周口幼兒師范學校網(wǎng)絡安全事件報告與處置流程

為加強我校信息技術(shù)安全工作，及時掌握和處置信息技術(shù)安全事件，協(xié)調(diào)相關(guān)力量做好應急響應處理，降低安全事件帶來的損失與影響，維護正常工作秩序和營造健康的網(wǎng)絡環(huán)境，根據(jù)《河南省教育廳關(guān)于印發(fā)信息技術(shù)安全事件報告與處置流程的通知》（教科技【2017】438號）《教育部進一步加強直屬高校直屬單位信息技術(shù)安全工作的通知》（教技〔2015〕1號）、教育部《信息技術(shù)安全事件報告與處置流程》（教技廳函〔2014〕75號）以及學校實際，制定本流程。

第一章 總則

第一條 信息技術(shù)安全事件的定義。根據(jù)《信息安全事件分類分級指南》（GB/T20986-2007，以下簡稱《指南》，摘錄部分見附件1），本流程中所稱的信息技術(shù)安全事件（以下簡稱安全事件）是指除信息內(nèi)容安全事件以外的有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、設(shè)備設(shè)施故障、災害事件和其他信息安全事件，詳見附件1。

第二條 適用范圍。本流程適用于我校各單位發(fā)生的信息技術(shù)安全事件的報告與處置工作。涉及信息內(nèi)容安全事件的報告與處置工作按其相關(guān)規(guī)定執(zhí)行。

第二章 安全事件等級劃分與判定

第三條 安全事件等級劃分。根據(jù)《指南》，將安全事件劃分為四個等級：特別重大事件（I級）、重大事件（Ⅱ級）、較大事件（Ⅲ級）和一般事件（Ⅳ級），詳見附件1。

第四條 安全事件判定。我校各單位一旦發(fā)生安全事件，應根據(jù)《指南》，視信息系統(tǒng)重要程度、損失情況以及對工作和社會造成的影響迅速自主判定安全事件等級。現(xiàn)代教育信息中心在接到報告后，根據(jù)事件情況，進一步做出判定。必要時，現(xiàn)代教育信息中心組織專家組進行判定或報告學校網(wǎng)絡安全與信息化領(lǐng)導小組判定。

第三章 安全事件的報告與處置

第五條 I至Ⅲ級信息安全事件的報告與處置。報告與處置分為三個步驟：事發(fā)緊急報告與處置、事中情況報告與處置和事后整改報告與處置。

一、事發(fā)緊急報告與處置

1、網(wǎng)絡與信息系統(tǒng)運維操作人員一旦發(fā)現(xiàn)上述安全事件，應根據(jù)實際情況第一時間采取斷網(wǎng)等有效措施進行處置，將損害和影響降到最小范圍，保留現(xiàn)場，并報告本單位安全責任人和主要負責人。

2、本單位安全責任人接到報告后，應立即組織相關(guān)人員趕赴現(xiàn)場進行緊急處置，同時以口頭通訊的方式將相關(guān)情況通報至現(xiàn)代教育信息中心，并書面記錄安全事件發(fā)現(xiàn)過程及口頭匯報過程。涉及人為主觀破壞事件應同時報告學校保衛(wèi)科。

3、現(xiàn)代教育信息中心接到報告后，應做好書面記錄，并進一步判定安全事件等級，對確認屬I至Ⅲ級安全事件的,應報告學校網(wǎng)絡安全與信息化領(lǐng)導小組。

4、緊急報告內(nèi)容包括：時間地點、簡要經(jīng)過、事件類型與分級、影響范圍、危害程度、初步原因分析、已采取的應急措施。

5、對確認屬I至Ⅲ級安全事件的, 現(xiàn)代教育信息中心應立即組織相關(guān)技術(shù)力量趕赴現(xiàn)場進行協(xié)助處置工作。涉及人為主觀破壞事件的，學校保衛(wèi)科應組織人員赴現(xiàn)場協(xié)助處置，并協(xié)助公安機關(guān)做好相關(guān)取證和處置工作。

6、各單位應及時跟進事件發(fā)展情況，出現(xiàn)新的重大情況應及時補報。

二、事中情況報告與處置

1、事中情況報告應在安全事件發(fā)現(xiàn)后5小時內(nèi)以書面報告的形式進行報送，報送內(nèi)容和格式見附件2。

2、事中情況報告由單位安全負責人組織編寫，由本單位主要負責人審核后，簽字并加蓋公章報送現(xiàn)代教育信息中心。涉及人為主觀破壞事件的，事中情況報告應抄送給保衛(wèi)科。

3、安全事件的事中處置包括：及時掌握損失情況、查找和分析事件原因、修復系統(tǒng)漏洞、恢復系統(tǒng)服務、盡可能減少安全事件對正常工作帶來的影響。如果涉及人為主觀破壞的安全事件應由保衛(wèi)科聯(lián)系，配合公安部門開展調(diào)查。

三、事后整改報告與處置

1、事后整改報告應在安全事件處置完畢后4個工作日內(nèi)以書面報告的形式進行報送，報送內(nèi)容和格式見附件3。

2、事后情況報告由單位安全負責人組織編寫，由本單位主要負責人審核后，簽字并加蓋公章報送現(xiàn)代教育信息中心。

3、安全事件事后處置包括：進一步總結(jié)事件教訓、研判安全現(xiàn)狀、排查安全隱患、進一步加強制度建設(shè)、提升安全防護能力。如涉及人為主觀破壞的安全事件應繼續(xù)配合公安部門和學校保衛(wèi)科開展調(diào)查。

第六條 一般安全事件（Ⅳ級）報告與處置。各單位發(fā)生一般安全事件，應及時、自主組織應急處置工作；需要現(xiàn)代教育信息中心協(xié)助的，聯(lián)系現(xiàn)代教育信息中心予以協(xié)助。在事件處置完畢后6天內(nèi)向現(xiàn)代教育信息中心報送整改報告，報告內(nèi)容和格式見附件3。

第七條 預警類信息的報告與處置。各單位要按時、按要求完成國家、地方有關(guān)信息安全部門以及學?，F(xiàn)代教育信息中心等部門通報的預警類信息的處置工作，并按要求形成書面報告，報送現(xiàn)代教育信息中心。

第四章 配套制度與問責

第八條 人事變更報告。為保障聯(lián)絡通暢，各單位的信息技術(shù)安全工作主管領(lǐng)導、聯(lián)絡員、聯(lián)絡方式發(fā)生變更的，應及時向現(xiàn)代教育信息中心報備。

第九條 相關(guān)配套機制。各單位應根據(jù)實際建立本單位的值守制度，做到安全事件早預警、早發(fā)現(xiàn)、早報告、早控制、早解決。各單位應建立健全本單位安全事件應急處置機制，制定安全事件應急預案，定期組織應急演練。

第十條 問責制度。各單位應按照流程及時、如實地報告和妥善處置安全事件。如有瞞報、緩報、處置和整改不力等情況，學校將對相關(guān)單位進行約談或通報；情況嚴重的，追究責任問責處理。

第十一條 整改落實機制。發(fā)生I至Ⅲ級安全事件后，要認真做好整改落實工作，堅持做到事故原因不查清不放過、整改措施未落實不放過、責任人員未受到教育或處理不放過，盡力杜絕類似事件再次發(fā)生。

周口幼兒師范學校現(xiàn)代教育技術(shù)信息中心

二〇一九年一月八日

附件一

信息技術(shù)安全事件分類與等級劃分

《信息安全事件分類分級指南》（GB/Z 20986-2007）根據(jù)信息技術(shù)安全事件的起因、表現(xiàn)、結(jié)果等，將信息技術(shù)安全事件分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、設(shè)備設(shè)施故障、災害事件和其他信息安全事件6個基本分類，每個基本分類分別包括若干個子類；根據(jù)信息系統(tǒng)重要程度、系統(tǒng)損失和社會影響，將信息技術(shù)安全事件劃分為4個等級。

一、信息技術(shù)安全事件分類

1、有害程序事件

有害程序事件是指蓄意制造、傳播有害程序，或是因受到有害程序的影響而導致的信息安全事件。有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其它有害程序事件等7個子類。

2、網(wǎng)絡攻擊事件

網(wǎng)絡攻擊事件是指通過網(wǎng)絡或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當前運行造成潛在危害的信息安全事件。網(wǎng)絡攻擊事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡掃描竊聽事件、網(wǎng)絡釣魚事件、干擾事件和其他網(wǎng)絡攻擊事件等7個子類。

3、信息破壞事件

信息破壞事件是指通過網(wǎng)絡或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致的信息安全事件。信息破壞事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件和其它信息破壞事件等6個子類。

4、設(shè)備設(shè)施故障

設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導致的信息安全事件，以及人為的使用非技術(shù)手段有意或無意的造成信息系統(tǒng)破壞而導致的信息安全事件。設(shè)備設(shè)施故障包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、和其它設(shè)備設(shè)施故障等4個子類。

5、災害性事件

災害性事件是指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全事件。災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的信息安全事件。

6、其他事件

其他事件是指不能歸為以上基本分類的信息技術(shù)安全事件。

二、信息技術(shù)安全事件等級劃分

1、特別重大事件（Ⅰ級）

特別重大事件是指能夠?qū)е绿貏e嚴重影響或破壞的信息安全事件，包括以下情況：

⑴ 會使特別重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

⑵ 產(chǎn)生特別重大的社會影響。

2、重大事件（Ⅱ級）

重大事件是指能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录?，包括以下情況：

⑴ 會使特別重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、或使重要信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

⑵ 產(chǎn)生的重大的社會影響。

3、較大事件（Ⅲ級）

較大事件是指能夠?qū)е螺^嚴重影響或破壞的信息安全事件，包括以下情況：

⑴ 會使特別重要信息系統(tǒng)遭受較大的系統(tǒng)損失、或使重要信息系統(tǒng)遭受嚴重的系統(tǒng)損失、一般信息信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失；

⑵ 產(chǎn)生較大的社會影響。

4、一般事件（Ⅳ級）

一般事件是指不滿足以上條件的信息安全事件，包括以下情況：

⑴ 會使特別重要信息系統(tǒng)遭受較小的系統(tǒng)損失、或使重要信息系統(tǒng)遭受較大的系統(tǒng)損失，一般信息系統(tǒng)遭受嚴重或嚴重以下級別的系統(tǒng)損失；

⑵ 產(chǎn)生一般的社會影響。

附件2

周口幼兒師范學校網(wǎng)絡安全事件情況報告表.docx