安全事件报告和处置-V1

XX单位安全事件报告和处置年月日20XX XXXX信息安全事件记录时间信息安全事件（数量）信息安全事故（数量）轻微一次普通次重大次信息安全事件部门/类型分布图事件原因分析信息安全事故部门/类型分布图事件原因分析控制措施:8（可包括资源需求）事件趋势（和以前相比）汇报人时间目录总则11目的

1.11范围

1.21职责

1.31管理细则21事件分级

2.11故障类信息安全事件处理流程

2.24故障类信息安全事件管理

2.35常见故障类信息安全事件的处理

2.46泄密类信息安全事件处理流程

2.57附件37总则1目的

1.1为了严密规范卫计委信息系统的安全事件处理程序，确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程范围

1.2本流程适用于XX单位范围内使用的网络、计算机系统的安全事件处理职责

1.3信息中心安全管理员负责流程的执行和改进，安全管理员应定期审阅安全事件处理状况，监督流程的执行，并针对流程的执行情况提出相应的改进意见管理细则2事件分级

2.1对信息安全事件的分级可参考下列三个要素信息系统的重要程度、系统损失和社会影响⑴信息系统的重要程度信息系统的重要程度主要考虑信息系统所承载的业务对XX单位信息安全、经济利益的重要性，以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统2系统损失系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断，从而给XX单位业务所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价3社会影响社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济利益、公众利益和企业名誉等方面的影响根据信息安全事件的分级参考要素，将信息安全事件划分为四个级别特别重大事件、重大事件、较大事件和一般事件

2.

1.1特别重大事件I级特别重大事件是指能够导致特别严重影响或破坏的信息安全事件特别重大事件⑴会使特别重要信息系统遭受特别重大的系统损失，即造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的2产生的社会影响会波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对企业经济利益有极其恶劣的负面影响，或者严重损害企业名誉和公众利益

2.

1.2重大事件H级重大事件是指能够导致严重影响或破坏的信息安全事件重大事件⑴会使特别重要信息系统遭受重大的系统损失，即造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；或使重要信息系统遭受特别重大的系统损失⑵产生的社会影响波及到一个或多个地市的大部分地区，威胁到国家安全,引起社会恐慌，对企业经济利益有重大的负面影响，或者损害到企业名誉和公众利益

2.

1.3较大事件HI级较大事件是指能够导致较严重影响或破坏的信息安全事件较大事件⑴会使特别重要信息系统遭受较大的系统损失，即造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；或使重要信息系统遭受重大的系统损失、一般信息信息系统遭受特别重大的系统损失2产生的社会影响波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对企业经济利益有一定的负面影响，或者影响到企业名誉和公众利益

2.

1.4一般事件IV级一般事件是指能够导致较小影响或破坏的信息安全事件一般事件⑴会使特别重要信息系统遭受较小的系统损失，即造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小；或使重要信息系统遭受较大的系统损失，一般信息系统遭受重大的系统损失2产生的社会影响波及到一个地市的部分地区，对国家安全、社会秩序、企业经济利益、企业名誉和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害故障类信息安全事件处理流程

2.2信息安全事件的处理流程主要包括发现、报告、响应处理、评价、整改、公告、备案等如下图所不发现卜报告卜响应评价备案公告・整改故障类信息安全事件管理

2.

32.

3.1发现XX单位所有职工都有责任和义务将发现的信息安全事故及时向信息中心报告，并保护现场；同时信息中心应填写《信息安全事件记录》

2.

3.2报告信息中心接到故障申报后，填写《信息安全事件记录》并初步判定故障的严重程度、影响范围，重大信息安全事件需要上报信息安全领导小组，同时按信息系统应急预案处理故障报告必须采用书面方式，如紧急情况下可以先用电话报告，随后补填《信息安全事件记录》

2.

3.3响应信息安全事故的响应和处理应遵循以下次序1保护人员的生命与安全2保护敏感的设备和资料3保护信息系统相关重要的数据资源4保护应用系统

2.

3.4评价信息中心牵头组织分析信息安全事故的类型、严重程度、发生的原因、性质、产生的损失、责任人、预防措施等进行分析，确定信息安全事故等级，形成《信息安全事故报告》重大及以上事故由信息中心报信息安全领导小组处理；重大事故以下由信息中心组织处理特大信息安全事故的报告由信息安全领导小组审批；危急国家安全的须向国家相关主管部门报告；重大事故及以下信息安全事故的报告由信息中心自行审批

2.

3.5整改对系统存在的缺陷进行整改；对相关的责任人进行考核，触犯法律的移送司法机关进行处理

2.

3.6公告信息安全领导小组对《信息安全事件记录》进行公示并组织学习，对信息安全事故违规处罚结果予以公布

2.

3.7备案信息安全事故应进行备案管理，重大以上的信息安全事故由信息安全领导小组备案，其他信息安全事故由信息中心和各业务部门进行备案常见故障类信息安全事件的处理

2.41）信息中心主管领导协调、组织相关资源，处理安全事件，并通告相关部门2）向业务科室发出通知，通报发生的安全事件及进展3）安全管理员联系安全服务商，系统管理员负责相应的系统，对事件进行诊断、定位，查找问题根源4）找到原因后需要确定受影响的系统范围，进行紧急修复，如系统隔离、设置防火墙、路由器规则，更新系统补丁等在进行修复时应注意采取措施进行证据的收集和保全，记录或复制入侵证据、破坏和损失、归档备查5）恢复系统服务和数据，解决安全事件后，安全管理员联合安全服务商和系统管理员对受到影响的系统进行安全评估，并对存在类似隐患的所有系统进行分析统计，制定相应的安全加固，安全防护等解决方案，并由安全管理员负责跟进落实1）对于普通安全事件，由安全管理员进行调查处理，必要时联合安全服务商和系统管理员2）进行安全修复，加固防护所进行的配置和更改工作，都需要进行相关测试3）安全管理员负责填写并维护《信息安全事件记录》，负责安全事件的跟踪管理泄密类信息安全事件处理流程

2.5需要全体职工了解的是，泄密类信息安全事件有其特殊性，需要与故障类信息安全事件区分对待，灵活处理，但总得来说，需要把握以下原则1）泄密发现人员在第一时间需要先就泄密事件本身保密，不要随意告诉身边不够涉密级别的无关人员2）泄密发现人员如已经发现或掌握泄密信息内容，在做好保密工作的同时,需要根据泄密信息的重要程度选择据有相应涉密级别的人员进行报告，如无法区分泄密信息重要程度或不清楚相应涉密级别的人员，可选择直接报告给信息安全领导小组组长3）泄密发现人员如未发现掌握泄密信息内容，但发现了泄密人员的泄密行为，可根据可能泄密人员的身份级别，找上一级别的信息安全主管领导报告4）各级信息安全管理人员和信息安全主管领导在接到泄密事件报告后，需要根据泄密信息的重要程度，可能泄密人员的身份级别及时进行相关处理或报告上一级主管领导处理附件3附1:信息安全事件记录。