东莞市 XXX 有限公司
文件名称
事故事件薄弱点与故障管理程序
版 次
A/0
页码
文件编号
XX-ISMS-01
日 期
2017.11.01
1 / 3
1 适用
本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。
2 目的
为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信
息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风
险,特制定本程序。
3 职责
3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。
3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。
4 程序
4.1 信息安全事故定义与分类:
4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等
原因直接造成下列影响(后果)之一,均为信息安全事故:
a) 企业秘密、机密及国家秘密泄露或丢失;
b) 服务器停运 4 小时以上;
c) 造成信息资产损失的火灾、洪水、雷击等灾害;
d) 损失在十万元以上的故障/事件。
4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等
原因直接造成下列影响(后果)之一,属于重大信息安全事故:
a) 企业机密及国家秘密泄露;
b) 服务器停运 8 小时以上;
c) 造成机房设备毁灭的火灾、洪水、雷击等灾害;
d) 损失在一百万元以上的故障/事件。
4.1.3 信息安全事件包括:
a) 未产生恶劣影响的服务、设备或者实施的遗失;
b) 未产生事故的系统故障或超载;
c) 未产生不良结果的人为误操作;
d) 未产生恶劣影响的物理进入的违规
1 / 188
评论3