第1章 概述

第1条  为规范九州注册安全事件管理，确保安全事件被及时发现并得到有效处理，最大限度地减小安全事件对系统运行造成影响的可能性，特制定本办法。

第2条  本制度适用于九州注册图书信息管理中心所辖系统安全事件的管理。

第2章 组织与职责

第3条  安全事件管理责任划分的基本原则是“谁主管，谁负责；谁使用，谁负责”。

第4条  根据九州注册安全管理组织的架构，安全事件管理中，各成员单位的职责如下：

□  信息安全主管领导：指挥、协调、督促并审查重大安全事件的处理；

□  信息安全管理小组：负责处理安全事故，现场统筹安排和工作指导，提出整改或补救措施，并监督执行；

□  安全顾问厂商：出现重大信息安全事故，提供必要的技术支持、现场支持等。及时协助处理安全事故，并提出必要的后续解决方案；

□  安全运维厂商：安全事故的监控、上报、处理;

□  业务运营小组：业务安全事故的上报及协助处理；

□  系统集成商、网络运维小组：安全事故处理中，负责各自范围内配合。

第3章 安全事件分类分级

第5条  本办法所指的安全事件是一个或一系列与网络安全、系统安全、业务安全、信息安全相关的，并极有可能危害系统可用性、完整性或保密性的事件。其中：

1. 影响系统可用性的安全事件主要包括：拒绝服务攻击、恶意代码、漏洞攻击、僵尸网络等；

2. 影响系统完整性的安全事件主要包括：信息篡改事件、网页挂马、以破坏系统数据为目的的后门木马等；

3. 影响系统保密性的安全事件主要包括：信息窃取、信息泄密、网络钓鱼、网络嗅探、信息假冒、以窃取信息为目的后门木马、恶意程序（间谍软件、盗号软件）等。

基于安全事件表现形式的分类参见附件一《安全事件分类表》

第6条  根据系统重要性以及安全事件对系统可用性、完整性、保密性的影响程度，安全事件可分为特别重大（一级）、重大（二级）、较大（三级）和一般（四级）四个级别：

1. 特别重大安全事件（一级）指以下安全事件：

□ 导致2级及以上系统出现紧急故障的安全事件；

□  导致3级或4级系统出现重大故障的安全事件；

□  导致4级系统完整性或保密性被破坏的安全事件。

2. 重大安全事件（二级）指以下安全事件：

□  导致2级系统出现重大故障的安全事件；

□  导致3级或4级系统出现严重故障的安全事件；

□  导致3级系统完整性或保密性被破坏的安全事件。

3. 较大安全事件（三级）：

□ 导致2级系统出现严重故障的安全事件；

□  导致3级或4级系统出现一般故障的安全事件；

□  影响2级系统完整性或保密性被破坏的安全事件。

4. 一般安全事件（四级）：指三级以下的或未对系统运行产生影响的安全事件。

信息系统定级情况参见附件二《九州注册信息系统定级表》

第7条  特殊时期（如重大活动、重大赛事等）发生的安全事件的级别应在原有级别上提升一级，特别重大安全事件级别不再向上提升。

第4章 安全事件监控及上报

第8条  安全事件监控信息主要来自以下三个方面：

□  网络安全设备或网络安全监控系统监测到的安全告警信息；

□  政府相关部门或上级主管单位通报的安全事件信息；

□ 安全事件投诉。

第9条  安全事件投诉是发现安全事件的重要途径之一，在收到安全事件投诉后应及时对投诉内容进行核实，并按相关要求做好投诉工作的处理。

第10条  对于安全监控发现的安全事件，在进行预处理的同时，应及时对安全事件的影响范围和级别进行判断并决定是否需要上报。当：

1. 特别重大安全事件发生时，应立即上报省教育厅科技处、省教育厅电化教育馆，同时报省公安厅网络安全总队。不得超过10分钟；

2. 重大、较大安全事件发生时，应及时上报省教育厅科技处、省教育厅电化教育馆，必要时报省公安厅网络安全总队。不得超过30分钟；

3. 一般安全事件，经汇总后，安全事件处理报告进行存档。

第5章 安全事件应急处理

第11条  安全事件应急准备：为确保安全事件发生都能采取及时、合理、有效的措施加以处理，各部门应做好各系统安全事件应急方案/预案的编制工作并定期开展安全演练，应急方案/预案的内容应包括但不限于：

□  应急目标；

□ 应急的组织体系和职责的明确；

□  应急人员的通信联络方式；

□  应急响应级别与安全事件级别的一致性；

□  事件处理所用硬件及软件工具、各业务系统相关文档、数据备份或镜像、OS或事件恢复时所用安装程序、补丁等的完备和充分性；

□  总结与奖惩机制等；

第12条  安全事件处理要求：

1. 当对系统正常运行造成影响的安全事件已经发生，或可能影响系统正常运行的安全事件已经发生时，应立即启动应急响应机制。其中：

□  一级、二级安全事件的应急响应由学院信息安全主管领导启动应急预案并统一指挥和协调相关单位或部门实施应急响应；

□  三级安全事件的应急响应由学院信息安全管理小组启动应急预案并组织协调相关部门或单位实施应急响应；

□  四级安全事件的应急响应由责任部门自行组织和实施应急响应。

应急响应处理流程参见附件三

2. 本着“谁下达任务，谁结束任务”的原则，任务下达单位或部门应明确安全事件应急响应任务的结束时间。应急响应结束的判断标准为系统恢复正常运行，由事件衍生的其他事件已经消失，安全隐患已经消除。

3. 对于安全事件的处理，应该尽快采取抑制措施，以避免影响面的扩大。

4. 在安全事件的处理过程中，应该保护好被处理设备的数据，给将来的取证或者分析入侵行为提供依据。

5. 做好恢复后的安全检查工作，避免上线后再次出现同类问题。

第13条  安全事件后期工作：

1. 安全事件处理结束后，责任部门要积极稳妥、深入细致地做好善后处置工作，具体包括：

□  调查评估：对安全事件的起因、性质、影响、责任、经验教训等问题进行调查和评估；

□  责任确定：分析产生此次事件的原因，对事件进行调查，确定责任人。如果涉及违法犯罪行为，报司法机关追究当事人的刑事责任；

□  事件备案：较大及较大以上安全事件应编写详细的事件分析表格（可参考附件4）并报学院网络安全领导小组；

□  应急方案维护：根据应急响应过程中暴露出的问题和调查评估结果，对应急方案进行相应的修改和维护。

2. 总结归档，并对案例进行经验教训培训。

第6章 附件

附件一：安全事件分类表

附件二：九州注册信息系统定级表

附件三：应急响应处理流程

附件四：安全事件处理报告