ICS35.020CCSL70DB3212泰州市地IDB3212/T1176—2025本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由泰州市數據局提出、歸口并組織實施、監督。本文件由泰州市數據局負責具體技術內容的解釋。本文件起草單位：泰州市數據局、泰州市數據產業集團、泰州市標準化院。本文件主要起草人：許鑫、劉小芳、孫慧、翟敏、陳春陽、陶然、梁鑫晨、顧雅麗、張婧嫻、吳薇、陳藍生、郭健、李海鵬、王友成。DB3212/T1176—20251公共數據安全事件應急管理規范本文件規定了公共數據安全事件應急管理的職責權限、事件分類、數據分級、預警預測與報告、應急處置、應急演練等內容。本文件適用于泰州市內數據安全事件應急處置工作，文件中所指的事件僅限于數據安全事件，包括數據泄露、數據刪除、數據竊取、數據濫用等。網絡、系統和應用等安全事件的處置遵照《信息系統應急響應流程與預案》執行。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22240信息安全技術網絡安全等級保護定級指南3術語和定義下列術語和定義適用于本文件。3.1數據安全事件datasecurityincidents數據遭篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成危害的事件。3.2數據安全風險datasecurityrisks發生數據安全事件的可能或跡象，是一種前瞻性的預判，預判的事件并未發生。3.3輿情publicsentiment公眾對現實生活和互聯網上某些熱點、焦點問題所持的有較強影響力、傾向性的言論和觀點，包括正面和負面的，本規范重點關注互聯網輿情涉及敏感數據泄漏（如個人隱私信息等）數據安全事件。3.4形式評審formalreview依據有關規范，對應急預案的層次結構、內容格式、語言文字、附件項目以及編制程序等內容進行審查，重點審查應急預案的規范性和編制程序。3.5要素評審elementreview依據國家有關法律法規和行業規章，從合法性、完整性、針對性、實用性、科學性、操作性和銜接性等方面對應急預案進行評審。為細化評審，采用列表方式分別對應急預案的要素進行評審。評審時，將應急預案的要素內容與評審表中所列要素的內容進行對照，判斷是否符合有關要求，指出存在問題及不足。3.6關鍵要素keyelements應急預案構成要素中必須規范的內容。包括危險源辨識與風險分析、組織機構及職責、信息報告與處置和應急響應程序與處置技術等要素。關鍵要素必須符合實際和有關規定要求。3.72DB3212/T1176—2025一般要素generalelements應急預案構成要素中可簡寫或省略的內容。包括應急預案中的編制目的、編制依據、適用范圍、工作原則等要素。4職責權限4.1當事人/系統監控如實還原事件發生時的具體情況，配合對事件進行緊急修復處理。4.2當事人部門負責人對歸屬于自己團隊的安全事件的真實性和詳細內容進行確認，并評估影響和嚴重級別，并給出處置意見和建議。4.3數據安全事件管理崗4.3.1制定數據安全事件應急管理規范。4.3.2開展數據安全事件分析、響應、應急處置等工作。4.3.3安全事件的跟進和處理工作。4.3.4開展應急演練工作。4.3.5對安全事件的真實性和詳細內容進行確認，快速定位當事人及責任部門，評估影響及嚴重程度，全程跟進事件的處理過程。4.4責任人/處置人對已發生的事件進行處置或消除風險。4.5數據安全管理小組4.5.1對組織的重大數據安全事件進行協調和決策。4.5.2收集和響應數據安全事件，對事件的真實性和詳細內容進行確認，快速定位當事人及責任部門并評估影響及嚴重級別。4.5.3跟進事件處置過程，對事件發生的原因進行調查。4.6人事部門協助數據安全管理部門跟進事件處理過程，對涉及員工處罰的給出處置意見和建議。5事件分類5.1數據泄露5.1.1數據被違規傳輸或共享到互聯網，移動硬盤、網盤等非規定的環境或介質。5.1.2數據和信息被違規發給不相關或不應有權限查看的內、外部人員。5.2數據刪除5.2.1需要持久化的數據從數據庫被刪除和被格式化。5.2.2需要持久化的數據從存儲介質上被刪除和被格式化。5.3數據竊取5.3.1通過非正常手段違規獲取數據庫和其他存儲介質上的數據。5.3.2越權訪問、非法入侵和攻擊網絡和數據庫等。5.4數據濫用5.4.1在擁有權限但沒有合理工作場景下隨意查詢、下載和共享數據。5.4.2違規查詢個人隱私信息、敏感數據等。DB3212/T1176—202536數據分級6.1分級原則6.1.1升級原則當處理某具體個案的事件時，如果未及時應對或在處理過程中出現風險泛化和蔓延，事件定級直接升一級，直至P0（特級事件）為止。6.1.2就高原則當事件等級指標有所交叉或難以判斷級別時，應按照較高一級事件處理。6.2分級方法6.2.1概述數據安全事件按照事件影響對象的重要程度、業務損失的嚴重程度和社會危害的嚴重程度三個要素進行分級。事件影響對象主要包括信息系統、通信網絡設施和數據等。6.2.2事件影響對象的重要程度按GB/T22240描述的網絡安全等級保護定級方法，事件影響對象的重要程度根據國家安全、社會秩序、經濟建設和公眾利益以及業務對事件影響對象的依賴程度進行評估，分為3個等級：特別重要、重要和一般，具體如下：a)特別重要：受到破壞后，對國家安全造成危害，或對社會秩序、經濟建設和公共利益造成嚴重危害或特別嚴重危害；b)重要：受到破壞后，對社會秩序，經濟建設和公共利益造成危害，或對相關公民，法人和其他組織的合法權益造成嚴重或特別嚴重損害，但不危害國家安全；c)一般：指受到破壞后，對相關公民、法人和其他組織的合法權益造成一般損害，但不危害國家安全、社會秩序、經濟建設和公共利益。6.2.3業務損失的嚴重程度業務損失的嚴重程度由網絡的硬件/軟件、功能和數據的損壞導致業務中斷影響的嚴重程度進行評估，其大小可取決于恢復業務正常運行和消除數據安全事件負面影響所需付出的代價，分為4個級別：特別嚴重、嚴重、較大和較小，具體如下：a)特別嚴重：造成網絡大面積癱瘓，使其喪失業務處理能力，或重要數據/敏感個人信息遭到嚴重破壞，恢復業務正常運行和消除安全事件負面影響所需付出的代價十分巨大，對于事發組織是不可承受的；b)嚴重：造成網絡長時間中斷或局部業務癱瘓，使其業務處理能力受到極大影響，或重要數據/敏感個人信息遭到破壞，恢復業務正常運行和消除安全事件負面影響所需付出的代價巨大，但對于事發組織是可承受的；c)較大：造成網絡中斷，導致業務處理能力受到較大影響，或數據/個人信息受到損害，恢復業務正常運行和消除安全事件負面影響所需付出的代價較大，但對于事發組織是完全可以承受的；d)較小：造成網絡短暫中斷，導致業務處理能力受到一定影響，或數據/敏感個人信息受到影響，恢復業務正常運行和消除安全事件負面影響所需付出的代價較小。6.2.4社會危害的嚴重程度社會危害的嚴重程度根據對國家安全、社會秩序、經濟建設和公眾利益等方面的危害程度進行評估，分為4個級別：特別重大、重大、較大和一般，具體如下：a)特別重大：波及一個或多個省市的大部分地區，危害到國家安全，引起社會動蕩，對經濟建設有極其惡劣的負面影響，或者特別嚴重損害公眾利益；b)重大：波及一個或多個地市的大部分地區，影響到國家安全，引起社會恐慌，對經濟建設有惡劣的負面影響，或者嚴重損害公眾利益；DB3212/T1176—20254c)較大：波及一個或多個地市的部分地區，不影響國家安全，但是擾亂社會秩序，對經濟建設或者公眾利益造成一般損害，對相關公民、法人或其他組織的利益會造成嚴重損害或特別嚴重損d)一般：波及一個地市的部分地區，不影響國家安全、社會秩序、經濟建設和公眾利益，但是對相關公民、法人或其他組織的利益會造成一般損害。6.3事件分級6.3.1特級事件（P0）特級事件發生在特別重要的事件影響對象上，并且：a)導致特別嚴重的業務損失，或b)造成特別重大的社會危害。6.3.2重大事件（P1）重大事件發生在特別重要或重要的事件影響對象上，并且：a)導致特別重要的事件影響對象遭受嚴重的業務損失或導致重要的事件影響對象遭受特別嚴重的業務損失，或b)造成重大的社會危害。6.3.3較大事件（P2）較大事件發生在特別重要或重要或一般的事件影響對象上，并且：a)導致特別重要的事件影響對象遭受較大或較小的業務損失，或重要的事件影響對象遭受嚴重或較大的業務損失，或導致一般的事件影響對象遭受較大（含）以上級別的業務損失，或b)造成較大的社會危害。6.3.4一般事件（P3）一般事件發生在重要或一般的事件影響對象上，并且：a)導致較小的業務損失，或b)造成一般的社會危害。7預警預測與報告7.1應統籌協調有關部門加強網絡安全信息收集、分析和通報工作。7.2當事人/系統監控認為可能發生重大及以上數據安全事件的，應當立即上報數據安全機制。當事人部門負責人認為可能發生較大及以上數據安全事件的，應立即向地方行業監管部門報告。7.3應統一發布網絡安全監測預警信息。7.4應建立健全網絡安全風險評估和應急工作機制。7.5應制定數據安全事件應急預案，并定期組織演練。8應急處置8.1應急響應8.1.1當事人/系統監控在發現事件后按照“電話20分鐘、書面40分鐘”的要求將事件情況向數據安全管理崗報告；8.1.2數據安全管理崗視情設立應急恢復、事件溯源、影響評估、信息發布、跨部門協調等工作組；數據安全管理崗視事件嚴重程度評估是否開展現場檢查、是否向地方行業主管部門匯報，聯合處置。8.1.3初步研判為特級事件、重大事件的，應當在發現事件后按照“電話10分鐘、書面30分鐘”的要求向數據安全管理部門報告。8.2具體流程數據安全事件應急處置工作涉及多個角色，重大事件處置流程如圖1所示：DB3212/T1176—20255數據安全事件應急處置流程當事人/系統監控當事人部門負責人數據安全事件管理崗責任人/處置人數據安全管理小組人事部門進入其他級別進入其他級別事件處理程序開始開始發現數據安全事件向部門主管向部門主管上報是否是重大安全事件是否是重大安全事件是上報數據安全上報數據安全事件管理崗是事件是否處理完畢否是事件是否處理完畢否討論和確認應討論和確認應急處理措施備份現場記錄備份現場記錄安全處理措施采取改進的技采取改進的技術和管理措施提交安全處理提交安全處理報告結束結束事件修復事件修復/止損否是否需要進行法律訴訟程序提出處罰提案否是否需要進行法律訴訟程序提出處罰提案實時跟蹤發實時跟蹤發布信息是保存證據報告保存證據報告執法部門 調查事件原因是否屬于當事人是否屬于當事人違規導致是形成調查報告形成調查報告上報數據安全事件管理部門否給予處罰和給予處罰和公告圖1重大數據安全事件應急處置流程8.3復盤DB3212/T1176—202568.3.1復盤總結8.3.1.1數據安全事件管理部門負責專人全程跟進事件的處理過程，保證事件及時有效處理。8.3.1.2緊急修復止損和查到原因后，組織相關人員進行復盤和總結。8.3.1.3復盤及報告內容包括但不限于發現人、發現途徑、事件內容概述、事件處理經過、當事人、當事人所屬部門、受影響業務/部門、數據敏感級別、已造成的影響、事件嚴重級別、導致事件原因、緊急修復措施、預防措施、總結和反思。8.3.2處置和通報數據安全管理人員和人事負責人介入調查，確定為違規的，由數據安全事件管理部門提出處罰提案，經當事人所屬部門負責人確認后，進行處罰和公告。8.3.3備案和歸檔8.3.3.1在應急工作結束后5個工作日內形成總結報告，報地方行業監管部門。地方行業監管部門匯總審核后，在應急工作結束后10個工作日內形成報告報送數據安全事件管理部門。8.3.3.2數據安全事件管理部門對事件報告及處置結果報告等進行歸檔，方便后續回溯和查閱。8.4應急預案8.4.1基本要求8.4.2應結合數據安全事件的實際情況，組織和人員的職責分工明確，并有具體的落實措施。8.4.3有明確、具體的事故預防措施和應急程序，并與其應急能力相適應。8.4.4有明確的應急保障措施，并能滿足數據局的應急工作要求。8.4.5預案基本要素齊全、完整，預案附件提供的信息準確。8.4.6預案內容與相關應急預案相互銜接。8.4.7編制內容8.4.7.1應包括應急組織機構人員的聯系方式、應急物資裝備清單等記錄信息。8.4.7.2記錄信息應當經常更新，確保信息準確有效。8.5評審要求8.5.1評審采取形式評審和要素評審兩種方法。形式評審主要用于應急預案備案時的評審，要素評審用于應急預案評審工作。8.5.2評審采用符合、基本符合、不符合三種意見進行判定。8.5.3基本符合和不符合的項目，應給出具體修改意見或建議。8.6預案評審8.6.1組織評審評審工作由數據安全事件管理崗主持，應急預案評審工作組討論并提出會議評審意見。現場處置方