当前位置：文档库 › 信息安全事件管理指南(完整资料)

信息安全事件管理指南(完整资料)

信息安全事件管理指南

1 范围

本指导性技术文件描述了信息安全事件的管理过程。提供了规划和制定信息安全事件管理策略和方案的指南。给出了管理信息安全事件和开展后续工作的相关过程和规程。

本指导性技术文件可用于指导信息安全管理者，信息系统、服务和网络管理者对信息安全事件的管理。

2规范性引用文件

下列文件中的条款通过本指导性技术文体的引用两成为本指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内骞）或修订版均不适用于本指导性技术文件，然而，鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用子本指导性技术文件。

GB/T 19716—2005信息技术信息安全管理实用规则(ISO/IEC 17799：2000．MOD)

GB/Z 20986—2007信息安全技术信息安全事件分类分级指南

ISO/IEC 13335-I：2004信息技术安念技术信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型

3 术语和定义

GB/T 19716--2005、ISO/IEC 13335-I：2004中确立的以及下列术语和定义适用于本指导性技术文件。

3.1

业务连续性规划business continuity planning

这样的一个过程，即当有任何意外或有害事件发生，且对基本业务功能和支持要素的连续性造成负面影响时，确保运行的恢复得到保障。该过程还应确保恢复工作按指定优先级、在规定的时间期限内完成，且随后将所有业务功能及支持要素恢复到正常状态。

这一过程的关键要素必须确保具有必要的计划和设施，且经过测试，它们包含信息、业务过程、信息系统和服务、语音和数据通信、人员和物理设施等。

3.2

信息安全事态information security event

被识别的一种系统、服务或网络状态的发生，表明一次可能的信息安全策略违规或某些防护措施失效，或者一种可能与安全相关但以前不为人知的一种情况。

3.3

信息安全事件information security incident

由单个或一系列意外或有害的信息安全事态所组成，极有可能危害业务运行和威胁信息安全。

3.4

信息安全事件响应组(lSIRT)lnformation Security Incident Response Team 由组织中具备适当技能且可信的成员组成的一个小组，负责处理与信息安全事件相关的全部工作。有时，小组可能会有外部专家加入，例如来自一个公认的计算机事件响应组或计算机应急响应(CERT.)的专家。

4缩略语

CERT计算机应急响应组(Computer Emergency Response Team)

ISIRT信息安全事件响应组(Information Security, Incident Response Team)

5背景

5.1 目标

作为任何组织整体信息安全战略的一个关键部分，采用一种结构严谨、计划周全的方法来进行信息安全事件的管理至关重要。

这一方法的目标旨在确保：

·信息安全事态可以被发现并得到有效处理，尤其是确定是否需要将事态归类为信息安全事件；

·对已确定的信息安全事件进行评估，并以最恰当和最有效的方式作出响应；

·作为事件响应的一部分，通过恰当的防护措施——可能的话，结合业务连续性计划的相关要素——将信息安全事件对组织及其业务运行的负面影响降至最小；

·及时总结信息安全事件及其管理的经验教训。这将增加预防将来信息安全事件发生的机会，改进信息安全防护措施的实施和使用，同时全面改进信息安全事件管理方案。

5.2 过程

为了实现5.1所述的目标，信息安全事件管理由4个不同的过程组成：

·规划和准备（Plan and Prepare）

·使用（Use）

·评审（Revew）

·改进（Improve）

(注：这些过程与ISO/IEC 27001:2005中的“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”过程类似.)

图1显示了上述过程的主要活动.

1)应该指出的是，尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果，但在多数情况下，信息安全事态本身并不意味着破坏安全的企图真正获得了成功，因此也并不一定会对保密性、完整性或可用性产生影响，也就是说，并非所有信息安全事态都会被归类为信息安全事件。

5.2.1 规划和准备

有效的信息安全事件管理需要适当的规划和准备。为使信息安全事件的响应有效，下列措施是必要的：

a) 制定信息安全事件管理方案并使其成为文件，获得所有关键利益相关人，尤其是高级管理层对策略的可是化承诺；

b)制定信息安全事件管理方案并使其全部成为文件，用以支持信息安全事件管理策略。用于发现、报告、评估和响应信息安全事件的表单、规程和支持工具，以及事件严重性衡量尺度的细节2），均应包括在方案文件中（应指出，在有些组织中，方案即为信息安全事件响应计划）；

c)更新所有层面的信息安全和风险管理策略，即，全组织范围的，以及针对每个系统、服务和网络的信息安全和风险管理策略，均应根据信息安全事件管理方案进行更新；

规划和准备

d)确定一个适当的信息安全事件管理的组织结构，即信息安全事件响应组（ISIRT），给那些可调用的、能够对所有已知的信息安全事件类型作出充分响应的人员指派明确的角色和责任。在大多数组织中，ISIRT可以是一个虚拟小组，是由一名高级管理人员领导的、得到各类特定主题专业人员支持的小组，例如，在处理恶意代码攻击时，根据相关事件类型召集相关的专业人员。

e)通过简报和/或其他几只使所有的组织成员了解信息安全事件管理方案、方案能够带来哪些益处以及如何报告信息安全事态。应该对管理信息安全事件管理方案的负责人员、判断信息安全是太是否为事件的觉得吃，以及参与事件调查的人员进行适当的培训；

2)应该建立“定级”事件严重性的衡量尺度。例如，可基于对组织业务运行的交际或预期负面影响的程度，分为“严重”和“轻微”两个级别。

f) 全面测试信息安全事件管理方案。

第7章中对规划和准备阶段作了进一步描述。

5.2.2使用

下列过程是使用信息安全事件管理方案的必要过程：

a) 发现和报告所发生的信息安全事态（人为或自动方式）；

b) 收集与信息安全事态相关的信息，通过评估这些信息确定哪些事态应归类为信息安全事件；

c) 对信息安全事件作出响应：

1)立刻、实时或接近实时；

2)如果信息安全事件在控制之下，按要求在相对缓和的时闻内采取行动（例如，全面开展灾难恢复工作）；

3)如果信息安全事件不在控制之下，发起“危机求助”行动（如召唤消防队／部门或者启动业务连续性计划）；

4) 将信息安全事件及任何相关的细节传达给内部和外部人员和／或组织（其中可能包括按要求上报以便进一步评估和／或决定）；

5)进行法律取证分析；

6)正确记录所有行动和决定以备进一步分析之用；

7) 结束对已经解决事件的处理。

第8章中对使用阶段作了进一步描述。

5.2.3评审

在信息安全事件已经解决或结束厥，进行以下评审活动是必要的：

a) 按要求进行进一步法律取证分析；

b) 总结信息安全事件中的经验教训；

c）作为从一次或多次信息安全事件中吸取经验教训的结果，确定倍息安全防护措施实施方面的改进；

d) 作为从信息安全事件管理方案质量保证评审（例如根据对过程、规程、报告单和／或组织结构所作的评审）中吸取经验教训的结果，确定对整个信息安全事件管理方案的改进。

第9章中对评审阶段作了进一步描述。

5.2.4改进

应该强调的是，信息安全事件管理过程虽然可以反复实施，但随着时间的推移，有许多信息安全要素需要经常改进。这些需要改进的地方应该根据对信息安全事件数据、事件响应以及一段时间以来的发展趋势所作评审的基础上提出。其中包括：

a) 修订组织现有的信息安念风险分析和管理评审结果；

b) 改进信息安全事件管理方案及其相关文档；

c) 启动安全的改进，可能包括新的和／或经过更新的信息安全防护措施的实施。

第10章对改进阶段作了进一步描述。

6信息安全事件管理方案的益处及需要应对的关键问题

本章提供了以下信息；

·一个有效的信息安全褰件管理方案可带来的益处；

·使组织高级管理层以及那些提交和接收方案反馈意见的人员信服所必须应对的关键问题。

6.1 信息安全事件管理方案的益处

任何以结构严谨的方法进行信息安全事件管理的组织均能收效匪浅。一个结构严谨、计划周全的信息安全事件管理方案带来的益处，可分为以下几类：

a)提高安全保障水平；

b)降低对业务的负面影向，例如由信息安全事件所导致的破坏和经济损失；

c)强化着重预肪信息安全事件；

d)强化调查的优先顺序和证据；

e)有利于预算和资源合理利用；

f)改进风险分析和管理评审结果的更新；

g)增强信息安全意识和提供培训计划材料；

h)为信息安全策略及相关文件的评审提供信息。

下面逐一介绍这些主题。

6.1.1 提高安全保障水平

信息安全事故管理办法

信息安全事故管理办法第一章总则第一条目的：为加强公司信息系统安全事故的管理，提高信息系统安全事故管理的制度化、规范化水平，及时掌握全行网络和信息系统安全状况，为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础，降低信息安全事故带来的损失和影响，保障全行网络和信息系统安全稳定运行，特订定本管理办法。第二条依据：本管理办法根据《公司信息安全管理策略》制订。第三条范围：本办法适用于全公司信息系统。第四条定义：信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件，或对信息技术资源具有潜在危险的任何一种情况。第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员，并指定代理信息安全事故协调员。第二章信息安全事故的范围第六条公司信息安全事故包括，但不限于： (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。

第七条符合以下条件之一的信息安全事故必须报告： (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营，且影响范围超过一个县级行政区域。第三章信息安全事故的监控和处理第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析，发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程，包括四个主要阶段：控制、证据收集、根除与恢复以及事后分析。第九条安全事故监控包括信息安全事故监测、预测和预警，应按照“早发现、早报告、早处置”的原则，加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。第十条员工发现公司发生信息安全事故后，需向信息安全事故协调员报告，确认故障情况，确认故障处理时间，准确定性故障级别，如果不能联系上信息安全事故协调员，则向代理信息安全事故协调员报告。第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。第十二条信息安全事故协调员接到报告后，需立即采取措施控制事态，如断开受病毒感染的系统的网络连接，及时通知DXC安全科和用户部门负责人，协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应

信息安全管理方案计划经过流程

信息安全管理流程说明书（S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体；注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据；注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据；注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

信息安全事件应急处理报告实用模板.docx

叮叮小文库 XX单位信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录一、概述 (1) 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1应急处理服务委托协议 (2) 1.4.2基础标准与法律文件 (2) 1.4.3参考文件 (2) 二、应急处理服务流程 (3) 三、应急处理服务内容和方法 (5) 3.1准备阶段 (5) 3.1.1准备阶段工作流程 (5) 3.1.2准备阶段处理过程 (5) 3.1.3准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2检测阶段处理过程 (7) 3.2.3检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1抑制阶段工作流程 (9) 3.3.2抑制阶段处理过程 (9) 3.3.3抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1根除阶段工作流程 (11) 3.4.2根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1恢复阶段工作流程 (13) 3.5.2恢复阶段处理过程 (13) 3.5.3恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1总结阶段工作流程 (14) 3.6.2总结阶段现场记录表 (15) 四、结论与建议 (16)

信息安全事件应急处理报告应急处理单位 XX单位委托单位服务类别委托应急处理受理日期2017 年 X 月 XX日处理日期2017 年 X 月 XX日服务成员监督人处理结论：通过本次应急处理服务，解决了XX单位存在的网站漏洞，修补后，经测试有效。建议委托单位针对报告中提出的建议，增强安全控制措施，切实提高信息安全水平，降低相关风险。 XX公司 2017 年 X 月 XX 日批准人：应急处理服务人员：审核人：

信息安全事件报告和处置管理制度.doc

安全事件报告和处置管理制度文号：版本号：编制：审核：批准：一、目的提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。二、适用范围本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。三、职责本预案由局信中心制订，报局领导批准后实施。局有关部门应根据本预案，制定部门网络与信息安全应急预案，并报局信息中心备案。结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。本预案自印发之日起实施。四、要求 1. 工作原则预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。

分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处置工作的管理职责。常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责发生网络与信息安全突发公共事件后，应成立局网络与信息安全应急协调小组(以下简称局协调小组)，为本局网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室)，负责日常工作和综合协调，并与公安网监部门进行联系。 3 先期处置（1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关局级主管部门通报。（2）网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。（3）局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件，由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件，要为局协调小组处置工作提出建议方案，并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导、组织派遣应急支援力量，支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥本预案启动后，根据局协调小组会议的部署，担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。

信息安全事件管理程序.docx

信息安全事件管理程序 1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。 2 范围本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针； ? 确定信息安全管理组织架构、角色和职责划分； ? 负责信息安全小组之间的协调，内部和外部的沟通； ? 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略； ? 组织安全管理技术责任人进行风险评估； ? 组织安全管理技术责任人制定信息安全改进建议和控制措施； ? 编写风险改进计划； 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控； ? 信息安全风险评估；

? 确定信息安全控制措施； ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。造成下列影响（后果）之一的，均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。造成下列影响（后果）之一的，属于重大信息安全事件。 a) 组织机密泄露； b) 导致业务中断十小时以上； c) 造成机房设备毁灭的火灾； d) 损失在十万元人民币（含）以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求，确认代码管理相关信息系统的安全需求； ? 对代码管理相关信息系统进行信息安全风险评估，预测风险类型、

信息安全管理办法

信息安全管理办法第一章总则第一条为加强公司信息安全管理，推进信息安全体系建设，保障信息系统安全稳定运行，根据国家有关法律、法规和《公司信息化工作管理规定》，制定本办法。第二条本办法所指的信息安全管理，是指计算机网络及信息系统（以下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系统的连续、稳定、安全运行得到可靠保障。第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则，各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。第四条信息安全管理，包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。第五条本办法适用于公司总部、各企事业单位及其全体员工。第二章信息安全管理组织与职责第六条公司信息化工作领导小组是信息安全工作的最高决策机构，负责信息安全政策、制度和体系建设规划的审批，部署并协调信息安全体系建设，领导信息系统等级保护工作。第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成，协调一致、密切配合的信息安全组织和责任体系。各级信息安全组织均要明确主管领导，确定相关责任，设置相应岗位，配

备必要人员。第八条信息管理部是公司信息安全的归口管理部门，负责落实信息化工作领导小组的决策，实施公司信息安全建设与管理，确保重要信息系统的有效保护和安全运行。具体职责包括：组织制定和实施公司信息安全政策标准、管理制度和体系建设规划，组织实施信息安全项目和培训，组织信息安全工作的监督和检查。第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。第十条企事业单位信息部门负责本单位信息安全的管理，具体职责包括：在本单位宣传和贯彻执行信息安全政策与标准，确保本单位信息系统的安全运行，实施本单位信息安全项目和培训，追踪和查处本单位信息安全违规行为，组织本单位信息安全工作检查，完成公司部署的信息安全工作。第十一条技术支持单位在信息管理部的领导下，承担所负责的信息系统和所在区域的信息安全管理任务，主要包括：在所维护系统和本区域内宣传和贯彻信息安全政策与标准，确保所负责信息系统的安全运行。第十二条各级信息管理部门设立信息安全管理和技术岗位，包括信息安全、应用系统、数据库、操作系统、网络负责人和管理员，重要岗位可设置两个员工互为备份。第十三条信息安全岗位的设立应遵循职责分离的要求，包括：制度监督者与执行者分离，信息系统授权者与操作者分离，应用系统管理

信息安全事件应急处理报告模板

XX单位信息安全事件应急处理报告 XXX公司 2017年X月XX日

3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15) 四、结论与建议 (16)

信息安全事件应急处理报告 XX公司 2017年X月XX 日批准人：应急处理服务人员：审核人：

一、概述 1.1 应急处理服务背景 XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。 1.2 应急处理服务目的尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。 1.3 应急处理服务范围

重大事件期间网络与信息安全管理规定

**集团有限公司重大事件期间网络与信息安全管理规定（试行）第一章总则第一条为切实做好**集团有限公司网络与信息安全防护工作，建立有效的安全防护体系，进一步提高预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保重大事件期间网络与信息安全，制定本管理规定。第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动，如重大会议、重大体育赛事等。第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导，落实信息安全责任地；高度重视，强化安全防范措施；周密部署，加强各相关方协作为原则，以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响，确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。第四条集团公司重大事件期间网络与信息安全管理工作范围包括：集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下，负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段，分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段；从重大事件起始日期至结束日期为实施阶段；从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。第六条本规定适用于集团公司总部和系统各单位。第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。第二章准备阶段管理第八条组织开展网络与信息安全查检工作，网络与信息安全采取自查和现场抽查相结合的方式，先开展各单位内部的网络与信息安全自查，在各单位自查的基础上，由集团公司组织相关人员对部分单位进行现场专项检查。第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。第十条对于检查发现的安全陷患，各单位应制定整改

系统运维管理-信息安全事件管理办法.doc

系统运维管理-信息安全事件管理办法1 系统运维管理信息安全事件管理办法 XXX室目录编写说明(3) 第一章总则(4) 第二章信息安全事件定义(4) 第三章组织职责(6) 第四章安全要求(6) 第五章附则(7) 编写说明为贯彻“积极预防、及时发现、快速反应、确保恢复”的方针和要求，加强XXX室的安全建设和管理，有效控制风险，特制定本策略。《信息安全事件管理办法》主要用于加强单位信息安全事件的管理，规范安全事件的响应和操作流程。第一章总则

第一条策略目标：加强单位信息安全事件的管理，规范信息安全事件的响应和操作流程。第二条适用范围：本策略适用于单位TCP/IP 网络、以及所承载的业务系统。第三条使用人员及角色职责：本策略适用于单位安全管理员、各部门安全管理员、各系统管理员。第四条策略相关性：本策略与《信息安全事件处理流程》同时使用，与安全检查及监控等管理办法相关。第二章信息安全事件定义第五条公司信息安全事件是指针对TCP/IP 网络中，由于硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏（可能）造成系统不能正常运行，影响正常的业务发展，称为信息安全事件。第六条信息安全事件主要可以分为以下几大类： (一)拒绝服务：DoS 是Denial of Service 的简称，即拒绝服务，造成DoS 的攻击行为被称为DoS 攻击，其目的是使计算机或网络无法提供正常的服务。 (二)恶意代码：病毒、蠕虫、木马等会给计算机带来不良影响

的代码。 (三)未授权访问：某人在没有得到允许的情况下，获得对网络、系统、应用、数据以及其它信息资源的访问权限。 (四)不当应用：违反安全策略的行为，包括公司和部门制定的流程、制度、标准和规范。 (五)上述几种安全事件的结合。第七条依据安全事件对业务可能造成的影响或已经造成影响的严重程度，并结合资产的重要程度把安全事件分为一般、严重和重大三个级别。 (一)由于非法攻击、病毒入侵等安全原因造成业务系统的主机、网络、数据库和数据等IT 资产受到损害，由于已经采取了安全预防措施（例如备份设备等），没有影响业务系统的正常运行，并能够通过部门安全管理员进行协调处理，在短期内发现并解决的安全问题，称为一般安全事件。 (二)由于非法攻击、病毒入侵或后门等安全原因造成业务系统

2020年(安全生产)TCWGN_信息安全事件分类分级指南(编制说

（安全生产）TCWGN_信息安全事件分类分级指南（编制说

《信息安全事件分类分级指南》（征求意见稿）编制说明壹、项目背景目前国外对信息安全事件的分类分级仍没有单独的标准和指南，不过在和信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述，例如ISO/IEC18044《信息安全事件管理》、NISTSP800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义，明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别，以及事件级别的描述，只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类，其第6节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A：信息安全事件报告单示例中，列出了在事件报告中可参考的事件类别。NISTSP800-61《计算机安全事件处理指南》针对安全事件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每壹安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗壹切的，也不打算对安全事件进行明确的分类。 2003年出版的LANDEurope在为EuropeanCommissionDirectorate-GeneralInformationSociety研究且得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中，提出壹个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。且给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无壹遗漏的清单。在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，且为

信息安全事件管理规范

信息安全管理部信息安全事件管理规范 V1.0

文档信息：文档修改历史: 评审人员：

信息安全事件管理规范年07月 1.0 目的明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 ●信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； ●信息安全部经理： ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行； ?负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续处理流程； ?负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生类似问题； ●信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理工作。 4．0 信息资产信息安全管理部负责以下信息资产的安全运行： ●机房环境、硬件设备正常运行： ?互联机房； ?北京办公室机房； ?上海办公室机房； ?机房内的所有硬件设备，包括网络设备、服务器和其它设备； ●办公室网络环境正常运行 ?互联机房内网/外网环境； ?北京办公室内网/外网环境； ?上海办公室内网/外网环境； ●机房内系统工作正常； ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。与“信息安全事件”分级相关联的名词解释： ●常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成实质性损害的信息事件； 5．2 信息安全事件分类对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： ●环境灾害： ?自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； ?外围保障设施故障： ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导致的信息安全事件 ◆外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外正常服务 ◆其它外围保障设施故障：例如拖管机房的服务器、服务器故障等； ●常规事故： ?软硬件自身故障： ◆软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原因而导致软件运行不正常的信息安全事件 ◆硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故： ◆硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件遗失而导致的信息安全事件 ◆数据遗失：系统中的重要数据遗失 ◆误操作破坏硬件；

证券期货业信息安全事件报告与调查处理办法(最新版)

( 安全管理 ) 单位：_________________________ 姓名：_________________________ 日期：_________________________ 精品文档 / Word文档 / 文字可改证券期货业信息安全事件报告与调查处理办法(最新版) Safety management is an important part of production management. Safety and production are in the implementation process

证券期货业信息安全事件报告与调查处理办法(最新版) 第一章总则第一条为了规范证券期货业信息安全事件的报告和调查处理，减少信息安全事件的发生，根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》、《期货交易管理条例》、《证券期货业信息安全保障管理办法》等法律、行政法规和规章，制定本办法。第二条证券期货业信息安全事件是指证券期货业信息系统运行异常或者数据损毁、泄露，对投资者合法权益造成损害或者对证券期货市场造成不良影响的事件。第三条证券期货业信息安全保障责任主体发生信息安全事件后，应当按本办法规定进行报告和调查处理。前款所称责任主体，包括承担证券期货市场公共职能的机构、

承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构（以下简称核心机构），证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构（以下简称经营机构）。第四条核心机构、经营机构发生信息安全事件后，应当及时、准确、完整报告，不得迟报、漏报、谎报或者瞒报。第五条信息安全事件调查处理应当坚持实事求是、尊重科学、客观公正、及时稳妥的原则。第六条发生信息安全事件的核心机构和经营机构应当对事件进行内部调查，追究责任，采取整改措施。第七条中国证监会及其派出机构依据本办法规定对核心机构、经营机构的信息安全事件进行调查处理。第八条信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商应当配合中国证监会及其派出机构和发生事件的机构对事件进行调查和处理。第二章事件分级

TC260WG7N01_《信息安全事件分类分级指南》(编制说明)

《信息安全事件分类分级指南》（征求意见稿）编制说明一、项目背景目前国外对信息安全事件的分类分级还没有单独的标准和指南，不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述，例如ISO/IEC 18044《信息安全事件管理》、NIST SP 800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义，明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别，以及事件级别的描述，只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类，其第6节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A：信息安全事件报告单示例中，列出了在事件报告中可参考的事件类别。NIST SP 800-61《计算机安全事件处理指南》针对安全事件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗一切的，也不打算对安全事件进行明确的分类。 2003年出版的LAND Europe在为European Commission Directorate-General Information Society研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中，提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无一遗漏的清单。在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，并为配合报告制度，随同发布了《北京市国家机关信息安全事件定级指南（试行）》，其中对安全事件的分类分级做出了描述，并于05年进行了修订。 “国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作，编写制定了《网络与信息安全事件分类分级办法》，本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述，还规定了事件的报告流程。根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求，急需制定信息安全事件分类分级的标准，来指导用户对信息安全事件进行分类定级，以便于更好的对信息安全事件进行应急处理和通报。信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节，也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级，其意义在于：①促进信息安全事件信

信息安全管理办法(完整资料).doc

【最新整理，下载后即可编辑】信息安全管理办法 1.概述 1.1目的为指导安全等级保护相关工作，做好的信息安全保障工作。1.2范围为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富，为等级保护工作的开展提供指导。 1.3术语 1.敏感数据敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据，包括但不限于： 1.用户敏感数据，如用户口令、密钥； 2.系统敏感数据，如系统的密钥、关键的系统管理数据； 3.其它需要保密的敏感业务数据； 4.关键性的操作指令； 5.系统主要配置文件； 6.其他需要保密的数据。 2.风险某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失

或破坏的可能性。 3.安全策略主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 4.安全需求为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 5.完整性包括数据完整性和系统完整性。数据完整性表征数据所具有的特征，即无论数据形式作何变化，数据的准确性和一致性均保持不变的程度；系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，系统能履行其操作目的的品质。 6.可用性表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。 7.弱口令指在计算机使用过程中，设置的过于简单或非常容易被破解的口令或密码。 2.信息安全保障框架

2.1 信息安全保障总体框架 2.2 信息安全管理体系框架

2.3 安全管理内容 3.信息安全管理规范 3.1 物理安全 3.1.1.物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。

信息安全事件应急处理报告模板

XX单位信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1 应急处理服务委托协议 (2) 1.4.2 基础标准与法律文件 (2) 1.4.3 参考文件 (2) 3.1准备阶段 (5) 3.1.1 准备阶段工作流程 (5) 3.1.2 准备阶段处理过程 (5) 3.1.3 准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2 检测阶段处理过程 (7) 3.2.3 检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1 抑制阶段工作流程 (9) 3.3.2 抑制阶段处理过程 (9) 3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15)

信息安全事件应急处理报告 XX公司 2017年 X月 XX 日批准人：应急处理服务人员：审核人：

一、概述 1.1 应急处理服务背景 XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX 单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。 1.2 应急处理服务目的尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。 1.3 应急处理服务范围

信息安全事件管理程序(正式版)

信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：___________________ 日期：___________________

信息安全事件管理程序温馨提示：该文件为本公司员工进行生产和各项管理工作共同的技术依据，通过对具体的工作环节进行规范、约束，以确保生产、管理活动的正常、有序、优质进行。本文档可根据实际情况进行修改和使用。 1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人确定信息安全目标和方针；确定信息安全管理组织架构、角色和职责划分；负责信息安全小组之间的协调, 内部和外部的沟通；负责信息安全评审的相关事宜； 3.2 信息安全日常管理员负责制定组织中的安全策略；组织安全管理技术责任人进行风险评估；

组织安全管理技术责任人制定信息安全改进建议和控制措施；编写风险改进计划； 3.3 信息安全管理技术责任人负责信息安全日常监控；信息安全风险评估；确定信息安全控制措施；响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。造成下列影响（后果）之一的, 均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。造成下列影响（后果）之一的, 属于重大信息安全事件。 a) 组织机密泄露；

信息安全事态事件法律法规方面脆弱性报告及表单分类分级方法示例

附录 A （资料性附录）法律法规方面信息安全事件管理策略和相关方案中宜关注信息安全事件管理的如下法律法规方面。 a)提供足够的数据保护和个人信息的隐私保护。在那些有特定法律涵盖数据保密性和完整性的国家中，对于个人数据的控制常常受到限制。由于信息安全事件通常需要归因到个人，个人特性的信息可能因此需要被相应地记录和管理。因此，结构化的信息安全事件管理方法需要考虑适当的隐私保护。这可能包括以下方面： 1)如果实际情况可行，访问被调查人的个人数据的人员不宜与其存在私交； 2)在允许访问个人数据之前,宜签署保密协议； 3)信息宜仅用于其被获取的明示目的，即信息安全事件调查。 b)维护适当的记录保存。一些国家的法律，要求公司维护其活动的适当记录，在每年组织的审计过程中进行审查。政府机构也有类似的要求。在某些国家，要求组织报告或生成执法用的档案（例如，当涉及到对政府敏感系统的严重犯罪或渗透时）。 c)控制措施到位以确保实现商业合同义务。当对信息安全事件管理服务提出要求时，例如，满足所需的响应时间，组织宜确保提供适当的信息安全来保证在任何情况下满足这种义务要求。与此相关，如果组织寻求外部方支持并签署合同，例如外部IRT，那么宜确保在与外部方签署的合同中涵盖了所有要求，包括响应时间； d)处理与策略和规程相关的法律问题。与信息安全事件管理方案相关的策略和规程宜就潜在的法律法规问题得到检查，例如，是否有关于对那些引起信息安全事件的事项采取惩戒和（或）法律诉讼的声明。在一些国家，解雇人员并不是一件容易的事情； e)检查免责声明的法律效力。信息事件管理团队和任何外部支持人员所采取行动的免责声明的法律效力宜得到检查。 f)与外部支持人员的合同涵盖所有要求的方面。与任何外部支持人员的合同，例如来自外部IRT 人员，在免除责任、保密、服务可用性和错误建议的影响方面宜得到彻底检查。 g)保密协议可强制执行。信息安全事件管理团队成员在入职和离职时，可被要求签署保密协议。在一些国家，已签署的保密协议可能在法律上无效，宜对此予以核实。 h)满足执法的要求。执法机构可能会合法地请求来自信息安全事件管理方案的信息，与其相关的问题需要澄清。可能的情况是，宜明确按照法律规定的最低水平要求，来记录事件和保持记录存档的时长。 i)明确责任。需要明确潜在的责任和所需的相关控制措施是否到位。可能具有相关责任问题的事态示例如下： 1)如果一个事件可能影响到其他组织（例如，披露共享信息，但没有及时通知，导致其他组织受到不利影响）； 2)如果在产品中发现新的脆弱性，但供应商未得到通知，随后发生了重大相关事件，给一个或多个其它组织带来重大影响； 3)没有编制报告，但在某些国家，在涉及到对政府敏感系统或关键国家基础设施组成部分的严重犯罪或渗透时，要求组织报告或生成执法用的档案；这可能会损害涉案个人或组披露的信息似乎表明某人或组织可能被卷入了攻击。4) 织的声誉和业务；披露的信息表明可能是特定软件的问题，但后来发现并非如此。5) 当有具体法规要求时，宜将事件报告给指定机构，例如，在许满足具体法规要求。j) 多国家对核电工业、电信公司和互联网服务提供商那样的要求。能够成功起诉或执行内部纪律规程。适当的信息安全控制措施宜到位，包括可证明k)防篡改的审计跟踪，以此能够成功地对