10信息安全事件报告管理办法

安全事件报告管理办法修订记录版本编号修订日期主要修订摘要审核记录审核人员属于部门审核日期第一章总则第一条为提高中国航发湖南动力机械研究所（以下简称“动研所”）处置网络与信息安全突发公共事件能力，加强网络与信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，维护正常的经济、政治、社会秩序。第二条根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等相关法规、规定、文件精神，制定本管理办法。第三条本管理办法所指的网络与信息安全突发公共事件，是指重要网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共安全的紧急事件。第四条本管理办法适用于本管理办法定义的Ⅰ级、Ⅱ级网络与信息安全突发公共事件和可能导致Ⅰ级、Ⅱ级网络与信息安全突发公共事件的应对处置工作。第二章组织机构与职责第五条安全事件管理涉及的角色和职责1.第一发现人：第一个得到或发现安全事件信息的技术人员，应立即向信息化技术研究部值班人员及时报告发现的安全事件。2.值班人员：值班人员负责发现和接收安全事件报告，向专业岗位人员报告安全事件，并记录安全事件信息。3.应用系统管理、网络管理和安全管理等专业岗位人员：专业岗位人员负责对安全事件进行初步判断，并及时通知信息化技术研究部负责人。4.信息化技术研究部负责人：信息化技术研究部负责人负责听取值班人员及专业岗位人员的报告，协调资源，及时向动研所高层报告安全事件的处理进展。5.信息技术服务提供商：安全事件发生时，提供符合服务合同范围的技术支持。第三章安全事件分类与分级第六条事件分类：根据网络与信息安全突发公共事件的发生过程、性质和特征，网络与信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害，安全事件灾难和人为破坏引起的网络与信息系统的损坏；信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。1.自然灾害是指地震、台风、雷电、火灾、洪水等。2.安全事件灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。3.人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。第七条计算机安全事件具体包括：1.信息系统软硬件故障；2.网络通信系统故障；3.供电系统故障；4.系统感染计算机病毒；5.数据处理中心遭水灾、火灾、雷击；6.网络遭遇入侵或攻击；7.信息系统敏感数据泄露；8.信息系统数据失窃；9.数据处理设备失窃。第八条事件分级：根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般)。国家有关法律法规有明确规定的，按国家有关规定执行。1.Ⅰ级(特别重大)：网络与信息系统发生全局性大规模瘫痪，事态发展超出自己的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。2.Ⅱ级(重大)：网络与信息系统造成全局性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。3.Ⅲ级(较大)：某一部分的网络与信息系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发公共事件。4.Ⅳ级(一般)：网络与信息系统受到一定程度的损坏，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。第四章安全事件处理第九条安全事件处理流程包括安全事件获取、安全事件判定、安全事件报告、安全事件调查和分析、安全事件解决和服务恢复、安全事件记录和关闭六个过程。处理过程应做到判定过程迅速，得出结论准确，报告上级及时。第十条安全事件获取：第一发现人是安全事件获取的责任人，安全事件发生后，第一发现人应提供安全事件发生时间、发现时间、安全事件现象、客户资料（如属于客户报告）等信息，向值班人员汇报情况。第一发现人在将信息通报给值班人员后，职责结束。值班人员在《信息系统故障报告》（附表一）登记第一发现人提供的安全事件信息；并有责任在安全事件结束后，根据安全事件级别补录或汇总安全事件发生时间、安全事件发现时间、安全事件现象、客户资料等信息。第十一条安全事件判定：值班人员将安全事件现象告知各专业岗位人员。各专业岗位人员需尽快根据安全事件现象评估安全事件对业务正常运行的影响，并立即通知信息化技术研究部负责人，由信息化技术研究部负责人召集各专业岗位人员一起判断安全事件的级别。安全事件级别难于界定的，按高级别安全事件判定。第十二条安全事件报告：专业岗位人员需在第一时间报告信息化技术研究部负责人，在事发24小时内，向信息化技术研究部负责人提交信息安全事故报告，填写《信息安全事故报告》，并报告给信息技术分管领导，信息安全事故报告包括以下内容：1.计算机安全事件发生的时间、地点、单位、单位负责人和联系方式；2.计算机安全事件的类别、涉及软硬件系统的情况和事件发生的过程；3.计算机安全事件造成的后果和影响范围；4.计算机安全事件发生的原因；5.责任人或涉案人员；6.计算机安全事件发生后采取的应急措施。第十三条发生计算机安全事件后，按照逐级上报程序，由事件发生单位在事件发生12小时内向本系统上级单位报告，并同时向计算机安全主管部门报告。第十四条任何单位或者个人均有权报告动研所存在的计算机安全隐患。接到报告的有关部门应当立即对报告进行初步评估，如有必要应立即组织对计算机安全隐患进行检查和处置。第十五条计算机安全事件必须及时上报，报告内容应当要素齐全，客观准确。第十六条安全事件调查和分析：由信息化技术研究部负责人召集各专业岗位人员进行安全事件调查和故障定位，制定安全事件处理方案。第十七条安全事件解决和恢复服务：若属于存在应急方案的安全事件，严格按照应急方案执行；没有存在应急方案的安全事件由信息化技术研究部负责人召集各专业岗位人员制定临时处理方案。对于没有应急方案的安全事件且超出技术部处理能力时，由动研所领导组织制定临时处理方案。安全事件处理过程中如需要对系统进行变更，按照紧急变更流程处理，具体见《变更管理办法》。第十八条安全事件记录和关闭：所有安全事件事后必须详细记录，应包括安全事件时间、现象、处理流程、处理结果、原因、改进措施等。值班人员是安全事件现象记录的责任人，安全事件级别由信息化技术研究部负责人召集各专业岗位人员一起确定。安全事件处理人员负责汇总安全事件过程中记录的各种信息，完善《信息系统故障报告》相关内容后交配置管理岗存档保存。第五章事后培训和教育第十九条安全事件处理完后应把事件处理情况向全动研所进行通报，分析事件发生的原因，总结经验教训，防止安全事件再次发生。第二十条充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件报告和处置的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及安全基本知识。第二十一条要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全事件的报告程序、工作流程等列为培训内容，增强事件报告和处理工作的组织能力。第六章附则第二十二条本管理办法由信息化技术研究部负责解释。第二十三条本管理办法自发布之日起执行。