专员负责收集和监控最新的漏洞/病毒信息；

3. 发现漏洞后立即向邮件组  小组成员告知漏洞/病毒信息；

4. 对于非工作日产生的突发事件，例如周末，节假日等，可以在微信群中紧急通知。

2、响应和评估

1. 应急小组在接到通知后，对事件2小时内做出响应，立即评估，4小时内判断事件性质和危害程度，对风险和漏洞进行定级；

2. 应急小组在24小时内，根据公司的网络状况与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议；

3. 事件发生后，信息安全负责人在XXX 应急事件的大项目里建立Issue来追踪和跟进事件， 待评估后，实施开始再回根据执行的复杂程度考虑依靠Issue跟随。

   3、研究和判断

应急小组先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延，把对业务的影响降为最低。

4、处置和上报

1. 风险处置策略包括：降低风险、转移风险、规避风险和接受风险。

2. 风险接受准则

• 对于高危漏洞，必须在规定计划内进行处置；

• 对于中危漏洞，经过应急小组讨论决定是否接受，将不可接受的风险进行处置；

• 对于低危漏洞，原则是可接受风险。

c.上报准则

• 对于高危漏洞，必须向集团信息安全管理小组进行上报；

• 对于中危漏洞，经过应急小组讨论决定是否上报，将需上报的风险向集团信息安全管理小组进行上报；

• 对于低危漏洞，原则是可不上报。

5、剩余风险评估

再次对事件做评估，在XXX上做好事件发生、发展、处置的记录和证据留存

6、定期演练

每年度信息安全专员针对病毒漏洞事件组织演练，建议所有经理以上级别和重要项目的开发、运维、运营人员都需要能定期演练，以应对突发的病毒漏洞事件。

原文始发于微信公众号（安全架构）：信息安全漏洞事件响应管理制度