221122《等級保護(hù)管理制度匯編》

系統(tǒng)安全管理制度系統(tǒng)維護(hù)管理系統(tǒng)訪問控制由系統(tǒng)運(yùn)維管理部門基于業(yè)務(wù)和訪問的安全要求，建立各應(yīng)用系統(tǒng)的訪問控制策略，作為系統(tǒng)維護(hù)保養(yǎng)手冊的一部分。各個(gè)業(yè)務(wù)應(yīng)用的安全要求；業(yè)務(wù)應(yīng)用中工作角色和用戶訪問需求；網(wǎng)絡(luò)環(huán)境中的訪問權(quán)限的管理要求；訪問控制角色的分離，例如訪問請求、訪問授權(quán)、訪問管理；用戶訪問請求的正式授權(quán)管理要求；用戶訪問控制的定期檢查與評審要求；用戶訪問權(quán)的取消。不顯示系統(tǒng)或應(yīng)用標(biāo)識符，直到登錄過程已成功完成為止；顯示只有已授權(quán)的用戶才能訪問計(jì)算機(jī)的告警通知；在登錄過程中，不提供對未授權(quán)用戶的幫助消息；限制所允許的不成功登錄嘗試的次數(shù)；記錄不成功的嘗試和成功的嘗試；如果達(dá)到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺發(fā)送警報(bào)消息。系統(tǒng)用戶安全管理在服務(wù)器和系統(tǒng)進(jìn)行安裝時(shí)，要改變默認(rèn)的操作系統(tǒng)管理員賬號名稱和數(shù)據(jù)庫賬號名稱；新用戶注冊時(shí)，由用戶所在部門填寫《辦公系統(tǒng)接入申請表》，并報(bào)相關(guān)系統(tǒng)管理員審核；系統(tǒng)管理員應(yīng)檢查所授予的訪問級別是否與業(yè)務(wù)目的相適合，是否與組織的安全方針保持一致，例如，它沒有違背責(zé)任分割原則；如申請不符合業(yè)務(wù)要求，則不予批準(zhǔn)，如符合要求，由系統(tǒng)管理員根據(jù)《辦公系統(tǒng)接入申請表》，在系統(tǒng)中建立唯一用戶ID；當(dāng)用戶的工作角色或崗位發(fā)生變更，或離職時(shí)，員工所在單位（部門）應(yīng)立刻填寫《辦公系統(tǒng)接入申請表》，并報(bào)相關(guān)系統(tǒng)管理員批準(zhǔn)；系統(tǒng)管理員根據(jù)新的《辦公系統(tǒng)接入申請表》取消或封鎖該用戶的訪問權(quán)；各信息系統(tǒng)管理人員負(fù)責(zé)定期（每月）檢查并取消或封鎖多余的用戶ID和帳號，確保多余的用戶ID不會(huì)發(fā)給其他用戶。所有用戶擁有唯一指定標(biāo)識，如員工工號；用戶ID是應(yīng)用系統(tǒng)中用戶唯一的、專供其使用的標(biāo)識符，系統(tǒng)管理員應(yīng)配置系統(tǒng)，使用戶的各個(gè)活動(dòng)能追蹤到責(zé)任者；當(dāng)需要采用一組用戶或一項(xiàng)特定作業(yè)使用一個(gè)共享的用戶ID時(shí)，應(yīng)遵照組ID管理進(jìn)行控制，具體參見“用戶注冊及注銷程序”的組ID條款。在用戶初次使用應(yīng)用系統(tǒng)時(shí)，系統(tǒng)管理員應(yīng)提供給一個(gè)安全的臨時(shí)口令，并強(qiáng)制其立即修改；臨時(shí)口令應(yīng)以安全的方式給予用戶，不得使用第三方或未保護(hù)的（明文）電子郵件消息；系統(tǒng)管理員應(yīng)對用戶口令設(shè)置進(jìn)行指導(dǎo)和要求，如口令長度和復(fù)雜性、定期更換等；系統(tǒng)管理員應(yīng)確?？诹畈灰晕幢Ｗo(hù)的形式存儲(chǔ)在計(jì)算機(jī)系統(tǒng)內(nèi)；各系統(tǒng)管理員應(yīng)在系統(tǒng)或軟件安裝后改變提供商的默認(rèn)口令；系統(tǒng)審計(jì)用戶ID；日期、時(shí)間和關(guān)鍵事件的細(xì)節(jié)，例如登錄和退出；終端身份或位置；成功的和被拒絕的對系統(tǒng)嘗試訪問的記錄；成功的和被拒絕的對數(shù)據(jù)以及其他資源嘗試訪問的記錄；系統(tǒng)配置的變化；特殊權(quán)限的使用；系統(tǒng)實(shí)用工具和應(yīng)用程序的使用；訪問的文件和訪問類型；網(wǎng)絡(luò)地址和協(xié)議；訪問控制系統(tǒng)引發(fā)的警報(bào)；防惡意代碼系統(tǒng)等防護(hù)設(shè)施的激活和停用。監(jiān)視系統(tǒng)的使用各系統(tǒng)維護(hù)部門建立信息處理設(shè)施的監(jiān)視使用程序，并定期評審監(jiān)視活動(dòng)的結(jié)果。各個(gè)設(shè)施的監(jiān)視級別由風(fēng)險(xiǎn)評估決定。要考慮的監(jiān)視范圍包括：用戶ID；關(guān)鍵事件的日期和時(shí)間；事件類型；訪問的文件；使用的程序/工具；特殊權(quán)限帳戶的使用，例如監(jiān)督員、根用戶、管理員；系統(tǒng)的啟動(dòng)和終止；I/O設(shè)備的裝配/拆卸；失敗的或被拒絕的用戶活動(dòng)；失敗的或被拒絕的涉及數(shù)據(jù)和其他資源的活動(dòng)；違反訪問策略或網(wǎng)關(guān)和防火墻的通知；私有入侵檢測系統(tǒng)的警報(bào)；控制臺警報(bào)或消息；系統(tǒng)日志異常；網(wǎng)絡(luò)管理警報(bào)；訪問控制系統(tǒng)引發(fā)的警報(bào)；系統(tǒng)備份系統(tǒng)運(yùn)維部門制定系統(tǒng)備份策略，包括系統(tǒng)配置備份和設(shè)備備份，并做好相應(yīng)備案；系統(tǒng)運(yùn)維部門根據(jù)系統(tǒng)備份策略定期做好系統(tǒng)配置備份和系統(tǒng)設(shè)備備份，并做好備份記錄；系統(tǒng)運(yùn)維部門做好系統(tǒng)配置及設(shè)備備份的保存與管理，保證備份的安全性；系統(tǒng)運(yùn)維部門定期對配置備份及設(shè)備備份進(jìn)行測試，保證系統(tǒng)備份的可用性，并對測試結(jié)果進(jìn)行記錄。惡意代碼防范管理制度職責(zé)建立防殺計(jì)算機(jī)惡意代碼的責(zé)任制。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)建立網(wǎng)絡(luò)計(jì)算機(jī)防惡意代碼體系；負(fù)責(zé)防惡意代碼系統(tǒng)等安全措施的統(tǒng)一規(guī)劃、部署與升級。計(jì)算機(jī)審計(jì)中心負(fù)責(zé)開展技術(shù)培訓(xùn)；負(fù)責(zé)防惡意代碼系統(tǒng)的統(tǒng)一升級；負(fù)責(zé)各、系統(tǒng)的補(bǔ)丁升級、軟件升級和分發(fā)；負(fù)責(zé)配置防惡意代碼系統(tǒng)策略，定期對系統(tǒng)惡意代碼進(jìn)行掃描，并組織相關(guān)部門進(jìn)行惡意代碼查殺；負(fù)責(zé)組織相關(guān)部門分析惡意代碼事件的來源等詳細(xì)情況，編寫《信息安全事件分析報(bào)告》，并備案。防惡意代碼系統(tǒng)的規(guī)劃與部署每臺接入業(yè)務(wù)內(nèi)網(wǎng)或外網(wǎng)（互聯(lián)網(wǎng)）的計(jì)算機(jī)，必須安裝殺毒軟件，主系統(tǒng)將自動(dòng)啟動(dòng)計(jì)算機(jī)惡意代碼特征碼升級和本機(jī)惡意代碼查殺功能，查殺結(jié)果將會(huì)自動(dòng)上傳至防惡意代碼系統(tǒng)控制臺。任何人員不得擅自停用殺毒軟件。惡意代碼防范的日常管理定期進(jìn)行培訓(xùn)，提高所有用戶的防惡意代碼意識和安全技能；及時(shí)告知防惡意代碼軟件版本，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進(jìn)行惡意代碼檢查，對外來計(jì)算機(jī)或存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進(jìn)行惡意代碼檢查；指定專人對網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測并保存檢測記錄；定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進(jìn)行記錄，對主機(jī)防惡意代碼產(chǎn)品、防惡意代碼網(wǎng)關(guān)和郵件防惡意代碼網(wǎng)關(guān)上截獲的危險(xiǎn)惡意代碼或惡意代碼進(jìn)行及時(shí)分析處理，并形成書面的報(bào)表和總結(jié)匯報(bào)。終端用戶要及時(shí)進(jìn)行補(bǔ)丁升級，避免因操作系統(tǒng)漏洞而造成的惡意代碼入侵，并做好本機(jī)重要數(shù)據(jù)的備份。業(yè)務(wù)外網(wǎng)終端可通過在線備案后實(shí)現(xiàn)補(bǔ)丁自動(dòng)更新。加強(qiáng)計(jì)算機(jī)惡意代碼、木馬防范基礎(chǔ)工作，計(jì)算機(jī)終端應(yīng)設(shè)置開機(jī)密碼，嚴(yán)格設(shè)置共享資源讀、寫權(quán)限；介質(zhì)（磁盤、光盤和U盤等）復(fù)制、使用前先作惡意代碼檢測，確認(rèn)無惡意代碼后才能使用。業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間實(shí)施邏輯隔離，連接互聯(lián)網(wǎng)的終端用戶應(yīng)提高警惕,不下載和運(yùn)行來歷不明的程序,對于不明來歷的郵件附件也不要隨意打開。下載的軟件、信息和數(shù)據(jù)要先查毒后使用。各部門負(fù)責(zé)本部門所轄設(shè)備的安全管理，移動(dòng)介質(zhì)、移動(dòng)設(shè)備接入網(wǎng)絡(luò)要進(jìn)行嚴(yán)格控制，如因上述原因發(fā)生惡意代碼事件，由本部門承擔(dān)責(zé)任；各部門負(fù)責(zé)本部門所轄安全管理，禁止任何人在系統(tǒng)上傳遞無關(guān)信息，如因上述原因發(fā)生惡意代碼事件，由本部門承擔(dān)責(zé)任；計(jì)算機(jī)審計(jì)中心負(fù)責(zé)網(wǎng)絡(luò)的接入管理，禁止任何人私自擴(kuò)展、加裝計(jì)算機(jī)網(wǎng)絡(luò)和私自跳接計(jì)算機(jī)連網(wǎng)的信息點(diǎn)，并嚴(yán)禁在網(wǎng)上偵聽，如因上述原因發(fā)生信息安全事件，由本部門承擔(dān)責(zé)任；因業(yè)務(wù)需要使用外來移動(dòng)介質(zhì)（設(shè)備）的，必須由使用人填寫《介質(zhì)使用申請表》，獲本部門批準(zhǔn)，并將介質(zhì)接入殺毒專用計(jì)算機(jī)（與各系統(tǒng)物理隔離）進(jìn)行惡意代碼檢測，確認(rèn)無毒后，方可接入網(wǎng)絡(luò)內(nèi)使用；計(jì)算機(jī)審計(jì)中心定期檢查網(wǎng)絡(luò)內(nèi)服務(wù)器的殺毒軟件運(yùn)行狀態(tài)，并將檢查結(jié)果進(jìn)行記錄；并將檢查結(jié)果納入人員考核指標(biāo)中。惡意代碼的查殺與處理一旦發(fā)生惡意代碼入侵事件，進(jìn)行惡意代碼查殺工作，如下載專殺工具、進(jìn)行手工殺毒等。一旦部門局域網(wǎng)內(nèi)計(jì)算機(jī)發(fā)生感染惡意代碼疫情，為避免計(jì)算機(jī)惡意代碼擴(kuò)散，系統(tǒng)運(yùn)維部門將封堵該部門局域網(wǎng)與外網(wǎng)之間的物理鏈路，待采取進(jìn)一步措施查殺滅惡意代碼，在疫情警報(bào)解除后，再恢復(fù)網(wǎng)絡(luò)間物理鏈路的連接。附表4惡意代碼查殺統(tǒng)計(jì)表填表單位： 填表時(shí)間：惡意代碼名稱類型發(fā)現(xiàn)時(shí)間發(fā)現(xiàn)地點(diǎn)查殺過程說明影響范圍造成損失情況信息化管理部門簽字備注系統(tǒng)變更管理制度變更的申請和審批日常變更申請人識別具體的變更需求（如范圍、可交付成果、時(shí)限、組織等），交給變更審批人進(jìn)行審批。相應(yīng)的變更審批人對變更申請進(jìn)行審核，如判斷此變更屬于日常變更，由日常變更審批人審批后自行組織實(shí)施；如屬于重大技術(shù)變更，則提交浙江省XX局（信息安全領(lǐng)導(dǎo)小組）審批。重大技術(shù)變更的審批：由日常變更審批人將《變更申請表》進(jìn)行簽字確認(rèn)后提交浙江省XX局（信息安全領(lǐng)導(dǎo)小組）審批；浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負(fù)責(zé)領(lǐng)導(dǎo)組織進(jìn)行變更評估及編寫變更方案（包括變更需求的詳細(xì)描述；可以選擇的變更方式；變更所需的成本及帶來的利益；變更的風(fēng)險(xiǎn)；變更對業(yè)務(wù)、系統(tǒng)或項(xiàng)目帶來的影響；變更對原有安全措施以及數(shù)據(jù)完整性的影響；變更的建議和計(jì)劃）；由浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負(fù)責(zé)領(lǐng)導(dǎo)組織對變更方案的評審，評審?fù)ㄟ^后報(bào)上級領(lǐng)導(dǎo)，經(jīng)同意后組織實(shí)施。必要時(shí)成立評審委員會(huì)對變更進(jìn)行評審，或進(jìn)行專家評審。日常變更的實(shí)施變更審批人組織制定變更實(shí)施計(jì)劃，包括變更前的備份、變更計(jì)劃、實(shí)施人員、實(shí)施流程、所用工具、回退計(jì)劃、回退不成功的應(yīng)急預(yù)案等；變更實(shí)施前由變更實(shí)施人員進(jìn)行備份，變更實(shí)施后進(jìn)行變更情況記錄；如變更不成功，立即按照變更實(shí)施計(jì)劃中的回退計(jì)劃實(shí)行變更回退過程，使其狀態(tài)回到變更前的狀態(tài)，并進(jìn)行記錄；變更完成后由變更實(shí)施人員進(jìn)行后期跟蹤及反饋，并進(jìn)行記錄。重大變更的實(shí)施浙江省XX局信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)領(lǐng)導(dǎo)組織制定《變更方案》（包括變更前的備份、變更計(jì)劃、測試計(jì)劃、實(shí)施人員、實(shí)施流程、所用工具、回退計(jì)劃、回退不成功的應(yīng)急預(yù)案等），并進(jìn)行評審；變更實(shí)施前由相關(guān)人員進(jìn)行實(shí)施測試，并對測試情況進(jìn)行記錄，測試通過后方可實(shí)施；變更實(shí)施前通知所有將受變更影響的用戶；變更實(shí)施前由變更實(shí)施人員進(jìn)行備份，變更實(shí)施后進(jìn)行變更情況記錄；如變更不成功，立即按照《變更方案》中的回退計(jì)劃實(shí)行變更回退過程，使其狀態(tài)回到變更前的狀態(tài)，并進(jìn)行記錄；重大變更的驗(yàn)證和歸檔重大變更后，需要系統(tǒng)負(fù)責(zé)人進(jìn)行驗(yàn)證、測試。變更完成后由浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負(fù)責(zé)領(lǐng)導(dǎo)組織進(jìn)行后期跟蹤及反饋，并進(jìn)行記錄；重大變更結(jié)束后，對相關(guān)文件進(jìn)行更新，報(bào)浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負(fù)責(zé)領(lǐng)導(dǎo)。變更的失敗的處理變更失敗時(shí)，要中止變更并申報(bào)。當(dāng)從失敗變更中恢復(fù)時(shí)，要明確過程控制方法和人員職責(zé)，必要時(shí)對恢復(fù)過程進(jìn)行演練。附表5配置變更申請表設(shè)備名稱：IP地址：申請人員：申請日期：變更性質(zhì)：臨時(shí)變更永久變更變更期限：變更用途：變更內(nèi)容：操作員：審核：日期：日期：備份恢復(fù)管理制度程序資產(chǎn)識別資產(chǎn)識別制定備份方案實(shí)施備份備份介質(zhì)標(biāo)識備份存放備份測試信息恢復(fù)資產(chǎn)識別收集需要備份的資產(chǎn)相關(guān)信息，主要包括資產(chǎn)的重要性、資產(chǎn)的保護(hù)級別等屬性；對確定的重要業(yè)務(wù)數(shù)據(jù)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等進(jìn)行備份。需要檢查的信息資產(chǎn)可能包括：業(yè)務(wù)運(yùn)作數(shù)據(jù)；重要的信息數(shù)據(jù)；操作系統(tǒng)；系統(tǒng)配置參數(shù)；技術(shù)文件；檔案資料；應(yīng)用軟件；軟件源代碼等。無法備份的信息，盡量多使用其復(fù)制件，保存原件。制定備份方案根據(jù)資產(chǎn)識別的結(jié)果和備份級別制定《數(shù)據(jù)備份清單》，具體包括：確定備份周期：根據(jù)信息更新速度、易損壞成度及備份介質(zhì)的有效期，確定周期。確定備份介質(zhì)類型：確定備份使用的介質(zhì)，一般是光盤、軟盤或硬盤，要同時(shí)考慮成本與可靠性。確定備份方式：一般采用復(fù)制、雙系統(tǒng)同步、轉(zhuǎn)儲(chǔ)、壓縮復(fù)制等。確定備份工具：備份使用的工具，如光盤記錄機(jī)、復(fù)印機(jī)、軟驅(qū)、壓縮軟件等，選擇工具時(shí)，要確定在信息失效之前，對應(yīng)的恢復(fù)工具可用。確定備份數(shù)量：確定備份的數(shù)量，一般信息備份一份即可，對于特別重要的信息需要備份多份。存放位置：備份信息須與原始信息分開存放，要根據(jù)信息保密級別有相應(yīng)的保密措施。責(zé)任人：確定備份的責(zé)任人。備份方案需提交給相關(guān)部門負(fù)責(zé)人，經(jīng)部門主任確認(rèn)并批準(zhǔn)后予以實(shí)施。當(dāng)責(zé)任人沒有足夠的工具或條件時(shí)，可要求相關(guān)工程師協(xié)助。備份計(jì)劃實(shí)施對分散的信息進(jìn)行整理、歸類；處理信息，在備份信息前，先將其復(fù)制到有備份工具的計(jì)算機(jī)上；執(zhí)行備份程序；檢查備份數(shù)據(jù)的可用性；清理過程數(shù)據(jù)。備份的介質(zhì)標(biāo)識標(biāo)識應(yīng)依據(jù)介質(zhì)本身的特點(diǎn)，加標(biāo)簽或直接手寫在介質(zhì)上；對于已經(jīng)有標(biāo)識的紙面文檔的復(fù)印件，可不用再另加標(biāo)識；各部門應(yīng)采取適宜的方法對備份信息介質(zhì)進(jìn)行標(biāo)識，防止備份信息的誤用，標(biāo)識的內(nèi)容包括：備份信息的名稱；備份的日期；版本號；必要時(shí)，備份還原工具?？紤]信息本身在被使用時(shí)的特點(diǎn)，確定標(biāo)識的內(nèi)容。備份介質(zhì)的安全存放備份完畢，備份操作員需向部門主任或備份管理人員提交備份成果：備份介質(zhì)；備份過程中的相關(guān)文件，如：備份記錄文件、備份恢復(fù)工具或軟件、備份恢復(fù)指導(dǎo)書等；將備份介質(zhì)保存到《備份數(shù)據(jù)清單》中指定的位置，需按時(shí)間順序存放。介質(zhì)的存儲(chǔ)主要考慮以下幾個(gè)方面：備份介質(zhì)須保存在適宜的環(huán)境中；對備份介質(zhì)進(jìn)行異地存儲(chǔ)，以避免主要場地發(fā)生災(zāi)難時(shí)資產(chǎn)受到損壞；備份介質(zhì)存儲(chǔ)場地的物理和環(huán)境保護(hù)；分配專人對備份介質(zhì)進(jìn)行管理，對備份介質(zhì)的訪問進(jìn)行控制。備份介質(zhì)的定期測試要定期或不定期得測試備份介質(zhì)，以確保應(yīng)急使用時(shí)可以使用這些備份介質(zhì)；須定期檢查和測試恢復(fù)程序，以確保能有效完成恢復(fù)工作。信息恢復(fù)當(dāng)重要信息被篡改、破壞或丟失時(shí)，使用備份數(shù)據(jù)恢復(fù)信息；當(dāng)存在多份備份時(shí)，應(yīng)根據(jù)需要選擇合適的備份；備份信息使用前，應(yīng)檢查備份信息的完整性和可用性。附表6數(shù)據(jù)備份檢查記錄表年月數(shù)據(jù)備份情況檢查日志日期檢查時(shí)間檢查人文件系統(tǒng)空間檢查備份日志檢查備份傳輸檢查文件檢查bdump/udump下trace文件檢查備份文件恢復(fù)測試123456789101112信息安全事件管理制度信息安全事件分類網(wǎng)絡(luò)與信息安全事件一般可以分為攻擊類、故障類和災(zāi)害類等，可能造成的后果是業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓、信息破壞等。根據(jù)浙江省XX局網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機(jī)理，網(wǎng)絡(luò)與信息安全事件主要分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障和災(zāi)害性事件五類:有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲事件、特洛伊木馬、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。災(zāi)害性事件是指自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)和信息系統(tǒng)故障。信息安全事件分級根據(jù)信息安全事件的分級考慮要素，將信息安全事件劃分為五個(gè)級別：重大事件、一級事件、二級事件、三級事件、四級事件。一級事件：業(yè)務(wù)受重大影響，4小時(shí)后升級到重大責(zé)任事故；二級事件：大部份業(yè)務(wù)受影響，8小時(shí)后升級到1級；三級事件：大部份業(yè)務(wù)基本不受影響，24小時(shí)后升級到2級；四級事件：業(yè)務(wù)基本不受影響，48小時(shí)后升級到3級；3-4級屬于日常事件，1-2級屬于應(yīng)急事件。信息安全事件的預(yù)防浙江省XX局信息系統(tǒng)維護(hù)單位，必須積極貫徹預(yù)防為主、嚴(yán)格管理的原則，評價(jià)事件發(fā)生的潛在因素和可能的程度；組織制定和監(jiān)督實(shí)施預(yù)防措施、操作規(guī)程或工作標(biāo)準(zhǔn)；配置必要的資源；開展教育培訓(xùn)、檢查、考核和整改活動(dòng)，控制或消除可能導(dǎo)致事件發(fā)生的各種因素。預(yù)防措施應(yīng)下達(dá)至直接相關(guān)的層次和崗位。浙江省XX局信息系統(tǒng)維護(hù)單位應(yīng)根據(jù)事件發(fā)生可能造成的危害、損失，組織制定不同級別的應(yīng)急預(yù)案，并對應(yīng)急預(yù)案的可靠性進(jìn)行評價(jià)。應(yīng)急預(yù)案應(yīng)當(dāng)受控和備案，并發(fā)放至直接相關(guān)層次和崗位，保存相關(guān)記錄。應(yīng)急預(yù)案應(yīng)定期進(jìn)行演練和培訓(xùn)，必要時(shí)組織修訂。信息安全事件的報(bào)告事件通知當(dāng)信息系統(tǒng)發(fā)生事件時(shí)，信息系統(tǒng)使用或維護(hù)單位應(yīng)立即在第一時(shí)間向系統(tǒng)運(yùn)維管理部門負(fù)責(zé)人通報(bào)事件情況，說明事件發(fā)生的時(shí)間、部位、表象、程度和影響；信息系統(tǒng)維護(hù)單位應(yīng)根據(jù)應(yīng)急預(yù)案立即組織人員開展搶修工作，1小時(shí)后仍未恢復(fù)時(shí)，信息系統(tǒng)維護(hù)單位應(yīng)立即向系統(tǒng)運(yùn)維管理部門負(fù)責(zé)人匯報(bào)。事件調(diào)查報(bào)告發(fā)生1級及重大信息安全事件，信息系統(tǒng)維護(hù)單位應(yīng)在7個(gè)有效工作日內(nèi)將書面《信息安全事件處理報(bào)告》上報(bào)系統(tǒng)運(yùn)維管理部門，由系統(tǒng)運(yùn)維管理部門系統(tǒng)負(fù)責(zé)人審定后，在10個(gè)有效工作日內(nèi)，將審核意見及報(bào)告上報(bào)系統(tǒng)運(yùn)維管理部門主管領(lǐng)導(dǎo)審批。發(fā)生2級信息安全事件，信息系統(tǒng)維護(hù)單位應(yīng)在5個(gè)有效工作日內(nèi)將書面《信息安全事件處理報(bào)告》上報(bào)系統(tǒng)運(yùn)維管理部門，由系統(tǒng)運(yùn)維管理部門負(fù)責(zé)人審定后在7個(gè)有效工作日內(nèi)，將審核意見及報(bào)告上報(bào)系統(tǒng)運(yùn)維管理部門主管領(lǐng)導(dǎo)審批。信息系統(tǒng)故障，信息系統(tǒng)維護(hù)單位應(yīng)在當(dāng)天將故障情況登記在冊，內(nèi)容包括故障發(fā)生、處理經(jīng)過和簡要原因分析。信息安全事件響應(yīng)當(dāng)事件發(fā)生時(shí)，信息系統(tǒng)維護(hù)單位應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案或提出相應(yīng)的解決方案（可備選幾種方案），其中解決方案需經(jīng)系統(tǒng)運(yùn)維管理部門討論同意后實(shí)施，信息系統(tǒng)維護(hù)單位應(yīng)全力而有序地組織搶救搶修，防止事件擴(kuò)大，消除各種危險(xiǎn)，盡快恢復(fù)系統(tǒng)，將各種損失減到最低程度。信息系統(tǒng)維護(hù)單位的相關(guān)人員應(yīng)在事發(fā)或接到事發(fā)報(bào)告1小時(shí)內(nèi)到達(dá)事發(fā)現(xiàn)場，開展事件處理工作。發(fā)生重大信息安全事件，在迅速進(jìn)行應(yīng)急處理或者請求其他力量支援進(jìn)行應(yīng)急處理的同時(shí)，應(yīng)當(dāng)立即報(bào)告系統(tǒng)運(yùn)維管理部門主管領(lǐng)導(dǎo)，并盡可能保存好原始證據(jù)，保護(hù)好現(xiàn)場；在應(yīng)急處理過程中，應(yīng)當(dāng)采取手工記錄、截屏、文件備份和影像設(shè)備記錄等多種手段，對應(yīng)急處理的步驟和結(jié)果進(jìn)行詳細(xì)記錄。信息安全事件的調(diào)查處理對于信息安全事件，在故障排除或采取必要措施后，由系統(tǒng)運(yùn)維管理部門召集、成立事件調(diào)查組。事件調(diào)查組利用合法手段在事件現(xiàn)場收取證據(jù)；向信息系統(tǒng)使用或維護(hù)單位了解事件發(fā)生經(jīng)過，收集相關(guān)資料，查明事件發(fā)生的原因、危害程度及造成的損失等情況，檢查預(yù)防和控制事件發(fā)生的措施以及事件發(fā)生后應(yīng)急預(yù)案是否得當(dāng)并得到落實(shí)，確定事件的級別和性質(zhì)，查明相關(guān)責(zé)任并提出處理建議，提出防止類似事件再次發(fā)生的措施和建議。信息系統(tǒng)維護(hù)單位應(yīng)協(xié)助、配合調(diào)查組完成調(diào)查工作；保護(hù)事件現(xiàn)場、向調(diào)查組提供相關(guān)資料、接受調(diào)查組的詢問等，并對其真實(shí)性負(fù)責(zé)。信息安全事件的整改系統(tǒng)運(yùn)維管理部門應(yīng)在事件調(diào)查結(jié)束后迅速組織制定和下達(dá)事件整改措施，明確措施內(nèi)容、完成期限、責(zé)任單位和檢查方式，并監(jiān)督實(shí)施。信息系統(tǒng)使用和維護(hù)單位負(fù)責(zé)組織事件整改措施的落實(shí)，在規(guī)定的期限內(nèi)，完成相應(yīng)的整改工作，防止同類事件的再次發(fā)生。附表7信息安全事件管理文檔編號：時(shí)間：年月日客戶名稱聯(lián)系人聯(lián)系電話請求時(shí)間事件內(nèi)容事件來源□熱線電話□日常監(jiān)控□現(xiàn)場請求□電子郵件事件性質(zhì)□事故□需求服務(wù)類別后臺處理□上門服務(wù)□電話支持□遠(yuǎn)程協(xié)助□協(xié)調(diào)配合□其他服務(wù)事件類別網(wǎng)絡(luò)□網(wǎng)絡(luò)硬件□網(wǎng)絡(luò)配置□鏈路□綜合布線□QoS□F5□VPN□VPDN服務(wù)器□服務(wù)器硬件□系統(tǒng)□存儲(chǔ)□數(shù)據(jù)庫□應(yīng)用安全□安全系統(tǒng)硬件□防火墻配置□防病毒□入侵□審計(jì)終端□終端硬件□終端系統(tǒng)□終端軟件其他□電源□防盜\監(jiān)控□溫濕度□咨詢□其它事件級別□重大事件□一級事件□二級事件□三級事件□四級事件優(yōu)先級別□一級□二級□三級□四級影響范圍□全網(wǎng)用戶□部分單位□一個(gè)單位□單個(gè)用戶事件狀態(tài)□已經(jīng)完成□繼續(xù)跟進(jìn)□暫停處理處理過程事件原因服務(wù)時(shí)間時(shí)分（開始）_時(shí)分（結(jié)束）共用時(shí)間（）意見建議相關(guān)資料涉及變更應(yīng)急預(yù)案管理制度應(yīng)急處置基本原則預(yù)防為主，常備不懈，超前預(yù)想。堅(jiān)持“安全第一、預(yù)防為主”的方針。做好應(yīng)對各種信息安全突發(fā)事件的預(yù)案準(zhǔn)備、應(yīng)急資源準(zhǔn)備、保障措施準(zhǔn)備和超前信息安全突發(fā)事件預(yù)想，充分利用現(xiàn)有資源，制定科學(xué)的應(yīng)急預(yù)案，定期組織開展應(yīng)急培訓(xùn)和應(yīng)急演練，提高對各種網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)和處置能力。統(tǒng)一指揮，分級管理，分工協(xié)作。通過成立各級應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急指揮部，建立有系統(tǒng)、分層次的應(yīng)急組織。組織開展事件預(yù)防、應(yīng)急處置、恢復(fù)運(yùn)行、事件通報(bào)等各項(xiàng)應(yīng)急工作。應(yīng)急預(yù)案制定、修訂和應(yīng)急處置應(yīng)明確牽頭部門或單位，以及各有關(guān)部門和單位的職責(zé)和權(quán)限。應(yīng)急處理過程中，牽頭部門和單位要主動(dòng)協(xié)調(diào)各有關(guān)方面，參與單位聽從指揮、步調(diào)一致。保證重點(diǎn)，有效組織，及時(shí)響應(yīng)。對重要系統(tǒng)要加大監(jiān)控和應(yīng)急工作力度，有效組織和發(fā)揮各應(yīng)急隊(duì)伍和應(yīng)急資源的作用，確保信息及時(shí)準(zhǔn)確傳遞，有效控制損失。做到保證重點(diǎn)、預(yù)防和處理相結(jié)合，反應(yīng)迅速。技術(shù)支撐，健全機(jī)制，不斷完善。在充分利用現(xiàn)有信息資源、系統(tǒng)和設(shè)備的基礎(chǔ)上，采用先進(jìn)適用的預(yù)測、預(yù)防、預(yù)警和應(yīng)急處置技術(shù)，改進(jìn)和完善應(yīng)急處理裝備、設(shè)施和手段，提高應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的技術(shù)支撐能力。切實(shí)提高應(yīng)急處理人員的業(yè)務(wù)素質(zhì)、安全防護(hù)意識和科學(xué)指揮能力，建立健全應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的有效機(jī)制。組織體系成立信息安全應(yīng)急指揮部(以下簡稱應(yīng)急指揮部)，負(fù)責(zé)對本單位信息安全突發(fā)事件應(yīng)急進(jìn)行指揮、領(lǐng)導(dǎo)。應(yīng)急指揮部下設(shè)應(yīng)急指揮辦公室，設(shè)在浙江省XX局系統(tǒng)運(yùn)維管理部門，負(fù)責(zé)日常工作。應(yīng)急指揮部總指揮由本單位分管領(lǐng)導(dǎo)擔(dān)任，應(yīng)急指揮部副總指揮由系統(tǒng)運(yùn)維管理部門負(fù)責(zé)人擔(dān)任，指揮部成員由各部門領(lǐng)導(dǎo)組成。應(yīng)急指揮辦公室主任系統(tǒng)運(yùn)維管理部門負(fù)責(zé)人擔(dān)任，工作人員由系統(tǒng)運(yùn)維管理部門和系統(tǒng)運(yùn)維單位技術(shù)員及工程師組成。信息安全事件應(yīng)急處理預(yù)防與預(yù)警發(fā)生一般安全事件進(jìn)入信息系統(tǒng)預(yù)警狀態(tài)，發(fā)生重大安全事件進(jìn)入應(yīng)急狀態(tài)，發(fā)生特別重大事件進(jìn)入緊急應(yīng)急狀態(tài)。根據(jù)實(shí)際情況，確定突發(fā)事件的預(yù)警狀態(tài)和應(yīng)急狀態(tài)。特別重大（Ⅰ級）、重大（Ⅱ級）安全事件根據(jù)情況向各單位下發(fā)做好信息安全工作的通知；門站工作人員做好24小時(shí)值班制，做好信息上報(bào)工作。信息報(bào)告程序相關(guān)工作人員對各上報(bào)的安全可疑事件進(jìn)行分析、確認(rèn)，經(jīng)確定為安全事件時(shí)，及時(shí)采取應(yīng)急措施，并將情況如實(shí)反饋給上級領(lǐng)導(dǎo)。應(yīng)急處置發(fā)生信息安全事件后，事件發(fā)生單位立即啟動(dòng)應(yīng)急預(yù)案，本著盡量減少損失的原則，將應(yīng)急事件盡快隔離，在不影響正常生產(chǎn)、經(jīng)營、管理秩序的情況下，保護(hù)現(xiàn)場。應(yīng)急指揮辦公室接到信息安全突發(fā)事件的應(yīng)急報(bào)告后，根據(jù)事件情況，啟動(dòng)信息安全突發(fā)事件應(yīng)急預(yù)案。應(yīng)急指揮辦公室I級和II級信息安全突發(fā)事件報(bào)告后，根據(jù)事件的性質(zhì)和影響向應(yīng)急指揮部報(bào)告，對需要上級部門和地方政府有關(guān)部門應(yīng)急支持的事件，由應(yīng)急指揮部開展應(yīng)急協(xié)調(diào)。應(yīng)急結(jié)束在同時(shí)滿足下列條件下，應(yīng)急指揮部可決定宣布解除應(yīng)急狀態(tài)：(1)各種信息安全突發(fā)事件已得到有效控制，情況趨緩。(2)信息安全突發(fā)事件處理已經(jīng)結(jié)束，設(shè)備、系統(tǒng)已經(jīng)恢復(fù)運(yùn)行。(3)上級應(yīng)急部門發(fā)布的解除應(yīng)急響應(yīng)狀態(tài)的指令。(4)事件相關(guān)單位向應(yīng)急指揮部報(bào)告應(yīng)急處理已經(jīng)結(jié)束，恢復(fù)正常生產(chǎn)工作秩序。應(yīng)急保障通信保障。應(yīng)急期間，指揮、通信聯(lián)絡(luò)和信息交換的渠道主要有系統(tǒng)程控電話、外線電話、手機(jī)、傳真、電子郵件等方式，有關(guān)應(yīng)急聯(lián)系的手機(jī)應(yīng)保持24小時(shí)開機(jī)狀態(tài)。物資保障。應(yīng)急物資裝備主要有車輛、備品備件、常用工具和常用工具軟件。各單位要落實(shí)應(yīng)急會(huì)議室。資金保障。各單位應(yīng)保障應(yīng)急培訓(xùn)、演練、添置應(yīng)急裝備物資等所需經(jīng)費(fèi)。人員保障。加強(qiáng)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急技術(shù)支持隊(duì)伍的建設(shè)，提高人員的業(yè)務(wù)素質(zhì)、技術(shù)水平和應(yīng)急處置能力。整合各單位的技術(shù)專家資源、相關(guān)科研單位的技術(shù)專家資源，利用國家相關(guān)科研單位的技術(shù)專家資源和廠商的技術(shù)專家資源，逐步建立應(yīng)對各種網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急專家組，充分發(fā)揮應(yīng)急專家組的作用。應(yīng)急行動(dòng)所需的物資器材應(yīng)予以充分保障，以確保應(yīng)急預(yù)案落到實(shí)處。應(yīng)堅(jiān)持對應(yīng)急行動(dòng)的設(shè)備器材進(jìn)行定期維護(hù)保養(yǎng)，保證完好率達(dá)到95%以上，所需的物資應(yīng)堅(jiān)持定期補(bǔ)充和更換，始終保持其有效性。后期處置后期觀察特