1、總則

1.1、目的

為了嚴(yán)密規(guī)范XXXXX單位信息系統(tǒng)的安全事件處理程序，確保各業(yè)務(wù)系統(tǒng)的正常運行和系統(tǒng)及網(wǎng)絡(luò)的安全事件得到及時響應(yīng)、處理和跟進，保障網(wǎng)絡(luò)和系統(tǒng)持續(xù)安全運行，確保XXXXX單位重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害，保障XXX市人民的財產(chǎn)安全，保護公眾利益，維護正常的政治、經(jīng)濟和社會秩序，特制訂本管理制度。

1.2、范圍

本制度適用于XXXXX單位范圍內(nèi)使用的網(wǎng)絡(luò)、計算機系統(tǒng)的安全事件處理。

1.3、職責(zé)

網(wǎng)絡(luò)安全與信息化管理部門安全管理員負(fù)責(zé)流程的執(zhí)行和改進，安全管理員應(yīng)定期審閱安全事件處理狀況，監(jiān)督流程的執(zhí)行，并針對流程的執(zhí)行情況提出相應(yīng)的改進意見。

2、管理細(xì)則

2.1、事件分級

對對信息安全事件的分級可參考下列三個要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響。

1. 信息系統(tǒng)的重要程度

信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對XXXXX單位信息安全、經(jīng)濟利益的重要性，以及業(yè)務(wù)對信息系統(tǒng)的依賴程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。

1. 系統(tǒng)損失

系統(tǒng)損失是指由于信息安全事件對信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給XXXXX單位業(yè)務(wù)所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價。

1. 社會影響

社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經(jīng)濟利益、公眾利益和企業(yè)名譽等方面的影響。

根據(jù)信息安全事件的分級參考要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件。

2.1.1、特別重大事件（I級）

特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件。

特別重大事件：

1. 會使特別重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失，即造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價十分巨大，對于事發(fā)組織是不可承受的。
2. 產(chǎn)生的社會影響會波及到一個或多個省市的大部分地區(qū)，極大威脅國家安全，引起社會動蕩，對企業(yè)經(jīng)濟利益有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害企業(yè)名譽和公眾利益。

2.1.2、重大事件（II級）

重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件。

重大事件：

1. 會使特別重要信息系統(tǒng)遭受重大的系統(tǒng)損失，即造成系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價巨大，但對于事發(fā)組織是可承受的；或使重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失。
2. 產(chǎn)生的社會影響波及到一個或多個地市的大部分地區(qū)，威脅到國家安全，引起社會恐慌，對企業(yè)經(jīng)濟利益有重大的負(fù)面影響，或者損害到企業(yè)名譽和公眾利益。

2.1.3、較大事件（III級）

較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件。

較大事件：

1. 會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失，即造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；或使重要信息系統(tǒng)遭受重大的系統(tǒng)損失、一般信息系統(tǒng)遭受特別重大的系統(tǒng)損失。
2. 產(chǎn)生的社會影響波及到一個或多個地市的部分地區(qū)，可能影響到國家安全，擾亂社會秩序，對企業(yè)經(jīng)濟利益有一定的負(fù)面影響，或者影響到企業(yè)名譽和公眾利益。

2.1.4、一般事件（IV級）

一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件。

一般事件：

1. 會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失，即造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價較小；或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受重大的系統(tǒng)損失。
2. 產(chǎn)生的社會影響波及到一個地市的部分地區(qū)，對國家安全、社會秩序、企業(yè)經(jīng)濟利益、企業(yè)名譽和公眾利益基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。

2.2、故障類信息安全事件處理流程

信息安全事件的處理流程主要包括：發(fā)現(xiàn)、報告、響應(yīng)（處理）、評價、整改、公告、備案等。

如下圖所示：

2.3、故障類信息安全事件管理

2.3.1、發(fā)現(xiàn)

XXXXX單位所有人員都有責(zé)任和義務(wù)將發(fā)現(xiàn)的信息安全事故及時向網(wǎng)絡(luò)安全與信息化管理部門報告，并保護現(xiàn)場；同時網(wǎng)絡(luò)安全與信息化管理部門應(yīng)填寫《信息安全事件記錄》。

2.3.2、報告

網(wǎng)絡(luò)安全與信息化管理部門接到故障申報后，填寫《信息安全事件記錄》并初步判定故障的嚴(yán)重程度、影響范圍，重大信息安全事件需要上報信息安全領(lǐng)導(dǎo)小組，同時按信息系統(tǒng)應(yīng)急預(yù)案處理故障。

報告必須采用書面方式，如緊急情況下可以先用電話報告，隨后補填《信息安全事件記錄》。

2.3.3、響應(yīng)

信息安全事故的響應(yīng)和處理應(yīng)遵循以下次序：

1. 保護人員的生命與安全。
2. 保護敏感的設(shè)備和資料。
3. 保護信息系統(tǒng)相關(guān)重要的數(shù)據(jù)資源。
4. 保護應(yīng)用系統(tǒng)

2.3.4、評價

網(wǎng)絡(luò)安全與信息化管理部門牽頭組織分析信息安全事故的類型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人、預(yù)防措施等進行分析，確定信息安全事故等級，形成《信息安全事故報告》。

重大及以上事故由網(wǎng)絡(luò)安全與信息化管理部門報信息安全領(lǐng)導(dǎo)小組處理；重大事故以下由網(wǎng)絡(luò)安全與信息化管理部門組織處理。

特大信息安全事故的報告由信息安全領(lǐng)導(dǎo)小組審批；危急國家安全的須向國家相關(guān)主管部門報告；重大事故及以下信息安全事故的報告由網(wǎng)絡(luò)安全與信息化管理部門自行審批。

2.3.5、整改

對系統(tǒng)存在的缺陷進行整改；對相關(guān)的責(zé)任人進行考核，觸犯法律的移送司法機關(guān)進行處理。

2.3.6、公告

信息安全領(lǐng)導(dǎo)小組對《信息安全事件記錄》進行公示并組織學(xué)習(xí)，對信息安全事故違規(guī)處罰結(jié)果予以公布。

2.3.7、備案

信息安全事故應(yīng)進行備案管理，重大以上的信息安全事故由信息安全領(lǐng)導(dǎo)小組備案，其他信息安全事故由網(wǎng)絡(luò)安全與信息化管理部門和各業(yè)務(wù)部門進行備案。

2.4、故障類信息安全事件的常見處理方法

1. 網(wǎng)絡(luò)安全與信息化管理部門主管領(lǐng)導(dǎo)協(xié)調(diào)、組織相關(guān)資源，處理安全事件，并通告相關(guān)部門。
2. 向業(yè)務(wù)部門發(fā)出通知，通報發(fā)生的安全事件及進展。
3. 安全管理員聯(lián)系安全服務(wù)商，系統(tǒng)管理員負(fù)責(zé)相應(yīng)的系統(tǒng)，對事件進行診斷、定位，查找問題根源。
4. 找到原因后需要確定受影響的系統(tǒng)范圍，進行緊急修復(fù)，如系統(tǒng)隔離、設(shè)置防火墻、路由器規(guī)則，更新系統(tǒng)補丁等。在進行修復(fù)時應(yīng)注意采取措施進行證據(jù)的收集和保全，記錄或復(fù)制入侵證據(jù)、破壞和損失、歸檔備查。
5. 恢復(fù)系統(tǒng)服務(wù)和數(shù)據(jù)，解決安全事件后，安全管理員聯(lián)合安全服務(wù)商和系統(tǒng)管理員對受到影響的系統(tǒng)進行安全評估，并對存在類似隱患的所有系統(tǒng)進行分析統(tǒng)計，制定相應(yīng)的安全加固，安全防護等解決方案，并由安全管理員負(fù)責(zé)跟進落實。
6. 對于普通安全事件，由安全管理員進行調(diào)查處理，必要時聯(lián)合安全服務(wù)商和系統(tǒng)管理員。
7. 進行安全修復(fù)，加固防護所進行的配置和更改工作，都需要進行相關(guān)測試。
8. 安全管理員負(fù)責(zé)填寫并維護《信息安全事件記錄》，負(fù)責(zé)安全事件的跟蹤管理。

2.5、泄密類信息安全事件處理流程

需要全體人員了解的是，泄密類信息安全事件有其特殊性，需要與故障類信息安全事件區(qū)分對待，靈活處理，但總得來說，需要把握以下原則：

1. 泄密發(fā)現(xiàn)人員在第一時間需要先就泄密事件本身保密，不要隨意告訴身邊不夠涉密級別的無關(guān)人員。
2. 泄密發(fā)現(xiàn)人員如已經(jīng)發(fā)現(xiàn)或掌握泄密信息內(nèi)容，在做好保密工作的同時，需要根據(jù)泄密信息的重要程度選擇據(jù)有相應(yīng)涉密級別的人員進行報告，如無法區(qū)分泄密信息重要程度或不清楚相應(yīng)涉密級別的人員，可選擇直接報告給信息安全領(lǐng)導(dǎo)小組組長。
3. 泄密發(fā)現(xiàn)人員如未發(fā)現(xiàn)掌握泄密信息內(nèi)容，但發(fā)現(xiàn)了泄密人員的泄密行為，可根據(jù)可能泄密人員的身份級別，找上一級別的信息安全主管領(lǐng)導(dǎo)報告。
4. 各級信息安全管理人員和信息安全主管領(lǐng)導(dǎo)在接到泄密事件報告后，需要根據(jù)泄密信息的重要程度，可能泄密人員的身份級別及時進行相關(guān)處理或報告上一級主管領(lǐng)導(dǎo)處理。
5. 信息安全主管領(lǐng)導(dǎo)應(yīng)安排應(yīng)急小組收集相關(guān)信息，分析事件發(fā)展態(tài)勢，初步判斷事件產(chǎn)生原因，研究提出應(yīng)急處置方案，指定小組成員各崗位職責(zé)，統(tǒng)一指揮，協(xié)調(diào)配合。
6. 執(zhí)行應(yīng)急處置方案，迅速控制事件影響范圍，力爭將損失降到最低程度，確保在最短時間內(nèi)恢復(fù)正常，盡可能減少突發(fā)事件帶來的損失。
7. 信息安全主管領(lǐng)導(dǎo)應(yīng)對該類信息安全事件進行判斷，討論是否需要保存證據(jù)，并報告執(zhí)法部門；
8. 應(yīng)急處置工作結(jié)束后，信息安全主管領(lǐng)導(dǎo)應(yīng)組織有關(guān)人員和技術(shù)專家對事件發(fā)生原因、性質(zhì)、影響、責(zé)任及應(yīng)急處置能力、完善整改等方面進行調(diào)查、分析和評估，并根據(jù)應(yīng)急處置中暴露出的管理、協(xié)調(diào)和技術(shù)問題，應(yīng)急方案進行改進和完善。

3、附則

本管理制度由XXXXX單位負(fù)責(zé)解釋，自發(fā)布之日起實施。

4、附錄和附件

附件1：信息安全事件記錄

信息安全事件記錄
時間
信息安全事件 （數(shù)量）
信息安全事故 （數(shù)量） 一般：????次 較大：????次 重大：????次 特別重大：????次
信息安全事件 部門/類型分布圖 事件原因分析：
信息安全事故部門/類型分布圖 事件原因分析：
控制措施： （可包括資源需求）
事件趨勢：（和以前相比）
匯報人
時間

????????????????????????????????????????????????????????????????????????????