安全事件报告和处置制度

1、总则

1.1、目的

为了严密规范XXXXX单位信息系统的安全事件处理程序，确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进，保障网络和系统持续安全运行，确保XXXXX单位重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障XXX市人民的财产安全，保护公众利益，维护正常的政治、经济和社会秩序，特制订本管理制度。

1.2、范围

本制度适用于XXXXX单位范围内使用的网络、计算机系统的安全事件处理。

1.3、职责

网络安全与信息化管理部门安全管理员负责流程的执行和改进，安全管理员应定期审阅安全事件处理状况，监督流程的执行，并针对流程的执行情况提出相应的改进意见。

2、管理细则

2.1、事件分级

对对信息安全事件的分级可参考下列三个要素：信息系统的重要程度、系统损失和社会影响。

1. 信息系统的重要程度

信息系统的重要程度主要考虑信息系统所承载的业务对XXXXX单位信息安全、经济利益的重要性，以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。

1. 系统损失

系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给XXXXX单位业务所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。

1. 社会影响

社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济利益、公众利益和企业名誉等方面的影响。

根据信息安全事件的分级参考要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。

2.1.1、特别重大事件（I级）

特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。

特别重大事件：

1. 会使特别重要信息系统遭受特别重大的系统损失，即造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的。
2. 产生的社会影响会波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对企业经济利益有极其恶劣的负面影响，或者严重损害企业名誉和公众利益。

2.1.2、重大事件（II级）

重大事件是指能够导致严重影响或破坏的信息安全事件。

重大事件：

1. 会使特别重要信息系统遭受重大的系统损失，即造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；或使重要信息系统遭受特别重大的系统损失。
2. 产生的社会影响波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对企业经济利益有重大的负面影响，或者损害到企业名誉和公众利益。

2.1.3、较大事件（III级）

较大事件是指能够导致较严重影响或破坏的信息安全事件。

较大事件：

1. 会使特别重要信息系统遭受较大的系统损失，即造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；或使重要信息系统遭受重大的系统损失、一般信息系统遭受特别重大的系统损失。
2. 产生的社会影响波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对企业经济利益有一定的负面影响，或者影响到企业名誉和公众利益。

2.1.4、一般事件（IV级）

一般事件是指能够导致较小影响或破坏的信息安全事件。

一般事件：

1. 会使特别重要信息系统遭受较小的系统损失，即造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小；或使重要信息系统遭受较大的系统损失，一般信息系统遭受重大的系统损失。
2. 产生的社会影响波及到一个地市的部分地区，对国家安全、社会秩序、企业经济利益、企业名誉和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。

2.2、故障类信息安全事件处理流程

信息安全事件的处理流程主要包括：发现、报告、响应（处理）、评价、整改、公告、备案等。

如下图所示：

2.3、故障类信息安全事件管理

2.3.1、发现

XXXXX单位所有人员都有责任和义务将发现的信息安全事故及时向网络安全与信息化管理部门报告，并保护现场；同时网络安全与信息化管理部门应填写《信息安全事件记录》。

2.3.2、报告

网络安全与信息化管理部门接到故障申报后，填写《信息安全事件记录》并初步判定故障的严重程度、影响范围，重大信息安全事件需要上报信息安全领导小组，同时按信息系统应急预案处理故障。

报告必须采用书面方式，如紧急情况下可以先用电话报告，随后补填《信息安全事件记录》。

2.3.3、响应

信息安全事故的响应和处理应遵循以下次序：

1. 保护人员的生命与安全。
2. 保护敏感的设备和资料。
3. 保护信息系统相关重要的数据资源。
4. 保护应用系统

2.3.4、评价

网络安全与信息化管理部门牵头组织分析信息安全事故的类型、严重程度、发生的原因、性质、产生的损失、责任人、预防措施等进行分析，确定信息安全事故等级，形成《信息安全事故报告》。

重大及以上事故由网络安全与信息化管理部门报信息安全领导小组处理；重大事故以下由网络安全与信息化管理部门组织处理。

特大信息安全事故的报告由信息安全领导小组审批；危急国家安全的须向国家相关主管部门报告；重大事故及以下信息安全事故的报告由网络安全与信息化管理部门自行审批。

2.3.5、整改

对系统存在的缺陷进行整改；对相关的责任人进行考核，触犯法律的移送司法机关进行处理。

2.3.6、公告

信息安全领导小组对《信息安全事件记录》进行公示并组织学习，对信息安全事故违规处罚结果予以公布。

2.3.7、备案

信息安全事故应进行备案管理，重大以上的信息安全事故由信息安全领导小组备案，其他信息安全事故由网络安全与信息化管理部门和各业务部门进行备案。

2.4、故障类信息安全事件的常见处理方法

1. 网络安全与信息化管理部门主管领导协调、组织相关资源，处理安全事件，并通告相关部门。
2. 向业务部门发出通知，通报发生的安全事件及进展。
3. 安全管理员联系安全服务商，系统管理员负责相应的系统，对事件进行诊断、定位，查找问题根源。
4. 找到原因后需要确定受影响的系统范围，进行紧急修复，如系统隔离、设置防火墙、路由器规则，更新系统补丁等。在进行修复时应注意采取措施进行证据的收集和保全，记录或复制入侵证据、破坏和损失、归档备查。
5. 恢复系统服务和数据，解决安全事件后，安全管理员联合安全服务商和系统管理员对受到影响的系统进行安全评估，并对存在类似隐患的所有系统进行分析统计，制定相应的安全加固，安全防护等解决方案，并由安全管理员负责跟进落实。
6. 对于普通安全事件，由安全管理员进行调查处理，必要时联合安全服务商和系统管理员。
7. 进行安全修复，加固防护所进行的配置和更改工作，都需要进行相关测试。
8. 安全管理员负责填写并维护《信息安全事件记录》，负责安全事件的跟踪管理。

2.5、泄密类信息安全事件处理流程

需要全体人员了解的是，泄密类信息安全事件有其特殊性，需要与故障类信息安全事件区分对待，灵活处理，但总得来说，需要把握以下原则：

1. 泄密发现人员在第一时间需要先就泄密事件本身保密，不要随意告诉身边不够涉密级别的无关人员。
2. 泄密发现人员如已经发现或掌握泄密信息内容，在做好保密工作的同时，需要根据泄密信息的重要程度选择据有相应涉密级别的人员进行报告，如无法区分泄密信息重要程度或不清楚相应涉密级别的人员，可选择直接报告给信息安全领导小组组长。
3. 泄密发现人员如未发现掌握泄密信息内容，但发现了泄密人员的泄密行为，可根据可能泄密人员的身份级别，找上一级别的信息安全主管领导报告。
4. 各级信息安全管理人员和信息安全主管领导在接到泄密事件报告后，需要根据泄密信息的重要程度，可能泄密人员的身份级别及时进行相关处理或报告上一级主管领导处理。
5. 信息安全主管领导应安排应急小组收集相关信息，分析事件发展态势，初步判断事件产生原因，研究提出应急处置方案，指定小组成员各岗位职责，统一指挥，协调配合。
6. 执行应急处置方案，迅速控制事件影响范围，力争将损失降到最低程度，确保在最短时间内恢复正常，尽可能减少突发事件带来的损失。
7. 信息安全主管领导应对该类信息安全事件进行判断，讨论是否需要保存证据，并报告执法部门；
8. 应急处置工作结束后，信息安全主管领导应组织有关人员和技术专家对事件发生原因、性质、影响、责任及应急处置能力、完善整改等方面进行调查、分析和评估，并根据应急处置中暴露出的管理、协调和技术问题，应急方案进行改进和完善。

3、附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。

4、附录和附件

附件1：信息安全事件记录

信息安全事件记录
时间
信息安全事件 （数量）
信息安全事故 （数量） 一般：    次 较大：    次 重大：    次 特别重大：    次
信息安全事件 部门/类型分布图 事件原因分析：
信息安全事故部门/类型分布图 事件原因分析：
控制措施： （可包括资源需求）
事件趋势：（和以前相比）
汇报人
时间