大學(xué)信息管理中心信息安全事件處置和應(yīng)急管理規(guī)定

大學(xué)信息管理中心信息安全事件處置和應(yīng)急管理規(guī)定第一章總則第一條為了保障**大學(xué)信息管理中心（以下簡(jiǎn)稱〃中心〃）網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)機(jī)制，規(guī)范信息安全突發(fā)事件的應(yīng)急響應(yīng)工作，全面提高網(wǎng)絡(luò)與信息安全水平，切實(shí)防范和化解系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)通信暢通，提高系統(tǒng)服務(wù)質(zhì)量，特制定本規(guī)定。第二條本規(guī)范適用于**大學(xué)信息管理中心。第二章職責(zé)第三條為有效落實(shí)中心信息安全事件的應(yīng)急響應(yīng)工作,中心設(shè)立信息安全應(yīng)急響應(yīng)工作組，由中心安全主管擔(dān)任組長(zhǎng)，各部門領(lǐng)導(dǎo)及信息安全工作組成員共同組成。信息安全應(yīng)急響應(yīng)工作組的職責(zé)是：（一）負(fù)責(zé)編制應(yīng)急響應(yīng)預(yù)案、信息安全事件應(yīng)急處置流程和措施；（二）負(fù)責(zé)組織協(xié)調(diào)、處置和上報(bào)信息安全事件；（三）負(fù)責(zé)總結(jié)匯報(bào)信息安全事件處置情況和結(jié)果。第三章信息安全事件定義第四條信息安全事件是由于自然或者人為的原因，對(duì)信息系統(tǒng)造成危害，或在信息系統(tǒng)內(nèi)發(fā)生對(duì)社會(huì)造成負(fù)面影響的事件。信息安全事件由單個(gè)或一系列意外或有害的信息安全異常現(xiàn)象所組成的，極有可能危害業(yè)務(wù)運(yùn)行和威脅信息安全。第五條信息安全事件可以是有意的或意外的（如因錯(cuò)誤或者自然災(zāi)害導(dǎo)致的事件），也可以由技術(shù)或物理原因引起。其后果包括如下異?，F(xiàn)象：信息被未授權(quán)地泄露或修改、被破壞或無(wú)法使用，或者中心內(nèi)部資產(chǎn)被毀壞或偷竊。未被報(bào)告和未被確定為事件的信息安全異常現(xiàn)象不能被調(diào)查，也無(wú)法采取防護(hù)措施來(lái)預(yù)防任何再發(fā)生。第六條信息安全事件包括但不限于以下事件：（一）拒絕服務(wù)：導(dǎo)致系統(tǒng)、服務(wù)或網(wǎng)絡(luò)失效而無(wú)法繼續(xù)發(fā)揮其預(yù)期能力的信息安全事件，最常見(jiàn)的情況是完全拒絕合法用戶的訪問(wèn)。（二）惡意代碼：由于病毒、蠕蟲(chóng)和特洛伊木馬等惡意代碼引發(fā)的信息安全事件，可能導(dǎo)致**大學(xué)信息泄露、信息系統(tǒng)和網(wǎng)絡(luò)無(wú)法正常運(yùn)行的后果。（三）未授權(quán)訪問(wèn)：內(nèi)部或外部人員由于未經(jīng)過(guò)相關(guān)授權(quán)私自對(duì)信息系統(tǒng)進(jìn)行操作而引發(fā)了信息安全事件的行為，最常見(jiàn)的未授權(quán)的誤操作。第四章信息安全事件級(jí)別第七條根據(jù)信息安全事件的危害程度，信息安全事件分為四個(gè)級(jí)別：特別重大事件、重大事件、較大事件、一般事件。第八條特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，發(fā)生以下情況可定義為特別重大事件（I級(jí)）：（一）工作日內(nèi)網(wǎng)絡(luò)通信物理或邏輯中斷,5小時(shí)內(nèi)通信無(wú)法恢復(fù)；（二）工作日內(nèi)系統(tǒng)重要業(yè)務(wù)運(yùn)行停止,5小時(shí)內(nèi)業(yè)務(wù)無(wú)法恢復(fù)；（三）工作日內(nèi)信息系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)損壞,5小時(shí)內(nèi)損壞數(shù)據(jù)無(wú)法恢復(fù)。第九條重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，發(fā)生以下情況可定義為重大事件（II級(jí)）：（一）工作日內(nèi)網(wǎng)絡(luò)通信物理或邏輯中斷,2小時(shí)內(nèi)通信無(wú)法恢復(fù)；（二）工作日內(nèi)系統(tǒng)重要業(yè)務(wù)運(yùn)行停止,2小時(shí)內(nèi)業(yè)務(wù)無(wú)法恢復(fù)；（三）工作日內(nèi)信息系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)損壞,2小時(shí)內(nèi)損壞數(shù)據(jù)無(wú)法恢復(fù)。第十條較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，發(fā)生以下情況可定義為較大事件（III級(jí)）：（一）工作日內(nèi)系統(tǒng)部分重要業(yè)務(wù)運(yùn)行停止，并造成嚴(yán)重故障,2小時(shí)內(nèi)能夠恢復(fù)；（二）工作日內(nèi)信息系統(tǒng)部分重要業(yè)務(wù)數(shù)據(jù)損壞,2小時(shí)內(nèi)能夠恢復(fù)；（三）工作日內(nèi)大規(guī)模的病毒爆發(fā)和傳染,2小時(shí)內(nèi)能夠控制病毒傳染范圍；（四）非工作日內(nèi)發(fā)生上述事件，并能夠在員工上班前得到解決，不影響**大學(xué)正常工作開(kāi)展。第十一條一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件，發(fā)生以下情況可定義為一般事件（IV級(jí)）：（一）由于安全隱患或系統(tǒng)遭受入侵、嘗試性入侵造成網(wǎng)絡(luò)通信或系統(tǒng)業(yè)務(wù)運(yùn)行中出現(xiàn)的一般故障；（二）利用**大學(xué)網(wǎng)絡(luò)發(fā)起的對(duì)其它網(wǎng)絡(luò)的攻擊，但未造成嚴(yán)重?fù)p失。第五章信息安全事件發(fā)現(xiàn)第十二條系統(tǒng)維護(hù)人員應(yīng)加強(qiáng)監(jiān)控措施和日志查看，采用必要的技術(shù)手段，確保及時(shí)發(fā)現(xiàn)信息安全事件。第六章信息安全事件分級(jí)處理第十三條對(duì)于特別重大事件，應(yīng)啟動(dòng)應(yīng)急預(yù)案,信息安全應(yīng)急響應(yīng)工作組組織應(yīng)急響應(yīng)相關(guān)工作，并第一時(shí)間上報(bào)中心安全主管，由安全主管協(xié)調(diào)中心各領(lǐng)導(dǎo)、各部門、相關(guān)服務(wù)商共同解決特別重大事件，必要時(shí)，報(bào)請(qǐng)教育部及國(guó)家有關(guān)部門協(xié)調(diào)處置。第十四條對(duì)于重大事件，應(yīng)啟動(dòng)應(yīng)急預(yù)案，信息安全應(yīng)急響應(yīng)工作組組織應(yīng)急響應(yīng)相關(guān)工作，并第一時(shí)間上報(bào)中心安全主管，由安全主管協(xié)調(diào)各部門、相關(guān)服務(wù)商共同解決重大事件，如果未能解決則轉(zhuǎn)入特別重大事件處理流程。第十五條對(duì)于較大事件，系統(tǒng)維護(hù)人員與安全管理員共同分析和解決，并依據(jù)有關(guān)信息安全事件處置流程進(jìn)行處置；必要時(shí)，對(duì)安全事件進(jìn)行深入分析，并協(xié)調(diào)相關(guān)產(chǎn)品供應(yīng)商或集成商，共同解決較大事件，如果未能解決則轉(zhuǎn)入重大事件處理流程。第十六條對(duì)于一般事件，系統(tǒng)維護(hù)人員在日常維護(hù)、巡檢、日志檢查等過(guò)程中發(fā)現(xiàn)異常，或接到其他人員的異常報(bào)告判斷為安全事件，并確定級(jí)別為一般安全事件后，安全管理員應(yīng)詳細(xì)記錄事件的情況并協(xié)調(diào)相關(guān)維護(hù)人員進(jìn)行分析和處理，如果未能解決則轉(zhuǎn)入較大事件處理流程。第七章信息安全事件總結(jié)和上報(bào)第十七條信息安全事件處理完畢，系統(tǒng)恢復(fù)正常運(yùn)行后，要對(duì)整個(gè)事故進(jìn)行分析研究，并對(duì)相關(guān)人員加強(qiáng)教育，總結(jié)經(jīng)驗(yàn)教訓(xùn)，形成信息安全事件處理報(bào)告。第十八條報(bào)告中應(yīng)詳細(xì)記錄事件的起因、處理過(guò)程、建議改進(jìn)的安全方案，造成的直接損失等。第十九條對(duì)于特別重大事件、重大事件和較大事件的處理報(bào)告應(yīng)由安全管理員上報(bào)安全主管，由安全主管審核并反饋相關(guān)意見(jiàn)，最后由信息安全應(yīng)急響應(yīng)工作組