安全运维管理
控制点
12.安全事件处置
在等级保护对象的运行过程中会出现很多安全事件。需要对所有安全事件进行分类、分级,并为不同类型、不同级别的安全事件制定相应的响应流程,使安全事件能够得到及时、有效的处置,确保等级保护对象安全、稳定运行。
a)
安全要求(一般):应及时向安全管理部门报告所发现的安全弱点和可疑事件。
要求解读:如发现系统有潜在的弱点和可疑事件,应及时向安全主管部门汇报,并提交相应的报告或信息。
测评方法
1.核查运维管理制度中对于发现安全弱点和可疑事件后的汇报要求。
2.核查以往发现过的安全弱点和可疑事件对应书面报告或记录。
期望结果
1.已在网络安全事件管理相关规定中明确告知用户,在发现安全弱点和可疑事件时应及时向安全管理部门报告。
2.有与安全弱点和可疑事件对应的报告或记录文档。
b)
安全要求(重要):应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等。
要求解读:安全事件的分类分级标准可参考GB/T20986-2007《信息安全技术 信息安全事件分类分级指南》。
测评方法
核查运维管理制度中是否明确了不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等内容。
期望结果
1.安全事件报告和处置管理制度明确了与安全事有关的工作职责,包括报告单位(人)、接报单位(人)和处置单位等职责。
2.有安全事件报告模板文件。
c)
安全要求(重要):应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。
要求解读:应对安全事件报告和响应处理的过程应进行详细的记录,并对事件发生的原因进行分析和总结。
测评方法
1.核查以往的安全事件报告和响应处理记录或相关模板。
2.核查相关文档的内容是否包括了引发安全事件的系统弱点,安全事件发生的原因、处置过程、经验教训总结、补救措施等。
期望结果
1.未发生过网络安全事件,则此项不适用。
2.发生过安全事件的,安全事件有报告和响应处理记录文件,文件内容符合安全事件报告模板的相关要求,如安全事件发生的原因、处置过程、经验教训总结、补救措施等内容。
d)
安全要求(重要):对造成系统中断和造成信息泄露的重大事件应采用不同的处理程序和报告程序。
要求解读:应对不同的安全事件应制定不同的处理程序和报告程序。
测评方法
核查安全事件报告和处理程序文档,是否针对重大事件制定了不同的处理程序和报告程序,是否明确了具体报告方式、报告内容、报告人等。
期望结果
1.针对不同安全事件,有不同的处理和报告流程。
2.发生过安全事件的,有安全事件报告。
