備案號：62698-2019DB11北京市市場監督管理局發布 周堃、菅強、張昕、宋揚、金鎂、張紅、石浩、俞詩源、楊虎、王信息安全技術網絡安全事件應急處置規范通過采取斷網或者停止服務等手段控制事態發展，防止生的網絡安全事件分等級響應、處置。下文所述的系統級別均為信息安全等級保網絡攻擊事件、信息破壞事件和物理破壞事件擊事件、網頁內嵌惡意代碼事件和其他有害d)物理破壞事件是指蓄意地對保障信息系統正常運行的硬件、軟件等實施竊取、使用非技術手段無意的造成信息系統設備設施損壞的網絡安全事件。設備設施故障包括軟硬件自身故障、外圍保障設施故障和其它設備設施故障等災害性事件是指由于不可抗力對信息系統造成物理破壞而導致的網絡安全事件。災害性事件包括符合下列情形之一且未達到I級的，為Ⅱ級網絡與網絡安全事件:a)等級保護2級信息系統，發生系統中斷運行或出現嚴重泄露，造成較嚴重影響。發生I級網絡安全事件后，事發單位、監管部門、行業主管、技術支持單位、公安機關應按照圖14I級信息安全事件處置流程事發單位公安機關行業主管技術支持單位事發單位公安機關發生1級事件需表協助事發單位應嘗處置上報監管部門確認受理進行第備工作上報監管部門協時監管郵門組建安全事件處器小組奉頭組建安全事件處置小坦安全事件處置小組現場開展安全事件處置小組現場開展件分析表調查表調查表工作報告分析事件成因取證、咽查取證、咽查1級事件處寫行業主管、事發單位以及技術支持單位等共同組成。由監管部門統一指揮安c)行業主管負責協助監管部門組建處置小組并指導事發單三方網絡安全事件分析表》（見附錄B中表B.1）；持續監測系統及網絡狀態，記錄異常流量的遠程IP、域名和端口，分析原因。事件c)發生信息內容安全類事件時，信息系統被篡改、假冒,造成嚴重社會影響。記錄、視頻監控信息，在系統恢復后通過該記錄信息查找可疑6發生Ⅱ級網絡安全事件后，事發單位、監管部門、行業主管、技術支持單位、公安Ⅱ級信息安事件處置流程事發單位需管部門行業主管技術支持單位事發單位需管部門安全事件上報第備工作向公安機關報案協時事發單位窗事調查、取證調查表協助事發單位處置安全事件協助事發單位處置安全事件視情況立案協助公安機關取證、啊查視情況立案圖2Ⅱ級網絡安全事件處置流程a)事發單位立即開展應急處置工作，同時，上報監管部門、行業主管b)監管部門根據實際情況指導指導事發單位進行事件的持續監測系統及網絡狀態，記錄異常流量的遠程IP、域名和端口，分析原因。事件處置人員須保存數據信息、保存日志、源代碼等文件，用于技術分析及記錄、視頻監控信息，在系統恢復后通過該記錄信息查找可疑方單位，須簽署合同、授權書及人員保密協調，以確保實施內容及發生Ⅲ級網絡安全事件后，事發單位、行業主管、技術支持單位、公安機關應按照圖3所示8Ⅲ級信息安事件處置流程開展緊急處置案表協助事發單位應急處置協助事發單位應急處置調查、取證指導事發單位處置安全事件指導事發單位處置安全事件件分析表附件C信息安全事件現場調查表全程跟進調查工作報告全程跟進調查提供技術支持完成處置工作視情況立案協助公安機關取證、調查視情況立案Ⅲ級事件處置圖3Ⅲ級網絡安全事件處置流程4.1.1.3.1網絡安全事件處置發生Ⅲ級網絡安全事件后，開展以下工作：c)事發單位根據情況向公安機關報案并協助公安且持續造成破壞，應立即斷開網絡，關閉被破壞系統，保護現場，聯系公安機關做進一同時，檢查日志的保存周期，確保日志保存時間6個月以上；c)保留被破壞系統的數據、文件、拍照、截圖、源代碼等g)操作系統、應用系統、數據庫系統的管理員賬號口令重置，檢測用h)結束可疑的系統進程，并刪除對應的m)備品備件與冗余線路、電路的檢查與維護，可隨時根據需要替n)門禁系統與視頻監控系統的檢查，確保功能的可用，用于o)檢測審計系統的工作情況，確保相關審計功能開啟、審p)檢測數據通信安全的有效性，確認數據傳輸經過加密且保證行取證調查，通過截圖、拍照、備份等方式收集被攻擊證據，e)系統硬件（主機設備、網絡設備、安全f)系統軟件（操作系統）、應用軟件（數據庫、）；來論證事件產生的原因，回溯事件發生的過程。網絡安全事件成因分析應采取的方法包含a)了解事件破壞方法、破壞類型、破壞者或惡意程序的標識和特征；對異b)明確破壞所跨越網絡路徑，涉及網絡區域（外網、內網、）；事發系統相關證據，為后續案件偵辦或責任調查提b)II級事件發生后，管轄公安機關信息安全管理部門應指派相關工作人員前往事發單位場證據進行固定，為后續案件偵辦或責任調查提公安機關對事件的發生原因和各單位存在的責任進行調查。調查）；安全事件進行深入分析，提供解決對策預防此類事件的再次安全運維機制重點關注信息系統在運行過程中的安全性是否符合信息系統運營使用者及其行業主應急策略制定與演練等工作，將安全技術和安全管理統一，形成全面的、無縫的、持續改進標準，購置和儲備應急所需的物資，制作應急物資清單表。對應急裝備和物資進行定期檢查、維護與表。制定應急物資和裝備的年度采購計劃，并納入信息系統運營使用者的年度總預算，切實保證應急結合信息系統運營使用者現狀建立處置措施、處練中發現問題，不斷完善應急預案，形成長效的應急事件案例分析、內部安全制度等。培訓對象不僅包括內部員工還應包括相關第三方用戶和服安全攻擊設備設施故障信息安全風險級見安全攻擊設備設施故障信息安全風險勢位擊□是他事件處置判定事件類型他事件處置□系統硬件設備及其配置參數清單(□主機設備□網絡設備□安全設備□賬號權限（角色、組、用戶等）分配