北京市国家机关信息安全事件定级指南（试行）(doc31)(1)

北京市国家机关信息安全事件定级指南（试行）目录1引言...12信息安全事件定义...13信息安全事件分级...13.1分级参考要素...13.2事件的分级描述...13.3分级规范...24信息安全事件分类...34.1分类参考要素...34.2分类规范...35信息安全事件定级、分类的流程与方法...105.1事件定级分类的特点...105.2定级流程与方法...105.3分类流程与方法...11附件1：信息安全事件报告表...14附件2：信息安全事件处理结果报告表...151引言为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的要求和2004年1月全国信息安全保障工作会议精神，依据《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》（京办发[2004]3号）关于进一步完善信息安全政策法规和标准体系的工作部署，市信息办组织制定了《北京市国家机关重大信息安全事件报告制度》（试行），该制度已于2004年8月1日起正式实施。为配合该制度实施和北京市国家机关信息安全应急响应其他工作的开展，需要对信息安全事件进行科学地定级和分类。《北京市国家机关信息安全事件定级指南》对信息安全事件定义，信息安全事件分级、分类规范，信息安全事件定级、分类方法及流程等进行了系统的阐述。本指南适用于事发单位、信息安全管理部门及信息安全事件调查部门对信息安全事件的定级和分类。2信息安全事件定义信息安全事件是指对计算机系统或网络系统的可用性、完整性、保密性、真实性、可核查性和可靠性造成危害的事件，或者是在计算机系统或网络系统中发生的对社会造成负面影响的其他事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点，信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。3信息安全事件分级对信息安全事件分级是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。本章在明确信息安全事件分级要素的基础上，给出信息安全事件的分级规范。3.1分级参考要素信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下：（1）信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素；（2）公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；（3）业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素；（4）资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。3.2事件的分级描述根据信息安全事件所造成后果的严重程度，信息安全事件可划分为5个等级。其中1级危害程度最高，5级危害程度最低。各级别的信息安全事件具体描述如下：1级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有灾难性的影响或破坏，对社会稳定和国家安全产生灾难性的危害；2级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有极其严重的影响或破坏，对社会稳定、国家安全造成严重危害；3级：本级信息安全事件对计算机系统或网络系统所承载的业务、事发单位利益以及社会公共利益有较为严重的影响或破坏，对社会稳定、国家安全产生一定危害；4级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益有一定的影响或破坏；5级：本级信息安全事件对计算机系统或网络系统所承载的业务以及事发单位利益基本不影响或损害极小。3级和3级以上的信息安全事件称为重大信息安全事件。3.3分级规范3.3.1信息密级根据《中华人民共和国保守国家秘密法》规定，国家秘密的密级分为“绝密”、“机密”、“秘密”三个等级。“绝密”是最重要的国家秘密，泄露会使国家的安全和利益遭受非常严重的损害；“机密”是重要的国家秘密，泄露会使国家的安全和利益遭受严重的损害；“秘密”是一般的国家秘密，泄露会使国家的安全和利益遭受损害。同时单位的工作秘密、单位的敏感信息和个人隐私的泄漏也会造成不同程度的影响和损害。综合以上方面，信息密级分级规范如表3-1所示。表3-1信息密级分级规范级别信息密级1级明确标注有“绝密”的信息失窃或泄密2级明确标注有“机密”的信息失窃或泄密3级明确标注有“秘密”的信息失窃或泄密4级本单位的工作秘密信息失窃或泄密5级本单位敏感信息或个人隐私信息的失窃或泄密加密机等保密设备失窃的信息安全事件请参照表3-1中相应密级信息失窃或泄密信息安全事件处理。3.3.2公众影响依据信息安全事件的公众影响，对信息安全事件分级主要参考信息安全事件负面影响的范围和程度进行划分。分级结果如表3-2所示。表3-2公众影响分级规范发生时间影响范围和程度敏感时期[1]平常时期[2]对国家安全造成影响的信息安全事件1~2级2~3级对社会稳定造成影响的信息安全事件1~2级2~3级对事发单位的正常工作秩序、单位的形象和声誉等造成影响的信息安全事件3~4级4级只对事发单位部分人员的正常工作秩序造成影响的信息安全事件4~5级5级[1]敏感时期是指国家或北京市举行重大活动期间、重大节假日期间或重大政治事件、重大历史事件的发生日等特殊时期。[2]平常时期是指除敏感时期以外的时期。3.3.3业务影响根据信息安全事件的业务影响，对信息安全事件分级主要涉及信息系统的安全等级和业务中断的时间两个因素。这里信息系统的安全等级引用《关于本市各级党政机关网络与信息系统开展安全等级保护工作的通知》和《北京市党政机关网络与信息系统安全定级指南（试行）》中信息系统安全等级的概念。业务影响参考要素分级规范如表3-3所示。表3-3业务影响分级规范中断时间信息系统安全等级4小时以内4小时（含）以上，8小时以内8小时（含）以上52~3级1~2级1~2级42~3级1~2级1~2级33~4级2~3级1~2级24~5级3~4级3级15级4~5级3~4级3.3.4资产损失根据信息安全事件所造成的资产损失，对信息安全事件的分级结果如表3-4所示。表3-4资产损失分级规范级别合计资产损失（人民币）1级1000万元（含）以上2级300万元（含）~1000万元之间3级50万（含）~300万元之间4级5万元（含）~50万元之间5级5万元以下4信息安全事件分类对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的重要依据。本章在明确信息安全事件分类参考要素的基础上，依据分类参考要素给出信息安全事件的分类规范。4.1分类参考要素信息安全事件分类的参考要素包括信息安全事件行为、信息安全事件客体、信息安全事件主体和信息安全事件发生频度等。4.2分类规范依据分类参考要素，信息安全事件可分为环境灾害、常规事故、内容异常、网络或系统异常和其他事件等5个第一层分类，在此基础上，信息安全事件又细分成若干个第二层和第三层分类，具体类别参见表4-1。表4-1信息安全事件分类规范第一层分类第二层分类第三层分类环境灾害自然灾害水灾地震灾害地质灾害气象灾害自然火灾其他自然灾害人为灾害人为火灾恐怖袭击战争其他人为灾害外围保障设施故障电力故障外围网络故障其他外围保障设施故障常规事故有意事故硬件窃取软件窃取数据窃取故意破坏硬件设备故意破坏软件故意破坏数据其他有意事故无意事故硬件设备遗失软件遗失数据遗失误操作破坏硬件误操作破坏软件误操作破坏数据其他无意事故软硬件自身故障软件自身故障硬件自身故障内容异常反动内容通过邮件传播反动信息网页被篡改为反动页面通过网页传播反动信息通过其他方式传播反动信息色情内容通过邮件传播色情信息网页被篡改为色情页面通过网页传播色情信息通过其他方式传播色情信息敏感内容通过邮件传播敏感信息通过网页传播敏感信息通过其他方式传播敏感信息其他异常内容垃圾邮件网页被篡改成异常信息通过网页传播其他异常信息通过其他方式传播异常信息计算机病毒传统计算机病毒网络或系统异常邮件病毒脚本病毒蠕虫病毒木马程序其他计算机病毒间接攻击扫描探测网络监听口令攻击网络社交攻击其他方式间接攻击直接攻击拒绝服务攻击后门攻击漏洞攻击其他方式直接攻击其他事件不能归为以上四个第一层分类的信息安全事件4.2.1环境灾害环境灾害类别是指对计算机系统或网络系统的自身运行环境或外围保障条件造成影响而导致的信息安全事件。环境灾害类别包括自然灾害、人为灾害和外围保障设施故障等三个第二层分类。4.2.1.1自然灾害自然灾害类别是指由于自然灾害对计算机系统或网络系统造成物理破坏而导致的信息安全事件。自然灾害类别的信息安全事件根据成因的不同又可以分为水灾、地震灾害、地质灾害、气象灾害、自然火灾和其他自然灾害等第三层分类，各第三层分类的描述如表4-2所示。表4-2自然灾害类别类别说明水灾由暴雨、洪涝灾害等自然因素而导致的信息安全事件地震灾害由地震而导致的信息安全事件地质灾害由地质或建筑设计不合理等因素造成的坍塌事故而导致的信息安全事件气象灾害由雷击等气象灾害而导致的信息安全事件自然火灾由电力线路老化和易燃易爆物自然氧化等非人为因素引起的火灾而导致的信息安全事件其他自然灾害由于除以上五类因素之外的自然灾害因素而导致的信息安全事件4.2.1.2人为灾害人为灾害类别是指由于人为因素对事发单位计算机系统或网络系统造成破坏而导致的信息安全事件。根据成因的不同，人为灾害类别的信息安全事件可分为人为火灾、恐怖袭击、战争及其他人为灾害等第三层分类，各第三层分类的描述如表4-3所示。表4-3人为灾害类别类别说明人为火灾人为纵火或人为失火而导致的信息安全事件恐怖袭击由汽车炸弹、人体炸弹、施放毒气等恐怖活动而导致的信息安全事件战争由战争因素而导致的信息安全事件其他人为灾害由以上三类因素之外的人为灾害因素而导致的信息安全事件4.2.1.3外围保障设施故障外围保障设施故障类别是指由于保障事发单位计算机系统或网络系统正常运行所必须的外部设施出现故障而导致的信息安全事件。根据成因的不同，外围故障设施类别的信息安全事件可分为电力故障、外围网络故障及其他外围保障设施故障等第三层分类，各第三层分类的描述如表4-4所示。表4-4外围保障设施故障类别别说明电力故障由于供电线路、供电设备出现故障或供电调配的原因而导致的信息安全事件外围网络故障事发单位自身计算机系统和网络系统正常，但由于保障该单位信息系统正常工作的外围网络传输信道出现故障而导致该单位信息系统无法对外正常服务的信息安全事件，例如因施工切断光缆或非法偷盗光缆而导致信息安全事件其他外围保障设施故障事发单位自身计算机系统和网络系统正常，但由于保障该单位信息系统正常工作的除电力系统、外围网络之外的外围保障设施的故障而导致该单位信息系统无法对外正常服务的信息安全事件，如：DNS服务器、CA服务器等故障4.2.2常规事故常规事故类别指因为使用常规手段人为地对硬件、软件、数据造成危害，或者由于软硬件自然故障而导致的信息安全事件。这里的常规手段特指网络技术之外的常规手段。根据事件行为动机或原因，常规事件类别可以进一步分为有意事故、无意事故和软硬件故障等三个第二层分类。4.2.2.1有意事故有意事故类别是指蓄意对保障计算机系统或网络系统正常运行的硬件、软件及数据等实施窃取、破坏造成的信息安全事件。根据事件行为的不同，有意事故类别的信息安全事件可分为硬件窃取、软件窃取、数据窃取、故意破坏硬件设备、故意破坏软件、故意破坏数据及其他有意造成的事故等第三层分类，各第三层分类的描述如表4-5所示。表4-5有意事故类别类别说明硬件窃取窃取计算机系统、计算机部件、网络设备、信息安全设备等硬件的信息安全事件软件窃取因非法复制软件或窃取软件存储介质等导致的信息安全事件数据窃取因非法复制重要数据或窃取重要数据信息存储介质等导致的信息安全事件故意破坏硬件设备蓄意破坏计算机系统、计算机部件、网络设备、信息安全设备等，造成硬件设备物理损坏的信息安全事件故意破坏软件通过非法删除、篡