湖南大学信息系统安全事件管理制度

第一章 总则

第一条 为加强学校内部管理，规范信息安全事件处理流程，提高安全事件发生时的应变能力，做到快速反应，正确应对，最大程度地降低安全事件带来的负面影响，确保信息系统业务正常、稳定开展，特制定本制度。

第二条 本制度适用对象为信息安全事件处置过程，包括事件分类、分级、报告以及处置流程等，管理对象为湖南大学相关各部门。

第二章 组织职责

第三条 信息化办是主要安全事件受理、解决部门，负责受理信息安全事件，协调组织安全事件解决方案或措施，并反馈处理结果；安全管理员是安全事件具体受理人员，并协调组织相关人员处理安全事件。

第四条 湖南大学相关部门应配合信息化办做好安全事件的解决，如发现安全事件，由各部门安全联络员及时上报信息化办。

第三章 事件分类

第五条 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。

(一) 有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行；包括计算机病毒事件、蠕虫事件、僵尸网络事件、混合攻击程序事件以及其他有害事件。

(二) 网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

(三) 信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件。

(四) 信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。信息内容安全事件包括违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件等。

(五) 设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障。

(六) 灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

(七) 其他事件类别是指不能归为以上6个基本分类的信息安全事件。

第四章 事件分级

第六条 根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。

第七条 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

(一) 会使特别重要信息系统遭受特别严重的系统损失；

(二) 产生特别重大的社会影响。

第八条 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：

(一) 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失；

(二) 产生的重大的社会影响

第九条 较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：

(一) 会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；

(二) 产生较大的社会影响。

第十条 一般事件是指不满足以上条件的信息安全事件，包括以下情况：

(一) 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失；

(二) 产生一般的社会影响。

第五章 事件监控

第十一条 各系统管理员、网络管理员以及设备管理员应对各自负责的系统、网络和设备进行日志监控，如发现安全事件及时填写《异常现象报告单》，并通知安全管理员。

第十二条 各部门应负责辖区内的安全事件监控，发现安全事件由各部门安全联络员及时填写《异常现象报告单》，并通知信息化办安全管理员。

第十三条 发现系统安全弱点的相关人员，必须及时上报，但不得尝试验证该弱点。

第六章 事件受理

第十四条 安全管理员接到异常报告单后，进行判断是否为安全事件。

第十五条 如果确认为安全事件，则根据事件类型和分级要求对安全事件进行定义并初步填写《信息安全事件报告单》。

第十六条 对于较大及以上级别安全事件，由安全管理员在一小时内上报给信息化办负责人。

第七章 事件处置

第十七条 一般安全事件处置流程

(一) 一般安全事件统一由安全管理员接口受理，并由相关系统管理员配合安全管理员对事件进行统筹管理和跟踪。

(二) 一般安全事件的处理流程由安全管理员负责协调处理，如涉及到生产环境系统的变更，按照《湖南大学信息系统变更管理规定》进行处理。

(三) 一般安全事件处理完成后，由安全管理员组织相关人员对事件进行分析完成信息安全事件报告，并将结果通知相关事件发起人以及相关系统管理员，并因安全事件产生的各类系统漏洞，应明确表示相关人员不得尝试验证该漏洞。

第十八条 较大及以上安全事件处置流程

(一) 现场保护：如果信息安全事件与数据和程序相关，则要求对存有数据和程序的存储介质进行备份，以保护数据和证据的安全、完整；

(二) 防止扩散：如果发生信息安全事件设备或人员会影响系统其它设备和人员，则应立即采取隔离措施，如发现有设备感染网络病毒，则使设备从网络上断开。

(三) 应急恢复处理：

1) 如果发生信息安全事件的设备或人员不工作时会影响到业务运行，则要求尽快采用应急措施，启动备用资源；

2) 在应急恢复处理时，必须保证不产生二次损坏或丢失证据。

(四) 分析事件原因：

1) 调查分析是安全事件处理的核心，其主要目的在于找到发生安全事件的原因和相关解决方案；

2) 如果调查过程中，发现安全事件涉及窃取学校经济利益或者损害学校名誉的行为，安全事件的处理报告给学校相关部门处理；对于触犯法律法规的行为，由学校相关部门决定是否移交公安部门进行调查处理。

(五) 制定解决方案：根据信息安全事件的情况，由信息化办组织学校相关部门讨论、制定安全事件的解决方案，必要时联系相关的第三方服务商协助处理。

(六) 实施解决方案：确定解决方案后，相关人员进行方案实施，恢复系统的正常运作状态包括对遭受安全事件影响的系统进行恢复和安全修复两方面的工作，并作必要的技术处理，以保证不再发生相同的信息安全事件。

(七) 实施检查：信息化办应组织对事件的处理结果进行验证、回顾，对于处理结果是否达到预期效果进行评审，并且对事件的处理过程进行记录，保留相关文档。

(八) 总结反馈：

1) 信息化办应定期审阅所有安全事件报告，分析安全事件并总结经验教训；

2) 确认其它资产是否受到类似的威胁，并采取预防措施；

3) 审查安全事件涉及的安全策略、标准和程序，确定是否需要更新相关的文件；

4) 对安全事件进行总结，并将总结反馈给相关部门；

5) 从安全事件中汲取的经验教训。

6) 由安全管理员根据实际情况完成信息安全事件报告，并发送给所有相关部门或个人。

(九) 对于重大以及特别重大的事件，由应急指挥组组长决定是否启动相关应急预案。

(十) 对于涉及到生产环境的变更，则必须按照变更管理规定进行实施，对于涉密事件处理和恢复的人员，重要操作要求至少两名工作人员在场并登记备案。

第八章 持续改进

第十九条 为了保证本策略文件的时效性、可用性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第九章 附则

第二十条 本文件由信息化办负责制定、解释和修改。

第二十一条 本文件自发布之日起生效。