221122《等級保護管理制度匯編》

系統(tǒng)安全管理制度系統(tǒng)維護管理系統(tǒng)訪問控制由系統(tǒng)運維管理部門基于業(yè)務(wù)和訪問的安全要求，建立各應(yīng)用系統(tǒng)的訪問控制策略，作為系統(tǒng)維護保養(yǎng)手冊的一部分。各個業(yè)務(wù)應(yīng)用的安全要求；業(yè)務(wù)應(yīng)用中工作角色和用戶訪問需求；網(wǎng)絡(luò)環(huán)境中的訪問權(quán)限的管理要求；訪問控制角色的分離，例如訪問請求、訪問授權(quán)、訪問管理；用戶訪問請求的正式授權(quán)管理要求；用戶訪問控制的定期檢查與評審要求；用戶訪問權(quán)的取消。不顯示系統(tǒng)或應(yīng)用標識符，直到登錄過程已成功完成為止；顯示只有已授權(quán)的用戶才能訪問計算機的告警通知；在登錄過程中，不提供對未授權(quán)用戶的幫助消息；限制所允許的不成功登錄嘗試的次數(shù)；記錄不成功的嘗試和成功的嘗試；如果達到登錄的最大嘗試次數(shù)，向系統(tǒng)控制臺發(fā)送警報消息。系統(tǒng)用戶安全管理在服務(wù)器和系統(tǒng)進行安裝時，要改變默認的操作系統(tǒng)管理員賬號名稱和數(shù)據(jù)庫賬號名稱；新用戶注冊時，由用戶所在部門填寫《辦公系統(tǒng)接入申請表》，并報相關(guān)系統(tǒng)管理員審核；系統(tǒng)管理員應(yīng)檢查所授予的訪問級別是否與業(yè)務(wù)目的相適合，是否與組織的安全方針保持一致，例如，它沒有違背責任分割原則；如申請不符合業(yè)務(wù)要求，則不予批準，如符合要求，由系統(tǒng)管理員根據(jù)《辦公系統(tǒng)接入申請表》，在系統(tǒng)中建立唯一用戶ID；當用戶的工作角色或崗位發(fā)生變更，或離職時，員工所在單位（部門）應(yīng)立刻填寫《辦公系統(tǒng)接入申請表》，并報相關(guān)系統(tǒng)管理員批準；系統(tǒng)管理員根據(jù)新的《辦公系統(tǒng)接入申請表》取消或封鎖該用戶的訪問權(quán)；各信息系統(tǒng)管理人員負責定期（每月）檢查并取消或封鎖多余的用戶ID和帳號，確保多余的用戶ID不會發(fā)給其他用戶。所有用戶擁有唯一指定標識，如員工工號；用戶ID是應(yīng)用系統(tǒng)中用戶唯一的、專供其使用的標識符，系統(tǒng)管理員應(yīng)配置系統(tǒng)，使用戶的各個活動能追蹤到責任者；當需要采用一組用戶或一項特定作業(yè)使用一個共享的用戶ID時，應(yīng)遵照組ID管理進行控制，具體參見“用戶注冊及注銷程序”的組ID條款。在用戶初次使用應(yīng)用系統(tǒng)時，系統(tǒng)管理員應(yīng)提供給一個安全的臨時口令，并強制其立即修改；臨時口令應(yīng)以安全的方式給予用戶，不得使用第三方或未保護的（明文）電子郵件消息；系統(tǒng)管理員應(yīng)對用戶口令設(shè)置進行指導(dǎo)和要求，如口令長度和復(fù)雜性、定期更換等；系統(tǒng)管理員應(yīng)確?？诹畈灰晕幢Ｗo的形式存儲在計算機系統(tǒng)內(nèi)；各系統(tǒng)管理員應(yīng)在系統(tǒng)或軟件安裝后改變提供商的默認口令；系統(tǒng)審計用戶ID；日期、時間和關(guān)鍵事件的細節(jié)，例如登錄和退出；終端身份或位置；成功的和被拒絕的對系統(tǒng)嘗試訪問的記錄；成功的和被拒絕的對數(shù)據(jù)以及其他資源嘗試訪問的記錄；系統(tǒng)配置的變化；特殊權(quán)限的使用；系統(tǒng)實用工具和應(yīng)用程序的使用；訪問的文件和訪問類型；網(wǎng)絡(luò)地址和協(xié)議；訪問控制系統(tǒng)引發(fā)的警報；防惡意代碼系統(tǒng)等防護設(shè)施的激活和停用。監(jiān)視系統(tǒng)的使用各系統(tǒng)維護部門建立信息處理設(shè)施的監(jiān)視使用程序，并定期評審監(jiān)視活動的結(jié)果。各個設(shè)施的監(jiān)視級別由風險評估決定。要考慮的監(jiān)視范圍包括：用戶ID；關(guān)鍵事件的日期和時間；事件類型；訪問的文件；使用的程序/工具；特殊權(quán)限帳戶的使用，例如監(jiān)督員、根用戶、管理員；系統(tǒng)的啟動和終止；I/O設(shè)備的裝配/拆卸；失敗的或被拒絕的用戶活動；失敗的或被拒絕的涉及數(shù)據(jù)和其他資源的活動；違反訪問策略或網(wǎng)關(guān)和防火墻的通知；私有入侵檢測系統(tǒng)的警報；控制臺警報或消息；系統(tǒng)日志異常；網(wǎng)絡(luò)管理警報；訪問控制系統(tǒng)引發(fā)的警報；系統(tǒng)備份系統(tǒng)運維部門制定系統(tǒng)備份策略，包括系統(tǒng)配置備份和設(shè)備備份，并做好相應(yīng)備案；系統(tǒng)運維部門根據(jù)系統(tǒng)備份策略定期做好系統(tǒng)配置備份和系統(tǒng)設(shè)備備份，并做好備份記錄；系統(tǒng)運維部門做好系統(tǒng)配置及設(shè)備備份的保存與管理，保證備份的安全性；系統(tǒng)運維部門定期對配置備份及設(shè)備備份進行測試，保證系統(tǒng)備份的可用性，并對測試結(jié)果進行記錄。惡意代碼防范管理制度職責建立防殺計算機惡意代碼的責任制。信息安全領(lǐng)導(dǎo)小組負責建立網(wǎng)絡(luò)計算機防惡意代碼體系；負責防惡意代碼系統(tǒng)等安全措施的統(tǒng)一規(guī)劃、部署與升級。計算機審計中心負責開展技術(shù)培訓(xùn)；負責防惡意代碼系統(tǒng)的統(tǒng)一升級；負責各、系統(tǒng)的補丁升級、軟件升級和分發(fā)；負責配置防惡意代碼系統(tǒng)策略，定期對系統(tǒng)惡意代碼進行掃描，并組織相關(guān)部門進行惡意代碼查殺；負責組織相關(guān)部門分析惡意代碼事件的來源等詳細情況，編寫《信息安全事件分析報告》，并備案。防惡意代碼系統(tǒng)的規(guī)劃與部署每臺接入業(yè)務(wù)內(nèi)網(wǎng)或外網(wǎng)（互聯(lián)網(wǎng)）的計算機，必須安裝殺毒軟件，主系統(tǒng)將自動啟動計算機惡意代碼特征碼升級和本機惡意代碼查殺功能，查殺結(jié)果將會自動上傳至防惡意代碼系統(tǒng)控制臺。任何人員不得擅自停用殺毒軟件。惡意代碼防范的日常管理定期進行培訓(xùn)，提高所有用戶的防惡意代碼意識和安全技能；及時告知防惡意代碼軟件版本，在讀取移動存儲設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或郵件之前，先進行惡意代碼檢查，對外來計算機或存儲設(shè)備接入網(wǎng)絡(luò)系統(tǒng)之前也應(yīng)進行惡意代碼檢查；指定專人對網(wǎng)絡(luò)和主機進行惡意代碼檢測并保存檢測記錄；定期檢查信息系統(tǒng)內(nèi)各種產(chǎn)品的惡意代碼庫的升級情況并進行記錄，對主機防惡意代碼產(chǎn)品、防惡意代碼網(wǎng)關(guān)和郵件防惡意代碼網(wǎng)關(guān)上截獲的危險惡意代碼或惡意代碼進行及時分析處理，并形成書面的報表和總結(jié)匯報。終端用戶要及時進行補丁升級，避免因操作系統(tǒng)漏洞而造成的惡意代碼入侵，并做好本機重要數(shù)據(jù)的備份。業(yè)務(wù)外網(wǎng)終端可通過在線備案后實現(xiàn)補丁自動更新。加強計算機惡意代碼、木馬防范基礎(chǔ)工作，計算機終端應(yīng)設(shè)置開機密碼，嚴格設(shè)置共享資源讀、寫權(quán)限；介質(zhì)（磁盤、光盤和U盤等）復(fù)制、使用前先作惡意代碼檢測，確認無惡意代碼后才能使用。業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間實施邏輯隔離，連接互聯(lián)網(wǎng)的終端用戶應(yīng)提高警惕,不下載和運行來歷不明的程序,對于不明來歷的郵件附件也不要隨意打開。下載的軟件、信息和數(shù)據(jù)要先查毒后使用。各部門負責本部門所轄設(shè)備的安全管理，移動介質(zhì)、移動設(shè)備接入網(wǎng)絡(luò)要進行嚴格控制，如因上述原因發(fā)生惡意代碼事件，由本部門承擔責任；各部門負責本部門所轄安全管理，禁止任何人在系統(tǒng)上傳遞無關(guān)信息，如因上述原因發(fā)生惡意代碼事件，由本部門承擔責任；計算機審計中心負責網(wǎng)絡(luò)的接入管理，禁止任何人私自擴展、加裝計算機網(wǎng)絡(luò)和私自跳接計算機連網(wǎng)的信息點，并嚴禁在網(wǎng)上偵聽，如因上述原因發(fā)生信息安全事件，由本部門承擔責任；因業(yè)務(wù)需要使用外來移動介質(zhì)（設(shè)備）的，必須由使用人填寫《介質(zhì)使用申請表》，獲本部門批準，并將介質(zhì)接入殺毒專用計算機（與各系統(tǒng)物理隔離）進行惡意代碼檢測，確認無毒后，方可接入網(wǎng)絡(luò)內(nèi)使用；計算機審計中心定期檢查網(wǎng)絡(luò)內(nèi)服務(wù)器的殺毒軟件運行狀態(tài)，并將檢查結(jié)果進行記錄；并將檢查結(jié)果納入人員考核指標中。惡意代碼的查殺與處理一旦發(fā)生惡意代碼入侵事件，進行惡意代碼查殺工作，如下載專殺工具、進行手工殺毒等。一旦部門局域網(wǎng)內(nèi)計算機發(fā)生感染惡意代碼疫情，為避免計算機惡意代碼擴散，系統(tǒng)運維部門將封堵該部門局域網(wǎng)與外網(wǎng)之間的物理鏈路，待采取進一步措施查殺滅惡意代碼，在疫情警報解除后，再恢復(fù)網(wǎng)絡(luò)間物理鏈路的連接。附表4惡意代碼查殺統(tǒng)計表填表單位： 填表時間：惡意代碼名稱類型發(fā)現(xiàn)時間發(fā)現(xiàn)地點查殺過程說明影響范圍造成損失情況信息化管理部門簽字備注系統(tǒng)變更管理制度變更的申請和審批日常變更申請人識別具體的變更需求（如范圍、可交付成果、時限、組織等），交給變更審批人進行審批。相應(yīng)的變更審批人對變更申請進行審核，如判斷此變更屬于日常變更，由日常變更審批人審批后自行組織實施；如屬于重大技術(shù)變更，則提交浙江省XX局（信息安全領(lǐng)導(dǎo)小組）審批。重大技術(shù)變更的審批：由日常變更審批人將《變更申請表》進行簽字確認后提交浙江省XX局（信息安全領(lǐng)導(dǎo)小組）審批；浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負責領(lǐng)導(dǎo)組織進行變更評估及編寫變更方案（包括變更需求的詳細描述；可以選擇的變更方式；變更所需的成本及帶來的利益；變更的風險；變更對業(yè)務(wù)、系統(tǒng)或項目帶來的影響；變更對原有安全措施以及數(shù)據(jù)完整性的影響；變更的建議和計劃）；由浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負責領(lǐng)導(dǎo)組織對變更方案的評審，評審?fù)ㄟ^后報上級領(lǐng)導(dǎo)，經(jīng)同意后組織實施。必要時成立評審委員會對變更進行評審，或進行專家評審。日常變更的實施變更審批人組織制定變更實施計劃，包括變更前的備份、變更計劃、實施人員、實施流程、所用工具、回退計劃、回退不成功的應(yīng)急預(yù)案等；變更實施前由變更實施人員進行備份，變更實施后進行變更情況記錄；如變更不成功，立即按照變更實施計劃中的回退計劃實行變更回退過程，使其狀態(tài)回到變更前的狀態(tài)，并進行記錄；變更完成后由變更實施人員進行后期跟蹤及反饋，并進行記錄。重大變更的實施浙江省XX局信息安全領(lǐng)導(dǎo)小組負責領(lǐng)導(dǎo)組織制定《變更方案》（包括變更前的備份、變更計劃、測試計劃、實施人員、實施流程、所用工具、回退計劃、回退不成功的應(yīng)急預(yù)案等），并進行評審；變更實施前由相關(guān)人員進行實施測試，并對測試情況進行記錄，測試通過后方可實施；變更實施前通知所有將受變更影響的用戶；變更實施前由變更實施人員進行備份，變更實施后進行變更情況記錄；如變更不成功，立即按照《變更方案》中的回退計劃實行變更回退過程，使其狀態(tài)回到變更前的狀態(tài)，并進行記錄；重大變更的驗證和歸檔重大變更后，需要系統(tǒng)負責人進行驗證、測試。變更完成后由浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負責領(lǐng)導(dǎo)組織進行后期跟蹤及反饋，并進行記錄；重大變更結(jié)束后，對相關(guān)文件進行更新，報浙江省XX局（信息安全領(lǐng)導(dǎo)小組）負責領(lǐng)導(dǎo)。變更的失敗的處理變更失敗時，要中止變更并申報。當從失敗變更中恢復(fù)時，要明確過程控制方法和人員職責，必要時對恢復(fù)過程進行演練。附表5配置變更申請表設(shè)備名稱：IP地址：申請人員：申請日期：變更性質(zhì)：臨時變更永久變更變更期限：變更用途：變更內(nèi)容：操作員：審核：日期：日期：備份恢復(fù)管理制度程序資產(chǎn)識別資產(chǎn)識別制定備份方案實施備份備份介質(zhì)標識備份存放備份測試信息恢復(fù)資產(chǎn)識別收集需要備份的資產(chǎn)相關(guān)信息，主要包括資產(chǎn)的重要性、資產(chǎn)的保護級別等屬性；對確定的重要業(yè)務(wù)數(shù)據(jù)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等進行備份。需要檢查的信息資產(chǎn)可能包括：業(yè)務(wù)運作數(shù)據(jù)；重要的信息數(shù)據(jù)；操作系統(tǒng)；系統(tǒng)配置參數(shù)；技術(shù)文件；檔案資料；應(yīng)用軟件；軟件源代碼等。無法備份的信息，盡量多使用其復(fù)制件，保存原件。制定備份方案根據(jù)資產(chǎn)識別的結(jié)果和備份級別制定《數(shù)據(jù)備份清單》，具體包括：確定備份周期：根據(jù)信息更新速度、易損壞成度及備份介質(zhì)的有效期，確定周期。確定備份介質(zhì)類型：確定備份使用的介質(zhì)，一般是光盤、軟盤或硬盤，要同時考慮成本與可靠性。確定備份方式：一般采用復(fù)制、雙系統(tǒng)同步、轉(zhuǎn)儲、壓縮復(fù)制等。確定備份工具：備份使用的工具，如光盤記錄機、復(fù)印機、軟驅(qū)、壓縮軟件等，選擇工具時，要確定在信息失效之前，對應(yīng)的恢復(fù)工具可用。確定備份數(shù)量：確定備份的數(shù)量，一般信息備份一份即可，對于特別重要的信息需要備份多份。存放位置：備份信息須與原始信息分開存放，要根據(jù)信息保密級別有相應(yīng)的保密措施。責任人：確定備份的責任人。備份方案需提交給相關(guān)部門負責人，經(jīng)部門主任確認并批準后予以實施。當責任人沒有足夠的工具或條件時，可要求相關(guān)工程師協(xié)助。備份計劃實施對分散的信息進行整理、歸類；處理信息，在備份信息前，先將其復(fù)制到有備份工具的計算機上；執(zhí)行備份程序；檢查備份數(shù)據(jù)的可用性；清理過程數(shù)據(jù)。備份的介質(zhì)標識標識應(yīng)依據(jù)介質(zhì)本身的特點，加標簽或直接手寫在介質(zhì)上；對于已經(jīng)有標識的紙面文檔的復(fù)印件，可不用再另加標識；各部門應(yīng)采取適宜的方法對備份信息介質(zhì)進行標識，防止備份信息的誤用，標識的內(nèi)容包括：備份信息的名稱；備份的日期；版本號；必要時，備份還原工具。考慮信息本身在被使用時的特點，確定標識的內(nèi)容。備份介質(zhì)的安全存放備份完畢，備份操作員需向部門主任或備份管理人員提交備份成果：備份介質(zhì)；備份過程中的相關(guān)文件，如：備份記錄文件、備份恢復(fù)工具或軟件、備份恢復(fù)指導(dǎo)書等；將備份介質(zhì)保存到《備份數(shù)據(jù)清單》中指定的位置，需按時間順序存放。介質(zhì)的存儲主要考慮以下幾個方面：備份介質(zhì)須保存在適宜的環(huán)境中；對備份介質(zhì)進行異地存儲，以避免主要場地發(fā)生災(zāi)難時資產(chǎn)受到損壞；備份介質(zhì)存儲場地的物理和環(huán)境保護；分配專人對備份介質(zhì)進行管理，對備份介質(zhì)的訪問進行控制。備份介質(zhì)的定期測試要定期或不定期得測試備份介質(zhì)，以確保應(yīng)急使用時可以使用這些備份介質(zhì)；須定期檢查和測試恢復(fù)程序，以確保能有效完成恢復(fù)工作。信息恢復(fù)當重要信息被篡改、破壞或丟失時，使用備份數(shù)據(jù)恢復(fù)信息；當存在多份備份時，應(yīng)根據(jù)需要選擇合適的備份；備份信息使用前，應(yīng)檢查備份信息的完整性和可用性。附表6數(shù)據(jù)備份檢查記錄表年月數(shù)據(jù)備份情況檢查日志日期檢查時間檢查人文件系統(tǒng)空間檢查備份日志檢查備份傳輸檢查文件檢查bdump/udump下trace文件檢查備份文件恢復(fù)測試123456789101112信息安全事件管理制度信息安全事件分類網(wǎng)絡(luò)與信息安全事件一般可以分為攻擊類、故障類和災(zāi)害類等，可能造成的后果是業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓、信息破壞等。根據(jù)浙江省XX局網(wǎng)絡(luò)與信息安全事件的發(fā)生原因、性質(zhì)和機理，網(wǎng)絡(luò)與信息安全事件主要分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、設(shè)備設(shè)施故障和災(zāi)害性事件五類:有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。災(zāi)害性事件是指自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)和信息系統(tǒng)故障。信息安全事件分級根據(jù)信息安全事件的分級考慮要素，將信息安全事件劃分為五個級別：重大事件、一級事件、二級事件、三級事件、四級事件。一級事件：業(yè)務(wù)受重大影響，4小時后升級到重大責任事故；二級事件：大部份業(yè)務(wù)受影響，8小時后升級到1級；三級事件：大部份業(yè)務(wù)基本不受影響，24小時后升級到2級；四級事件：業(yè)務(wù)基本不受影響，48小時后升級到3級；3-4級屬于日常事件，1-2級屬于應(yīng)急事件。信息安全事件的預(yù)防浙江省XX局信息系統(tǒng)維護單位，必須積極貫徹預(yù)防為主、嚴格管理的原則，評價事件發(fā)生的潛在因素和可能的程度；組織制定和監(jiān)督實施預(yù)防措施、操作規(guī)程或工作標準；配置必要的資源；開展教育培訓(xùn)、檢查、考核和整改活動，控制或消除可能導(dǎo)致事件發(fā)生的各種因素。預(yù)防措施應(yīng)下達至直接相關(guān)的層次和崗位。浙江省XX局信息系統(tǒng)維護單位應(yīng)根據(jù)事件發(fā)生可能造成的危害、損失，組織制定不同級別的應(yīng)急預(yù)案，并對應(yīng)急預(yù)案的可靠性進行評價。應(yīng)急預(yù)案應(yīng)當受控和備案，并發(fā)放至直接相關(guān)層次和崗位，保存相關(guān)記錄。應(yīng)急預(yù)案應(yīng)定期進行演練和培訓(xùn)，必要時組織修訂。信息安全事件的報告事件通知當信息系統(tǒng)發(fā)生事件時，信息系統(tǒng)使用或維護單位應(yīng)立即在第一時間向系統(tǒng)運維管理部門負責人通報事件情況，說明事件發(fā)生的時間、部位、表象、程度和影響；信息系統(tǒng)維護單位應(yīng)根據(jù)應(yīng)急預(yù)案立即組織人員開展搶修工作，1小時后仍未恢復(fù)時，信息系統(tǒng)維護單位應(yīng)立即向系統(tǒng)運維管理部門負責人匯報。事件調(diào)查報告發(fā)生1級及重大信息安全事件，信息系統(tǒng)維護單位應(yīng)在7個有效工作日內(nèi)將書面《信息安全事件處理報告》上報系統(tǒng)運維管理部門，由系統(tǒng)運維管理部門系統(tǒng)負責人審定后，在10個有效工作日內(nèi)，將審核意見及報告上報系統(tǒng)運維管理部門主管領(lǐng)導(dǎo)審批。發(fā)生2級信息安全事件，信息系統(tǒng)維護單位應(yīng)在5個有效工作日內(nèi)將書面《信息安全事件處理報告》上報系統(tǒng)運維管理部門，由系統(tǒng)運維管理部門負責人審定后在7個有效工作日內(nèi)，將審核意見及報告上報系統(tǒng)運維管理部門主管領(lǐng)導(dǎo)審批。信息系統(tǒng)故障，信息系統(tǒng)維護單位應(yīng)在當天將故障情況登記在冊，內(nèi)容包括故障發(fā)生、處理經(jīng)過和簡要原因分析。信息安全事件響應(yīng)當事件發(fā)生時，信息系統(tǒng)維護單位應(yīng)當立即啟動應(yīng)急預(yù)案或提出相應(yīng)的解決方案（可備選幾種方案），其中解決方案需經(jīng)系統(tǒng)運維管理部門討論同意后實施，信息系統(tǒng)維護單位應(yīng)全力而有序地組織搶救搶修，防止事件擴大，消除各種危險，盡快恢復(fù)系統(tǒng)，將各種損失減到最低程度。信息系統(tǒng)維護單位的相關(guān)人員應(yīng)在事發(fā)或接到事發(fā)報告1小時內(nèi)到達事發(fā)現(xiàn)場，開展事件處理工作。發(fā)生重大信息安全事件，在迅速進行應(yīng)急處理或者請求其他力量支援進行應(yīng)急處理的同時，應(yīng)當立即報告系統(tǒng)運維管理部門主管領(lǐng)導(dǎo)，并盡可能保存好原始證據(jù)，保護好現(xiàn)場；在應(yīng)急處理過程中，應(yīng)當采取手工記錄、截屏、文件備份和影像設(shè)備記錄等多種手段，對應(yīng)急處理的步驟和結(jié)果進行詳細記錄。信息安全事件的調(diào)查處理對于信息安全事件，在故障排除或采取必要措施后，由系統(tǒng)運維管理部門召集、成立事件調(diào)查組。事件調(diào)查組利用合法手段在事件現(xiàn)場收取證據(jù)；向信息系統(tǒng)使用或維護單位了解事件發(fā)生經(jīng)過，收集相關(guān)資料，查明事件發(fā)生的原因、危害程度及造成的損失等情況，檢查預(yù)防和控制事件發(fā)生的措施以及事件發(fā)生后應(yīng)急預(yù)案是否得當并得到落實，確定事件的級別和性質(zhì)，查明相關(guān)責任并提出處理建議，提出防止類似事件再次發(fā)生的措施和建議。信息系統(tǒng)維護單位應(yīng)協(xié)助、配合調(diào)查組完成調(diào)查工作；保護事件現(xiàn)場、向調(diào)查組提供相關(guān)資料、接受調(diào)查組的詢問等，并對其真實性負責。信息安全事件的整改系統(tǒng)運維管理部門應(yīng)在事件調(diào)查結(jié)束后迅速組織制定和下達事件整改措施，明確措施內(nèi)容、完成期限、責任單位和檢查方式，并監(jiān)督實施。信息系統(tǒng)使用和維護單位負責組織事件整改措施的落實，在規(guī)定的期限內(nèi)，完成相應(yīng)的整改工作，防止同類事件的再次發(fā)生。附表7信息安全事件管理文檔編號：時間：年月日客戶名稱聯(lián)系人聯(lián)系電話請求時間事件內(nèi)容事件來源□熱線電話□日常監(jiān)控□現(xiàn)場請求□電子郵件事件性質(zhì)□事故□需求服務(wù)類別后臺處理□上門服務(wù)□電話支持□遠程協(xié)助□協(xié)調(diào)配合□其他服務(wù)事件類別網(wǎng)絡(luò)□網(wǎng)絡(luò)硬件□網(wǎng)絡(luò)配置□鏈路□綜合布線□QoS□F5□VPN□VPDN服務(wù)器□服務(wù)器硬件□系統(tǒng)□存儲□數(shù)據(jù)庫□應(yīng)用安全□安全系統(tǒng)硬件□防火墻配置□防病毒□入侵□審計終端□終端硬件□終端系統(tǒng)□終端軟件其他□電源□防盜\監(jiān)控□溫濕度□咨詢□其它事件級別□重大事件□一級事件□二級事件□三級事件□四級事件優(yōu)先級別□一級□二級□三級□四級影響范圍□全網(wǎng)用戶□部分單位□一個單位□單個用戶事件狀態(tài)□已經(jīng)完成□繼續(xù)跟進□暫停處理處理過程事件原因服務(wù)時間時分（開始）_時分（結(jié)束）共用時間（）意見建議相關(guān)資料涉及變更應(yīng)急預(yù)案管理制度應(yīng)急處置基本原則預(yù)防為主，常備不懈，超前預(yù)想。堅持“安全第一、預(yù)防為主”的方針。做好應(yīng)對各種信息安全突發(fā)事件的預(yù)案準備、應(yīng)急資源準備、保障措施準備和超前信息安全突發(fā)事件預(yù)想，充分利用現(xiàn)有資源，制定科學(xué)的應(yīng)急預(yù)案，定期組織開展應(yīng)急培訓(xùn)和應(yīng)急演練，提高對各種網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急響應(yīng)和處置能力。統(tǒng)一指揮，分級管理，分工協(xié)作。通過成立各級應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急指揮部，建立有系統(tǒng)、分層次的應(yīng)急組織。組織開展事件預(yù)防、應(yīng)急處置、恢復(fù)運行、事件通報等各項應(yīng)急工作。應(yīng)急預(yù)案制定、修訂和應(yīng)急處置應(yīng)明確牽頭部門或單位，以及各有關(guān)部門和單位的職責和權(quán)限。應(yīng)急處理過程中，牽頭部門和單位要主動協(xié)調(diào)各有關(guān)方面，參與單位聽從指揮、步調(diào)一致。保證重點，有效組織，及時響應(yīng)。對重要系統(tǒng)要加大監(jiān)控和應(yīng)急工作力度，有效組織和發(fā)揮各應(yīng)急隊伍和應(yīng)急資源的作用，確保信息及時準確傳遞，有效控制損失。做到保證重點、預(yù)防和處理相結(jié)合，反應(yīng)迅速。技術(shù)支撐，健全機制，不斷完善。在充分利用現(xiàn)有信息資源、系統(tǒng)和設(shè)備的基礎(chǔ)上，采用先進適用的預(yù)測、預(yù)防、預(yù)警和應(yīng)急處置技術(shù)，改進和完善應(yīng)急處理裝備、設(shè)施和手段，提高應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的技術(shù)支撐能力。切實提高應(yīng)急處理人員的業(yè)務(wù)素質(zhì)、安全防護意識和科學(xué)指揮能力，建立健全應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的有效機制。組織體系成立信息安全應(yīng)急指揮部(以下簡稱應(yīng)急指揮部)，負責對本單位信息安全突發(fā)事件應(yīng)急進行指揮、領(lǐng)導(dǎo)。應(yīng)急指揮部下設(shè)應(yīng)急指揮辦公室，設(shè)在浙江省XX局系統(tǒng)運維管理部門，負責日常工作。應(yīng)急指揮部總指揮由本單位分管領(lǐng)導(dǎo)擔任，應(yīng)急指揮部副總指揮由系統(tǒng)運維管理部門負責人擔任，指揮部成員由各部門領(lǐng)導(dǎo)組成。應(yīng)急指揮辦公室主任系統(tǒng)運維管理部門負責人擔任，工作人員由系統(tǒng)運維管理部門和系統(tǒng)運維單位技術(shù)員及工程師組成。信息安全事件應(yīng)急處理預(yù)防與預(yù)警發(fā)生一般安全事件進入信息系統(tǒng)預(yù)警狀態(tài)，發(fā)生重大安全事件進入應(yīng)急狀態(tài)，發(fā)生特別重大事件進入緊急應(yīng)急狀態(tài)。根據(jù)實際情況，確定突發(fā)事件的預(yù)警狀態(tài)和應(yīng)急狀態(tài)。特別重大（Ⅰ級）、重大（Ⅱ級）安全事件根據(jù)情況向各單位下發(fā)做好信息安全工作的通知；門站工作人員做好24小時值班制，做好信息上報工作。信息報告程序相關(guān)工作人員對各上報的安全可疑事件進行分析、確認，經(jīng)確定為安全事件時，及時采取應(yīng)急措施，并將情況如實反饋給上級領(lǐng)導(dǎo)。應(yīng)急處置發(fā)生信息安全事件后，事件發(fā)生單位立即啟動應(yīng)急預(yù)案，本著盡量減少損失的原則，將應(yīng)急事件盡快隔離，在不影響正常生產(chǎn)、經(jīng)營、管理秩序的情況下，保護現(xiàn)場。應(yīng)急指揮辦公室接到信息安全突發(fā)事件的應(yīng)急報告后，根據(jù)事件情況，啟動信息安全突發(fā)事件應(yīng)急預(yù)案。應(yīng)急指揮辦公室I級和II級信息安全突發(fā)事件報告后，根據(jù)事件的性質(zhì)和影響向應(yīng)急指揮部報告，對需要上級部門和地方政府有關(guān)部門應(yīng)急支持的事件，由應(yīng)急指揮部開展應(yīng)急協(xié)調(diào)。應(yīng)急結(jié)束在同時滿足下列條件下，應(yīng)急指揮部可決定宣布解除應(yīng)急狀態(tài)：(1)各種信息安全突發(fā)事件已得到有效控制，情況趨緩。(2)信息安全突發(fā)事件處理已經(jīng)結(jié)束，設(shè)備、系統(tǒng)已經(jīng)恢復(fù)運行。(3)上級應(yīng)急部門發(fā)布的解除應(yīng)急響應(yīng)狀態(tài)的指令。(4)事件相關(guān)單位向應(yīng)急指揮部報告應(yīng)急處理已經(jīng)結(jié)束，恢復(fù)正常生產(chǎn)工作秩序。應(yīng)急保障通信保障。應(yīng)急期間，指揮、通信聯(lián)絡(luò)和信息交換的渠道主要有系統(tǒng)程控電話、外線電話、手機、傳真、電子郵件等方式，有關(guān)應(yīng)急聯(lián)系的手機應(yīng)保持24小時開機狀態(tài)。物資保障。應(yīng)急物資裝備主要有車輛、備品備件、常用工具和常用工具軟件。各單位要落實應(yīng)急會議室。資金保障。各單位應(yīng)保障應(yīng)急培訓(xùn)、演練、添置應(yīng)急裝備物資等所需經(jīng)費。人員保障。加強網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急技術(shù)支持隊伍的建設(shè)，提高人員的業(yè)務(wù)素質(zhì)、技術(shù)水平和應(yīng)急處置能力。整合各單位的技術(shù)專家資源、相關(guān)科研單位的技術(shù)專家資源，利用國家相關(guān)科研單位的技術(shù)專家資源和廠商的技術(shù)專家資源，逐步建立應(yīng)對各種網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急專家組，充分發(fā)揮應(yīng)急專家組的作用。應(yīng)急行動所需的物資器材應(yīng)予以充分保障，以確保應(yīng)急預(yù)案落到實處。應(yīng)堅持對應(yīng)急行動的設(shè)備器材進行定期維護保養(yǎng)，保證完好率達到95%以上，所需的物資應(yīng)堅持定期補充和更換，始終保持其有效性。后期處置后期觀察特