第一条 为进一步规范我校信息技术安全事件报告与处置工作,提高网络安全管理水平和安全事件应急处置能力,及时掌握和处置信息技术安全事件,降低安全事件带来的损失与影响,根据《中华人民共和国网络安全法》等有关法律法规,参照教育部《信息技术安全事件报告与处置流程(试行)》有关规定,制定本流程。
第二条 信息技术安全事件定义。根据《信息安全事件分类分级指南》(GB/T20986-2007,以下简称《指南》),本流程中所称的信息技术安全事件(以下简称安全事件)是指除信息内容安全事件以外的有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其他信息安全事件(详见附件1)。
第三条 适用范围。本流程适用于我校各单位、部门信息技术安全事件的报告与处置工作,涉及信息内容安全事件的报告与处置工作仍按相关规定执行。
第四条 安全事件等级划分。根据《指南》将安全事件划分为四个等级:特别重大事件(I级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级)(详见附件1)。
第五条 安全事件判定。一旦发生安全事件,应根据《指南》,视网络与信息系统重要程度、损失情况以及对工作和社会造成的影响由信息中心判定安全事件等级。
第六条 I至Ⅲ级安全事件的报告与处置。报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。
(一)事发紧急报告与处置
1.发现安全事件,网络与信息系统运维操作人员或个人应根据实际情况第一时间主动采取断网等有效措施进行先期处置,将损害和影响降到最小范围,保留现场,并报告本单位信息技术安全分管责任人、主要负责人和信息中心。
2.信息中心接到报告后,应立即组织技术人员进行紧急处置,并进一步判定安全事件等级,并报告网络安全与信息化工作领导小组(以下简称领导小组)。涉及人为主观破坏事件应同时报告公安机关。对确认属 I 至III 级安全事件的,领导小组应上报有关部门并与公安等部门联系。
3.紧急报告内容包括:(1)时间地点;(2)简要经过;(3)事件类型与分级;(4)影响范围;(5)危害程度;(6)初步原因分析;(7)已采取的应急措施。
(二)事中情况报告与处置
1.事中情况报告应在安全事件发现后8小时内以书面报告的形式进行报送领导小组,报送内容和格式见附件2。
2.事中情况报告由部门安全负责人组织管理和运维人员编写,信息中心配合,部门主要负责人审核后,签字并加盖公章报送领导小组办公室。领导小组办公室依据报告上报相关部门。
3.安全事件的事中处置包括:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。
(三)事后整改报告与处置
1.事后整改报告应在安全事件处置完毕后3个工作日内以书面报告的形式进行报送整改报告,报送内容和格式见附件3。
2.事后情况报告由部门安全负责人组织管理和运维人员编写,信息中心配合,部门主要负责人审核后,签字并加盖公章报送领导小组办公室。领导小组办公室依据报告上报相关部门。
3.安全事件事后处置包括:进一步总结事件教训,研判安全现状、排查安全隐患,进一步加强制度建设,提升安全防护能力。
第七条 一般安全事件报告与处置。网络与信息系统发生一般安全事件,应及时、自主组织应急处置工作,在事件处置完毕后7天内将整改报告报送领导小组办公室,报告内容和格式见附件3。
第八条 人事变更报告。各单位的信息技术安全工作主管领导、管理员、联络方式发生变更的,应及时报送领导小组办公室。
第九条 相关配套机制。
1.信息中心应每天登录上级主管部门、行业等安全平台,及时发现和处置上级主管部门、行业通报的信息技术安全事件,并根据主管部门、行业要求进行反馈。
2.信息中心定期对全校网站、信息系统进行漏洞扫描,向网站、信息系统主管部门发放扫描报告,并要求收到通报的主管部门进行整改、填写反馈表(详见附件4)。
(1)对既不整改又不反馈的部门主管的网站、信息系统,经领导小组同意,信息中心对其采取限制访问、关闭等措施。
(2)对无法整改又必须开放网站、信息系统,按照“尽职免责、失职追责”的基本原则,主管部门应妥善做好系统的管理工作,并签署责任知晓确认书(详见附件5),经领导小组同意,可以继续开放使用。
3.信息中心通过安全态势感知平台监测全校网络终端、服务器信息技术安全事件,向有关单位、部门或个人发放安全通报(详见附件6),通报1次/2周,要求收到通报的单位、部门或个人限期整改、填写反馈表(详见附件4)。为防止信息技术安全事件扩散,以下情况对涉事账号采取断网措施,并向当事单位发出bwin必赢上网账号断网通报(附件7):
(1)未能按照上级主管部门、行业安全通报的整改限期内完成整改的;
(2)接到校内通报,未整改、未反馈且安全事件持续一周及以上的;
(3)因同一安全事件被连续通报三次及以上的。
4.断网账号线下完成整改后,填写bwin必赢上网账号复通申请表(附件8),可申请账号复通。是否可以予以复通,由领导小组主要成员单位(信息中心、宣传部、党办校办、保卫处)在每月安全研判会上讨论确定。特殊情况下,可经当事人所在部门及部门分管校领导审批后进行账号复通。
第十条 各单位、部门应按照学校信息技术安全事件报告与处置流程,建立值守制度,做好事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置工作。做到安全事件早发现、早报告、早控制、早解决。
第十一条 问责制度。各单位应按照流程及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况,将对相关单位进行约谈或通报。
第十二条 本流程自发布之日起开始施行。
第十三条 本流程由学校网络安全与信息化工作领导小组办公室负责解释并根据实际情况做适当修订。