信息系统安全事件报告和处置办法

为了严密规范信息系统的安全事件处理程序，确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程。本流程适用于使用的网络、计算机系统的安全事件处理。

第一章目的

第一条为了严密规范信息系统的安全事件处理程序，确保各业务系统的正常运行和系统及网络的安全事件得到及时响应、处理和跟进，保障网络和系统持续安全运行，特制定本流程。

第二章范围

第二条本流程适用于重庆 XX 中学范围内使用的网络、计算机系统的安全事件处理。

第三章职责

第三条网络安全办公室安全管理员负责流程的执行和改进，安全管理员应定期审阅安全事件处理状况，监督流程的执行，并针对流程的执行情况提出相应的改进意见。

第四章管理细则

第四条事件分级

对信息安全事件的分级可参考下列三个要素：信息系统的重要程度、系统损失和社会影响。
1. 信息系统的重要程度：信息系统的重要程度主要考虑信息系统所承载的业务对西南政法大学信息安全、经济利益的重要性，以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。
2. 系统损失：系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给西南政法大学业务所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。
3. 社会影响：社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济利益、公众利益和企业名誉等方面的影响。
根据信息安全事件的分级参考要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。
1. 特别重大事件（I 级）：特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。
  - 会使特别重要信息系统遭受特别重大的系统损失，即造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的。
  - 产生的社会影响会波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对企业经济利益有极其恶劣的负面影响，或者严重损害企业名誉和公众利益。
2. 重大事件（II 级）：重大事件是指能够导致严重影响或破坏的信息安全事件。
  - 会使特别重要信息系统遭受重大的系统损失，即造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；或使重要信息系统遭受特别重大的系统损失。
  - 产生的社会影响波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对企业经济利益有重大的负面影响，或者损害到企业名誉和公众利益。
3. 较大事件（III 级）：较大事件是指能够导致较严重影响或破坏的信息安全事件。
  - 会使特别重要信息系统遭受较大的系统损失，即造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；或使重要信息系统遭受重大的系统损失、一般信息信息系统遭受特别重大的系统损失。
  - 产生的社会影响波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对企业经济利益有一定的负面影响，或者影响到企业名誉和公众利益。
4. 一般事件（IV 级）：一般事件是指能够导致较小影响或破坏的信息安全事件。
  - 会使特别重要信息系统遭受较小的系统损失，即造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小；或使重要信息系统遭受较大的系统损失，一般信息系统遭受重大的系统损失。
  - 产生的社会影响波及到一个地市的部分地区，对国家安全、社会秩序、企业经济利益、企业名誉和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。

第五条故障类信息安全事件处理流程

信息安全事件的处理流程主要包括：发现、报告、响应（处理）、评价、整改、公告、备案等。如下图所示：

第六条故障类信息安全事件管理

发现：重庆 XX 中学所有职工都有责任和义务将发现的信息安全事故及时向网络安全办公室报告，并保护现场；同时网络安全办公室应填写《信息安全事件记录》。
报告：网络安全办公室接到故障申报后，填写《信息安全事件记录》并初步判定故障的严重程度、影响范围，重大信息安全事件需要上报信息安全领导小组，同时按信息系统应急预案处理故障。报告必须采用书面方式，如紧急情况下可以先用电话报告，随后补填《信息安全事件记录》。
响应：信息安全事故的响应和处理应遵循以下次序：
- 保护人员的生命与安全。
- 保护敏感的设备和资料。
- 保护信息系统相关重要的数据资源。
- 保护应用系统。
评价：网络安全办公室牵头组织分析信息安全事故的类型、严重程度、发生的原因、性质、产生的损失、责任人、预防措施等进行分析，确定信息安全事故等级，形成《信息安全事故报告》。重大及以上事故由网络安全办公室报信息安全领导小组处理；重大事故以下由网络安全办公室组织处理。特大信息安全事故的报告由信息安全领导小组审批；危急国家安全的须向国家相关主管部门报告；重大事故及以下信息安全事故的报告由网络安全办公室自行审批。
整改：对系统存在的缺陷进行整改；对相关的责任人进行考核，触犯法律的移送司法机关进行处理。
公告：信息安全领导小组对《信息安全事件记录》进行公示并组织学习，对信息安全事故违规处罚结果予以公布。
备案：信息安全事故应进行备案管理，重大以上的信息安全事故由信息安全领导小组备案，其他信息安全事故由网络安全办公室和各业务部门进行备案。

第七条常见故障类信息安全事件的处理

网络安全办公室主管领导协调、组织相关资源，处理安全事件，并通告相关部门：
向业务科室发出通知，通报发生的安全事件及进展。
安全管理员联系安全服务商，系统管理员负责相应的系统，对事件进行诊断、定位，查找问题根源。
找到原因后需要确定受影响的系统范围，进行紧急修复，如系统隔离、设置防火墙、路由器规则，更新系统补丁等。在进行修复时应注意采取措施进行证据的收集和保全，记录或复制入侵证据、破坏和损失、归档备查。
恢复系统服务和数据，解决安全事件后，安全管理员、安全服务商和系统管理员对受到影响的系统进行安全评估，并对存在类似隐患的所有系统进行分析统计，制定相应的安全加固，安全防护等解决方案，由安全管理员负责跟进落实。
对于普通安全事件，由安全管理员进行调查处理，必要时联合安全服务商和系统管理员。
进行安全修复，加固防护所进行的配置和更改工作，都需要进行相关测试。
安全管理员负责填写并维护《信息安全事件记录》，负责安全事件的跟踪管理。

第八条泄密类信息安全事件处理流程

需要全体职工了解的是，泄密类信息安全事件有其特殊性，需要与故障类信息安全事件区分对待，灵活处理，但总得来说，需要把握以下原则：

泄密发现人员在第一时间需要先就泄密事件本身保密，不要随意告诉身边不够涉密级别的无关人员。泄密发现人员如已经发现或掌握泄密信息内容，在做好保密工作的同时，需要根据泄密信息的重要程度选择据有相应涉密级别的人员进行报告，如无法区分泄密信息重要程度或不清楚相应涉密级别的人员，可选择直接报告给信息安全领导小组组长。
泄密发现人员如未发现掌握泄密信息内容，但发现了泄密人员的泄密行为，可根据可能泄密人员的身份级别，找上一级别的信息安全主管领导报告。
各级信息安全管理人员和信息安全主管领导在接到泄密事件报告后，需要根据泄密信息的重要程度，可能泄密人员的身份级别进行相关处理或报告上一级主管领导处理。