安全事件報告和處置安全事件報告和處置文檔信息制度編號：生效日期：分發范圍:解釋部門：版次:Verl.l頁數：9制定人：審核人：批準人：□傳閱□閱后執行并存檔區］保密保密等級內部公開版本記錄版本號版本日期修改者說明文件名安全事件報告和處置安全事件報告和處置XX單位安全事件報告和處置1總則1.1目的為了嚴密規范XX單位信息系統的安全事件處理程序，確保各業務系統的正常運行和系統及網絡的安全事件得到及時響應、處理和跟進，保障網絡和系統持續安全運行，特制定本流程。范圍本流程適用于XX單位范圍內使用的網絡、計算機系統的安全事件處理。職責信息中心安全管理員負責流程的執行和改進，安全管理員應定期審閱安全事件處理狀況，監督流程的執行，并針對流程的執行情況提出相應的改進意見。2管理細則2.1事件分級對信息安全事件的分級可參考下列三個要素：信息系統的重要程度、系統損失和社會影響。信息系統的重要程度信息系統的重要程度主要考慮信息系統所承載的業務對XX單位信息安全、經濟利益的重要性，以及業務對信息系統的依賴程度，劃分為特別重要信息系統、重要信息系統和一般信息系統。系統損失系統損失是指由于信息安全事件對信息系統的軟硬件、功能及數據的破壞，導致系統業務中斷，從而給XX單位業務所造成的損失，其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價。社會影響社會影響是指信息安全事件對社會所造成影響的范圍和程度，其大小主要考慮國家安全、社會秩序、經濟利益、公眾利益和企業名譽等方面的影響。根據信息安全事件的分級參考要素，將信息安全事件劃分為四個級別：特別重大事件、重大事件、較大事件和一般事件。2?1?1特別重大事件(I級)特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件。特別重大事件：會使特別重要信息系統遭受特別重大的系統損失，即造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發組織是不可承受的。產生的社會影響會波及到一個或多個省市的大部分地區，極大威脅國家安全，引起社會動蕩，對企業經濟利益有極其惡劣的負面影響，或者嚴重損害企業名譽和公眾利益。2.1.2重大事件(II級)重大事件是指能夠導致嚴重影響或破壞的信息安全事件。重大事件：(1)會使特別重要信息系統遭受重大的系統損失，即造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發組織是可承受的；或使重要信息系統遭受特別重大的系統損失。(2)產生的社會影響波及到一個或多個地市的大部分地區，威脅到國家安全，引起社會恐慌，對企業經濟利益有重大的負面影響，或者損害到企業名譽和公眾利益。2?1?3較大事件(III級)較大事件是指能夠導致較嚴重影響或破壞的信息安全事件。較大事件：會使特別重要信息系統遭受較大的系統損失，即造成系統中斷，明顯影響系統效率，使重要信息系統或一般信息系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發組織是完全可以承受的；或使重要信息系統遭受重大的系統損失、一般信息信息系統遭受特別重大的系統損失。產生的社會影響波及到一個或多個地市的部分地區，可能影響到國家安全，擾亂社會秩序，對企業經濟利益有一定的負面影響，或者影響到企業名譽和公眾利益。2?1?4一般事件(IV級)一般事件是指能夠導致較小影響或破壞的信息安全事件。一般事件：(1)會使特別重要信息系統遭受較小的系統損失，即造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全事件負面影響所需付出的代價較?。换蚴怪匾畔⑾到y遭受較大的系統損失，一般信息系統遭受重大的系統損失。(2)產生的社會影響波及到一個地市的部分地區，對國家安全、社會秩序、企業經濟利益、企業名譽和公眾利益基本沒有影響，但對個別公民、法人或其他組織的利益會造成損害。故障類信息安全事件處理流程信息安全事件的處理流程主要包括：發現、報告、響應(處理)、評價、整改、公告、備案等。如下圖所示：故障類信息安全事件管理2.3.1發現XX單位所有職工都有責任和義務將發現的信息安全事故及時向信息中心報告，并保護現場；同時信息中心應填寫《信息安全事件記錄》。2.3.2報告信息中心接到故障申報后，填寫《信息安全事件記錄》并初步判定故障的嚴重程度、影響范圍，重大信息安全事件需要上報信息安全領導小組，同時按信息系統應急預案處理故障。報告必須采用書面方式，如緊急情況下可以先用電話報告，隨后補填《信息安全事件記錄》。2.3.3響應信息安全事故的響應和處理應遵循以下次序：(1)保護人員的生命與安全。(2)保護敏感的設備和資料。保護信息系統相關重要的數據資源。(4)保護應用系統。2.3.4評價信息中心牽頭組織分析信息安全事故的類型、嚴重程度、發生的原因、性質、產生的損失、責任人、預防措施等進行分析，確定信息安全事故等級，形成《信息安全事故報告》。重大及以上事故由信息中心報信息安全領導小組處理；重大事故以下由信息中心組織處理。特大信息安全事故的報告由信息安全領導小組審批；危急國家安全的須向國家相關主管部門報告；重大事故及以下信息安全事故的報告由信息中心自行審批2.3.5整改對系統存在的缺陷進行整改；對相關的責任人進行考核，觸犯法律的移送司法機關進行處理。2.3.6公告信息安全領導小組對《信息安全事件記錄》進行公示并組織學習，對信息安全事故違規處罰結果予以公布。2.3.7備案信息安全事故應進行備案管理，重大以上的信息安全事故由信息安全領導小組備案，其他信息安全事故由信息中心和各業務部門進行備案。常見故障類信息安全事件的處理信息中心主管領導協調、組織相關資源，處理安全事件，并通告相關部門：向業務科室發出通知，通報發生的安全事件及進展。安全管理員聯系安全服務商，系統管理員負責相應的系統，對事件進行診斷、定位，查找問題根源。找到原因后需要確定受影響的系統范圍，進行緊急修復，如系統隔離、設置防火墻、路由器規則，更新系統補丁等。在進行修復時應注意采取措施進行證據的收集和保全，記錄或復制入侵證據、破壞和損失、歸檔備查?；謴拖到y服務和數據，解決安全事件后，安全管理員聯合安全服務商和系統管理員對受到影響的系統進行安全評估，并對存在類似隱患的所有系統進行分析統計，制定相應的安全加固，安全防護等解決方案，并由安全管理員負責跟進落實。對于普通安全事件，由安全管理員進行調查處理，必要時聯合安全服務商和系統管理員。進行安全修復，加固防護所進行的配置和更改工作，都需要進行相關測試。安全管理員負責填寫并維護《信息安全事件記錄》，負責安全事件的跟蹤管理。泄密類信息安全事件處理流程需要全體職工了解的是，泄密類信息安全事件有其特殊性，需要與故障類信息安全事件區分對待，靈活處理，但總得來說，需要把握以下原則：泄密發現人員在第一時間需要先就泄密事件本身保密，不要隨意告訴身邊不夠涉密級別的無關人員。泄密發現人員如已經發現或掌握泄密信息內容，在做好保密工作的同時需要根據泄密信息的重要程度選擇據有相應涉密級別的人員進行報告，如無法區分泄密信息重要程度或不清楚相應涉密級別的人員，可選擇直接報告給信息安全領導小組組長。泄密發現人員如未發現掌握泄密信息內容，但發現了泄密人員的泄密行為，可根據可能泄密人員的身份級別，找上一級別的信息安全主管領導報告。各級信息安全管理人員和信息安全主管領導在接到泄密事件報告后，需要根據泄密信息的重要程度，可能泄密人員的身份級別及時進行相關處理或報告上一級主管領導處理。3附件附1：信息安全事件記錄安全事件報告和處置安全事件報告和處置安全事件報告和處置安全事件報告和處置信息安全事件記錄時間信息安全事件/r