行和系统及网络的安全事件得到及时响应、处理和跟进保障网络和系统持续安全运行确保XXXXX单位重要计算机信息系统的实体安全、运行安全和数据安全最大限度地减轻网络与信息安全突发公共事件的危害保障XXX市人民的财产安全保护公众利益维护正常的政治、经济和社会秩序特制订本管理制度。

1.2、范围

本制度适用于XXXXX单位范围内使用的网络、计算机系统的安全事件处理。

1.3、职责

网络安全与信息化管理部门安全管理员负责流程的执行和改进安全管理员应定期审阅安全事件处理状况监督流程的执行并针对流程的执行情况提出相应的改进意见。

2、管理细则

对对信息安全事件的分级可参考下列三个要素信息系统的重要程度、系统损失和社会影响。

信息系统的重要程度主要考虑信息系统所承载的业务对XXXXX单位信息安全、经济利益的重要性以及业务对信息系统的依赖程度划分为特别重要信息系统、重要信息系统和一般信息系统。

系统损失

系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏导致系统业务中断从而给XXXXX单位业务所造成的损失其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。

社会影响

社会影响是指信息安全事件对社会所造成影响的范围和程度其大小主要考虑国家安全、社会秩序、经济利益、公众利益和企业名誉等方面的影响。

根据信息安全事件的分级参考要素将信息安全事件划分为四个级别特别重大事件、重大事件、较大事件和一般事件。

2.1.1、特别重大事件I级

会使特别重要信息系统遭受特别重大的系统损失即造成系统大面积瘫痪使其丧失业务处理能力或系统关键数据的保密性、完整性、可用性遭到严重破坏恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大对于事发组织是不可承受的。

产生的社会影响会波及到一个或多个省市的大部分地区极大威胁国家安全引起社会动荡对企业经济利益有极其恶劣的负面影响或者严重损害企业名誉和公众利益。

2.1.2、重大事件II级

会使特别重要信息系统遭受重大的系统损失即造成系统长时间中断或局部瘫痪使其业务处理能力受到极大影响或系统关键数据的保密性、完整性、可用性遭到破坏恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大但对于事发组织是可承受的或使重要信息系统遭受特别重大的系统损失。

产生的社会影响波及到一个或多个地市的大部分地区威胁到国家安全引起社会恐慌对企业经济利益有重大的负面影响或者损害到企业名誉和公众利益。

2.1.3、较大事件III级

会使特别重要信息系统遭受较大的系统损失即造成系统中断明显影响系统效率使重要信息系统或一般信息系统业务处理能力受到影响或系统重要数据的保密性、完整性、可用性遭到破坏恢复系统正常运行和消除安全事件负面影响所需付出的代价较大但对于事发组织是完全可以承受的或使重要信息系统遭受重大的系统损失、一般信息系统遭受特别重大的系统损失。

产生的社会影响波及到一个或多个地市的部分地区可能影响到国家安全扰乱社会秩序对企业经济利益有一定的负面影响或者影响到企业名誉和公众利益。

2.1.4、一般事件IV级

会使特别重要信息系统遭受较小的系统损失即造成系统短暂中断影响系统效率使系统业务处理能力受到影响或系统重要数据的保密性、完整性、可用性遭到影响恢复系统正常运行和消除安全事件负面影响所需付出的代价较小或使重要信息系统遭受较大的系统损失一般信息系统遭受重大的系统损失。

产生的社会影响波及到一个地市的部分地区对国家安全、社会秩序、企业经济利益、企业名誉和公众利益基本没有影响但对个别公民、法人或其他组织的利益会造成损害。

2.2、故障类信息安全事件处理流程

信息安全事件的处理流程主要包括发现、报告、响应处理、评价、整改、公告、备案等。

如下图所示

XXXXX单位所有人员都有责任和义务将发现的信息安全事故及时向网络安全与信息化管理部门报告并保护现场同时网络安全与信息化管理部门应填写《信息安全事件记录》。

2.3.2、报告

网络安全与信息化管理部门接到故障申报后填写《信息安全事件记录》并初步判定故障的严重程度、影响范围重大信息安全事件需要上报信息安全领导小组同时按信息系统应急预案处理故障。

报告必须采用书面方式如紧急情况下可以先用电话报告随后补填《信息安全事件记录》。

2.3.3、响应

保护人员的生命与安全。

保护敏感的设备和资料。

保护信息系统相关重要的数据资源。

保护应用系统

2.3.4、评价

网络安全与信息化管理部门牵头组织分析信息安全事故的类型、严重程度、发生的原因、性质、产生的损失、责任人、预防措施等进行分析确定信息安全事故等级形成《信息安全事故报告》。

重大及以上事故由网络安全与信息化管理部门报信息安全领导小组处理重大事故以下由网络安全与信息化管理部门组织处理。

特大信息安全事故的报告由信息安全领导小组审批危急国家安全的须向国家相关主管部门报告重大事故及以下信息安全事故的报告由网络安全与信息化管理部门自行审批。

2.3.5、整改

对系统存在的缺陷进行整改对相关的责任人进行考核触犯法律的移送司法机关进行处理。

2.3.6、公告

信息安全领导小组对《信息安全事件记录》进行公示并组织学习对信息安全事故违规处罚结果予以公布。

2.3.7、备案

信息安全事故应进行备案管理重大以上的信息安全事故由信息安全领导小组备案其他信息安全事故由网络安全与信息化管理部门和各业务部门进行备案。

网络安全与信息化管理部门主管领导协调、组织相关资源处理安全事件并通告相关部门。

向业务部门发出通知通报发生的安全事件及进展。

安全管理员联系安全服务商系统管理员负责相应的系统对事件进行诊断、定位查找问题根源。

找到原因后需要确定受影响的系统范围进行紧急修复如系统隔离、设置防火墙、路由器规则更新系统补丁等。

在进行修复时应注意采取措施进行证据的收集和保全记录或复制入侵证据、破坏和损失、归档备查。

恢复系统服务和数据解决安全事件后安全管理员联合安全服务商和系统管理员对受到影响的系统进行安全评估并对存在类似隐患的所有系统进行分析统计制定相应的安全加固安全防护等解决方案并由安全管理员负责跟进落实。

对于普通安全事件由安全管理员进行调查处理必要时联合安全服务商和系统管理员。

进行安全修复加固防护所进行的配置和更改工作都需要进行相关测试。

安全管理员负责填写并维护《信息安全事件记录》负责安全事件的跟踪管理。

2.5、泄密类信息安全事件处理流程

需要全体人员了解的是泄密类信息安全事件有其特殊性需要与故障类信息安全事件区分对待灵活处理但总得来说需要把握以下原则

泄密发现人员在第一时间需要先就泄密事件本身保密不要随意告诉身边不够涉密级别的无关人员。

泄密发现人员如已经发现或掌握泄密信息内容在做好保密工作的同时需要根据泄密信息的重要程度选择据有相应涉密级别的人员进行报告如无法区分泄密信息重要程度或不清楚相应涉密级别的人员可选择直接报告给信息安全领导小组组长。

泄密发现人员如未发现掌握泄密信息内容但发现了泄密人员的泄密行为可根据可能泄密人员的身份级别找上一级别的信息安全主管领导报告。

各级信息安全管理人员和信息安全主管领导在接到泄密事件报告后需要根据泄密信息的重要程度可能泄密人员的身份级别及时进行相关处理或报告上一级主管领导处理。

信息安全主管领导应安排应急小组收集相关信息分析事件发展态势初步判断事件产生原因研究提出应急处置方案指定小组成员各岗位职责统一指挥协调配合。

执行应急处置方案迅速控制事件影响范围力争将损失降到最低程度确保在最短时间内恢复正常尽可能减少突发事件带来的损失。

信息安全主管领导应对该类信息安全事件进行判断讨论是否需要保存证据并报告执法部门应急处置工作结束后信息安全主管领导应组织有关人员和技术专家对事件发生原因、性质、影响、责任及应急处置能力、完善整改等方面进行调查、分析和评估并根据应急处置中暴露出的管理、协调和技术问题应急方案进行改进和完善。

3、附则