事故事件薄弱點與故障管理程式

2022-01-03 04:59:25 字數 2296 閱讀 8672

本程式適用於公司資訊保安事故、事件、薄弱點、故障和風險處置的管理。

為建立乙個適當資訊保安事故、事件、薄弱點、故障風險處置的報告、反應與處理機制,減少資訊保安事故和故障所造成的損失,採取有效的糾正與預防措施,正確處置已經評價出的風險,特制定本程式。

3.1各系統歸口管理部門主管相關的安全風險的調查、處理及糾正措施管理。

各系統資訊保安歸口管理部門

3.2 各系統使用人員負責相關系統安全事故、事件、薄弱點、故障和風險的評價、處置報告。

4.1.1資訊裝置故障、線路故障、軟體故障、惡意軟體危害、人員故意破壞或工作失職等原因直接造成下列影響(後果)之一,均為資訊保安事故:

a) 企業秘密、機密及國家秘密洩露或丟失;

b) 伺服器停運4小時以上;

c) 造成資訊資產損失的火災、洪水、雷擊等災害;

d) 損失在十萬元以上的故障/事件。

4.1.2資訊裝置故障、線路故障、軟體故障、惡意軟體危害、人員故意破壞或工作失職等原因直接造成下列影響(後果)之一,屬於重大資訊保安事故:

a) 企業機密及國家秘密洩露;

b) 伺服器停運8小時以上;

c) 造成機房裝置毀滅的火災、洪水、雷擊等災害;

d) 損失在一百萬元以上的故障/事件。

4.2.1故障、事故報告要求

故障、事故的發現者應按照以下要求履行報告任務:

a) 各個資訊管理系統使用者(包括合同方和第三方人員),在使用過程中如果發現軟硬體故障、事故,應該向該系統歸口管理部門報告;如故障、事故會影響或已經影響線上生產,必須立即報告相關部門,採取必要措施,保證對生產的影響降至最低;

b) 發生火災應立即觸發火警並向安全監督部報告,啟動消防應急預案;

c) 涉及企業秘密、機密及國家秘密洩露、丟失應向行政部報告;

d) 發生重大資訊保安事故,事故受理部門應向資訊保安管理者代表和有關公司領導報告。

4.2.2 故障、事故的響應

故障、事故處理部門接到報告以後,應立即進行迅速、有效和有序的響應,包括採取以下適當措施:

a) 報告者應保護好故障、事故的現場,並採取適當的應急措施,防止事態的進一步擴大;

b) 按照有關的故障、事故處理檔案(程式、作業手冊)排除故障,恢復系統或服務,必要時,啟動業務持續性管理計畫。

4.3.1故障處理部門應對故障原因進行分析,必要時,採取糾正措施,故障的原因及採取措施的結果予以記錄。

4.3.2對於資訊保安事故,在故障排除或採取必要措施後,相關資訊保安管理職能部門會同事故責任部門,對事故的原因、型別、損失、責任進行鑑定,形成《事態事件脆弱性記錄》,報資訊保安管理者代表批准;對於重大資訊保安事故的處理意見應上報資訊保安管理委員會討論通過。

4.3.3對於違反公司資訊方針、程式及安全規章所造成的資訊保安事故責任者依據公司有關規定予以懲戒,並在公司內予以通報。

4.3.4資訊保安管理職能部門要求事故責任部門制定糾正措施並實施,實施結果記錄在《事態事件脆弱性記錄》。

4.3.5由資訊保安管理職能部門對實施情況進行跟蹤驗證。

4.4.1本公司與資訊保安管理有關的所有員工對發現的資訊保安薄弱點或潛在威脅均應履行報告義務。

4.4.2發現者應填寫《事態事件脆弱性記錄》,交本部門部長確認,後提交各個系統歸口管理部門確定是否採取預防措施,確認責任部門並實施。

預防措施的實施、驗證執行《預防措施控制程式》。

4.5.1資訊裝置故障、線路故障、軟體故障、惡意軟體危害、人員故意破壞或工作失職等原因不一定造成不良影響(後果),但有出現失控的狀態,均為資訊保安事件:

a) 服務、裝置或設施的丟失;

b) 系統故障或超載;

c) 人為錯誤;

d) 策略或指南的不符合;

e) 物理安全安排的違規;

f) 未加控制的系統變更;

g) 軟體或硬體故障;

h) 非法訪問。

4.5.2 所有現場工作人員都需要知道他們各自責任盡可能快地報告任何資訊保安事態。報告程式應包括:

a) 報告人立即填寫《事態事件脆弱性記錄》;

b) 資訊保安事態發生後應採取正確的行為,即:

1)立即記錄下所有重要的細節(如,不符合或違規的型別,事件故障,螢幕上顯示的訊息,異常行為);

2)不要採取任何個人行為,但要立即按照本程式向資產負責人報告;

c) 由資產責任人按照《事態事件脆弱性記錄》要求的流程確定事態的發生狀態、內容確認、原因分析、和採取對策,由資產責任人負責對策的績效驗證;並由人事部門按照公司有關規定決定參考已制定的正式懲罰過程,來處現場工作人員的安全違規行為。

d) 由於事態引發的《事態事件脆弱性記錄》作為管理評審的輸入,定期評審。

《糾正預防措施控制程式》

《監視和測量管理程式》

《密級控制程式》

事故 事件報告制度

1.目的 為規範企業的事故 事件報告管理,使在企業範圍發生的事故 事件能夠達到快速 準確的逐級上報,特制定本制度。2.適用範圍 本制度適用於公司事故 事件報告管理。包括發生在礦山的人身傷害事故 事件 職業病 裝置事故 事件 設施事故 事件 未遂 違章 相關方投訴等一切事故 事件的報告程式。3.術語及...

事故事件責任劃分規定

1 目的 為提公升安全作業水平,減少檢修作業安全事故的發生,強化作業人員責任感,明確作業事故 事件 責任劃分,特制定本規定 2 主題內容與適用範圍 2.1本標準規定了有關人員和各級領導人員的事故責任的劃分。2.2本標準適用化肥二廠各級人員及外來施工作業的外單位。3 管理原則 按事故調查 四不放過 原...

事故事件應急應知應會

1.責任事件判定 正確率。主要考察 能否正確判斷事件?以下均為公司最新規定的責任事件 1 8小時 管道非計畫停輸 24小時。2 蒸餾裝置非計畫停工,連續影響混油加工72小時以上。3 油罐液位異常 未及時發現,超過安全液位。4 混油介面跟蹤不及時,密度變化超過20kg m3未切入混油罐。5 管道在非應...