还剩7页未读,继续阅读
文本内容:
数据安全风险预案数据安全风险预案11目的12引用文件23适用范围24术语与定义25职责
35.1业务部门
35.2数据安全管理办公室
35.3数据安全应急处理小组
35.4信息技术部
35.5法律与合规部36流封管理要求
36.1数据安全风险事件处理原则
36.2数据安全事件响应流程
46.3应急保障97附则98附件9目的为规范(以下统称“公司)科学开展数据安全风险评估工作,防范和化解数据安全风1险,提出针对性抵御风险的防护预案和整改措施,特制定本制度引用文件2《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》全国信息安全标准化技术委员会《GM37973-2019信息安全技术大数据安全管理指南》全国信息安全标准化技术委员会《GM37988-2019信息安全技术数据安全能力成熟度模型》国家质量监督检验检疫总局《GE/T20984-2007信息安全技术信息安全风险评估规范》工业和信息化部《车联网网络安全和数据安全标准体系建设指南》适用范围3本制度适用于公司各部门或安全技术团队在公司内开展数据安全风险评估活动、制定数据安全风险预案等工作术语与定义
44.1数据安全风险评估对公司内数据资产及由其处理、传输和存储的数据资产的保密性、完整性和可用性等安全属性进行评价的过程要求评估数据资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对公司造成的影响
4.2安全事件指系统、服务或网络的一种可识别状态的发生,它可能是对安全策略的违反或防护措施的失效,或未预知的不安全状况
4.3安全措施保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制
4.4数据安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响职责
55.1xx部门
5.2xx管理部
5.3xx应急处理小组
5.4xx信息安全部
5.5xx法律法规部流程/管理要求
6.1数据安全风险事件处理原则
66.
1.1常备不懈原则在数据全生命周期的日常活动中加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现数据安全突发事件应急处置的科学化、程序化与规范化
6.
1.2快速响应原则在数据安全事件发生时,应快速作出反应,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响
6.
1.3安全第一原则把保障公司、部门利益以及经营的安全作为首要任务,及时采取措施,最大限度地避免遭受损失
6.2数据安全事件响应流程公司内数据安全事件应急响应的标准流程如图所示流程中所涉及的相关部门和人员应做到事前持续监测、事中及时响应、事后备案归档
6.
2.1事前日常监测
6.
2.2事中应急响应
6.
2.
2.1成立「xxx应急处理小组」在数据安全管理办公室和业务部门数据安全负责人共同确认存在数据安全风险后,定义本次事件为数据安全事件数据安全管理办公室应立即牵头,主导成立针对本次事件的「数据安全事件应急处理小组」,组内成员应至少包括信息技术部、法律法规部、发生安全事件的业务部门
6.
2.
2.2对数据安全事件定级)1定级规则针对安全事件的定级应由应急小组的业务方和技术方共同决定业务相关方根据业务风险对本次事件进行判断,评定等级,具体见表1;技术相关方根据技术风险对本次事件进行判断,评定等级,具体见表2综合两方给出的等级评定,由应急小组根据风险定级表确定最终事件安全事件定级,具体见图2业务风险描述等级将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重5大、社会影响恶劣4将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害3会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大2造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决1造成的影响几乎不存在,通过简单的措施就能弥补表1业务风险等级表技术风险描述等级将对数据活动或业务活动产生非常严重而深远的影响,如影口向其他业务、数据活动的正常运行,造成经济损失重大5将对数据活动或业务活动产生较大的影响,在一定范围内影响和其他业务、数据活动的正常运行,造成经济损失4会造成一定的经济、生产经营影响,但影响面和影响程度不大,不影口向其他业务、数据活动,或影响程度不大3造成的影响程度较低,通过一定手段很快能解决2造成的影响几乎不存在,通过简单的措施就能弥补1表2技术风险等级表图2事件安全定级评定图)2安全事件级别针对各级安全事件可能造成的影响进行具体说明,详见表
3.事件级别详细描述事件影响特别重大能够导致特别严•会造成特别核心业务系统相关遭受特别严数据安全重的损失,从而导致高敏感级数据、大量级数重影响或破坏的事件据等泄漏或损害,且泄漏和损害无法止损或恢数据安全事件(I级)复;会对公司产生特别重大的影口幽汉寸国•家、社会造成严重不良影响重大数据能够导致严重影会使特别重要的信息系统遭受严重的系统•安全事件响或破坏的数据损失、或使重要信息系统遭受特别严重的系统(n级)安全事件损失,从而导致数据泄漏或损害,且泄漏和损害无法止损或恢复;会对公司产生的重大的影响或对国家、社•会造成一定程度影响较大数据能够导致较严重会使特别重要信息系统遭受较大的系统损•安全事件影响或破坏的数失、或使重要信息系统遭受严重的系统损失、(DI级)据安全事件一般信息信息系统遭受特别严重的系统损失;,从而高敏感级数据、大量级数据泄漏和损害;会对公司产生较大的影响•一般数据不满足以上条件会使特别重要信息系统遭受较小的系统损•安全事件的数据安全事件失、或使重要信息系统遭受较大的系统损失,(IV级)一般信息系统遭受严重或严重以下级别的系统损失,从而导致数据泄漏和损害的;会对公司产生一般影响•表3安全事件影响分级响应应急处置数据安全事件发生后,应优先启动相应的处置程序,控制事态发展同时应视情况采取一定的应急处置手段,主要包括)1恶意代码事件恶意代码事件发生后,应立即采取措施对恶意代码进行封锁,确保代码不危害到其他的系统并排查确定受影响的系统,切断受影响系统与网络的连接尽快查杀恶意代码,对被感染的文件、系统进行杀毒、隔离、删除和覆盖操作,并对局域网中的其他系统进行漏洞修补工作确定受影响系统功能恢复正常后,持续监控系统动态情况2)未授权访问事件未授权访问事件发生后,应立即采取措施断开访问链接确保切实阻断访问并通过调取访问日志等技术手段排查未授权身份访问的范围尽快修复访问权限,不明身份接口等相关问题,并对已被未授权身份访问的数据中高敏感级别的数据进行加密、脱敏等操作,根据业务需求进行补救处理)3不当应用事件不当应用事件发生后,应立即要求相关人员停止该数据处理活动,尽快确认该数据处理活动影响的上下游数据活动范围对不当应用的源头尽早作出修正,控制事件影响范围
6.225形成解决方案
6.
2.3事后备案复盘
6.
2.
3.1事件备案
6.
2.
3.2事件归档
623.3宣传教育与培训
623.4保障为保证数据安全事件发生后能够快速有效地实施应急预案公司内确保人力和技术两方面的应急保障
623.
4.1保障数据安全管理办公室应常设可随时响应数据安全风险事件的人员和岗位,并在公司内公示相关联系方式和上报流程,及时响应相关问题
623.
4.2保障附则
7.1对于违反本制度的公司员工,按照公司《员工奖惩制度》进行处理;
77.2本制度由xxx部制定并负责解释,自发布之日起执行
7.3本制度未尽之处按照现行有效的国家相关法律、法规的相关规定执行附件8。
个人认证
优秀文档
获得点赞 0
