37-安全事件報(bào)告和處置

安全事件報(bào)告和處置9/91/1XXXXX安全事件報(bào)告和處置2020年11月總則目的為了嚴(yán)密規(guī)范衛(wèi)計(jì)委信息系統(tǒng)的安全事件處理程序，確保各業(yè)務(wù)系統(tǒng)的正常運(yùn)行和系統(tǒng)及網(wǎng)絡(luò)的安全事件得到及時(shí)響應(yīng)、處理和跟進(jìn)，保障網(wǎng)絡(luò)和系統(tǒng)持續(xù)安全運(yùn)行，特制定本流程。范圍本流程適用于XXXXX范圍內(nèi)使用的網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)的安全事件處理。職責(zé)XXXXX（相關(guān)安全管理部門(mén)）安全管理人員負(fù)責(zé)流程的執(zhí)行和改進(jìn)，安全管理人員應(yīng)定期審閱安全事件處理狀況，監(jiān)督流程的執(zhí)行，并針對(duì)流程的執(zhí)行情況提出相應(yīng)的改進(jìn)意見(jiàn)。管理細(xì)則事件分級(jí)對(duì)信息安全事件的分級(jí)可參考下列三個(gè)要素：信息系統(tǒng)的重要程度、系統(tǒng)損失和社會(huì)影響。信息系統(tǒng)的重要程度信息系統(tǒng)的重要程度主要考慮信息系統(tǒng)所承載的業(yè)務(wù)對(duì)XXXXX信息安全、經(jīng)濟(jì)利益的重要性，以及業(yè)務(wù)對(duì)信息系統(tǒng)的依賴(lài)程度，劃分為特別重要信息系統(tǒng)、重要信息系統(tǒng)和一般信息系統(tǒng)。系統(tǒng)損失系統(tǒng)損失是指由于信息安全事件對(duì)信息系統(tǒng)的軟硬件、功能及數(shù)據(jù)的破壞，導(dǎo)致系統(tǒng)業(yè)務(wù)中斷，從而給XXXXX業(yè)務(wù)所造成的損失，其大小主要考慮恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)。社會(huì)影響社會(huì)影響是指信息安全事件對(duì)社會(huì)所造成影響的范圍和程度，其大小主要考慮國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)利益、公眾利益和企業(yè)名譽(yù)等方面的影響。根據(jù)信息安全事件的分級(jí)參考要素，將信息安全事件劃分為四個(gè)級(jí)別：特別重大事件、重大事件、較大事件和一般事件。特別重大事件（I級(jí)）特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件。特別重大事件：會(huì)使特別重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失，即造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)十分巨大，對(duì)于事發(fā)組織是不可承受的。產(chǎn)生的社會(huì)影響會(huì)波及到一個(gè)或多個(gè)省市的大部分地區(qū)，極大威脅國(guó)家安全，引起社會(huì)動(dòng)蕩，對(duì)企業(yè)經(jīng)濟(jì)利益有極其惡劣的負(fù)面影響，或者嚴(yán)重?fù)p害企業(yè)名譽(yù)和公眾利益。重大事件（II級(jí)）重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件。重大事件：會(huì)使特別重要信息系統(tǒng)遭受重大的系統(tǒng)損失，即造成系統(tǒng)長(zhǎng)時(shí)間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)巨大，但對(duì)于事發(fā)組織是可承受的；或使重要信息系統(tǒng)遭受特別重大的系統(tǒng)損失。產(chǎn)生的社會(huì)影響波及到一個(gè)或多個(gè)地市的大部分地區(qū)，威脅到國(guó)家安全，引起社會(huì)恐慌，對(duì)企業(yè)經(jīng)濟(jì)利益有重大的負(fù)面影響，或者損害到企業(yè)名譽(yù)和公眾利益。較大事件（III級(jí)）較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件。較大事件：會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失，即造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較大，但對(duì)于事發(fā)組織是完全可以承受的；或使重要信息系統(tǒng)遭受重大的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別重大的系統(tǒng)損失。產(chǎn)生的社會(huì)影響波及到一個(gè)或多個(gè)地市的部分地區(qū)，可能影響到國(guó)家安全，擾亂社會(huì)秩序，對(duì)企業(yè)經(jīng)濟(jì)利益有一定的負(fù)面影響，或者影響到企業(yè)名譽(yù)和公眾利益。一般事件（IV級(jí)）一般事件是指能夠?qū)е螺^小影響或破壞的信息安全事件。一般事件：會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失，即造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價(jià)較??；或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受重大的系統(tǒng)損失。產(chǎn)生的社會(huì)影響波及到一個(gè)地市的部分地區(qū)，對(duì)國(guó)家安全、社會(huì)秩序、企業(yè)經(jīng)濟(jì)利益、企業(yè)名譽(yù)和公眾利益基本沒(méi)有影響，但對(duì)個(gè)別公民、法人或其他組織的利益會(huì)造成損害。故障類(lèi)信息安全事件處理流程信息安全事件的處理流程主要包括：發(fā)現(xiàn)、報(bào)告、響應(yīng)（處理）、評(píng)價(jià)、整改、公告、備案等。如下圖所示：故障類(lèi)信息安全事件管理發(fā)現(xiàn)XXXXX所有職工都有責(zé)任和義務(wù)將發(fā)現(xiàn)的信息安全事故及時(shí)向XXXXX（相關(guān)安全管理部門(mén)）報(bào)告，并保護(hù)現(xiàn)場(chǎng)；同時(shí)XXXXX（相關(guān)安全管理部門(mén)）相關(guān)負(fù)責(zé)人應(yīng)填寫(xiě)《信息安全事件記錄》。報(bào)告XXXXX（相關(guān)安全管理部門(mén)）相關(guān)負(fù)責(zé)人接到故障申報(bào)后，填寫(xiě)《信息安全事件記錄》并初步判定故障的嚴(yán)重程度、影響范圍，重大信息安全事件需要上報(bào)信息安全領(lǐng)導(dǎo)小組，同時(shí)按信息系統(tǒng)應(yīng)急預(yù)案處理故障。報(bào)告必須采用書(shū)面方式，如緊急情況下可以先用電話報(bào)告，隨后補(bǔ)填《信息安全事件記錄》。響應(yīng)信息安全事故的響應(yīng)和處理應(yīng)遵循以下次序：保護(hù)人員的生命與安全。保護(hù)敏感的設(shè)備和資料。保護(hù)信息系統(tǒng)相關(guān)重要的數(shù)據(jù)資源。保護(hù)應(yīng)用系統(tǒng)。評(píng)價(jià)XXXXX（相關(guān)安全管理部門(mén)）牽頭組織分析信息安全事故的類(lèi)型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人、預(yù)防措施等進(jìn)行分析，確定信息安全事故等級(jí)，形成《信息安全事故報(bào)告》。重大及以上事故由XXXXX（相關(guān)安全管理部門(mén)）相關(guān)負(fù)責(zé)人報(bào)XXX領(lǐng)導(dǎo)小組處理；重大事故以下由XXXX網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室組織處理。特大信息安全事故的報(bào)告由XXXX網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組審批；危急國(guó)家安全的須向國(guó)家相關(guān)主管部門(mén)報(bào)告；一般信息安全事故的報(bào)告由XXXXX（相關(guān)安全管理部門(mén)）自行審批。整改對(duì)系統(tǒng)存在的缺陷進(jìn)行整改；對(duì)相關(guān)的責(zé)任人進(jìn)行考核，觸犯法律的移送司法機(jī)關(guān)進(jìn)行處理。公告XXX網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組對(duì)《信息安全事件記錄》進(jìn)行公示并組織學(xué)習(xí)，對(duì)信息安全事故違規(guī)處罰結(jié)果予以公布。備案信息安全事故應(yīng)進(jìn)行備案管理，重大以上的信息安全事故由XXX網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組備案，其他信息安全事故由XXX網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室和各業(yè)務(wù)部門(mén)進(jìn)行備案。常見(jiàn)故障類(lèi)信息安全事件的處理XXXXX（相關(guān)安全管理部門(mén)）主管領(lǐng)導(dǎo)協(xié)調(diào)、組織相關(guān)資源，處理安全事件，并通告相關(guān)部門(mén)：向業(yè)務(wù)科室發(fā)出通知，通報(bào)發(fā)生的安全事件及進(jìn)展。網(wǎng)絡(luò)管理員聯(lián)系安全服務(wù)商，對(duì)事件進(jìn)行診斷、定位，查找問(wèn)題根源。找到原因后需要確定受影響的系統(tǒng)范圍，進(jìn)行緊急修復(fù)，如系統(tǒng)隔離、設(shè)置防火墻、路由器規(guī)則，更新系統(tǒng)補(bǔ)丁等。在進(jìn)行修復(fù)時(shí)應(yīng)注意采取措施進(jìn)行證據(jù)的收集和保全，記錄或復(fù)制入侵證據(jù)、破壞和損失、歸檔備查。恢復(fù)系統(tǒng)服務(wù)和數(shù)據(jù)，解決安全事件后，網(wǎng)絡(luò)管理員聯(lián)合安全服務(wù)商對(duì)受到影響的系統(tǒng)進(jìn)行安全評(píng)估，并對(duì)存在類(lèi)似隱患的所有系統(tǒng)進(jìn)行分析統(tǒng)計(jì)，制定相應(yīng)的安全加固，安全防護(hù)等解決方案，并由網(wǎng)絡(luò)管理員負(fù)責(zé)跟進(jìn)落實(shí)。對(duì)于普通安全事件，由網(wǎng)絡(luò)管理員進(jìn)行調(diào)查處理，必要時(shí)聯(lián)合安全服務(wù)商。進(jìn)行安全修復(fù)，加固防護(hù)所進(jìn)行的配置和更改工作，都需要進(jìn)行相關(guān)測(cè)試。網(wǎng)絡(luò)管理員負(fù)責(zé)填寫(xiě)并維護(hù)《信息安全事件記錄》，負(fù)責(zé)安全事件的跟蹤管理。泄密類(lèi)信息安全事件處理流程需要全體職工了解的是，泄密類(lèi)信息安全事件有其特殊性，需要與故障類(lèi)信息安全事件區(qū)分對(duì)待，靈活處理，但總得來(lái)說(shuō)，需要把握以下原則：網(wǎng)絡(luò)管理員在第一時(shí)間需要先就泄密事件本身保密，不要隨意告訴身邊不夠涉密級(jí)別的無(wú)關(guān)人員。網(wǎng)絡(luò)管理員如已經(jīng)發(fā)現(xiàn)或掌握泄密信息內(nèi)容，在做好保密工作的同時(shí)，需要根據(jù)泄密信息的重要程度選擇據(jù)有相應(yīng)涉密級(jí)別的人員進(jìn)行報(bào)告，如無(wú)法區(qū)分泄密信息重要程度或不清楚相應(yīng)涉密級(jí)別的人員，可選擇直接報(bào)告給網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組辦公室相關(guān)負(fù)責(zé)人。網(wǎng)絡(luò)管理員如未發(fā)現(xiàn)掌握泄密信息內(nèi)容，但發(fā)現(xiàn)了泄密人員的泄密行為，可根據(jù)可能泄密人員的身份級(jí)別，找上一級(jí)別的網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組主管領(lǐng)導(dǎo)報(bào)告。網(wǎng)絡(luò)管理人員和安全主管人員在接到泄密事件報(bào)告后，需要根據(jù)泄密信息的重要程度，可能泄密人員的身份