周口幼兒師范學(xué)校網(wǎng)絡(luò)安全事件報(bào)告與處置流程

為加強(qiáng)我校信息技術(shù)安全工作，及時(shí)掌握和處置信息技術(shù)安全事件，協(xié)調(diào)相關(guān)力量做好應(yīng)急響應(yīng)處理，降低安全事件帶來的損失與影響，維護(hù)正常工作秩序和營造健康的網(wǎng)絡(luò)環(huán)境，根據(jù)《河南省教育廳關(guān)于印發(fā)信息技術(shù)安全事件報(bào)告與處置流程的通知》（教科技【2017】438號(hào)）《教育部進(jìn)一步加強(qiáng)直屬高校直屬單位信息技術(shù)安全工作的通知》（教技〔2015〕1號(hào)）、教育部《信息技術(shù)安全事件報(bào)告與處置流程》（教技廳函〔2014〕75號(hào)）以及學(xué)校實(shí)際，制定本流程。

第一章 總則

第一條 信息技術(shù)安全事件的定義。根據(jù)《信息安全事件分類分級(jí)指南》（GB/T20986-2007，以下簡稱《指南》，摘錄部分見附件1），本流程中所稱的信息技術(shù)安全事件（以下簡稱安全事件）是指除信息內(nèi)容安全事件以外的有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障、災(zāi)害事件和其他信息安全事件，詳見附件1。

第二條 適用范圍。本流程適用于我校各單位發(fā)生的信息技術(shù)安全事件的報(bào)告與處置工作。涉及信息內(nèi)容安全事件的報(bào)告與處置工作按其相關(guān)規(guī)定執(zhí)行。

第二章 安全事件等級(jí)劃分與判定

第三條 安全事件等級(jí)劃分。根據(jù)《指南》，將安全事件劃分為四個(gè)等級(jí)：特別重大事件（I級(jí)）、重大事件（Ⅱ級(jí)）、較大事件（Ⅲ級(jí)）和一般事件（Ⅳ級(jí)），詳見附件1。

第四條 安全事件判定。我校各單位一旦發(fā)生安全事件，應(yīng)根據(jù)《指南》，視信息系統(tǒng)重要程度、損失情況以及對(duì)工作和社會(huì)造成的影響迅速自主判定安全事件等級(jí)?，F(xiàn)代教育信息中心在接到報(bào)告后，根據(jù)事件情況，進(jìn)一步做出判定。必要時(shí)，現(xiàn)代教育信息中心組織專家組進(jìn)行判定或報(bào)告學(xué)校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組判定。

第三章 安全事件的報(bào)告與處置

第五條 I至Ⅲ級(jí)信息安全事件的報(bào)告與處置。報(bào)告與處置分為三個(gè)步驟：事發(fā)緊急報(bào)告與處置、事中情況報(bào)告與處置和事后整改報(bào)告與處置。

一、事發(fā)緊急報(bào)告與處置

1、網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)維操作人員一旦發(fā)現(xiàn)上述安全事件，應(yīng)根據(jù)實(shí)際情況第一時(shí)間采取斷網(wǎng)等有效措施進(jìn)行處置，將損害和影響降到最小范圍，保留現(xiàn)場，并報(bào)告本單位安全責(zé)任人和主要負(fù)責(zé)人。

2、本單位安全責(zé)任人接到報(bào)告后，應(yīng)立即組織相關(guān)人員趕赴現(xiàn)場進(jìn)行緊急處置，同時(shí)以口頭通訊的方式將相關(guān)情況通報(bào)至現(xiàn)代教育信息中心，并書面記錄安全事件發(fā)現(xiàn)過程及口頭匯報(bào)過程。涉及人為主觀破壞事件應(yīng)同時(shí)報(bào)告學(xué)校保衛(wèi)科。

3、現(xiàn)代教育信息中心接到報(bào)告后，應(yīng)做好書面記錄，并進(jìn)一步判定安全事件等級(jí)，對(duì)確認(rèn)屬I至Ⅲ級(jí)安全事件的,應(yīng)報(bào)告學(xué)校網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組。

4、緊急報(bào)告內(nèi)容包括：時(shí)間地點(diǎn)、簡要經(jīng)過、事件類型與分級(jí)、影響范圍、危害程度、初步原因分析、已采取的應(yīng)急措施。

5、對(duì)確認(rèn)屬I至Ⅲ級(jí)安全事件的, 現(xiàn)代教育信息中心應(yīng)立即組織相關(guān)技術(shù)力量趕赴現(xiàn)場進(jìn)行協(xié)助處置工作。涉及人為主觀破壞事件的，學(xué)校保衛(wèi)科應(yīng)組織人員赴現(xiàn)場協(xié)助處置，并協(xié)助公安機(jī)關(guān)做好相關(guān)取證和處置工作。

6、各單位應(yīng)及時(shí)跟進(jìn)事件發(fā)展情況，出現(xiàn)新的重大情況應(yīng)及時(shí)補(bǔ)報(bào)。

二、事中情況報(bào)告與處置

1、事中情況報(bào)告應(yīng)在安全事件發(fā)現(xiàn)后5小時(shí)內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送，報(bào)送內(nèi)容和格式見附件2。

2、事中情況報(bào)告由單位安全負(fù)責(zé)人組織編寫，由本單位主要負(fù)責(zé)人審核后，簽字并加蓋公章報(bào)送現(xiàn)代教育信息中心。涉及人為主觀破壞事件的，事中情況報(bào)告應(yīng)抄送給保衛(wèi)科。

3、安全事件的事中處置包括：及時(shí)掌握損失情況、查找和分析事件原因、修復(fù)系統(tǒng)漏洞、恢復(fù)系統(tǒng)服務(wù)、盡可能減少安全事件對(duì)正常工作帶來的影響。如果涉及人為主觀破壞的安全事件應(yīng)由保衛(wèi)科聯(lián)系，配合公安部門開展調(diào)查。

三、事后整改報(bào)告與處置

1、事后整改報(bào)告應(yīng)在安全事件處置完畢后4個(gè)工作日內(nèi)以書面報(bào)告的形式進(jìn)行報(bào)送，報(bào)送內(nèi)容和格式見附件3。

2、事后情況報(bào)告由單位安全負(fù)責(zé)人組織編寫，由本單位主要負(fù)責(zé)人審核后，簽字并加蓋公章報(bào)送現(xiàn)代教育信息中心。

3、安全事件事后處置包括：進(jìn)一步總結(jié)事件教訓(xùn)、研判安全現(xiàn)狀、排查安全隱患、進(jìn)一步加強(qiáng)制度建設(shè)、提升安全防護(hù)能力。如涉及人為主觀破壞的安全事件應(yīng)繼續(xù)配合公安部門和學(xué)校保衛(wèi)科開展調(diào)查。

第六條 一般安全事件（Ⅳ級(jí)）報(bào)告與處置。各單位發(fā)生一般安全事件，應(yīng)及時(shí)、自主組織應(yīng)急處置工作；需要現(xiàn)代教育信息中心協(xié)助的，聯(lián)系現(xiàn)代教育信息中心予以協(xié)助。在事件處置完畢后6天內(nèi)向現(xiàn)代教育信息中心報(bào)送整改報(bào)告，報(bào)告內(nèi)容和格式見附件3。

第七條 預(yù)警類信息的報(bào)告與處置。各單位要按時(shí)、按要求完成國家、地方有關(guān)信息安全部門以及學(xué)?，F(xiàn)代教育信息中心等部門通報(bào)的預(yù)警類信息的處置工作，并按要求形成書面報(bào)告，報(bào)送現(xiàn)代教育信息中心。

第四章 配套制度與問責(zé)

第八條 人事變更報(bào)告。為保障聯(lián)絡(luò)通暢，各單位的信息技術(shù)安全工作主管領(lǐng)導(dǎo)、聯(lián)絡(luò)員、聯(lián)絡(luò)方式發(fā)生變更的，應(yīng)及時(shí)向現(xiàn)代教育信息中心報(bào)備。

第九條 相關(guān)配套機(jī)制。各單位應(yīng)根據(jù)實(shí)際建立本單位的值守制度，做到安全事件早預(yù)警、早發(fā)現(xiàn)、早報(bào)告、早控制、早解決。各單位應(yīng)建立健全本單位安全事件應(yīng)急處置機(jī)制，制定安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練。

第十條 問責(zé)制度。各單位應(yīng)按照流程及時(shí)、如實(shí)地報(bào)告和妥善處置安全事件。如有瞞報(bào)、緩報(bào)、處置和整改不力等情況，學(xué)校將對(duì)相關(guān)單位進(jìn)行約談或通報(bào)；情況嚴(yán)重的，追究責(zé)任問責(zé)處理。

第十一條 整改落實(shí)機(jī)制。發(fā)生I至Ⅲ級(jí)安全事件后，要認(rèn)真做好整改落實(shí)工作，堅(jiān)持做到事故原因不查清不放過、整改措施未落實(shí)不放過、責(zé)任人員未受到教育或處理不放過，盡力杜絕類似事件再次發(fā)生。

周口幼兒師范學(xué)?，F(xiàn)代教育技術(shù)信息中心

二〇一九年一月八日

附件一

信息技術(shù)安全事件分類與等級(jí)劃分

《信息安全事件分類分級(jí)指南》（GB/Z 20986-2007）根據(jù)信息技術(shù)安全事件的起因、表現(xiàn)、結(jié)果等，將信息技術(shù)安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障、災(zāi)害事件和其他信息安全事件6個(gè)基本分類，每個(gè)基本分類分別包括若干個(gè)子類；根據(jù)信息系統(tǒng)重要程度、系統(tǒng)損失和社會(huì)影響，將信息技術(shù)安全事件劃分為4個(gè)等級(jí)。

一、信息技術(shù)安全事件分類

1、有害程序事件

有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導(dǎo)致的信息安全事件。有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其它有害程序事件等7個(gè)子類。

2、網(wǎng)絡(luò)攻擊事件

網(wǎng)絡(luò)攻擊事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的信息安全事件。網(wǎng)絡(luò)攻擊事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件等7個(gè)子類。

3、信息破壞事件

信息破壞事件是指通過網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個(gè)子類。

4、設(shè)備設(shè)施故障

設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4個(gè)子類。

5、災(zāi)害性事件

災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件包括水災(zāi)、臺(tái)風(fēng)、地震、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的信息安全事件。

6、其他事件

其他事件是指不能歸為以上基本分類的信息技術(shù)安全事件。

二、信息技術(shù)安全事件等級(jí)劃分

1、特別重大事件（Ⅰ級(jí)）

特別重大事件是指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件，包括以下情況：

⑴ 會(huì)使特別重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；

⑵ 產(chǎn)生特別重大的社會(huì)影響。

2、重大事件（Ⅱ級(jí)）

重大事件是指能夠?qū)е聡?yán)重影響或破壞的信息安全事件，包括以下情況：

⑴ 會(huì)使特別重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；

⑵ 產(chǎn)生的重大的社會(huì)影響。

3、較大事件（Ⅲ級(jí)）

較大事件是指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件，包括以下情況：

⑴ 會(huì)使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴(yán)重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴(yán)重的系統(tǒng)損失；

⑵ 產(chǎn)生較大的社會(huì)影響。

4、一般事件（Ⅳ級(jí)）

一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

⑴ 會(huì)使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴(yán)重或嚴(yán)重以下級(jí)別的系統(tǒng)損失；

⑵ 產(chǎn)生一般的社會(huì)影響。

附件2

周口幼兒師范學(xué)校網(wǎng)絡(luò)安全事件情況報(bào)告表.docx