信息安全事件与分析-converted

信息安全事件与分析

对于信息安全行业而言，刚过去不久的2011 无疑是“多事之秋”。年初的索尼PlayStation network 的泄密事件为这“不寻常”的一年“正式”拉开帷幕，而年末的知名开发者社区CSDN 信息泄密事件则是使得2011 惨淡收官。

像其他领域的安全事件一样，信息安全事件的发生，是任何人都不愿意看到的。然而信息安全如雷贯耳般的警钟声却不容忽视。以史为鉴，可以知兴替。通过总结、分析已经发生的信

息安全事件，我们可审视自身的不足，提高防范，以最大限度避免类似事件的发生。下面，跟大家一起回顾2011 年影响较大的10 大信息安全事件，看看有怎样的经验与教训值

得我们深思。

10. 安全机构也中枪—— RSA 遭入侵事件回放： 2011 年3 月 17 日，美国RSA 的执行总裁在其官网上发表一封公开信称，有人以APT（Adva nce Persistent Threat, 先进持续性威胁）的攻击方式对 RSA 发起了相当复杂的网络攻击，并入侵窃取了RSA 系统中的重要数据，而这些数据中有些是专门用于RSA 的SecurID 双因素认证的产品。事件发生后， RSA 为部分用户更换了 Secure ID ，并建议用户注意异常情况，同时加强令牌管理及注意社交工程攻

击。随后的 5 月份，美国军火商洛克希德马丁公司传言遭受网络攻击，导致部分机密武

器资料等泄漏。有传言称，此次攻击，黑客正是利用了早前失窃的RSA SecureID 数据，复制了洛克希德马丁公司使用的SecureID 令牌，并最终实施了入侵。评论：Secure ID 双因素认证以及CA 证书技术，都是目前应用广泛的安全技术，广泛应用于政府机构、企业、金融等敏感部门，典型的如网银登录等，可以说，一旦出现漏洞，会造成非常重大的实质性

损失，波及范围也会非常广泛，站在黑客的角度，自然跟更有利可图。因此，威胁也就更

大。这一事件提醒了我们，在你部署了你认为足够安全和全面的安全措施之后，你可能

还是不够安全。这就好像你买了一把高级密码锁来保护你的资产，结果不怀好意者拿到了原

配的钥匙；更有甚者，不怀好意者甚至卖了一把假的锁给你，让你的防线形同虚设。这就需要我们重视安全审计，不放过系统中的任何一点异动，即使你觉得已经部署了足够安全

的措施——因为没有绝对的安全。

9. “悲剧”的索尼——接连被黑事件回放：2011 年 4 月26 日，索尼在“游戏站”博客发

布通告，称黑客侵入旗下“游戏站”和云音乐服务Qriocity 网络，窃取大量用户个人信息，包

括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等，受

影响用户大约7800 万。评论：可能有人会认为，类似的这种黑客主动攻击的行为近乎“天灾”，受害者往往是无计可施的。其实不然，本质上，这些机构遭受损失，还是本身安全防

护措施不足造成的。再试想一下，连索尼这种知名企业，以及FBI、CIA 等顶尖的政府机构，都会被黑客攻破，如果黑客把目光集聚在普通企业身上，必然会不堪一击。这一事件提醒我们，对于安全的追求，永远没有终点，安全人员也应该时刻有危机意识；同时，黑客的

宣言也提醒我们：安全是一件需要高调对待但低调宣扬的事，不要主动招惹黑客，同时也不应该对黑客示弱。

8. 当银行失去可靠性——韩国农商行遭黑客入侵删除交易记录宕机三天事件回放：2011 年4 月 19 日，紧接在韩国现代资本公司之后，韩国农协银行也疑遭电脑黑客

袭击，其电脑网络瘫痪了三天，数以万计的客户受影响。根据农协银行工作人员报告的

情况，本次事件源于系统服务器数据被删除造成的系统瘫痪和数据丢失。大约540 万名

信

用卡客户的交易记录被删除。根据调查员的进一步分析，认为整个事件是一次恶意黑客

攻击，笔记本的所有者表示删除命令并非自己所下达。事发当时，该员工的笔记本放置在银行的办公室内。根据当天闭路电视的录像，可能有20 个人有机会接触到这台笔记本，这 20 人当中有一人拥有Super Root 权限。评论：由于涉及到实实在在的“金钱”，一般来说，

银行等金融机构对于信息安全的要求是最高的，其信息安全防护水平也一直走在IT 业界前列，包括防入侵、灾备等都有完善的方案。然而，此次韩国农商行的水准却让人大跌眼镜。

瘫痪三天，这在任何金融机构都是不可想象的。通过回访此次事件，业界研究者得出的

事件原因有三：一是对于最高级别权限即su per root 的管理不足；二是没有基本的隔离安

全机制（笔记本直接连入外网）；三是容灾备份机制没有发挥作用。这当中的每一点单独拿

出来，都可能是致命的漏洞。黑客所策划的此次攻击，是以IT 运维部门的用户机位跳板

实施的，这就暴露了目前广泛存在的一种威胁，即通过窃取内部合法用户的权限进行非法活

动。这种漏洞，说白了就是IT 内控的不足。对于类似银行的敏感机构的敏感部门，尤其应该

注意用户权限的管理；另外，在必要时进行网络隔离甚至物理隔离是必然的要求。同时，

也要加强平时对于合法用户的行为审计，防范合法权限被滥用或被利用等情况的发生。最后，对于最重要的信息，完善的多点灾备机制是必须的选择。

7. 社交网络的逆袭——新浪微博病毒首次大肆传播事件回放：2011 年 6 月 28 日，新浪微博出现了一次比较大的XSS 攻击事件。 20:14 ，开始有大量带V 的认证用户中招转发蠕虫； 20:30 ， https://www.360docs.net/doc/de13652993.html, 中的病毒页面无法访问；20:32 ，新浪微博中hellosamy 用户无法访问；21:02 ，新浪漏洞修补完毕。评论：如果单纯讨论技术，此次攻击可能算不上是最高级

别的黑客攻击。但此次事件暴露出来的社交网络风险，却是实实在在的给我们提了一个

醒。相关数据显示，截止2011 年 11 月，国内社交网站注册用户达到了 2.6 亿，微博用户达到了 2.5 亿，再加上数亿用户使用的QQ 等，规模化的社交网络，前所未有的改变了我

们的生活的同时，也带来了前所未有的风险。对于企业来说，社交网络是一个难题。时

代的前进和发展迫使公司的日常运营中要应用社交网络等新的技术，但相关的安全防护手段

却未必跟得上技术的发展。IT 管理员应该对社交网络采取怎样的态度，允许还是禁止，进行多大程度的限制，这些问题都需要提上考虑的日程了。单纯的允许与禁止做起来可能容易，

但前景似乎不那么明朗。对于IT 管理员甚至组织的管理者来说，是该制定社交网络使用规

范的时候了。

6. 当病毒成为武器—— Duqu 病毒爆发事件回放：11 月，在苏丹和伊朗(该木马程序的

前身— Stuxnet 的主要攻击目标)出现了新Duqu 恶意软件感染。Duqu 病毒被

认为与Stuxnet 工业破坏病毒密切相关，因为它借用了Stuxnet 的代码和功能，

Duqu 是一个用于数据渗出的灵活的恶意软件交付框架。

Duqu 被认为是专门针对企业的有针对性攻击，可能成为

2012 年的主要恶意软件。评论：针对工业设施和控制系统进行的特定攻击，显示了目前黑客攻击更有针对性和更强烈的利益倾向。就像Duqu 病毒所利用的 Word 漏洞一样，黑客往往利用常见系统工具的漏洞，从普通用户入手渗透到核心系统，最终获取机密信

息。相较以往，大家的安全意识已经有了提升，但这些病毒的存在提醒了我们，信息安

全防护一直在路上。以上是排名6-10 位的2011 十大信息安全事件，稍后，将为各位

博友带来排名1-5 位的下篇，敬请期待！欢迎大家与我多多交流。

5. 坚实的法律后盾——两高联合制定《关于办理危害计算机信息系统安全刑事案件应用法

律若干问题的解释》开始施行事件回放：2011 年8 月29 日，最高人民法院、最高人民检察院联合发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》。这个共有十一条的司法解释从2011 年 9 月1 日起开始正式执行。2012 年1 月，国内知名黑客，“黑基网”实际控制人王献冰，因为提供侵入、非法控制计算机信息系统的程序、工

具罪，被判处有期徒刑 5 年，罚金人民币60 万元；被告人周林亮被判处有期徒刑 4 年，罚金人民币10 万元。这是上述司法解释出台后审结的第一起有显著影响力的黑客案件。可以

说，有关信息安全犯罪行为，真正“有法可依”。评论：目前我国现行法律法规及规章中，

与信息安全直接相关的是65 部，它们涉及网络与信息系统安全、信息内容安全、信息安全

系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、

信息安全犯罪制裁等多个领域。从数量上来看，确实很多，但也还有很多不足。目前国内有关信息安全的法规，大多都是规章制度，立法法律层面的明显不足，如果发生类似的信

息安全事件或犯罪行为，执法的威慑力与执行力，都不如其他领域的法律有保障，从根本上不能震慑犯罪行为。目前个人隐私信息泄漏事件频发，其根源一定程度上也在于此。国外在这一方面做的就比较好，例如，美国2002 年的《联邦信息安全管理法》、87 年的《计算机安全法案》、俄罗斯95 年的《联邦信息、信息化和信息保护法》等。此次两高解释的出台，算是为国内的信息安全法律开了一个好头，但仍有许多相关法律亟待完善。例如信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权，而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法，与隐私权相关的法律是民法

通则，与著作权及相关知识产权相关的法律是著作权法、合同法，信息安全中涉及的单位的

权利主要包括商业秘密、技术秘密、著作权及相关知识产权等，而与商业秘密、技术秘密相

关的法律有反不正当竞争法、技术合同法，与著作权及相关知识产权相关的法律有著作权法、

合同法。如何提高这些法律法规的整体性，使其相互配合，并尽量不产生冲突，让各大企业

以及个人都能依法办事，有法可依。好的开头已开启，希望下文更精彩。

4. 人云亦云，不知所云——亚马逊云服务宕机，服务终端，部分客户数据丢失事件回放：（美国时间）11 年 4 月21 日上午01： 30 分，北弗吉尼亚州的数据中心出现故障，

造成了Amazon 公司旗舰数据中心EBS服务无法正常使用。在大约12 小时后，AWS 表示，在除一个区域以外，所有可用区域的功能均已恢复并运行正常。 4 月 24 日晚上7:00,AWS 表示，该服务运行稳定，恢复过程仍在进行中，但是直至 4 月25 日AWS 才将美国东部地区的运行状态标为正常。服务宕机事件导致包括问答网站Quora 、手机地理位置社交网络服务商Foursquare 及社交媒体Redd it 等创业公司均受到不同程度影响。评论：过去的一两年，“云”似乎成为了一个大热的话题，“云存储”、“云计算”甚至是“云杀毒”，云的触角似乎蔓延到了每一个角落，言必称“云”，是很多展会上的常见风景。然而，“云”是什么？至今尚无人能说得清。此次亚马逊云服务宕机事件，为我们提了一个醒，在你兴奋的想

要应用这些先进的技术之前，应该问自己几个问题：云计算是什么？我需要的是哪种云计算，

平台即服务（PaaS），软件即服务（SaaS），还是基础设施即服务（IaaS）？我是应该选择公有云，还是私有云？如果把我的业务转移到云平台中，无论是公有云，还是私有云，目

前有相对应的信息安全保护解决方案么？换句话说，连我都不知道在云中何处的信息，它安全么？

3. 免费安全时代来临？—— 360 成功上市事件回放：2011 年 3 月 30 日，奇虎360 在美国纽交所上市，这是2011 年第一家在美国成功上市的中国互联网公司，也是迄今为止第

一个独立上市的中国互联网安全公司。上市当日收盘价为34 美元，首日涨幅达134.48% ，首日总市值达38.5 亿美元，以当日计算位居中国十大互联网公司行列。2011 年， 360

还低调推出了企业版 360 安全卫士，进军企业市场。通过与国内的部分企业级IT 厂商合作，360 免费企业安全产品也在低调推进中。评论：我们姑且不评论360 所推行的免费安全的质量如何，只讨论企业级的免费安全是否可行？我想，恐怕有待商榷。很关键的一点，企业级产品对于服务的要求是免费安全无法给予的。免费安全产品，说白了就是用“免费”来换取市场份额，并在后期通过增值业务收费。用户接受了免费，换来的就是一句“一切解释权均为本企业所有”。而安全对于企业来说，恰恰是最要求拥有自主权和实际保证的。

如果出了安全事故，免费产品的用户显然不可能凭着一份当初直接按下下一步的“用户协议”来维护自己的权益。企业免费安全，看上去很美，但接下来的路如何走，前方是康庄大

道还是断头崖，我们拭目以待。

2. 老大哥在看着你——运营商Carrier IQ 跟踪用户手机使用信息事件事件回放：2011 年12 月，一位25 岁的黑客Trevor Eckhart ，发现Andro id 、Nokia 、HTC 等手机内置的

Carrier IQ 服务会不断上传用户的操作数据，并发布了一段视频作为佐证。此后，涉及此次事件的几大手机厂商与运营商大部分都出面承认了事件的真实性。尽管CIQ 的开发商辩称，他们的产品并不收集用户隐私信息，只是为了运营商改进产品与服务，用户对此仍有重大疑虑，美国部分议员也表示了对此的关切。目前，部分手机厂商和运营商已经公布了补救

措施，包括如何移除手机内置的Carrier IQ 产品，以及不再在产品内预先安装此软件。评论：这是继之前苹果与Android 跟踪用户地理位置之后爆出的又一牵涉用户隐私信息保护

的重大安全事件。随着基于i-OS 、Android 等系统的只能移动设备的爆发性增长，智能

设备迎来了前所未有的春天，随之而来的安全威胁也不得不让人正视。作为智能操作系统，这些产品能实现更多的应用，但是越来越频繁的个人信息泄漏事件，让用户对于个人隐私泄漏的焦虑越来越严重。另外，企业层面，智能设备的普及，也让IT 部门面临着两难。员工利用私人设备，能够方便的处理工作任务，加快工作进程，但不断爆出的安全事件，却

让IT 管理人员对于私人设备进入企业IT 系统充满了警惕，因为一旦企业的机密信息通过私

人设备泄露，造成的经济及其他非经济损失更加直接，影响也更大。智能设备的狂潮肯

定是不可阻挡的，粗暴的禁止无异于因噎废食。IT 管理人员应该做的，是开始考虑对于智能

设备应该采用怎样的安全策略，在享受科技便利的同时保障信息安全。

1. 当密码不再是秘密—— CSDN 、天涯等遭遇最大用户密码泄漏事件事件回放：11 年12 月 21 日，知名程序员网站CSDN 被曝600 万用户帐户密码泄漏。黑客在网上公布了用

户数据库，此数据库在网络上广泛传播，并被制作成网页供网友查询。更为惊人的是，此次泄漏的用户数据库中，密码竟然是明文存储的。CSDN 随后承认用户密码失窃，但强调这些密码都是在2009 年之前注册用户的，现在已经不再明文存储密码。此后又有多家知名网

站包括天涯、人人网、开心网等爆出了用户密码数据库泄漏。一时间人人自危，“改密码” 成了热词。评论：本次事件充分暴露了互联网上脆弱的安全生态，企业防范不到位，

法规缺失，黑客产业链，用户安全意识不足。种种负面因素的累加，使得类似事件的发生也

就有了其必然性。盘点结语：2011 年发生的信息安全事件，远远不止以上10 起，其影响力，实在难以一语概之。希望通过对过往这一年影响较大的安全事件的回顾，让更多企业、个人真正意识到信息安全的重要性，并行动起来。古语有云“空谈误国，实干兴邦”，唯有用行动才能迎接已经到来的、形势汹涌的2012 。未来一年的信息安全行业将如何收官，

我们静观其变。

信息安全事故管理办法

信息安全事故管理办法第一章总则第一条目的：为加强公司信息系统安全事故的管理，提高信息系统安全事故管理的制度化、规范化水平，及时掌握全行网络和信息系统安全状况，为协调组织相关力量进行信息系统安全事故的应急响应处理奠定基础，降低信息安全事故带来的损失和影响，保障全行网络和信息系统安全稳定运行，特订定本管理办法。第二条依据：本管理办法根据《公司信息安全管理策略》制订。第三条范围：本办法适用于全公司信息系统。第四条定义：信息安全事故是指对任何信息技术资源合法使用、操作造成威胁的事件，或对信息技术资源具有潜在危险的任何一种情况。第五条总部DXC负责信息安全事故的接报、汇总、通报和处置工作。DXC 安全科负责人为信息安全事故协调员，并指定代理信息安全事故协调员。第二章信息安全事故的范围第六条公司信息安全事故包括，但不限于： (一)系统感染计算机病毒。 (二)公司网络遭遇外部入侵或攻击。 (三)内部人员利用公司网络进行破坏。 (四)信息系统敏感数据泄露或失窃。 (五)公司数据处理设备失窃。

第七条符合以下条件之一的信息安全事故必须报告： (一)导致计算机信息系统中断或运行不正常超过4小时。 (二)造成直接经济损失超过100万元。 (三)严重威胁公司资金、信誉安全。 (四)因计算机安全事故造成公司不能正常运营，且影响范围超过一个县级行政区域。第三章信息安全事故的监控和处理第八条安全事故管理分为安全事故监控和安全事故处理。安全事故监控完成对安全事故迹象的检测和分析，发现和报告安全事故的存在。安全事故处理是对被发现的安全事故的响应处理过程，包括四个主要阶段：控制、证据收集、根除与恢复以及事后分析。第九条安全事故监控包括信息安全事故监测、预测和预警，应按照“早发现、早报告、早处置”的原则，加强对各类信息安全事故和可能引发信息安全事故的有关信息的收集、分析判断和持续监测。第十条员工发现公司发生信息安全事故后，需向信息安全事故协调员报告，确认故障情况，确认故障处理时间，准确定性故障级别，如果不能联系上信息安全事故协调员，则向代理信息安全事故协调员报告。第十一条生产运行环境出现的安全事故按照《信息系统应急预案》执行。第十二条信息安全事故协调员接到报告后，需立即采取措施控制事态，如断开受病毒感染的系统的网络连接，及时通知DXC安全科和用户部门负责人，协调控制事件的影响。保留相关的防火墙、路由器、入侵检测系统、操作和应

信息安全事件应急处理报告实用模板.docx

叮叮小文库 XX单位信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录一、概述 (1) 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1应急处理服务委托协议 (2) 1.4.2基础标准与法律文件 (2) 1.4.3参考文件 (2) 二、应急处理服务流程 (3) 三、应急处理服务内容和方法 (5) 3.1准备阶段 (5) 3.1.1准备阶段工作流程 (5) 3.1.2准备阶段处理过程 (5) 3.1.3准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2检测阶段处理过程 (7) 3.2.3检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1抑制阶段工作流程 (9) 3.3.2抑制阶段处理过程 (9) 3.3.3抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1根除阶段工作流程 (11) 3.4.2根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1恢复阶段工作流程 (13) 3.5.2恢复阶段处理过程 (13) 3.5.3恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1总结阶段工作流程 (14) 3.6.2总结阶段现场记录表 (15) 四、结论与建议 (16)

信息安全事件应急处理报告应急处理单位 XX单位委托单位服务类别委托应急处理受理日期2017 年 X 月 XX日处理日期2017 年 X 月 XX日服务成员监督人处理结论：通过本次应急处理服务，解决了XX单位存在的网站漏洞，修补后，经测试有效。建议委托单位针对报告中提出的建议，增强安全控制措施，切实提高信息安全水平，降低相关风险。 XX公司 2017 年 X 月 XX 日批准人：应急处理服务人员：审核人：

信息安全事件处理流程

信息安全事件处理流程 LG GROUP system office room 【LGA16H-LGYY-LGUA8Q8-LGA162】

信息安全事件处理流程一、信息安全事件分类根据公司实际生产运行情况，将信息安全事件分为两大类：重大信息安全事件和一般信息安全事件。 1、重大信息安全事件 1) 重要信息系统遭受严重的系统损失；通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断不能为超过80％（包括80%）的网络注册用户提供服务，时间达4小时；不能为80％以下网络注册用户提供服务，持续等效服务中断时间达8小时。系统(硬、软件)损坏或失窃，直接经济损失达1万元以上者。重要技术开发、研究数据损坏或丢失，或重要信息系统数据损坏或丢失，数据量在时间上连续超过48小时。发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用，网络地址和用户身份信息的窃取、盗用。发生自然灾害性事件导致的信息安全事故。 2）产生的社会影响波及到一个或多个地市的大部分地区，引起社会恐慌，对经济的建设和发展有较大负面影响，或损害到公众利益。 2、一般信息安全事件 1)重要信息系统遭受较小的系统损失；通信线路和设备故障、主机（服务器）、存储系统、网络设备（各类网络交换机、路由器、防火墙等）、电源故障运行中断导致不能为超过80％（包括80%）的网络注册用户提供服务，时间达2小时；不能为80％以下网络注册用户提供服务，持续等效服务中断时间达4小时。系统(硬、软件)损坏或失窃，造成直接经济损失达1万元以下者。

信息安全事件报告和处置管理制度.doc

安全事件报告和处置管理制度文号：版本号：编制：审核：批准：一、目的提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。二、适用范围本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。三、职责本预案由局信中心制订，报局领导批准后实施。局有关部门应根据本预案，制定部门网络与信息安全应急预案，并报局信息中心备案。结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。本预案自印发之日起实施。四、要求 1. 工作原则预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。

分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处置工作的管理职责。常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2 组织指挥机构与职责发生网络与信息安全突发公共事件后，应成立局网络与信息安全应急协调小组(以下简称局协调小组)，为本局网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室(以下简称局协调小组办公室)，负责日常工作和综合协调，并与公安网监部门进行联系。 3 先期处置（1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关局级主管部门通报。（2）网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。（3）局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件，由该局级主管部门自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件，要为局协调小组处置工作提出建议方案，并作好启动本预案的各项准备工作。局级主管部门要根据网络与信息安全突发公共事件发展态势，视情况决定赶赴现场指导、组织派遣应急支援力量，支持事发部门做好应急处置工作。 4 应急处置 4.1 应急指挥本预案启动后，根据局协调小组会议的部署，担任总指挥的领导和参与指挥的领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。相关联动部门按照本预案确定的有关职责立即开展工作。

信息安全事件管理规范

信息安全管理部信息安全事件管理规范 V1.0

文档信息：文档修改历史: 评审人员：

信息安全事件管理规范年07月 1.0 目的明确规定“信息安全事件”的范围和处理流程，以便及时地对信息安全事件做出响应，启动适当的事件防护措施来预防和降低事件影响，并能从事件影响中快速恢复； 2．0 适用范围本制度适用于在信息安全部负责管理的所有信息资产上发生的对业务产生影响的异常事件的处理及后续响应流程。 3．0 相关角色和职责 ●信息安全总监：负责制定《信息安全事件管理规范》，并督促制度的落实和执行； ●信息安全部经理： ?负责《信息安全事件管理规范》中各项流程制度的日常督促执行； ?负责对各类信息安全事件进行第一时间响应，区分信息安全事件的类别及后续处理流程； ?负责跟踪各类信息安全事件的后续处理，确保公司能从中汲取教训，不再发生类似问题； ●信息安全事件发起人：在具体工作中发现异常后应及时上报，并协助完成后续处理工作。 4．0 信息资产信息安全管理部负责以下信息资产的安全运行： ●机房环境、硬件设备正常运行： ?互联机房； ?北京办公室机房； ?上海办公室机房； ?机房内的所有硬件设备，包括网络设备、服务器和其它设备； ●办公室网络环境正常运行 ?互联机房内网/外网环境； ?北京办公室内网/外网环境； ?上海办公室内网/外网环境； ●机房内系统工作正常； ?服务器操作系统工作正常 ?应用系统工作正常 ●机房内设备中存放的各类业务信息安全以上信息资产出现异常情况时，均属于信息安全事件处理的范畴。 5．0 信息安全事件分级、分类

对信息安全事件分级、分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等信息安全应急响应工作的必要条件。 5．1 信息安全事件分级根据信息安全事件所涉及的信息密级、对业务所造成的影响和相关的资产损失等要素，对信息安全事件分为以下几个级别： 1级：本级信息安全事件对公司业务造成了重大影响，例如机密数据丢失，重大考试项目考中异常等； 2级：本级信息安全事件对公司业务造成了一定影响，例如短时间的设备宕机、大规模的网站异常造成客户投拆等； 3级：本级及息安全事件指己发现的可能对公司业务造成重要影响的潜在风险事件，例如在日常维护工作中发现的各类异常事件等； 1级的信息安全事件又称为重大安全事件。与“信息安全事件”分级相关联的名词解释： ●常规工作：指影响超出单点范围，可能/己经造成了部门/小组级的工作异常，但未造成实质性损害的信息事件； 5．2 信息安全事件分类对信息安全事件分类是有效开展信息安全事件报告、应急处置、调查处理和评估备案等响应工作的重要依据。信息安全事件可分为： ●环境灾害： ?自然/人为灾害：水灾、火灾、地震、恐怖袭击、战争等； ?外围保障设施故障： ◆机房电力故障: 由于供电线路、供电设备出现故障或供电调配的原因而导致的信息安全事件 ◆外围网络故障：由于外围网络传输信道出现故障而导致业务系统无法对外正常服务 ◆其它外围保障设施故障：例如拖管机房的服务器、服务器故障等； ●常规事故： ?软硬件自身故障： ◆软件自身故障：由于软件设计存在漏洞或软件系统运行环境发生变化等原因而导致软件运行不正常的信息安全事件 ◆硬件自身故障：由于硬件设计不合理、硬件自然老化失效等原因引起硬件设备故障而导致信息系统不能正常运行的信息安全事件 ?无意事故： ◆硬件设备、软件遗失；与业务系统正常运行和使用相关的硬件设备和软件遗失而导致的信息安全事件 ◆数据遗失：系统中的重要数据遗失 ◆误操作破坏硬件；

信息安全事件报告

信息安全事件报告第1页/共6页事件日期：事件编号1：相关事态和/或事件标识号（如果有的话）：运行支持组成员的详细情况姓名：地址：电话：电子信箱： ISIRT成员的详细情况姓名：地址：电话：电子信箱：信息安全事件描述事件的进一步描述：发生了什么如何发生的为什么会发生受影响的部分对业务的负面影响任何已确定的脆弱性信息安全事件细节发生事件的日期和时间：发现事件的日期和时间：报告事件的日期和时间：事件是否结束（选择）是否如果是，具体说明事件持续了多长时间（天/小时/分钟）：如果否，具体说明到目前为止事件已经持续了多长时间： 1事件编号应由组织的信息安全事件响应小组管理者分配，并与相关的事态编号相对应。

信息安全事件报告第2页/共6页信息安全事件的类型（选择一项，然后填写相关栏目。）实际发生的未遂的可疑的（选择一项）基本分类有害程序事件（MI）子类计算机病毒事件（CVI）蠕虫事件（WI）特洛伊木马事件（THI）僵尸网络事件（BI）混合攻击程序事件（BAI）网页内嵌恶意代码事件（WBPI）其它有害程序事件（OMI）起因故意过失非人为未知基本分类网络攻击事件（NAI）子类拒绝服务攻击事件（DOSAI）后门攻击事件（BDAI）漏洞攻击事件（VAI）网络扫描窃听事件（NSEI）网络钓鱼事件（PI）干扰事件（II）其他网络攻击事件（ONAI）起因故意过失非人为未知基本分类信息破坏事件（IDI）子类信息篡改事件（IAI）信息假冒事件（IMI）信息泄漏事件（ILEI）信息窃取事件（III）信息丢失事件（ILOI）其它信息破坏事件（OIDI）起因故意过失非人为未知

信息安全事件处置预案

信息安全事件处置预案为保证我院信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合我院实际,特制定本应急预案。一、总则 (一)工作目标保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全。 (二)编制依据根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神,制定本预案。 (三)基本原则 1、预防为主。建立、健全计算机信息安全管理制度,有效预防网络与信息安全事故的发生。 2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。 3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。二、组织体系

成立网络与信息安全领导组,为我院网络与信息安全应急处置的组织协调机构。三、预防预警 (一)信息监测与报告。 1、按照“早发现、早报告、早处置”的原则,加强对院属科室有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时,按规定及时向应急领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。 2、建立网络与信息安全报告制度。发现下列情况时应及时向应急领导小组报告: 利用网络从事违法犯罪活动的情况; 网络或信息系统通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改,丢失等情况; 网络恐怖活动的嫌疑情况和预警信息; 其他影响网络与信息安全的信息。 (二)预警处理与发布。 1、对于可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施控制事态,并向应急领导小组汇报情况。

重大信息安全事件报告制度

重大信息安全事件报告制度第一条为规范和加强我校重大信息安全事件的信息报告管理工作，及时了解掌握和评估分析重大信息安全事件有关情况，协调组织相关力量进行事件的应急响应处理，从而降低重大信息安全事件带来的损失和影响，根据《国家信息化领导小组关于加强信息安全保障工作意见》的通知以及其他有关法律、法规的规定，结合本校实际情况，制定本制度。第二条本制度所称的重大信息安全事件是指由于自然灾害、设备软硬件故障、人为失误或破坏等原因严重影响到本校网络与信息系统的正常运行，出现业务中断、系统破坏、数据破坏或信息失窃密或泄密等，从而在国家安全、政治外交、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接和间接经济损失的事件。第三条学校信息领导工作小组及其办公室（校信息办）负责重大信息安全事件的报告工作。第四条在发生重大信息安全事件后，首先以口头方式立即向信息化主管部门报告，主管部门接到报告后，应当立即向校信息办报告，由校信息办报送省教育厅信息中心。第五条发生重大信息安全事件的部门应当立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起5小时内将有关材料报至校信息办。第六条对于重大的信息安全事件，校信息办接到报告后，应当立即上报市网络与信息安全部门和省教育厅信息中心，并负责组织协调市网络与信息安全协调小组相关成员单位对事件进行调查和处理。第七条发生重大信息安全事件的部门应当在事件处理完毕后5个工作日内将处理结果报市网络与信息安全部门和省教育厅信息中心备案。第八条校信息办负责组织对事件进行分析和研究，并将结果通报市网络与信息安全协调小组成员和省教育厅信息中心。第九条发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、慌报重大信息安全事件情况时，有权直接向校信息办或省教育厅信息中心举报。第十条发生重大信息安全事件，有关责任部门、责任人有瞒报、缓报和漏报等失职情况，校信息办将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。第十一条本制度由校信息办负责解释。实验与网络中心

信息安全事件应急处理报告模板

XX单位信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1 应急处理服务委托协议 (2) 1.4.2 基础标准与法律文件 (2) 1.4.3 参考文件 (2) 3.1准备阶段 (5) 3.1.1 准备阶段工作流程 (5) 3.1.2 准备阶段处理过程 (5) 3.1.3 准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2 检测阶段处理过程 (7) 3.2.3 检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1 抑制阶段工作流程 (9) 3.3.2 抑制阶段处理过程 (9) 3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15)

信息安全事件应急处理报告 XX公司 2017年 X月 XX 日批准人：应急处理服务人员：审核人：

一、概述 1.1 应急处理服务背景 XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX 单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。 1.2 应急处理服务目的尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。 1.3 应急处理服务范围

重大信息安全事件应急处置和报告制度通用版

管理制度编号：YTO-FS-PD418 重大信息安全事件应急处置和报告制度通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

重大信息安全事件应急处置和报告制度通用版使用提示：本管理制度文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。为预防和及时处置信息安全事件，保证网络信息安全，维护社会稳定，特制订网络信息安全事件应急处置预案一、在公司领导的统一管理下，贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，保障用户利益，维护社会和公司稳定，尽快使网络和系统恢复正常，做好网络运行和信息安全保障工作。二、网络部对互联网实施24小时值班责任制，必要时实行远程控制。网络管理人员应定期对互联网的硬件设备进行状态检查。若发现有上本网站人员异常行为应立即冻结该用户的权限，及时记录在案，情节严重时立即上报有关部门。

信息安全事件管理程序(正式版)

信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：___________________ 日期：___________________

信息安全事件管理程序温馨提示：该文件为本公司员工进行生产和各项管理工作共同的技术依据，通过对具体的工作环节进行规范、约束，以确保生产、管理活动的正常、有序、优质进行。本文档可根据实际情况进行修改和使用。 1 目的为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人确定信息安全目标和方针；确定信息安全管理组织架构、角色和职责划分；负责信息安全小组之间的协调, 内部和外部的沟通；负责信息安全评审的相关事宜； 3.2 信息安全日常管理员负责制定组织中的安全策略；组织安全管理技术责任人进行风险评估；

组织安全管理技术责任人制定信息安全改进建议和控制措施；编写风险改进计划； 3.3 信息安全管理技术责任人负责信息安全日常监控；信息安全风险评估；确定信息安全控制措施；响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。造成下列影响（后果）之一的, 均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。造成下列影响（后果）之一的, 属于重大信息安全事件。 a) 组织机密泄露；

信息安全事件与应急响应管理规范

四川长虹电器股份有限公司虹微公司管理文件信息安全事件与应急响应管理规范 ××××–××–××发布××××–××–××实施四川长虹虹微公司发布

目录 1.目的 (1) 2.适用围 (1) 3.工作原则 (1) 4.组织体系和职责 (2) 5.信息安全事件分类和分级 (2) 5.1.信息安全事件分类 (2) 5.1.1信息系统攻击事件 (2) 5.1.2信息破坏事件 (3) 5.1.3信息容安全事件 (3) 5.1.4设备设施故障 (3) 5.1.5灾害性事件 (3) 5.1.6其他信息安全事件 (3) 5.2.安全事件的分级 (3) 5.2.1特别重大信息安全事件（一级） (4) 5.2.2重大信息安全事件（二级） (4) 5.2.3较大信息安全事件（三级） (4) 5.2.4一般信息安全事件（四级） (4) 6.信息安全事件处理 ............................................................... 错误!未定义书签。

7.奖励与处罚 (6) 8.后期处置 (6) 9.解释 (7)

1.目的为建立健全虹微网络安全事件处理工作机制，提高网络安全事件处理能力和水平，保障公司的整体信息系统安全，减少信息安全事件所造成的损失，采取有效的纠正与预防措施，特制定本规。 2.适用围本文档适用于公司建立的信息安全管理体系。本文档将依据信息技术和信息安全技术的不断发展和信息安全风险与信息安全保护目标的不断变化而进行版本升级。本程序适用于公司全体员工；适用于公司的信息安全事故、弱点和故障的管理。 3.工作原则 ●统一指挥机制原则：在进行信息系统安全应急处置工作过程中，各部门的人员应服从各级信息系统突发安全事件处置领导小组的统一指挥。 ●谁运行、谁主管、谁处置的原则：各类信息系统的责任部门要按照公司统一要求，制定和维护本部门信息系统运行安全应急子预案，并组织或督促相关部门制定和维护本部门应用系统的应急子预案，认真根据应急预案进行演练与应急处置工作。 ●以人为本，最小损失原则：应对信息系统突发安全事件的各项措施均应以人为本，最大程度地减少信息系统突发安全事件造成的危害和损失。 ●居安思危，预防为主原则:高度重视信息系统突发安全事件预防工作，常抓不懈，防患于未然。增强忧患意识，坚持做好信息系统日常监控与运行维护工作，坚持预防与应急相结合，做好应对信息系统突发安全事件的各项准备工作。 ●分级响应和管理原则：在各类子预案和工作制度中应对信息系统突发安全事件制定科学的等级标准，各部门要依据规定权限及程序及时预防、预警、控制、解决本级职责围的信息系统突发安全事件。

2021年网络和信息安全事件应急处置和报告制度

2021年网络和信息安全事件应急处置和报告制度 Safety management is an important part of enterprise production management. The object is the state management and control of all people, objects and environments in production. ( 安全管理 ) 单位：______________________ 姓名：______________________ 日期：______________________ 编号：AQ-SN-0560

2021年网络和信息安全事件应急处置和报告制度为了保证本公司网络畅通，安全运行，保证网络信息安全，特制定网络和信息安全事件应急处置和报告制度。一、在公司领导下，贯彻执行《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》等相关法律法规；落实贯彻公安部门和省教育厅关网络和信息安全管理的有关文件精神，坚持积极防御、综合防范的方针，本着以防为主、注重应急工作原则，预防和控制风险，在发生信息安全事故或事件时最大程度地减少损失，尽快使网络和系统恢复正常，做好网络和信息安全保障工作。二、信息网络安全事件定义

1、网络突然发生中断，如停电、线路故障、网络通信设备损坏等。 2、公司网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱秩序；破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言等。 3、公司内网络服务器及其他服务器被非法入侵，服务器上的数据被非法拷贝、修改、删除，发生泄密事件。三、设置网上应急小组，组长由公司有关领导担任，成员由技术部门人员组成。采取统一管理体制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法。设置网络运行维护小组，成员由信息中心网络技术部人员组成，确保网络畅通与信息安全。四、加强网络信息审查工作，若发现主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被

信息安全事件报告和处置管理制度

安全事件报告和处理管理制度文号：版本号：编制：审核：批准：一、目的提高处理网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。二、适用范围本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。三、职责本预案由局信中心制订，报局领导批准后实施。局有关部门应根据本预案，制定部门网络与信息安全应急预案，并报局信息中心备案。结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。本预案自印发之日起实施。

四、要求 1. 工作原则预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处理，最大程度地减少危害和影响。以人为本：把保障公共利益以及公民、法人和其它组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。分级负责：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处理工作的管理职责。常备不懈：加强技术储备，规范应急处理措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处理的科学化、程序化与规范化。 2 组织指挥机构与职责

证券期货业信息安全事件报告与调查处理办法

证券期货业信息安全事件报告与调查处理办法第一章总则第一条为了规范证券期货业信息安全事件的报告和调查处理，减少信息安全事件的发生，根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》、《期货交易管理条例》、《证券期货业信息安全保障管理办法》等法律、行政法规和规章，制定本办法。第二条证券期货业信息安全事件是指证券期货业信息系统运行异常或者数据损毁、泄露，对投资者合法权益造成损害或者对证券期货市场造成不良影响的事件。第三条证券期货业信息安全保障责任主体发生信息安全事件后，应当按本办法规定进行报告和调查处理。前款所称责任主体，包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构（以下简称核心机构），证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构（以下简称经营机构）。第四条核心机构、经营机构发生信息安全事件后，应当及时、准确、完整报告，不得迟报、漏报、谎报或者瞒报。第五条信息安全事件调查处理应当坚持实事求是、尊重科学、客观公正、及时稳妥的原则。第六条发生信息安全事件的核心机构和经营机构应当对事件进行内部调查，追究责任，采取整改措施。第七条中国证监会及其派出机构依据本办法规定对核心机构、经营机构的信息安全事件进行调查处理。第八条信息安全事件相关的核心机构、经营机构、软硬件产品或者技术服务供应商应当配合中国证监会及其派出机构和发生事件的机构对事件进行调查和处理。第二章事件分级第九条根据信息安全事件对投资者合法权益造成损害，或者对证券期货市场造成不良影响的程度，事件分为特别重大事件、重大事件、较大事件、一般事件。第十条特别重大事件是指对投资者合法权益造成特别严重损害或者对证券期货市场造成特别严重影响的信息安全事件。符合下列情形之一的为特别重大事件：（一）证券交易所交易、通信、行情发布系统在开市前无法正常启动或者中断达到20分钟以上，或者受影响营业部或者交易单元比例达到20%以上，或者交易中断的证券只数达到20%以上的。（二）期货交易所交易业务系统全部中断，影响交易时间累计2小时以上的；结算交割业务系统中断，影响下一交易日正常开市的。（三）中国证券登记结算公司登记结算系统瘫痪、短期内无法恢复且何日恢复无法预知，对公司全部业务或者整个市场造成重大影响的。

信息安全事件管理程序

信息安全事件管理程序 1 目的为明确信息安全事件处理的责任和流程，有效处理信息安全事件，最大限度地减少和降低因信息安全事件给公司带来的损失，特制定本程序。 2 范围本程序适用于公司发生的各类信息安全事态或事件的检测、报告和处理。 3 术语和定义引用ISO/IEC27001和ISO/IEC27002相关术语和定义。注：本程序中的信息安全事件是标准中的“信息安全事态”和“信息安全事件”的总称。 4 职责与权限信息安全领导办公室批准关键业务恢复计划，并指导本程序的执行，对执行情况进行监督检查；各部门信息安全主管负责本程序在部门内的组织实施；部门信息安全员在信息安全主管的组织下具体实施相关活动。 5 相关活动 5.1 信息安全事件报告流程任何员工，一旦发生、发现或观察到已发生或潜在的信息安全事件，必须以电话、邮件、口头等方式立即报告给信息安全办公室，联系方式是：联系人：联系电话：邮件：接报人要填写《信息安全事件报告和处理表》。

5.2 处理根据信息安全事件的轻重缓急，区分以下情况组织资源处理事件：如果仅是误报，则取消事件响应，恢复到正常状态；如果信息安全事件已被控制，未影响关键业务活动，在部门信息安全主管组织下对信息安全事件进行处理，并记录所有信息用于信息安全事件的评审；如果信息安全事件已被控制，已影响关键业务活动，在XXX部负责下，实施《XXX关键业务活动恢复计划》，并记录所有信息用于信息安全事件的评审；如果信息安全事件失去控制，实施紧急救援，召集外部专业机构实施处理，见《对外联络表》，同时记录所有活动；并由XXX部负责填写《信息安全事件报告和处理表》。 5.3 改进信息安全事件处理完毕后，信息安全领导办公室应进行以下活动： ●进一步收集相关事件信息； ●从信息安全事件中总结教训，重点分析事件发展的趋势和模式； ●确定新的或经过变化的控制措施并制定计划付诸实施； ●适当时对相关人员进行信息安全事件的教育培训。 6 相关文件和记录业务连续性管理程序备份管理程序关键业务恢复计划对外联络表信息安全事件报告和处理表

100分_C14014《证券期货业信息安全事件报告与调查处理办法》解读

C14014《证券期货业信息安全事件报告与调查处理办法》解读一、单项选择题 1. 期货交易所交易业务系统全部中断、部分中断，影响交易时间在3分钟以下的属于（）。 A. 一般事件 B. 特别重大事件 C. 重大事件 D. 较大事件 2. 以下（）明确了证券期货业信息安全事件的报告要求、分级标准、调查处理的要求、责任认定的原则和相应的处罚措施。 A. 《证券期货业信息安全事件报告与调查处理方法》 B. 《证券期货业信息安全事件应急预案》 C. 《证券期货业信息安全保障管理办法》 D. 《证券期货业信息系统运维管理规范》 3. 证券公司、期货公司集中交易系统或者网上交易系统全部中断、部分中断，影响交易时间累计在5分钟以上的属于（）。 A. 一般事件 B. 较大事件 C. 特别重大事件 D. 重大事件

二、多项选择题 4. 证券期货业信息安全保障的责任主体包括（）。 A. 证券公司、期货公司、基金管理公司、证券期货服务机构 B. 承担证券期货市场公共职能的机构 C. 软硬件设备供应商 D. 承担证券期货行业信息技术公共基础设施运营的机构等证 5. 重大事件是指对投资者合法权益造成严重损害或者对证券期货市场造成严重影响的信息安全事件。符合下列（）情形之一，且未达到特别重大事件的为重大事件。 A. 期货交易所交易业务系统全部中断，影响交易时间累计60 B. 有效客户数在10万人以上的证券公司、期货公司集中交易以上的 C. 证券交易所交易、通信、行情发布系统中断达到10分钟以交易中断的证券只数达到10%以上的 D. 10万人以上的投资者数据发生损毁或者错误等异常情况， 6. 一般事件是指对投资者合法权益造成损害或者对证券期货市场造成影响的信息安全事件。符合下列（）情形之一，且未达到较大事件的为一般事件。 A. 证券交易所交易、通信、行情发布系统中断，受影响营业达到5%的 B. 证券公司、期货公司集中交易系统或者网上交易系统全部

重大信息安全事件应急处置制度

重大信息安全事件应急处置制度 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

重大信息安全事件应急处置制度 1、重大信息安全事件、机房安全事件指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件，造成机房物理环境或设备的严重损害。主要包括: 电气事件：电气设备漏电造成电击伤人，严重的引起火灾事件；火灾事件：机房火灾造成网络设备、服务器等设备损毁；电力系统事件：长时间电力故障，备用UPS电源无法继续供电，造成机房网络设备、服务器停止工作。、网络中断事件指造成本公司骨干网络中断24小时以上的网络事件。、数据库系统事件数据库系统故障，造成数据损坏或丢失，导致应用系统无法正常使用，公司重要数据泄露造成公司管理、经营的负面影响和重大损失。、网络入侵事件通过非授权方式侵入公司信息系统，对相关信息资产进行非授权监听、调用、篡改、销毁等，造成公司管理、经营的负面影响和重大损失。、病毒破坏事件指病毒、非预期程序代码植入公司信息系统，造成重大破坏。、重要存储介质失窃事件指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等，如纸质文件资料、硬盘、U盘、光盘等。 2、应急处置措施、统一领导，分工协作在公司统一领导下，明确各部门职责，督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则，协同配合，有效地处臵突发事件和应急情况。、明确责任，依法规范公司所属各部门，要按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。

信息安全事件应急处理报告模板

XX单位信息安全事件应急处理报告 XXX公司 2017年X月XX日

目录一、概述 (1) 1.1应急处理服务背景 (1) 1.2应急处理服务目的 (1) 1.3应急处理服务范围 (1) 1.4应急处理服务依据 (2) 1.4.1 应急处理服务委托协议 (2) 1.4.2 基础标准与法律文件 (2) 1.4.3 参考文件 (2) 二、应急处理服务流程 (3) 三、应急处理服务内容和方法 (5) 3.1准备阶段 (5) 3.1.1 准备阶段工作流程 (5) 3.1.2 准备阶段处理过程 (5) 3.1.3 准备阶段现场处理记录表 (6) 3.2检测阶段 (7) 3.2.1检测阶段工作流程 (7) 3.2.2 检测阶段处理过程 (7) 3.2.3 检测阶段现场处理记录表 (8) 3.3抑制阶段 (9) 3.3.1 抑制阶段工作流程 (9) 3.3.2 抑制阶段处理过程 (9) 3.3.3 抑制阶段现场处理记录表 (10) 3.4根除阶段 (11) 3.4.1 根除阶段工作流程 (11) 3.4.2 根除阶段处理过程 (11) 3.5恢复阶段 (13) 3.5.1 恢复阶段工作流程 (13) 3.5.2 恢复阶段处理过程 (13) 3.5.3 恢复阶段现场记录表 (13) 3.6总结阶段 (14) 3.6.1 总结阶段工作流程 (14) 3.6.2 总结阶段现场记录表 (15) 四、结论与建议 (16)

信息安全事件应急处理报告 XX公司 2017年 X月 XX 日批准人：应急处理服务人员：审核人：