信息安全技术 信息安全事件分类分级指南

信息安全技术信息安全事件分类分级指南

1范围

本指导性技术文件为信息安全事件的分类分级提供指导，用于信息安全事件的防范与处置，为事前准备、事中应对、事后处理提供一个基础指南，可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。

2术语和定义

下列术语和定义适用于本指导性技术文件。

2.1信息系统information system

由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2.2信息安全事件information security incident

由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。

3 缩略语

下列缩略语适用于本指导性技术文件。

MI：有害程序事件（Malware Incidents）

CVI：计算机病毒事件（Computer Virus Incidents）

WI：蠕虫事件（Worms Incidents）

THI：特洛伊木马事件（Trojan Horses Incidents）

BI：僵尸网络事件（Botnets Incidents）

BAI：混合攻击程序事件（Blended Attacks Incidents）

WBPI：网页内嵌恶意代码事件（Web Browser Plug-Ins Incidents）

NAI：网络攻击事件（Network Attacks Incidents）

DOSAI：拒绝服务攻击事件（Denial of Service Attacks Incidents）

BDAI：后门攻击事件（Backdoor Attacks Incidents）

VAI：漏洞攻击事件（Vulnerability Attacks Incidents）

NSEI：网络扫描窃听事件（Network Scan & Eavesdropping Incidents）

PI：网络钓鱼事件（Phishing Incidents）

II：干扰事件（Interference Incidents）

IDI：信息破坏事件（Information Destroy Incidents）

IAI：信息篡改事件（Information Alteration Incidents）

IMI：信息假冒事件（Information Masquerading Incidents）

ILEI：信息泄漏事件（Information Leakage Incidents）

III：信息窃取事件（Information Interception Incidents）

ILOI：信息丢失事件（Information Loss Incidents）

ICSI：信息内容安全事件（Information Content Security Incidents）

FF：设备设施故障（Facilities Faults）

SHF：软硬件自身故障（Software and Hardware Faults）

PSFF：外围保障设施故障（Periphery Safeguarding Facilities Faults）

MDA：人为破坏事故（Man-made Destroy Accidents）

DI：灾害性事件（Disaster Incidents）

OI：其他事件（Other Incidents）

4 信息安全事件分类

4.1 考虑要素与基本分类

信息安全事件可以是故意、过失或非人为原因引起的。

本指导性技术文件综合考虑信息安全事件的起因、表现、结果等，对信息安全事件进行分类。

信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。

4.2 事件分类

4.2.1 有害程序事件（MI）

有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。

有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。

有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类，说明如下：

a) 计算机病毒事件（CVI）

是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制；

b) 蠕虫事件（WI）

是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序；

c) 特洛伊木马事件（THI）

是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能；

d) 僵尸网络事件（BI）

是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序；

e) 混合攻击程序事件（BAI）

是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事

件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等；

f) 网页内嵌恶意代码事件（WBPI）

是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序；

g) 其它有害程序事件（OMI）

是指不能包含在以上6个子类之中的有害程序事件。

4.2.2 网络攻击事件（NAI）

网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。

网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类，说明如下：

a) 拒绝服务攻击事件（DOSAI）

是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件；

b) 后门攻击事件（BDAI）

是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件；

c) 漏洞攻击事件（VAI）

是指除拒绝服务攻击事件和后门攻击事件之外，利用信息系统配置缺陷、协议缺陷、程序缺陷等漏洞，对信息系统实施攻击的信息安全事件；

d) 网络扫描窃听事件（NSEI）

是指利用网络扫描或窃听软件，获取信息系统网络配置、端口、服务、存在的脆弱性等特征而导致的信息安全事件；

e) 网络钓鱼事件（PI）

是指利用欺骗性的计算机网络技术，使用户泄漏重要信息而导致的信息安全事件。例如，利用欺骗性电子邮件获取用户银行帐号密码等；

f) 干扰事件（II）

是指通过技术手段对网络进行干扰，或对广播电视有线或无线传输网络进行插播，对卫星广播电视信号非法攻击等导致的信息安全事件；

g) 其他网络攻击事件（ONAI）

是指不能被包含在以上6个子类之中的网络攻击事件。

4.2.3 信息破坏事件（IDI）

信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。

信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类，说明如下：

a) 信息篡改事件（IAI）

是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件；

b) 信息假冒事件（IMI）

是指通过假冒他人信息系统收发信息而导致的信息安全事件，例如网页假冒等导致的信息安全事件；

c) 信息泄漏事件（ILEI）

是指因误操作、软硬件缺陷或电磁泄漏等因素导致信息系统中的保密、敏感、个人隐私等信息暴露于未经授权者而导致的信息安全事件；

d) 信息窃取事件（III）

是指未经授权用户利用可能的技术手段恶意主动获取信息系统中信息而导致的信息安全事件；

e) 信息丢失事件（ILOI）

是指因误操作、人为蓄意或软硬件缺陷等因素导致信息系统中的信息丢失而导致的信息安全事件；

f) 其它信息破坏事件（OIDI）

是指不能被包含在以上5个子类之中的信息破坏事件。

4.2.4 信息内容安全事件（ICSI）

信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。

信息内容安全事件包括以下4个子类，说明如下：

a) 违反宪法和法律、行政法规的信息安全事件；

b) 针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；

c) 组织串连、煽动集会游行的信息安全事件；

d) 其他信息内容安全事件等4个子类。

4.2.5 设备设施故障（FF）

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。

设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4 个子类，说明如下：

a) 软硬件自身故障（SHF）

是指因信息系统中硬件设备的自然故障、软硬件设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件；

b) 外围保障设施故障（PSFF）

是指由于保障信息系统正常运行所必须的外部设施出现故障而导致的信息安全事件，例如电力故障、外围网络故障等导致的信息安全事件；

c) 人为破坏事故（MDA）

是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、破坏造成的信息安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息系统硬件、软件等遭到破坏，影响信息系统正常运行的信息安全事件；

d) 其它设备设施故障（IF-OT）

是指不能被包含在以上3个子类之中的设备设施故障而导致的信息安全事件。

4.2.6 灾害性事件（DI）

灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。

灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

4.2.7 其他事件（OI）

其他事件类别是指不能归为以上6个基本分类的信息安全事件。

5 信息安全事件分级

5.1 分级考虑要素

5.1.1 概述

对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。

5.1.2 信息系统的重要程度

信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。

5.1.3 系统损失

系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价，划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失，说明如下：

a) 特别严重的系统损失：造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的；

b) 严重的系统损失：造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；

c) 较大的系统损失：造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；

d) 较小的系统损失：造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。

5.1.4 社会影响

社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响，划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响，说明如下：

a) 特别重大的社会影响：波及到一个或多个省市的大部分地区，极大威胁国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益；

b) 重大的社会影响：波及到一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大的负面影响，或者损害到公众利益；

c) 较大的社会影响：波及到一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益；

d) 一般的社会影响：波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。

5.2 事件分级

5.2.1 概述

根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。

5.2.2 特别重大事件（Ⅰ级）

特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受特别严重的系统损失；

b) 产生特别重大的社会影响。

5.2.3 重大事件（Ⅱ级）

重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失；

b) 产生的重大的社会影响。

5.2.4 较大事件（Ⅲ级）

较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；

b) 产生较大的社会影响。

5.2.5 一般事件（Ⅳ级）

一般事件是指不满足以上条件的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失；

b) 产生一般的社会影响。

信息安全事故管理办法

信息安全事故管理办法 第一章总则 第一条目的：为加强公司信息系统安全事故的管理，提高信息系统安全事故管理的制度化、规范化水平，及时掌握全行网络和信息系统安全状况，为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础，降低信息安全事故带来的损失和影响，保障全行网络和信息系统安全稳定运行，特订定本管理办法。 第二条依据：本管理办法根据《公司信息安全管理策略》制订。 第三条范围：本办法适用于全公司信息系统。 第四条定义：信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件，或对信息技术资源具有潜在危险的任何一种情况。 第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员，并指定代理信息安全事故协调员。 第二章信息安全事故的范围 第六条公司信息安全事故包括，但不限于： (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。

第七条符合以下条件之一的信息安全事故必须报告： (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营，且影响范围超过一个县级行政区域。 第三章信息安全事故的监控和处理 第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析，发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程，包括四个主要阶段：控制、证据收集、根除与恢复以及事后分析。 第九条安全事故监控包括信息安全事故监测、预测和预警，应按照“早发现、早报告、早处置”的原则，加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。 第十条员工发现公司发生信息安全事故后，需向信息安全事故协调员报告，确认故障情况，确认故障处理时间，准确定性故障级别，如果不能联系上信息安全事故协调员，则向代理信息安全事故协调员报告。 第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。 第十二条信息安全事故协调员接到报告后，需立即采取措施控制事态，如断开受病毒感染的系统的网络连接，及时通知DXC安全科和用户部门负责人，协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应

XX公司信息安全事件处理流程

XX公司信息安全事件处理流程 一、信息安全事件分类 根据我市公司生产经营工作的实际运行情况，将信息安全事件从网络、系统、机房基础设施三方面按照重大信息安全事件和一般信息安全事件进行分类。 1、重大信息安全事件 1) 网络及网络安全方面 1.1通信链路中断、或通信设备故障持续时间超过4小时。 1.2重要网络设备、网络安全设备非正常停机或无法访问持续时间超过4小时。 1.3发生计算机程序、系统参数和数据被删改等网络攻击和破坏或计算机病毒疫情导致网络不能正常运行超过4小时不能恢复的。 2) 信息系统方面 2.1重要服务器（小型机）、数据存储设备非正常停机或无法访问超过4小时。 2.2应用系统大面积不能正常访问超过4小时。 2.3 重要信息系统数据损坏或丢失。 2.4信息系统遭受突发网络攻击，系统数据被破坏、篡改和窃密。 2.5备份数据不能正常使用。

2.6 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用，网络地址和用户身份信息的窃取、盗用。 3) 机房基础设施方面 3.1机房出现严重漏水。 3.2非计划断电或计划内长时间停电。 3.3机房或UPS室发生火灾或机房设备发生自燃。 3.4 UPS非正常工作3小时以上。 3.5 发生自然灾害性事件导致的信息安全事故。 3.6机房设施非正常停机超过4小时。 4）其它 4.1 各类设备损坏或失窃，直接经济损失达1万元以上的。 4.2产生的社会影响波及到一个或多个地市的大部分地区，引起社会恐慌，对经济的建设和发展有较大负面影响，或损害到公众利益。 2、一般信息安全事件 1) 网络及网络安全方面 1.1通信链路中断、或通信设备故障持续时间超过2小时。 1.2重要网络设备、网络安全设备非正常停机或无法访问持续时间超过2小时。 1.3发生计算机程序、系统参数和数据被删改等网络攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务超过2

2020年(安全生产)TCWGN_信息安全事件分类分级指南(编制说

（安全生产）TCWGN_信息安全事件分类分级指南 （编制说

《信息安全事件分类分级指南》（征求意见稿）编制说明 壹、项目背景 目前国外对信息安全事件的分类分级仍没有单独的标准和指南，不过在和信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述，例如ISO/IEC18044《信息安全事件管理》、NISTSP800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义，明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别，以及事件级别的描述，只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类，其第6节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A：信息安全事件报告单示例中，列出了在事件报告中可参考的事件类别。NISTSP800-61《计算机安全事件处理指南》针对安全事件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每壹安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗壹切的，也不打算对安全事件进行明确的分类。 2003年出版的LANDEurope在为EuropeanCommissionDirectorate-GeneralInformationSociety研究且得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中，提出壹个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。且给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无壹遗漏的清单。 在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，且为

信息安全事件报告和处置管理制度.doc

安全事件报告和处置管理制度 文号：版本号： 编制：审核：批准： 一、目的 提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订，报局领导批准后实施。局有关部门应根据本预案，制定部门网络与信息安全应急预案，并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。 本预案自印发之日起实施。 四、要求 1. 工作原则 预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。 快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。 以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。

分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处置工作的管理职责。 常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责 发生网络与信息安全突发公共事件后，应成立局网络与信息安全应急协调小组(以下简称局协调小组)，为本局网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室)，负责日常工作和综合协调，并与公安网监部门进行联系。 3 先期处置 （1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关局级主管部门通报。 （2）网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。 （3）局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件，由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件，要为局协调小组处置工作提出建议方案，并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导、组织派遣应急支援力量，支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥 本预案启动后，根据局协调小组会议的部署，担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。

信息安全事件管理规范

信息安全管理部 信息安全事件管理规范 V1.0

文档信息： 文档修改历史: 评审人员：

信息安全事件管理规范 年07月 1.0 目的 明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围 本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 ●信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； ●信息安全部经理： ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行； ?负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续 处理流程； ?负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生 类似问题； ●信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理 工作。 4．0 信息资产 信息安全管理部负责以下信息资产的安全运行： ●机房环境、硬件设备正常运行： ?互联机房； ?北京办公室机房； ?上海办公室机房； ?机房内的所有硬件设备，包括网络设备、服务器和其它设备； ●办公室网络环境正常运行 ?互联机房内网/外网环境； ?北京办公室内网/外网环境； ?上海办公室内网/外网环境； ●机房内系统工作正常； ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全 以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级 根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。 与“信息安全事件”分级相关联的名词解释： ●常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成 实质性损害的信息事件； 5．2 信息安全事件分类 对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： ●环境灾害： ?自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； ?外围保障设施故障： ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导 致的信息安全事件 ◆外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外 正常服务 ◆其它外围保障设施故障：例如拖管机房的服务器、服务器故障等； ●常规事故： ?软硬件自身故障： ◆软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原 因而导致软件运行不正常的信息安全事件 ◆硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件 设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故： ◆硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件 遗失而导致的信息安全事件 ◆数据遗失：系统中的重要数据遗失 ◆误操作破坏硬件；

信息安全事件与应急响应管理规范

. 司限公有电四川长虹器股份虹微公司管理文件 信息安全事件与应急响应管理规范 发布××××–××–××实施××××–××–××微虹川四长虹布司公发专业资料． . 目 录 .................................................................................................................... .... 1目的1. .................................................................................................................... 12. 适用围................................................................................................................ 13.工作原则

.................................................................................................... 24.组织体系和职责.................................................................................. 2 .信息安全事件分类和分级5. ....................................................................................................................................... 25.1. 信息安全事件分类2信息系统攻击事件 5.1.1........................................................................................................................................... 3信息破坏事件 5.1.2 ................................................................................................................................................... 3.............................................................................................................................................. 信息容安全事件5.1.3. 3................................................................................................................................................... 设备设施故障5.1.4 3 5.1.5....................................................................................................................................................... 灾害性事件 35.1.6.......................................................................................................................................... 其他信息安全事件 ............................................................................................................................................ 3安全事件的分级5.2.45.2.1特别重大信息安全事件（一 级） .................................................................................................................. 4重大信息安全事件（二 级） .......................................................................................................................... 5.2.24较大信息安全事件（三级）5.2.3..........................................................................................................................

重大事件期间网络与信息安全管理规定

**集团有限公司 重大事件期间网络与信息安全管理规定（试行） 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作，建立有效的安全防护体系，进一步提高预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保重大事件期间网络与信息安全，制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动，如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导，落实信息安全责任地；高度重视，强化安全防范措施；周密部署，加强各相关方协作为原则，以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响，确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括：集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下，负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段，分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段；从重大事件起始日期至结束日期为实施阶段；从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作，网络与信息安全采取自查和现场抽查相结合的方式，先开展各单位内部的网络与信息安全自查，在各单位自查的基础上，由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患，各单位应制定整改

信息安全事件分类规定

信息安全事件分类规定 1 目的 为明确信息安全事件分类方法，特制定本规定。 2 范围 本规定适用于信息安全事件分类管理。 3 职责 公司综合管理部负责信息安全事件管理。 4 相关文件 《信息安全管理手册》 《信息安全事件管理程序》 5 规定要求 5.1 信息系统事件 5.1.1 信息系统故障 5.1.1.1 通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断达15分钟；网络IP链路连续故障时间超过30分钟。 5.1.1.2 系统(硬、软件)损坏或丢失，造成较小的直接经济损失。 5.1.1.3 计算机数据损坏或丢失，或信息系统数据损坏或丢失，数据量在时间上连续超过4小时。

5.1.1.4 计算机病毒感染、内外部黑客入侵和攻击,未造成损失的。 5.1.2 一般信息系统事件 5.1.2.1 通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断导致不能为超过80％（包括80%）的网络注册用户提供服务，时间达2小时；不能为80％以下网络注册用户提供服务，持续等效服务中断时间达4小时。 5.1.2.2 系统(硬、软件)损坏或失窃，造成直接经济损失达1万元以下者。 5.1.2.3 计算机重要数据损坏或丢失，或信息系统数据损坏或丢失，数据量在时间上连续超过24小时。 5.1.2.4 计算机病毒感染、内外部黑客入侵和攻击,造成轻微损失的。 5.1.3 严重信息系统事件 5.1.3.1 通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断不能为超过80％（包括80%）的网络注册用户提供服务，时间达4小时；不能为80％以下网络注册用户提供服务，持续等效服务中断时间达8小时。 5.1.3.2 系统(硬、软件)损坏或失窃，直接经济损失达1万元以上者。 5.1.3.3 重要技术开发、研究数据损坏或丢失，或重要信息系统数据损坏或丢失，数据量在时间上连续超过48小时。 5.1.3.4 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。

TC260WG7N01_《信息安全事件分类分级指南》(编制说明)

《信息安全事件分类分级指南》（征求意见稿）编制说明一、项目背景 目前国外对信息安全事件的分类分级还没有单独的标准和指南，不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述，例如ISO/IEC 18044《信息安全事件管理》、NIST SP 800-61《计算机安全事件处理指南》等。 18044给出了信息安全事件的定义，明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别，以及事件级别的描述，只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类，其第6节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A：信息安全事件报告单示例中，列出了在事件报告中可参考的事件类别。NIST SP 800-61《计算机安全事件处理指南》针对安全事件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗一切的，也不打算对安全事件进行明确的分类。 2003年出版的LAND Europe在为European Commission Directorate-General Information Society研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中，提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无一遗漏的清单。 在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，并为配合报告制度，随同发布了《北京市国家机关信息安全事件定级指南（试行）》，其中对安全事件的分类分级做出了描述，并于05年进行了修订。 “国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作，编写制定了《网络与信息安全事件分类分级办法》，本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述，还规定了事件的报告流程。 根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求，急需制定信息安全事件分类分级的标准，来指导用户对信息安全事件进行分类定级，以便于更好的对信息安全事件进行应急处理和通报。 信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节，也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级，其意义在于：①促进信息安全事件信

重大信息安全事件应急处置和报告制度通用版

管理制度编号：YTO-FS-PD418 重大信息安全事件应急处置和报告制 度通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

重大信息安全事件应急处置和报告 制度通用版 使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 为预防和及时处置信息安全事件，保证网络信息安全，维护社会稳定，特制订网络信息安全事件应急处置预案 一、在公司领导的统一管理下，贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，保障用户利益，维护社会和公司稳定，尽快使网络和系统恢复正常，做好网络运行和信息安全保障工作。 二、网络部对互联网实施24小时值班责任制，必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。若发现有上本网站人员异常行为应立即冻结该用户的权限，及时记录在案，情节严重时立即上报有关部门。

信息安全事件与应急响应管理规范

四川长虹电器股份有限公司 虹微公司管理文件 信息安全事件与应急响应管理规范 ××××–××–××发布××××–××–××实施 四川长虹虹微公司发布

目录 1.目的 (1) 2.适用围 (1) 3.工作原则 (1) 4.组织体系和职责 (2) 5.信息安全事件分类和分级 (2) 5.1.信息安全事件分类 (2) 5.1.1信息系统攻击事件 (2) 5.1.2信息破坏事件 (3) 5.1.3信息容安全事件 (3) 5.1.4设备设施故障 (3) 5.1.5灾害性事件 (3) 5.1.6其他信息安全事件 (3) 5.2.安全事件的分级 (3) 5.2.1特别重大信息安全事件（一级） (4) 5.2.2重大信息安全事件（二级） (4) 5.2.3较大信息安全事件（三级） (4) 5.2.4一般信息安全事件（四级） (4) 6.信息安全事件处理 ............................................................... 错误!未定义书签。

7.奖励与处罚 (6) 8.后期处置 (6) 9.解释 (7)

1.目的 为建立健全虹微网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本规。 2.适用围 本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.工作原则 ●统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各 级信息系统突发安全事件处置领导小组的统一指挥。 ●谁运行、谁主管、谁处置的原则：各类信息系统的责任部门要按照公司统一要求，制定 和维护本部门信息系统运行安全应急子预案，并组织或督促相关部门制定和维护本部门应用系统的应急子预案，认真根据应急预案进行演练与应急处置工作。 ●以人为本，最小损失原则：应对信息系统突发安全事件的各项措施均应以人为本，最大 程度地减少信息系统突发安全事件造成的危害和损失。 ●居安思危，预防为主原则:高度重视信息系统突发安全事件预防工作，常抓不懈，防患 于未然。增强忧患意识，坚持做好信息系统日常监控与运行维护工作，坚持预防与应急相结合，做好应对信息系统突发安全事件的各项准备工作。 ●分级响应和管理原则：在各类子预案和工作制度中应对信息系统突发安全事件制定科学 的等级标准，各部门要依据规定权限及程序及时预防、预警、控制、解决本级职责围的信息系统突发安全事件。

信息安全事件分类分级指南

信息安全事件分类分级指南 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。 一、有害程序事件（MI） 有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类，说明如下： 1、计算机病毒事件（CVI）是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制； 2、蠕虫事件（WI）是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有

害程序； 3、特洛伊木马事件（THI）是指蓄意制造、传播特洛伊木马程序，或是因受到特洛伊木马程序影响而导致的信息安全事件。特洛伊木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能； 4、僵尸网络事件（BI）是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序； 5、混合攻击程序事件（BAI）是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其它系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等； 6、网页内嵌恶意代码事件（WBPI）是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序； 7、其它有害程序事件（OMI）是指不能包含在以上6个子类之中的有害程序事件。

信息安全事件管理办法

信息安全事件管理办法 第一条信息安全事件分类如下所示： 1、有害程序事件： 包括计算机病毒事件、蠕虫事件、特洛伊木马事件、 僵尸网络事件、混合攻击程序事件、网页内嵌恶意 代码事件等。 2、网络攻击事件： 包括拒绝服务攻击事件、后门攻击事件、漏洞攻击 事件、网络扫描窃听事件、网络钓鱼事件、干扰事 件等。 3、信息破坏事件： 包括信息篡改事件、信息假冒事件、信息泄露事件、 信息窃取事件、信息丢失事件等。 4、信息内容安全事件： 1)违反宪法和法律、行政法规的信息安全事件； 2)针对社会事项进行讨论、评论，形成网上敏感的 舆论热点，出现一定规模炒作的信息安全事件； 3)组织串连、煽动集会游行的信息安全事件。 5、设施和设备故障： 1)硬件设备的自然故障、软硬件设计缺陷或软硬件

运行环境发生变化等而导致信息安全事件； 2)由于保障信息系统正常运行所必须的外部设施 出现故障而导致的信息安全事件，如电力故障； 3)人为破坏事故。 6、灾害性事件： 包括水灾、台风、地震、雷击、坍塌、火灾、恐怖 袭击等。 7、其他事件。 第二条按照信息安全事件造成的后果和影响的严重程度，将信息安全事件分为以下等级： 1、特别重大安全事件，指能够导致特别严重影响或破坏的信息安全事件，包括以下情况： a)会使特别重要信息系统遭受特别严重的系统损 失； b)产生特别重大的社会影响。 2、重大安全事件，指能够导致严重影响或破坏的信息安全事件，包括以下情况： a)会使特别重要信息系统遭受严重的系统损失，或 使重要信息系统遭受特别严重的系统损失； b)产生重大的社会影响。 3、较大安全事件，指能够导致较严重影响或破坏的信息安全事件，包括以下情况：

信息安全事件划分为四个级别

信息安全事件划分为四个级别 依据《GB\Z 20985-2007 信息安全技术信息网络攻击事件管理指南》《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等法律法规文件，从以下因素进行考虑 信息密级：衡量因信息安全事件中所涉及信息的重要程度的要素； 声誉影响：衡量因信息安全事件对公司品牌所造成的负面影响范围和程度的要素； 业务影响：衡量因信息安全事件对公司或事发部门正常业务开展所造成的负面影响程度的要素； 资产损失：衡量因恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。 根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。 特别重大事件（Ⅰ级） 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

a) 会使特别重要信息系统遭受特别严重的系统损失； b) 产生特别重大的社会影响。 解读：公司部门中心的基础设施网络、重要信息系统（A类I类系统）、核心网站（如官网、管理后台）瘫痪，导致长时间业务中断，直接导致巨大经济损失的事件；绝密和机密数据（数据库或客户资料）被泄露导致大范围社会传播事件，严重影响公司声誉；对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件，直接影响公司投资者关系或者上市进程或者公司股价等事件 重大事件（Ⅱ级） 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况： a)会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失； b)产生的重大的社会影响。 解读：公司部门中心的基础设施网络、重要信息系统（A类I类系统）、核心网站（如官网、管理后台）瘫痪，导致业务中断，造成严重影响或经济损失的事件；绝密和机密数据（数据库或客户资料）遭受非

IT信息安全事件管理程序

IT信息安全事件管理程序 1 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复，从而维持良好的服务质量和可用性级别，特制定本程序。 2 范围 本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件 《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录，根据事件类型决定事件处理； 4.2 事件经理负责事件类型的确定，事件过程的管理； 4.3 支持团队负责针对事件的方案的实施和解决； 4.4 信息总经理负责重大事件的管理，担当重大事件经理的角色。 5 程序 5.1 事件管理目标 对于事件管理过程，应遵循以下目标： a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。

5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级，影响等级低并且紧急程度低的事件优先级为低级。

下表显示了与这些参数相关事件的分类： 5.3 事件的发现、记录和报告 5.3.1 事件的发现 事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告，均应由首先接到报告的人员根据事件分类的原则进行判断，属于高等级或最高等级的事件，应立即向信息总经理报告，必要时应继续报告行领导及上级监管机构。 一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录 所有被报告或主动探测到的事件均应被记录。记录内容应包括： a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份（包括姓名、部门、位置和联系详细信息） e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件 一般事件根据引起事件的不同原因，按照各类日常维护工作所涉及到的管理程序执行处理过程。

信息安全事件与应急响应管理规范V1.0完整篇.doc

信息安全事件与应急响应管理规范V1.01 四川长虹电器股份有限公司 虹微公司管理文件 信息安全事件与应急响应管理规范 ××××–××–××发布××××–××–××实施四川长虹虹微公司发布 第I 页共8 页 目录 1.目的(1) 2.适用范围(1) 3.工作原则(1) 4.组织体系和职责(2) 5.信息安全事件分类和分级(2) 5.1.信息安全事件分类(2) 5.1.1信息系统攻击事件(2) 5.1.2信息破坏事件(3) 5.1.3信息内容安全事件(3)

5.1.4设备设施故障(3) 5.1.5灾害性事件(3) 5.1.6其他信息安全事件(3) 5.2.安全事件的分级(3) 5.2.1特别重大信息安全事件（一级）(3) 5.2.2重大信息安全事件（二级）(4) 5.2.3较大信息安全事件（三级）(4) 5.2.4一般信息安全事件（四级）(4) 6.信息安全事件处理............................. 错误！未定义书签。 7.奖励与处罚(6) 8.后期处置(6) 9.解释(6) 1.目的 为建立健全虹微网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本规范。 2.适用范围

本文档适用于公司建立的信息安全管理体系。 本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。 本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.工作原则 ●统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各 级信息系统突发安全事件处置领导小组的统一指挥。 ●谁运行、谁主管、谁处置的原则：各类信息系统的责任部门要按照公司统一要求，制定 和维护本部门信息系统运行安全应急子预案，并组织或督促相关部门制定和维护本部门应用系统的应急子预案，认真根据应急预案进行演练与应急处置工作。 ●以人为本，最小损失原则：应对信息系统突发安全事件的各项措施均应以人为本，最大 程度地减少信息系统突发安全事件造成的危害和损失。 ●居安思危，预防为主原则:高度重视信息系统突发安全事件预防工作，常抓不懈，防患 于未然。增强忧患意识，坚持做好信息系统日常监控与运行

信息安全管理制度

信息安全管理制度 一、信息安全管理责任制 1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网站服务条款以及其他公布的准则规定的情况下，未经用户授权我公司不会随意公布与用户个人身份有关的资料，除非有法律或程序要求。 2、所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的协议规定时间内保证不会丢失; 3、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严格保密，未经允许不得向他人泄露。 公司定期对相关人员进行网络信息安全培训并进行考核，使员工能够充分认识到网络安全的重要性，严格遵守相应规章制度。 我公司将严格执行本规章制度，并形成规范化管理，建立健全信息网络安全小组。安全小组由单位领导负责，网络技术、客户服务等部门参加，并确定两名安全负责人作为突发事件处理的联系人。 二、有害信息发现受理处置机制 第一条 一旦发现网络有害信息的，应立即启动预案，采取“及时处理、下载保存和24小时上报制度”。 第二条 网络有害信息处置前期工作程序： 一、发现有害信息的公司员工要立即报告公司信息部，由信息部协调处理网上突发事件，摸清情况，采取措施，最大限度地遏制有害信息在网上传播和扩散，并在第一时间内向公司主管领导及有关部门报告。 二、信息部负责有害信息的界定及监控，一旦发现不良信息要马上删除（如遇紧急情况，可直接关闭服务器，暂停网络运行）。 三、信息部及时对有害信息予以删除，取证留样，对有害信息的来源进行调查；在最短时间内向网络有害信息处置办公室报告情况。 四、信息部要对网络安全设备的记录留存，监督检查有害信息报告、清除等情况。 五、信息安全员负责调查有害信息散布的原因、经过，收集相关证据，以有利于事件处理时事实清楚，责任明确。 第三条 网络有害信息处置后期工作程序： 一、信息部要利用网络与信息安全技术平台，对网上有害信息和公共有害短信及时进行封堵：对违规从事网上业务或传播有害信息的用户（包括论坛），依法采取责任令整顿，予以封禁用户等行政处罚措施。 二、在事实清楚、责任明确的情况下，公司网络安全管理领导小组要对事件做出处理决定：影响较大、存在问题较多的网站，要集中力量研究和解决问题。对管理混乱、事故多发、造成不良影响的网站，要追究有关责任人责任。 三、有关事件的处置经过、结论等相关事宜，一律由信息部统一对外宣传。